• Données personnelles

    par , Avocat

    Un site de e-commerce sanctionné de 30 000€ d’amende par la CNIL

    Au début de l’été, le 7 juillet 2016, la CNIL a prononcé une sanction assez sévère à l’encontre de la société Brandalley, éditrice du site internet éponyme. Il faut remonter au 5 novembre 2015 pour trouver une sanction aussi sévère. (Cliquez ici  pour consulter notre article sur la décision à l’encontre d’Optical Center)

    Il s’agit, encore une fois, d’une plainte auprès de la CNIL qui est à l’origine de la sanction. Une personne voulait exercer son droit d’accès auprès de la société en vertu de l’article 39 de la loi informatique et libertés. N’étant pas satisfaite de la réponse apportée par la société, la personne physique a formulé une plainte auprès de la CNIL. Le service des plaintes a enjoint à la société de faire droit à la demande d’accès. En l’absence de réponse de Brandalley, la CNIL a mis en demeure la société de se conformer sur plusieurs points.

    Malgré la désignation d’un correspondant informatique et libertés, la CNIL, non satisfaite des réponses apportées par la société, a donc diligenté une mission de contrôle.

    Constatant la persistance de certains manquements, une procédure de sanction a été engagée et un rapporteur a été nommé.

    La CNIL reproche à la société, les manquements suivants :

    1. L’absence d’accomplissement de demande d’autorisation concernant la fraude

    La société a mis en œuvre un traitement de lutte contre la fraude à la carte bancaire. Ce traitement, très classique pour les e-commerçants, rentre dans le cadre des traitements de l’article 25-I-4° à savoir : « Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire ».

    En conséquence, une demande d’autorisation auprès de la CNIL doit être effectuée, ce que la société n’a pas effectué dans le délai de la mise en demeure.

    Il est ànoté que, si la nomination d’un CIL dispense la société d’effectuer les déclarations normales et les engagements aux normes simplifiées auprès de la CNIL, les demandes d’autorisation doivent toujours être effectuées auprès des services de la Commission.

    1. La non détermination et le non-respect d’une durée de conservation

    Sur ce point, la CNIL est venu sanctionner tout d’abord les affirmations contradictoires de la société qui, d’un côté, déclare adhérer à la norme simplifiée 48[1] mais dans le même temps, annonce respecter une durée de conservation de 5 ans à compter de la fin de la relation commerciale (sic).

    Par ailleurs, les contrôles ont mis en exergue le fait que si la société s’était engagée sur une durée de conservation, aucune purge n’a été réalisée de sorte que la durée de conservation annoncée n’était, en pratique, pas respectée.

    1. Le non-respect de la règlementation concernant les cookies

    De façon classique, la CNIL, à l’occasion d’un contrôle, vérifie le respect de la règlementation concernant les cookies.

    Il a été ici constaté que la rédaction du bandeau d’information relatif aux cookies ne permettait pas aux utilisateurs de comprendre réellement qu’il était possible des les paramétrer.

    En outre, comme cela est souvent le cas, des cookies publicitaires étaient déposés sur le terminal de l’internaute dès l’arrivée sur la page d’accueil, avant le recueil du consentement de ce dernier.

    Cependant, sur ce dernier point, il est important de noter que la CNIL, considérant être : « insuffisamment éclairée […] sur la répartition exacte des responsabilités entre l’éditeur du site, les annonceurs et les régies publicitaires », décide de ne pas sanctionner l’absence de recueil de consentement.

    Seul le manquement relatif à l’information précise des internautes sera retenu.

    1. Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données

    Là encore, la CNIL vérifie systématiquement si le site internet en question utilise le protocole HTTPS permettant de chiffrer les communications. Le site ayant mis en place ce mécanisme qu’après expiration du délai de mise en demeure,  la société est sanctionnée sur ce fondement.

    1. Un défaut de respect des règles concernant les transferts de données hors UE

    Enfin, la société utilise les services de deux sociétés situées au Maroc et en Tunisie pour effectuer des traitements de données. Or ceux-ci n’étaient pas encadrés par des clauses contractuelles types et aucune demande d’autorisation n’a été formulée auprès de la CNIL.

    Dans ces conditions, la CNIL décide de sanctionner en indiquant que la société n’avait pas formulé de demande d’autorisation dans le délai de mise en demeure.

    Conclusion

    Encore une fois, une société est sanctionnée pour plusieurs manquements suite au mauvais traitement d’une demande de droit d’accès. Il est donc essentiel de savoir gérer ces demandes de droit d’accès, de rectification ou d’opposition pour éviter tout désagrément ultérieur ainsi qu’une mauvaise publicité.

    Les dernières sanctions de la CNIL montrent aussi que la Commission est particulièrement sévère dans le prononcé de la sanction lorsque la société a été préalablement mise en demeure de se conformer dans un délai, qu’une prolongation de délai a été obtenue et qu’au final les manquements persistent lors des vérifications. Il ne peut donc qu’être conseillé aux responsables de traitement d’être particulièrement réactifs à la réception d’une mise en demeure afin de ne pas s’engager dans une procédure de sanction hasardeuse.

     

    [1] https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000026175379