+33 (0)4 42 70 07 03

Retour à la liste

PINT Avocats Newsletter Janvier 2021 : Carrefour, Google, Amazon, ... de grands groupes dans le colimateur de la CNIL

Newsletter PINT Avocats 

L’ensemble des membres du cabinet PINT Avocats vous souhaite une excellente année 2021. Une année riche de nouveaux projets, challenges et réussites ; aventures dans lesquelles nous aurons toujours autant de plaisir à vous accompagner !

 

 

Nous sommes heureuses de vous annoncer l’arrivée au sein de la PINT Team de Me Alexandra LACROIX. Avocate, et titulaire du Master 2 Droit de la propriété littéraire, artistique et industrielle de l’Université Paris II, Alexandra a eu une première expérience dans le service juridique d’un grand groupe de l’industrie du luxe français. Trilingue (français/anglais/russe), elle a ensuite travaillé dans des cabinets internationaux spécialisés en propriété intellectuelle à dominante contentieuse à Paris, avant de nous rejoindre à la fin de l’année 2020.  

Pour démarrer l’année en se posant les bonnes questions, voici des décisions récentes de la CNIL qui invitent à se pencher sur les bonnes pratiques à mettre en œuvre.

CARREFOUR, GOOGLE, AMAZON : La CNIL condamne ces grands groupes pour non-conformité au RGPD et en matière de gestion des cookies

Par délibérations des 18 novembre et 7 décembre 2020, la CNIL a sanctionné les sociétés CARREFOUR France (2.250.000 euros d’amende), CARREFOUR BANQUE (800.000 euros d’amende), GOOGLE LLC (60.000.000 euros d’amende), GOOGLE IRELAND LTD (40.000.000 euros d’amende) et AMAZON EUROPE CORE (35.00.000 euros d’amende) suite à plusieurs contrôles visant le dépôt de cookies, notamment de cookies publicitaires, par ces sociétés.

Ces quatre décisions soulignent la réelle volonté de la CNIL de renforcer la protection de la vie privée des internautes et donc l’importance que vous devez accorder, en tant que responsables de traitement, à votre mise en conformité.

 

  • La non-conformité au RGPD constatée à l’encontre du groupe CARREFOUR

Lors des contrôles opérés à l’encontre des sociétés CARREFOUR FRANCE et CARREFOUR BANQUE, la CNIL a constaté plusieurs manquements au RGPD, notamment concernant la durée de conservation des données, les modalités d’exercice des droits de l’utilisateur, l’information des personnes, le droit à l’effacement et à l’opposition, ainsi qu’à l’obligation de notification des violations de données.

  • Prospection commerciale : La CNIL estime en l’espèce qu’en matière de prospection commerciale, toute conservation pour une durée supérieure à 3 années en base active est excessive.
  • Collecte des pièces d’identité : En ce qui concerne les droits des utilisateurs, la CNIL considère que la collecte systématique des pièces d’identité est illicite dans la mesure où ce document ne peut être collecté que lorsqu’il existe un doute raisonnable sur l’identité de la personne.
  • Délai de réponse à une demande de droit d’accès : La CNIL considère qu’une durée de 9 mois, sans information sur la prise en compte de sa demande, pour répondre à un utilisateur ayant exercé l’un de ses droits est excessive dans la mesure où cette durée le contraint à réitérer sa demande.
  • Information accessible, claire et précise : Lors de ses contrôles, la CNIL vérifie que l’information relative au traitement de données soit aisément accessible et exprimée en des termes clairs et précis. Elle estime que tel n’est pas le cas lorsque les informations relatives aux traitements de données personnelles sont accessibles via des liens présents sur différentes pages, sont exprimées par des formulations ambigües, redondantes, générales, évasives et nécessitant une analyse fastidieuse. De plus, la CNIL rappelle que le contenu de l’information doit être complet et notamment préciser les durées de conservation et les bases légales de chacun des traitements.
  • Droit à l’effacement des données / droit d’opposition : La CNIL reproche au groupe CARREFOUR de ne pas avoir fait droit à l’effacement de données des utilisateurs et rappelle que le responsable de traitement a l’obligation de se rapprocher de l’utilisateur, lorsque la demande de ce dernier est trop large, afin de rendre sa demande d’effacement effective. De plus, la CNIL reproche au groupe CARREFOUR la non effectivité du droit d’opposition de l’utilisateur à la prospection commerciale car la connexion préalable à un compte client était nécessaire.
  • Concernant l’obligation de notification des violations de données personnelles : La CNIL constate que CARREFOUR FRANCE a subi une attaque ayant abouti à 4.000 authentifications réussies dont 275 accès effectifs aux comptes clients, sans en avoir été notifiée. Elle rappelle alors que les violations de données personnelles doivent être signalées lorsqu’un risque pour les droits et libertés des personnes en découle, ce qui est nécessairement le cas lorsqu’un couple email/mot de passe est découvert par les attaquants.

 

  • L’information préalable des personnes : manquements constatés à l’encontre de GOOGLE et AMAZON

La CNIL a reproché aux sociétés des groupes GOOGLE et AMAZON de n’avoir mis en place aucune information préalable relative aux cookies déposés automatiquement sur le terminal des utilisateurs.

