La CNIL considera que la empresa no aplicó las medidas de seguridad adecuadas e incumplió su deber de vigilancia continua al decidir basarse únicamente en la experiencia de la empresa encargada de desarrollar la solución, sin aplicar medidas adicionales y regulares tras la puesta en servicio del sitio web.
Por consiguiente, la autoridad francesa considera que la compañía no ha aplicado suficientes medidas técnicas y organizativas para garantizar la seguridad del tratamiento de los datos personales de sus numerosos clientes y potenciales clientes, exponiéndolos a riesgos reales. Considera que los hechos, basados además en el hecho de que la empresa en cuestión es una empresa especializada en la seguridad de determinados procesos informáticos y que, por lo tanto, tiene una experiencia real en este ámbito y conocimientos internos en materia de TI, caracterizan una negligencia en el sentido de la jurisprudencia del TJUE, por lo que la CNIL considera que la empresa incumplió el artículo 32 del RGPD.

<----->

Teniendo en cuenta todo lo anterior, el Comité restringido de la CNIL, previa deliberación, decidió imponer una multa administrativa de setecientos cincuenta mil euros (750,000 EUR) a Ledger por infracción de los artículos 5 (1) (e) y 32 del RGPD.