Par sa délibération SAN-2021-008 du 14 juin 2021, la formation restreinte de la CNIL a sanctionné la société BRICO PRIVÉ, société éditant plusieurs sites internet de ventes privées liées au monde du bricolage en Europe, à une amende administrative publique de 500 000 euros. Cette sanction, qui aura nécessité la mise en œuvre des mécanismes de coopération entre autorités de contrôle européennes, intervient suite à près de 3 années de procédure.
3 contrôles et près de 3 ans de procédure
La délibération SAN-2021-008 du 14 juin 2021 de la formation restreinte de la Commission est avant toute chose le résultat d’une (trop ?) longue procédure d’investigation. Le premier contrôle opéré dans cette affaire par la CNIL auprès de la société BRICO PRIVÉ remonte au 13 novembre 2018.
A l’instar de la délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR France (premier contrôle mené le 24 mai 2019 suite à des plaintes déposées entre le 8 juin 2018 et le 6 avril 2019) ou de la délibération de la formation restreinte n°SAN-2020-018 du 8 décembre 2020 concernant la société NESTOR SAS (premier contrôle mené le 3 mai 2019 suite à des plaintes déposées entre novembre 2018 et janvier 2019), cette nouvelle délibération de l’autorité française met en avant les longs délais lui étant nécessaires pour parvenir à contrôler et à sanctionner les entités contrevenantes aux différentes réglementations encadrant le traitement de données personnelles.
👓 Lire notre article “La CNIL sanctionne la société NESTOR pour des manquements aux règles de gestion de la prospection commerciale“
3 contrôles distincts (il en avait fallu 5 dans le cadre de la délibération CARREFOUR susmentionnée) auront été nécessaires à l’autorité pour sanctionner l’entité BRICO PRIVÉ :
- 13 novembre 2018, contrôle sur place ;
- 6 février 2020, contrôle en ligne ;
- 13 janvier 2021, contrôle en ligne (étant intervenu à l’issue de l’instruction de la rapporteure).
Pour ne rien arranger, le mécanisme de coopération entre autorités de contrôle européennes, tel que prévu au CHAPITRE VII « Coopération et cohérence » du RGPD, et trouvant pleinement à s’appliquer dans le cadre de cette affaire BRICO PRIVÉ (les personnes concernées se trouvant dans plusieurs pays de l’Union européenne), rallonge lui aussi le délai s’écoulant entre les premières constatations et le prononcé d’une éventuelle sanction. Il a en effet contraint l’autorité française à (i) informer l’ensemble des autorités de contrôle européennes de sa compétence pour agir en tant qu’autorité de contrôle chef de file (ouvrant ainsi la procédure pour la déclaration des autorités concernées sur ce cas), puis à (ii) soumettre aux autorités concernées un projet de délibération et enfin à (iii) prendre en compte toute objection pertinente et motivée de ses homologues européens.
Notons tout de même l’important bénéfice de cette procédure dans ce dossier, puisque l’autorité française souhaitait en première intention adresser un simple projet de mise en demeure à l’entité BRICO PRIVÉ. C’est finalement à l’initiative de deux autorités européennes (ayant formulé des « objections pertinentes et motivées ») que ce projet de mise en demeure s’est transformé en projet de sanction avec amende administrative.
Une durée de conservation des données excessive
BRICO PRIVÉ ne semblait pas, lors du premier contrôle de l’autorité française mené le 13 novembre 2018 dans ses locaux, mettre en œuvre de mesures de purges de données. Elle déclara ainsi :
« qu’aucune durée de conservation des données à caractère personnel des clients et des prospects n’avait été déterminée et qu’elle ne procédait à aucun effacement régulier ni aucun archivage (…) »
Malgré quelques tentatives ultérieures de justification, peu convaincantes, de la part de BRICO PRIVÉ, la délibération fait état de la conservation des données de 130 000 personnes qui ne s’étaient pas connectées à leur compte client BRICO PRIVÉ depuis plus de cinq ans.
Rappelons qu’au titre de l’article 5-1-e) du RGPD :
« Les données à caractère personnel doivent être (…) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (…) (limitation de la conservation) ».
Rappelons par ailleurs que la CNIL fournit depuis plusieurs années des recommandations pour la détermination de durées de conservation de données de prospects et de clients, que ce soit au travers de l’ancienne NS 48 (norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects) ou du plus récent projet de référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales.