La CNIL rappelle donc que l’information préalable doit apparaître AVANT le dépôt de cookies.

La CNIL insiste sur les caractéristiques d’une information loyale. En l’occurrence, la CNIL a estimé, d’une part, que l’information n’apparaît pas de façon suffisamment claire à l’utilisateur lorsque ce dernier doit faire défiler 5 onglets avant d’obtenir l’information et, d’autre part, que l’information n’est pas suffisamment précise lorsqu’elle consiste en une description générale et approximative des finalités de l’ensemble des cookies déposés. 

La CNIL reproche également à AMAZON de ne pas fournir une information préalable complète. Elle estime que les utilisateurs doivent être informés du fait que le paramétrage du navigateur puisse, dans certains cas, constituer un mécanisme valable du recueil du consentement. Sans une telle information préalable, aucun consentement ne peut être valablement requis.

La CNIL rappelle enfin que l’information préalable au dépôt de cookies concerne également les utilisateurs de sites tiers. Elle condamne ainsi la pratique d’AMAZON qui vise à déposer des cookies, sans en informer les utilisateurs qui se rendent sur le site Amazon par le biais d’une annonce déposée sur un site tiers

 

  • L’obligation d’obtenir le consentement préalable des utilisateurs : manquements constatés à l’encontre de GOOGLE, AMAZON et CARREFOUR

Lors des contrôles opérés à l’encontre de ces trois groupes, la CNIL a constaté le dépôt automatique de cookies non nécessaires et non fonctionnels, notamment de cookies publicitaires, qui doivent en principe faire l’objet d’un consentement libre, univoque, spécifique et éclairé.

Pour mémoire, seuls les cookies ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ou qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur peuvent être dispensés de consentement.

La CNIL estime que lorsque des cookies répondent à des finalités multiples, incluant à la fois un aspect utilitaire nécessaire à la fourniture du service et à la fois visant la réalisation de publicité ciblée personnalisée, ils doivent être soumis au consentement de l’utilisateur.

 

  • L’obligation de mettre en place un mécanisme d’opposition au dépôt de cookies : manquements constatés à l’encontre de GOOGLE

Lors des contrôles opérés à l’encontre de GOOGLE, la CNIL a constaté l’impossibilité pour les utilisateurs de retirer leur consentement au dépôt de cookies non nécessaires et non fonctionnels.

Pour la CNIL, l’emploi de l’expression « retirer son consentement », alors qu’aucun consentement n’a été préalablement recueilli présente un caractère particulièrement abusif. La Commission relève également la défaillance du mécanisme d’opposition mis en place par Google dans la mesure où les cookies désactivés restaient stockés sur le terminal malgré l’opposition de l’utilisateur.

Nous appelons donc votre particulière attention sur ces décisions qui offrent des interprétations précises et concrètes des dispositions du RGPD auxquelles vous devez vous conformer.

Nous vous invitons également, dans le cadre de la gestion de vos sites internet et de vos applications, à établir la liste des cookies déposés et leurs finalités respectives de manière exhaustive, ce qui vous permettra de déterminer les cookies pour lesquels un consentement préalable de l’utilisateur est nécessaire ou non. De plus, pensez à soigner l’information relative aux cookies apparaissant sur vos sites et applications. Enfin, en ce qui concerne la conformité du consentement que vous recueillez, nous vous invitons à consulter les dernières lignes directrices de la CNIL du 17 septembre 2020.

 Sources :

Délibérations du 18 novembre 2020 contre le GROUPE CARREFOUR (Délibération du 18 novembre 2020 - Légifrance (legifrance.gouv.fr) / Délibération du 18 novembre 2020 - Légifrance (legifrance.gouv.fr) )

Délibération du 7 décembre 2020 contre le groupe GOOGLE (Délibération SAN-2020-012 du 7 décembre 2020 - Légifrance (legifrance.gouv.fr) )

Délibération du 7 décembre 2020 contre le groupe AMAZON (Délibération SAN-2020-013 du 7 décembre 2020 - Légifrance (legifrance.gouv.fr))

Lignes directrices de la CNIL du 17 septembre 2020 (Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019 (cnil.fr) )

https://www.legifrance.gouv.fr/contenu/menu/droit-national-en-vigueur

Conformément à la règlementation en vigueur, vous bénéficiez des droits suivants sur les données qui vous concernent : un droit  d’accès et de rectification ; un droit à l’effacement des données, à la limitation du traitement et un droit d’opposition au traitement dans les cas prévus par la réglementation ; le droit de définir des directives relatives au sort de ses données à caractère personnel après sa mort ; un droit à la portabilité de vos données ; le droit d'introduire une réclamation auprès de la CNIL ; le droit de vous opposer à la réception de newsletters. Vous pouvez exercer ces droits en vous adressant à contact@pint-avocats.fr.

Pour vous désinscrire de notre newsletter et ne plus recevoir d'invitations à nos manifestations, merci d'adresser un email à contact@pint-avocats.fr.