La Commission nationale de l’informatique et des libertés (CNIL) a suivant délibération du 28 juillet 2020 prononcée une sanction de 250 000 euros à l’encontre d’une société spécialisée dans la vente en ligne de chaussures.
Courant mai 2018, une délégation de la CNIL a réalisé une mission de contrôle dans les locaux d’une société de vente en ligne afin de vérifier le respect du RGPD et de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.
Il convient de relever que c’est la première décision de sanction de la CNIL en tant que « chef de file » en coopération avec d’autres autorités de contrôle européennes car le siège social du commerçant responsable de traitement est situé en France et les clients résident au sein de différents pays de l’Union européenne.
Le contrôle a porté plus particulièrement sur les traitements de données à caractère personnel des clients et des prospects de la société, ainsi que sur l’enregistrement des conversations téléphoniques entre les clients et les salariés du service client.
La CNIL a retenu différents manquements.
Le manquement au principe de minimisation des données. L’article 5-1 c) du RGPD dispose que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
La CNIL a considéré que « l’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client apparaît excessif au regard de la finalité d’évaluation de ceux-ci par la société ».
Par ailleurs, le rapporteur a retienu que « l’enregistrement et la conservation des coordonnées bancaires des clients, communiquées lorsque les commandes sont passées par téléphone, n’est pas non plus nécessaire pour la finalité poursuivie, à savoir la formation des salariés ».
Le manquement à l’obligation de limitation de la durée de conservation des données. L’article 5-1 e) du Règlement dispose que les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées
La CNIL a constaté que la société n’effaçait pas régulièrement les données personnelles et ne les archivait pas. Si la société a prévu, depuis le contrôle de la CNIL, de conserver ces données pendant cinq ans, la CNIL a cependant retenu un manquement pour la conservation pendant plusieurs années d’un nombre très important de données d’anciens clients (plus de 3 millions de clients ne s’étant pas connectés à leur compte depuis plus de 5 ans).
Après le délai de conservation des données des clients de cinq ans, la conservation de leur adresse électronique et de leur mot de passe, sous une forme pseudonymisée et non anonymisée, afin que ceux-ci puissent se reconnecter à leur compte, n’est pas conforme au RGPD.
Concernant les données des prospects, la société a mis en place une durée de conservation de cinq ans à compter de leur dernière activité. Or, la société n’adresse pas de prospection commerciale à ces personnes si elles ne manifestent pas d’intérêt pour ses produits ou services durant deux ans. La CNIL a donc considéré que la conservation des données des prospects n’était pas nécessaire au-delà de ce délai de deux ans.
Le manquement à l’obligation d’information des personnes. L’article 13 du RGPD exige du responsable de traitement qu’il fournisse, au moment où les données sont collectées, différentes informations (les finalités du traitement et sa base juridique, les destinataires, la durée de conservation les droits dont bénéficient les personnes …)
La CNIL a considéré que l’information fournie dans la politique de confidentialité des données du site web n’était pas conforme. En effet, la société ne peut pas indiquer que le consentement est la base légale de tous les traitements mis en œuvre alors que plusieurs d’entre eux reposent sur d’autres bases légales, comme le contrat ou les intérêts légitimes poursuivis par la société.
Concernant les salariés, l’information portant sur l’enregistrement des appels téléphoniques passés avec les clients est insuffisante. Les salariés ne sont pas informés de la finalité poursuivie par le traitement, de la base légale du dispositif, des destinataires des données, de la durée de conservation des données et de leurs droits.
Le manquement à l’obligation d’assurer la sécurité des données. L’article 32-1du Règlement dispose : Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque et notamment des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement .
La CNIL a constaté que les personnes souhaitant créer un compte utilisateur sur le site web de la société pouvaient créer un mot de passe composé de six caractères comportant une seule catégorie de caractères.
La CNIL rappelle : « pour assurer un niveau de sécurité suffisant et satisfaire aux exigences de robustesse des mots de passe, lorsqu’une authentification repose uniquement sur un identifiant et un mot de passe, le mot de passe doit comporter au minimum douze caractères – contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial – ou le mot de passe doit comporter au moins huit caractères – contenant trois de ces quatre catégories de caractères – et être accompagné d’une mesure complémentaire comme par exemple la temporisation d’accès au compte après plusieurs échecs (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (ex : captcha ) et/ou le blocage du compte après plusieurs tentatives d’authentification infructueuses.
Elle rejoint l’ANSSI pour qui « un bon mot de passe est avant tout un mot de passe fort, c’est à dire difficile à retrouver même à l’aide d’outils automatisés. La force d’un mot de passe dépend de sa longueur et du nombre de possibilités existantes pour chaque caractère le composant. En effet, un mot de passe constitué de minuscules, de majuscules, de caractères spéciaux et de chiffres est techniquement plus difficile à découvrir qu’un mot de passe constitué uniquement de minuscules ».
Compte tenu du nombre de manquements, la CNIL a prononcé une amende de 250 000 euros avec injonction de mettre les traitements en conformité avec le RGPD et d’en justifier sous un délai de trois mois à compter de la notification de la délibération, sous astreinte de 250 euros par jour de retard.
Délibération de la formation restreinte n°SAN-2020-003 du 28 juillet 2020 concernant la société SPARTOO SAS
Nathalie Bastid – Avocate associée
Pour plus d’informations, vous pouvez la contacter bastidnathalie@gmail.com – 06.09.68.51.54
Comments ( 0 )