Une information incomplète
En vertu des dispositions de l’article 13 du RGPD, la CNIL a relevé des manquements à l’information fournie par BRICO PRIVÉ lorsque qu’elle collectait des données à caractère personnel sur ses membres. Il est notamment reproché au site de vente en ligne de ne pas avoir informé les personnes concernées des éléments suivants :
- les durées de conservation ;
- les bases juridiques des traitements de données mis en œuvre ;
- les coordonnées du délégué à la protection des données ;
- certains droits dont les personnes bénéficient au titre du RGPD.
Notons que depuis les contrôles menés par la CNIL, BRICO PRIVÉ a justifié avoir mis en conformité l’information délivrée aux personnes dont elle traite les données personnelles, ce que la formation restreinte confirme. C’est également un élément que nous pouvons confirmer en visitant le site BRICO PRIVÉ. L’entité privée a ainsi fait le choix d’afficher une information à deux niveaux, conformément aux lignes directrices sur la transparence (WP260 rev.01) du G29. Lorsque nous souhaitons créer un compte sur le site, des mentions informatives de 1er niveau sont intégrées par BRICO PRIVÉ :*
Ces mentions renvoient désormais vers une information de 2nd niveau, une « Politique de protection des données personnelles », accessible en 1 clic et présentant une liste exhaustive des informations devant être fournies à un individu, en vertu des dispositions de l’article 13 du RGPD.
L’absence de mise en œuvre des demandes d’effacement
La délégation de contrôle de la CNIL a pu constater que lorsqu’une personne demandait l’effacement de ses données auprès de BRICO PRIVÉ (droit encadré par les dispositions de l’article 17 du RGPD), BRICO PRIVÉ ne procédait qu’à la désactivation du compte du demandeur. En réalité, aucune donnée à caractère personnel n’était effacée des bases de données BRICO PRIVÉ, constituant ainsi un manquement à l’article 17 du RGPD pour la formation restreinte de la Commission.
Des manquements en matière de sécurité
Robustesse insuffisante des mots de passe des comptes clients
Dans le cadre du contrôle mené au sein des locaux BRICO PRIVÉ, les agents de la CNIL ont pu constater que lors de la création d’un compte sur le site BRICO PRIVÉ, les utilisateurs étaient techniquement contraints de sélectionner un mot de passe composé uniquement de six caractères numériques (exemple : 012345). Un tel mot de passe n’est pas assez robuste selon les critères de la CNIL, considérant que cette faiblesse pouvait conduire à un risque de compromission des comptes associés et des données à caractère personnel qu’ils contiennent.
En outre, ces mots de passe étaient conservés en bases de données en utilisant une fonction de hachage considérée comme obsolète depuis de très nombreuses années : le MD5.
N.B. : la délibération indique que les « mots de passe des salariés utilisateurs du site » étaient hachés en MD5, sans mentionner spécifiquement le mode de conservation des données d’utilisateurs « non-salariés ». Il apparaît cependant peu probable qu’une méthode de chiffrement distincte ait été utilisée par BRICO PRIVÉ pour stocker les mots de passe d’utilisateurs « salariés » ou « non-salariés » d’un même applicatif.
Rappelons que depuis la délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe, la CNIL fixe des recommandations constituant des modalités techniques minimales devant être respectées dans le cadre de la mise en œuvre d’une authentification basée sur des mots de passe. Lorsqu’aucune mesure de restriction d’accès au compte n’est mise en œuvre, cette robustesse se fonde sur une taille minimale de mot de passe de 12 caractères, comprenant obligatoirement des majuscules, des minuscules, des chiffres et des caractères spéciaux.
Notons que depuis les contrôles menés par la CNIL, BRICO PRIVÉ a justifié s’être mis en conformité, en (i) ayant mis en place un mécanisme de hachage des mots de passe en SHA256 et (ii) en imposant désormais techniquement la sélection d’un mot de passe d’au moins 12 caractères lors de la création d’un compte sur son site :
La délibération ne vient pas préciser si les anciens utilisateurs du site BRICO PRIVÉ (ceux ayant créé un compte avant la mise en œuvre des règles de robustesse susmentionnées), se sont vus imposer la modification de leur mot de passe « historique », ne répondant pas aux règles de robustesse minimales, telle que fixées par la délibération n° 2017-012 du 19 janvier 2017.
Mauvaises pratiques internes en matière de sécurité
La délibération de la CNIL fait état de mauvaises pratiques mises en œuvre par BRICO PRIVÉ en matière de sécurité.
