+33 (0)4 42 70 07 03

Retour à la liste

PINT Avocats Newsletter juin 2021 (2): la CNIL condamne lourdement Bricoprivé (500.000 euros)

La Newsletter de PINT

Juin 2021

 

Parce que nos clients bourdonnent d’idées innovantes, PINT Avocats a décidé de soutenir la biodiversité. Notre ruche a été inaugurée le 15 juin 2021. Grégory Orsini, apiculteur passionné et passionnant,  a partagé avec pédagogie ses connaissances et son savoir-faire. Vivement fin août pour récolter les pots de miel logotypés PINT dont nous espérons vous faire profiter !

 

Nouvelle sanction significative de la CNIL 🚩

 

Dans cette newsletter de début d’été, le RGPD toujours avec cette sanction lourde de la CNIL contre la société BRICO PRIVÉ :

  • 500.000 euros d’amende (dont 200.000 euros pour non-respect de la règlementation en matière d’emailing et de cookies)
  • Injonction de mise en conformité avec un délai de 3 mois, à l’issue duquel s’applique une astreinte de 500 euros par jour de retard
  • Publication de la décision avec identification de la société pendant 2 ans

Cette sanction fait suite à plusieurs contrôles de la CNIL :

  • Le 13 novembre 2018, contrôle dans les locaux visant les données prospects et clients, notamment les durées de conservation, mentions d’information, respect des demandes d’effacement, sécurité des données, consentement à l’emailing ;
  • Le 6 février 2020 et 13 janvier 2021, contrôle en ligne du site internet bricoprive.com (cookies)

La CNIL ayant constaté des traitements de données dans trois autres pays (Espagne, Italie et Portugal),  elle a consulté en parallèle les autorités compétentes.

Voici les manquements qui ont été sanctionnés :

  • Manquement à la durée de conservation : la CNIL a relevé la présence, en base active, de données à caractère personnel de 16 653 personnes n’ayant pas passé commande depuis plus de 5 ans sans justification de contact plus récent (échange avec le service clients, clic sur un lien promotionnel figurant dans un courrier électronique, etc.).

Suite à des investigations complémentaires, il est ressorti que la société conservait en base les données à caractère personnel de plus de 130 000 personnes qui ne s’étaient pas connectées à leur compte client depuis plus de cinq ans.

Ce manquement a été relevé, en dépit de la communication d’une politique de durée de conservation qui aurait été définie dès le 26 octobre 2018, montrant que la mise en place d’une procédure, non appliquée en pratique, ne suffit pas.

A la date de clôture de l’instruction, la société ne s’était toujours pas complètement mise en conformité.

  • Manquement à l’obligation d’information : l’information mise à disposition des utilisateurs du site Internet n’était pas complète

A cette occasion, la CNIL rappelle que l’obligation de fournir les coordonnées du délégué à la protection des données n’est pas remplie par la simple mise en place d’un formulaire de contact.

La société s’est mise en conformité pendant le cours de la procédure de sanction.

  • Non-respect des demandes d’effacement des données : la CNIL a relevé que la société ne supprimait pas les données à caractère personnel mais procédait uniquement à la désactivation du compte en question, empêchant la personne de s’y connecter et bloquant l’envoi de prospection commerciale.

La société s’est mise en conformité pendant le cours de la procédure de sanction.

  • Manquement à l’obligation de sécurité pour défauts dans la gestion des mots de passe :
  • Authentification lors de la création d’un compte sur le site Internet : mot de passe de 6 caractères numériques, de type 123456
  • Mot de passe des salariés pour accéder au logiciel de gestion de la relation client : 8 caractères, contenant au moins un chiffre et une lettre + fonction de hachage utilisée pour la conservation des mots de passe des salariés utilisateurs du site bricoprive.com obsolète (MD5)
  • Conservation des mots de passe des salariés permettant d’accéder aux bases de données en clair dans un fichier texte contenu dans un ordinateur de la société
  • Accès par les salariés à une copie de la base de production par un compte commun à 4 salariés.

La société s’est mise en conformité dans le cadre de la procédure de sanction.

  • Manquement en matière de cookies : dépôt automatique de 32 cookies – y compris des cookies non fonctionnels - dès l’arrivée sur la page d’accueil du site avant tout action de l’utilisateur.

La société s’est mise en conformité dans le cadre de la procédure de sanction.

  • Défaut de consentement pour l’emailing : envoi de prospection à des utilisateurs ayant créé un compte mais n’ayant pas passé commande, sans consentement.

La CNIL a relevé que la société ne s’est pas complètement mise en conformité à la date de clôture de l’instruction.

En effet, la société a mis en place une case à cocher pour les futurs utilisateurs, mais pour « rattraper » le consentement des utilisateurs antérieurs, elle a prévu d’envoyer 5 emails pour solliciter leur consentement. La CNIL a jugé que l’envoi de 5 emails sur une période de 100 jours était excessif.

**

Pour le montant de l’amende, la CNIL a pris en compte les éléments suivants :

  • le chiffre d’affaires de la société (qui n’est pas communiqué),
  • le fait que la société a fait preuve de négligence grave s’agissant de principes fondamentaux du RGPD
  • le fait que les manquements ont concerné un nombre important de personnes (non communiqué)
  • les mesures de mise en conformité mises en place à la suite de la notification du rapport de sanction ne concernent pas tous les manquements et n’exonèrent pas la société de sa responsabilité pour le passé, notamment au vu des manquements constatés.

***

Source : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000043668709