Ce 17 juin 2021 la CNIL vient d’annoncer la sanction qu’elle a pris à l’encontre de la société d’activité de vente de matériel et de matériaux de bricolage avec à la clé (pas de 12) pour un montant de 500 000 Euros et dont voici le lien vous permettant de retrouver la totalité de la sanction https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000043668709. Cette sanction fait état de 6 manquements au RGPD dans le cadre de sa gestion commerciale.
Pour entrer dans le détail, revenons aux faits sanctionnés par la CNIL et reprochés à Brico Privé.
A. Sur le manquement à l’obligation de définir et de respecter une durée de conservation des données à caractère personnel proportionnée à la finalité du traitement en application de l’article 5-1-e du RGPD.
Durée de conservation excessive portant sur 130 000 Comptes non actifs conservés au-delà de 5 ans entre autres.
B. Sur le manquement relatif à l’obligation d’informer les personnes en application de l’article 13 du RGPD.
Informations non disponibles sur les mentions légales ou politique de protection des données.
· Finalités non précisées
· Durées de conservation manquantes
· Informations concernant le DPO non accessibles
Si certes la société explique qu’en « fouillant » bien certaines informations sont disponibles, la CNIL précise bien quant à elle, que ces informations doivent être regroupées, lisibles et facilement accessibles.
C. Sur le manquement relatif à l’obligation de respecter les demandes d’effacement des données à caractère personnel en application de l’article 17 du RGPD.
· Aucune procédure en place ni même le registre des traitements des demandes de droits
· Aucune procédure d’effacement, même après demande expresse de l’internaute, des données devenant inutiles dans les fichiers.
D. Sur le manquement relatif à l’obligation d’assurer la sécurité des données à caractère personnel en application de l’article 32 du RGPD
· Mot de passe de 6 caractères pour les clients
· Mots de passe stockés en clair dans un fichier
· Mot de passe commun pour plusieurs salariés de l’entreprise
· Mécanisme de hachage obsolète La société Brico Privé a répondu par la notion d’obligation de moyen et non de résultat, ce à quoi l’autorité de contrôle lui a rétorqué que cette obligation de moyen devait être proportionnée aux risques et respecter ses préconisations et celles de l’ANSSI.
E. Sur le manquement aux obligations relatives aux informations (cookies) stockées sur l’équipement terminal de communications électroniques des utilisateurs en application de l’article 82 de la loi Informatique et Libertés.
· Dépôt de 32 cookies dès la connexion sur le site malgré l’interdiction de déposer des cookies sans le consentement des utilisateurs.
· Dépôt de 13 cookies suite à un deuxième contrôle malgré les dires de la société
Les règles étant pourtant suffisamment simples et claires dans le cadre de la réglementation en ce qui concerne les dépôts de cookies sur les sites internet et notamment commerciaux
F. Sur le manquement relatif à l’obligation de recueillir le consentement de la personne concernée par une opération de prospection directe au moyen d’un courrier électronique en application de l’article L. 34-5 du CPCE
· Collecte et envoi de prospection commerciale pour des personnes n’ayant ni commandé, ni demandé une information quelconque sans le consentement, ni même l’information.
· Le simple fait d’évoquer dans les conditions générales de ventes ne vaut pas consentement
On ne rappellera jamais assez que le fait de communiquer le mail même volontairement lors du remplissage d’un formulaire de contact ne vaut pas consentement s’il n’est pas éclairé, libre et spécifique.
Le fait d’envoyer 5 mails sur une période de 100 jours est considéré comme pression commerciale injustifiée du fait que les personnes ne s’attendent pas à en recevoir autant sur une si courte période.
Sur le principe du montant de la sanction, la société soutient qu’il n’est pas justifié expliquant que c’est la première fois qu’elle est sanctionnée par la commission restreinte de la CNIL. Brico Privé estime que les personnes concernées n’ont subi aucun dommage et qu’aucune donnée à caractère personnel sensible n’est concernée.
La commission considère elle de son côté, que l’entreprise a fait preuve de manquement grave au RGPD, que plusieurs des principes fondamentaux ne sont pas respectés et qu’un nombre important de personnes sont concernées dans plusieurs pays.
En conséquence de quoi, elle sanctionne financièrement à hauteur de 500 000 euros la société Brico Privé pour l’ensemble de ses manquements. Elle prononce une mise en demeure de corriger les pratiques du site internet dans un délai de trois mois avec astreinte de 500 euros par jour de retard.
Enfin, au regard des manquements constatés, la CNIL a décidé de rendre son jugement public ce qui expose négativement Brico Privé. Cette publicité pour la marque est loin d’être gratuite et risque d’impacter significativement le capital confiance de ses clients.
Nous rencontrons quotidiennement les manquements sanctionnés dans cette affaire. Certains sont pourtant relativement simples à corriger mais ils nécessitent une volonté forte des directions d’entreprises.
Depuis plus de 15 ans, RGPD-Experts accompagnent les organismes dans leurs démarches de conformité grâce en s’appuyant sur son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrez votre conformité à l’autorité de contrôle. Notre mission, vous simplifier le développement de vos activités sereinement.