Relevons tout d’abord la conservation des mots de passe permettant aux salariés BRICO PRIVÉ d’accéder aux bases de données, en clair 🔥 sur un fichier texte stocké sur un ordinateur de la société.
Relevons ensuite l’utilisation d’un compte générique partagé entre 4 salariés de la société pour accéder à une copie de la base de production de BRICO PRIVÉ.
La CNIL profite de ces mauvaises pratiques évidentes en matière de sécurité pour rappeler que l’attribution d’accès nominatifs permet de garantir une traçabilité effective de l’accès aux données contenues au sein d’un système.
Des manquements en matière de gestion des cookies
Les contrôles en ligne menés par Commission nationale de l’informatique et des libertés en date des 6 février 2020 et 13 janvier 2021 ont révélé que BRICO PRIVÉ utilisait et/ou déposait automatiquement des cookies soumis à consentement (dont notamment des cookies ayant une finalité publicitaire) dès l’arrivée d’un internaute sur son site, sans avoir au préalable récolté un quelconque consentement.
Rappelons que l’article 82 de la loi Informatique et Libertés pose pour principe la récolte d’un consentement préalable à « la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ».
Notons que depuis les contrôles menés par la CNIL, BRICO PRIVÉ a apporté d’importantes modifications sur son site web, ayant notamment abouti à la mise en œuvre d’un véritable mécanisme de gestion des cookies sur son site web, par le biais d’une CMP :
Plus aucun cookie soumis à consentement ne semble être utilisé et/ou déposé par BRICO PRIVÉ en amont du recueil du consentement de l’internaute.
L’implémentation retenue par BRICO PRIVÉ reste cependant imparfaite. Il apparaît en effet de façon assez évidente que les choix graphiques retenus par BRICO PRIVÉ ne positionnent pas sur un même plan d’égalité les boutons d’acceptation (très visible, d’une couleur orange pétante) ou de refus (le bouton « Continuer sans accepter », bien moins mis en avant graphiquement) des cookies. Un choix ne permettant certainement pas de respecter la délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs » et plus spécifiquement son point 34 : “Afin de ne pas induire en erreur les utilisateurs, la Commission recommande que les responsables de traitement s’assurent que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre. Il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique”.
L’envoi d’e-mails de prospection sans consentement préalable
Les contrôleurs de la CNIL ont constaté que BRICO PRIVÉ envoyait des e-mails commerciaux à l’ensemble des utilisateurs s’étant inscrits sur son site internet, y compris si ces derniers n’avaient pas effectué d’achat sur son site. BRICO PRIVÉ ne récoltait aucun consentement en amont de ces envois.
Les règles en matière de prospection commerciales sont transposées en France au travers de l’article L34-5 du CPCE (Code des postes et des communications électroniques) disposant notamment :
« Est interdite la prospection directe au moyen de système automatisé de communications électroniques au sens du 6° de l’article L. 32, d’un télécopieur ou de courriers électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen. (…) Constitue une prospection directe l’envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services. (…) Toutefois, la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies auprès de lui (…) à l’occasion d’une vente ou d’une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais (…) à l’utilisation de ses coordonnées au moment où elles sont recueillies et chaque fois qu’un courrier électronique de prospection lui est adressé au cas où il n’aurait pas refusé d’emblée une telle exploitation (…) ».
Pour sa défense, BRICO PRIVÉ soutenait que lors de la création d’un compte sur le site BRICO PRIVÉ, les utilisateurs devaient obligatoirement accepter les CGV (Conditions Générales de Vente) qui prévoyaient que les données de l’inscrit seraient utilisées par BRICO PRIVÉ afin de l’informer par e-mails des ventes à venir sur son site et de ses offres spéciales.
Pour la formation restreinte, cette information au sein des CGV ne peut valoir consentement (i.e. une manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe), tandis que BRICO PRIVÉ ne pouvait se prévaloir, pour les utilisateurs n’ayant pas effectué d’achat sur son site, des exceptions de l’article L 34-5 du CPCE permettant la prospection sans consentement préalable.
