VIE DES AFFAIRES - 05.01.2021

Non-respect du RGPD : deux décisions riches d’enseignements

Saisie de plusieurs plaintes, la CNIL a sanctionné deux sociétés d’un groupe de la grande distribution pour des manquements au RGPD liés à l’information des personnes, les durées de conservation et la sécurité des données et les cookies (délib. SAN-2020-008 et 009 du 18.11.2020) .

L’appel au pragmatisme

Une information pas aisément accessible. La CNIL a reproché à une des sociétés du groupe, qui est une banque, d’avoir un intitulé de politique de protection des données trop vague et de ne pas renvoyer vers sa politique de confidentialité de façon suffisamment directe dans le cadre de « l’information par strates » (G29, délib. WP260 rev.01) . Ce système, qui permet de mettre une clause menue sur un support opérationnel et de renvoyer vers un contenu RGPD plus complet, nécessite en effet de renvoyer directement vers ledit contenu complet et non simplement vers la page d’accueil du site.

Un manque de transparence. Le groupe a été rappelé à la loi en raison du caractère confus et diffus de l’information transmise à ses clients. L’information disséminée sur plusieurs pages, tantôt redondante, tantôt différente, laisse l’internaute dans l’expectative, et ne satisfait pas à l’obligation de transparence prévue par la loi (RGPD art. 12) .

Précision. Les informations nombreuses ni hiérarchisées, ni ordonnées, consistaient en une longue énumération du règlement européen. Un récit court et opérationnel est donc préférable à de longs engagements « marketing ».

Des mentions d’information claires. Les mentions d’information doivent utiliser un vocabulaire simple, des phrases courtes et un style direct. Les responsables de traitement doivent éviter les termes juridiques, techniques ou ambigus pour que les clients n’aient aucun doute sur le sort réservé à leurs données.

À noter. Il a été reproché au groupe son manque d’honnêteté envers ses clients concernant le partage de données intra-groupe. La banque omettait de mentionner le partage de certaines données d’apparence assez basique. L’exhaustivité est donc de mise.

Le rappel des règles de base

Respect de l’exercice des droits de l’utilisateur. Un client a demandé à une des sociétés la suppression de son adresse e-mail, présente dans une base de données dédiée à la prospection commerciale. Pour des raisons techniques, le groupe n’a pas donné suite à cette demande, ce qui lui a été reproché ; la société avait les moyens de surmonter ce point technique et l’obligation légale d’apporter une réponse au demandeur, même négative.

Privacy by design. L’accès à la base de données de prospection commerciale d’une société se faisait par l’adresse e-mail des prospects. Cette architecture ne permettait pas de faire droit à la demande d’un client de supprimer son e-mail, car toutes ses autres données présentes dans la base auraient été impactées. Pour la CNIL, ce fonctionnement, qui ne permettait pas de respecter le RGPD et n’avait aucun autre fondement qu’une pratique historique du groupe, ne pouvait perdurer.

Dépôt de cookies de publicité avec l’accord de l’utilisateur. La CNIL a rappelé que seuls les cookies techniques indispensables au fonctionnement d’un site peuvent être déposés sans consentement préalable de l’utilisateur. La formulation utilisée par la CNIL semble signifier que l’utilisation de Google Analytics ne peut jamais être détachée du consentement de l’utilisateur, quand bien même le service serait paramétré pour anonymiser immédiatement les données afin de n’en garder que des éléments statistiques.

Une analyse de risques extensive. Le groupe a subi une attaque informatique ciblée sur l’une de ses applications mobiles concernant 4 000 comptes clients. Selon les traces informatiques, « seulement » 275 comptes sur les 4 000 ont été consultés, sans conséquence directe pour les clients. La CNIL a estimé que la société aurait dû prendre en considération les mauvaises pratiques numériques des consommateurs, notamment celle d’avoir la même combinaison e-mail et mot de passe sur de nombreux sites, et le risque encouru pour ces personnes.

Sécurité des données. Enfin, il a été fait grief à l’une des sociétés pour la mauvaise prise en charge d’une vulnérabilité connue de son site Internet, à propos de laquelle la CNIL a souvent émis des alertes. Le groupe a mis en œuvre une mesure de correction visant à rendre l’exploitation de la faille plus difficile, mais pas impossible, ce second objectif nécessitant des développements lourds. La CNIL a pointé du doigt une demi-mesure insuffisante et un mauvais choix dans la priorisation du coût de correction au détriment de la sécurité des données.

Les contrôles pour manquements au RGPD révèlent que les exigences de la CNIL concernant l’information délivrée aux personnes, le respect de leurs droits et le traitement des données gagnent en complexité.

Contact

Éditions Francis Lefebvre | 42 Rue de Villiers, CS50002 | 92532 Levallois Perret Cedex

Tél. : 03 28 04 34 10 | Fax : 03 28 04 34 11

service.clients.pme@efl.fr | pme.efl.fr

SAS au capital de 241 608 € • Siren : 414 740 852
RCS Nanterre • N°TVA : FR 764 147 408 52 • APE : 5814 Z