Les sanctions de la CNIL, une fin d'année salée !

Avec les nouvelles lignes directrices et recommandations publiées par la CNIL au 1er octobre 2020, applicables au 31 mars 2021, la tolérance zéro est de mise !

Les exemples d’entreprises qui ont fait les frais de sanctions se multiplient.
En cause, le non-respect de la loi « Informatique et Libertés » et du RGPD.

Les entreprises internationales

Le cas Google

Le 7 Décembre 2020, la CNIL française a sanctionné les entreprises Google LLC et Google Ireland Limited d’une amende totale de 100 millions d’euros, pour non-respect de la législation sur le dépôt de traceurs sur les ordinateurs des internautes et manque d’information quant aux traitement des données personnelles récoltées.
Triste record pour le géant américain !

Ce qui leur est reproché ?

Trois violations de l’article 82 de la loi « Informatique et Libertés »:

  • Le dépôt de cookies sans recueil de consentement préalable

Lorsqu’un utilisateur accédait à la page google.fr, des cookies à visée publicitaire étaient automatiquement déposés sur son ordinateur, sans que celui-ci n’ait accepté ou refuser cette action.

  • Le manque d’informations à destination des utilisateurs

Lors de l’accès à la page google.fr, le bandeau d’information portant la mention “Rappel concernant les règles de confidentialité de Google” comportaient deux boutons “Me le rappeler plus tard” et “Consulter maintenant”. Aucune information n’indiquait à l’utilisateur le dépôt automatique des cookies publicitaires dès son arrivée sur le site, ni sur le bandeau ni dans l’onglet “Consulter maintenant”.

  • Défaillance partielle du mécanisme d’opposition

Lorsque la personnalisation des annonces était désactivée par l’utilisateur via le bouton “Consulter maintenant”, un cookie publicitaire demeurait stocké sur son ordinateur et continuait de lire le contenu à destination du serveur auquel il était relié.

Et après ?

La CNIL a noté qu’une mise à jour avait été effectuée en septembre 2020, et que les cookies publicitaires n’étaient plus déposés automatiquement sur les ordinateurs des internautes.
Toutefois, d’après l’institution, les changements effectués sur la notice d’informations ne sont pas suffisants et ne permettent toujours pas aux internautes de prendre connaissance de l’utilité des cookies déposés sur leur ordinateur et de la possibilité de refus de ceux-ci.

Aussi, le Groupe Google devait se mettre en règle sous trois mois, à compter de la notification, sous peine d’être sanctionné d’une astreinte de 100 000 € par jour de retard.

Cependant, ce dernier a attaqué la CNIL en référé devant le Conseil d’Etat pour demander la suspension de l’exécution de cette délibération du 7 décembre 2020. Lors de l’audience qui a eu lieu le jeudi 11 février 2021, Google a défendu le caractère urgent de sa requête. Il a reproché à la Cnil notamment un double discours : d’une part, affirmer que sa demande de mise en conformité s’inscrit dans un cadre connu, et d’autre part, tarder à rendre son avis sur les propositions de Google, envoyées le 18 décembre. La Cnil avait promis une réponse pour le 15 février, dans le délai de trois mois fixé par la délibération pour la mise en conformité, après quoi l’astreinte journalière de 100 000 euros sera appliquée.

Par son ordonnance du 4 mars 2021, le juge des référés du Conseil d’Etat statuant au contentieux a rendu sa décision quant à la demande de Google. Il a analysé tout d’abord le point selon lequel Google contestait la compétence de la CNIL sur ce dossier en arguant qu’il relevait du mécanisme de guichet unique prévu par le RGPD et donc l’autorité irlandaise de protection des données. Le juge a rejeté ce point. Par conséquent, il n’a même pas analysé les autres arguments relatifs au caractère urgent de la demande.

Le cas Amazon

Le géant du e-commerce s’est vu imposer par la CNIL, le 7 décembre 2020, une amende de 35 millions d’euros pour non-respect de la législation sur les cookies et information insuffisante quant aux finalités des traceurs.

Ce qui lui est reproché ?

Deux violations de l’article 82 de la loi « Informatique et Libertés »:

  • Le dépôt de cookies sans recueil de consentement préalable

Lorsqu’un utilisateur accédait à la page amazon.fr, des cookies à visée publicitaire étaient automatiquement déposés sur son ordinateur, sans que celui-ci n’ait accepté ou refuser cette action.

  • Le manque d’informations à destination des utilisateurs

Lors de l’accès à la page amazon.fr, le bandeau d’information portant la mention “En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus” ne donnait pas à l’utilisateur une information précise et explicite de la finalité des cookies déposés sur son ordinateur. La CNIL a également noté qu’aucune information n’était donnée concernant la possibilité de refuser le dépôt de traceurs.

Et après ?

Après avoir pris en compte les récentes évolutions apportées au site amazon.fr et notamment sur le dépôt non-automatique des cookies publicitaires, la CNIL a néanmoins considéré que le nouveau bandeau d’information déployé ne permettait toujours pas aux internautes résidant en France de comprendre que les cookies avaient une visée publicitaire et que la possibilité de refuser ces cookies n’était pas non plus explicitée.