Notons que depuis les contrôles menés par la CNIL, BRICO PRIVÉ intègre au sein de son formulaire de création de compte une case permettant à un utilisateur de consentir ou non à la réception d’une « newsletter (…) pour être alerté des nouvelles ventes privées (…) » :
Pour autant, la formation restreinte de l’autorité française considère que BRICO PRIVÉ ne s’est pas complètement mis en conformité sur cette non-conformité à la date de clôture de l’instruction. Un point de désaccord persiste entre l’autorité publique et l’entité privée en ce qui concerne le sort des utilisateurs déjà titulaires d’un compte sur le site BRICO PRIVÉ et n’ayant jamais effectué d’achat. BRICO PRIVÉ propose de ne plus prospecter ces derniers … uniquement après avoir adressé à ces prospects 5 e-mails visant à obtenir leur accord à recevoir de la prospection commerciale. Ces 5 emails seraient envoyés au cours d’une période de 100 jours à compter de la date de dernière activité du prospect.
Notons toute l’audace de BRICO PRIVÉ dans cette proposition soumise à la CNIL.
Pour la formation restreinte de la CNIL, cette sollicitation des prospects est constitutive d’un traitement de données personnelles, qui pourrait être opérée sur la base des intérêts légitimes de BRICO PRIVÉ, compte tenu du fait qu’en créant un compte sur le site BRICO PRIVÉ, les prospects concernés ont pu manifester un certain intérêt pour les services proposés par BRICO PRIVÉ. Pour l’autorité, ces prospects peuvent donc raisonnablement s’attendre à ce que BRICO PRIVÉ les contacte. Tout en laissant cette porte ouverte à BRICO PRIVÉ (ce qui lui permettrait de favoriser son activité commerciale), la CNIL considère que l’envoi aux prospects de 5 emails dans une période de 100 jours excède le nombre de communications auxquelles pourraient raisonnablement s’attendre lesdites prospects.
Au travers de cette délibération, la CNIL admet donc qu’une entité peut sur la base de ses intérêts légitimes, émettre des communications par e-mail à un prospect, en vue de lui proposer de souscrire à ses newsletters. Il incombera dès lors au responsable de traitement de pouvoir démontrer la validité de son intérêt légitime à mettre en œuvre ce traitement de données (intérêt de la personne dans ses services pouvant se manifester suite à une inscription, attente raisonnable de la personne à être contactée par le responsable de traitement, etc.).
Une amende administrative d’un demi-million d’euros
Pour les six manquements cumulés, constituant selon l’expression de la CNIL une « négligence grave » la formation restreinte de la CNIL prononce une sanction totale de 500 000€ à l’encontre de BRICO PRIVÉ, se décomposant comme suit :
- 300 000 € au titre des manquements relatifs aux durées de conservation des données (article 5-1-e) du RGPD), à l’information des personnes (article 13 du RGPD), aux mesures d’effacement des données (article 17 du RGPD) et aux mesures de sécurité (articles 32 du RGPD). Le montant maximum de l’amende qui aurait pu être retenu à l’encontre de BRICO PRIVÉ pour les manquements susvisés était de 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de BRICO PRIVÉ (le montant le plus élevé étant retenu).
- 200 000€ au titre des manquements relatifs aux cookies (article 82 de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) et à la prospection commerciale (article L. 34-5 du CPCE). Le montant maximum de l’amende qui aurait pu être retenu à l’encontre de BRICO PRIVÉ pour les manquements susvisés était de 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent réalisé par BRICO PRIVÉ.
Rappelons qu’une partie de ces manquements revêt une portée internationale, puisqu’ils concernent également des utilisateurs situés en Espagne, en Italie et au Portugal (pays dans lesquels BRICO PRIVÉ édite des sites de ventes privées).
En complément de ces amendes administratives, une injonction de mettre en conformité les traitements avec les obligations résultant des articles et 5-1-e) du RGPD et L. 34-5 du CPCE a également été prononcée, assortie d’une astreinte de 500€ par jour de retard à l’issue d’un délai de trois mois suivant la notification de la délibération à BRICO PRIVÉ.
Regrettons enfin le retrait de certaines données financières et/ou de données d’activités de la délibération publique. Les chiffres d’affaires, bénéfices, ou encore le nombre d’utilisateurs BRICO PRIVÉ ayant été touchés par ces non-conformité, n’ont pas été divulgués par la formation restreinte de la CNIL. Or, ces informations participent directement à l’évaluation de la proportionnalité de la sanction prononcée à l’encontre de BRICO PRIVÉ. Leur absence limite par ailleurs la capacité des observateurs, des dirigeants d’entreprise, ainsi que des professionnels de la protection des données personnelles, à mesurer toute la gravité des manquements reprochés à BRICO PRIVÉ.
Si vous souhaitez un accompagnement dans la mise en conformité de vos traitements de données personnelles, nos équipes de DPO externes sont disponibles pour vous accompagner. N’hésitez pas à nous contacter.