Dès lors, en complément de l’amende administrative, la formation restreinte a également adopté une injonction sous astreinte afin que la société procède à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification de la décision. Dans le cas contraire, la société s’exposera au paiement d’une astreinte de 100 000 euros par jour de retard.

Les entreprises françaises

Les cas Carrefour France et Carrefour Banque

Après avoir fait l’objet de plusieurs plaintes auprès de la CNIL pour non-respect du RGPD, les sociétés Carrefour France et Carrefour Banque ont respectivement été sanctionnées d’amendes de 2 250 000 € et 800 000 €.

Ce qui leur est reproché ?

1 – Manquement à l’article 13 du RGPD

L’information claire des utilisateurs

L’accès aux informations sur le traitement des données personnelles a été jugé très peu accessible et peu compréhensible par les consommateurs.
Les informations sur la conservation des données, le transfert hors de l’Union Européenne et la base légale des traitements étaient incomplètes.

2 – Violation de l’article 82 de la loi « Informatique et Libertés »

Le dépôt de cookies sans recueil de consentement préalable

Lorsqu’un utilisateur accédait à la page Carrefour.fr, des cookies à visée publicitaire étaient automatiquement déposés sur son ordinateur, sans que celui-ci n’ait accepté ou refuser cette action.

3 – Manquement à l’article 5.1.e du RGPD

La limite de durée de conservation des données

Les durées de conservation de données fixées sur les informations transmises aux consommateurs n’étaient pas respectées par la société Carrefour France. Les données de presque 29 millions de consommateurs, inactifs depuis plus de 5 ans, étaient encore dans les bases de la société.

4 – Manquement à l’article 12 du RGPD

L’obligation de faciliter l’exercice des droits

Pour toute demande d’exercice de droit, la société Carrefour France réclamait un justificatif d’identité aux consommateurs.
Plusieurs demandes d’exercices de droits n’avaient également pas été traités dans les délais réglementaires.

5 – Manquement aux articles 15, 17 et 21 du RGPD et L34-5 du Code des postes et des communications électroniques

Le respect des droits

Certaines demandes de consommateurs demandant l’accès à leurs données personnelles et d’autres réclamant l’effacement des données ou voulant exercer leur droit d’opposition ont été classées sans suite.

6 – Manquement à l’article 5 du RGPD

Le traitement loyal des données

Lors de la souscription à la carte Pass via Carrefour Banque, si le consommateur souhaitait également adhérer au programme de fidélité, il devait cocher une case indiquant que son nom, prénom et adresse électronique pouvaient être transmis à Carrefour France. Or, la CNIL a constaté que d’autres données comme l’adresse postale ou le numéro de téléphone étaient également transférées.

Et après ?

Pendant la procédure de sanction, le groupe Carrefour a engagé d’importants moyens pour mettre en conformité l’intégralité de son parcours client en termes de consentement du traitement des données personnelles.

Les petits payent aussi l’addition !

Le cas PerformeClic

Le 31 décembre 2020, la CNIL a rendu publique la sanction d’un montant de 7 300€ infligée à la société PerformeClic, pour l’envoi de mails de démarchages intempestifs sans consentement préalable.

Ce qui leur est reproché ?

1 – Manquement à l’article 34-5 du Code des postes et des communications électroniques

L’obligation du recueil de consentement

La société PerformeClic n’était pas en mesure de fournir la preuve du recueil de consentement des personnes prospectées.

2 – Manquement à l’article 5.1.c du RGPD

La minimisation des données

Certaines données, non nécessaires à la prospection commerciale par mail, ont été conservées par la société.

3 – Manquement à l’article 5.1.e du RGPD

La limite de durée de conservation des données

Simplement après l’ouverture du mail de prospection, sans qu’aucune action n’ait été réalisée, les données des internautes étaient conservées plus de trois ans.

4 – Manquement à l’article 14 du RGPD

L’information des internautes

Aucune information n’était donnée aux internautes concernant la conservation de leurs données, ni même la démarche à suivre pour demander l’effacement de celles-ci.

5 – Manquement à l’article 21 du RGPD

Le droit d’opposition

Aucune solution n’était proposée à l’internaute pour refuser le traitement de ses données personnelles.

6 – Manquement à l’article 28 du RGPD

Le contrat de relation avec un sous-traitant

Aucune clause obligatoire n’était indiquée dans le contrat entre PerformeClic et son hébergeur.

Et après ?

La CNIL a demandé à la société de se mettre en conformité dans un délai de deux mois, sans quoi elle devrait s’astreindre à payer 1 000€ par jour de retard.

Le quatrième trimestre 2020 nous a bien montré que la CNIL ne permettrait plus de débordements concernant les législations sur les données personnelles, et le cas de PerformeClic n’est pas sans rappeler que toutes les tailles de sociétés peuvent être sanctionnées !

La conformité, ça n’est pas si difficile, surtout avec AppConsent !
L’équipe SFBX reste à votre disposition pour vous accompagner dans cette démarche et répondre à vos questions.