Condamnation de Brico Privé par la Cnil à une amende de 500 000 euros pour divers manquements à la règlementation « données à caractère personnel »

Dans le cadre de contrôles successifs depuis 2018 auprès de la société Brico Privé, éditrice du site internet bricoprive.com, la Commission Nationale de l’Informatique et des Libertés (dite « Cnil ») a relevé plusieurs manquements à la règlementation applicable en matière de protection des données à caractère personnel s’agissant des traitements de données relatives aux clients et prospects de la société précitée, manquements qui ont abouti à la condamnation de la société Brico Privé par la formation restreinte de la Cnil (cf. Cnil, Délibération SAN-2021-008 du 14 juin 2021).

A titre liminaire, il y a lieu de constater que cette sanction est prononcée, pour ce qui concerne les manquements au règlement général sur la protection des données dit « RGPD », suite à la mise en œuvre de la procédure de coopération entre les autorités européennes de contrôle, à savoir en l’espèce les autorités française (cf. la Cnil), espagnole, italienne et portugaise, conformément aux articles 56 et 60 du RGPD, en raison de la localisation des personnes concernées dans les Etats membres de l’Union européenne précités (cf. caractère transfrontalier des traitements de données à caractère personnel contrôlés). En revanche, les manquements constatés à la règlementation telle qu’issue du seul droit français, et en particulier à l’article L.34-5 code des postes et des communications électroniques (ou « CPCE ») et à la loi dite « Informatique et libertés » demeurent de la compétence exclusive de la Cnil, de tels manquements n’ayant pas été soumis au système de coopération précité.

 

Manquement à l’obligation de limiter la durée de conservation des données

S’agissant des pratiques mises en œuvre par Brico Privé, la formation restreinte de la Cnil a sanctionné cette dernière au titre tout d’abord d’une conservation excessive des données.

En effet, dans le cadre de ses contrôles, la Cnil avait constaté :

  • que Brico Privé avait conservé en base active des données de clients n’ayant pas passé commande depuis plus de 5 ans, sans que Brico Privé soit en mesure d’avancer une explication ou d’apporter une justification quant à la durée de cette conservation ou d’apporter la preuve d’un contact plus récent avec lesdits clients (échange avec le service clients, clic sur un lien promotionnel figurant dans un courrier électronique, etc.) ;
  • que des données d’utilisateurs ne s’étant pas connectés à leur compte en ligne depuis plus de 5 ans étaient encore conservées en base active par Brico Privé ;
  • que si Brico Privé a effectivement transmis à la Cnil sa politique interne en matière de conservation des données, force était de constater qu’en pratique les durées ainsi définies n’étaient pas respectées ;

ce dont il résulte que les pratiques déployées par Brico Privé s’agissant des durées de conservation des données n’étaient pas conformes aux principes applicables en la matière tels qu’issus de l’article 5, 1, e) du RGPD.

 

Manquement relatif à l’obligation d’informer les personnes concernées

Par ailleurs, il est apparu que l’information mise à disposition des personnes concernées sur le site internet de Brico Privé ne comportait pas l’ensemble de éléments obligatoires au titre de l’article 13 du RPGD. En particulier, n’étaient pas portées à la connaissance des personnes concernées les informations suivantes :

  • les coordonnées du délégué à la protection des données: en effet, la fonctionnalité offerte sur le site internet de Brico Privé permettant aux personnes concernées d’être mises en relation avec le délégué à la protection des données, dans une rubrique intitulée « Service Client – contactez-nous » dont il est précisé qu’elle permettait de « poser des questions à propos d’une commande ou des informations sur [les] produits [de Brico Privé] », n’était pas de nature à répondre aux exigences de l’article 13 du RGPD dans la mesure où les personnes concernées ne pouvaient pas s’attendre à une telle mise en relation ;
  • les durées de conservation: au cours de la procédure devant la formation restreinte de la Cnil, un lien visant une politique de conservation des données avait été intégré sur le site internet de Brico Privé. Toutefois, il a été constaté que ce lien était inactif, rendant indisponible une telle information pour les personnes concernées ;
  • les bases juridiques des traitements: si certaines informations y afférentes étaient présentes dans différents documents, notamment dans les conditions générales de vente, elles ne l’étaient pas dans les mentions légales ou dans la rubrique intitulée « données personnelles », et la formation restreinte de la Cnil souligne qu’elles sont incomplètes et que cette pratique n’est pas de nature à assurer l’accessibilité de ces informations (cf. dissémination des informations) ;
  • certains droits dont les personnes concernées bénéficient au titre du RGPD (en l’espèce, droit à la limitation du traitement, droit à la portabilité des données et droit d’introduire une réclamation auprès d’une autorité de contrôle).

 

Manquement relatif à l’obligation de respecter les demandes d’effacement de données à caractère personnel

Au cours de son contrôle, la Cnil a pu observer que lorsqu’une personne demandait l’effacement de son compte en ligne, Brico Privé ne supprimait pas effectivement ses données mais se contentait de désactiver son compte, ce dont il résultait que les données concernées demeuraient conservées par Brico Privé.

A cet égard, la formation restreinte de la Cnil considère que si, après une demande d’effacement, certaines données à caractère personnel peuvent être conservées en archivage intermédiaire, notamment au titre des obligations légales ou à des fins probatoires ou lorsque le responsable de traitement dispose d’un motif légitime impérieux, celles non nécessaires dans le cadre du respect de ces autres obligations ou finalités doivent être supprimées après l’exercice de ce droit dès lors que les conditions posées par l’article 17 du RGPD sont remplies. La formation contentieuse de la Cnil précise que tel est à tout le moins le cas pour le traitement de l’adresse électronique utilisée à des fins de prospection commerciale, dont la conservation par Brico Privé à l’issue de l’exercice d’une telle demande d’effacement n’apparaissait pas légitime sur un autre fondement.

 

Manquement relatif à l’obligation d’assurer la sécurité des données à caractère personnel

La formation restreinte de la Cnil relève que les règles déployées en matière de mots de passe par Brico Privé ne sont pas conformes aux principes applicables en la matière (cf. pour mémoire les recommandations de la Cnil : Authentification par mot de passe : les mesures de sécurité élémentaires | CNIL), tout en soulignant que l’absence de violation de données à caractère personnel ne suffit pas à démontrer l’absence de manquement à l’obligation de sécurité telle que prévue à l’article 32 du RGPD.

En l’espèce, les dispositifs d’authentification mis en place par Brico Privé ont été considérés par la formation restreinte de la Cnil comme insuffisamment robustes (cf. longueur et complexité insuffisantes). En particulier :

  • un tel dispositif pour accéder au compte en ligne sur le site internet de Brico Privé reposait sur un mot de passe composé uniquement de six caractères numériques, de type 123456 ;
  • le système d’authentification des salariés de Brico Privé pour accéder au logiciel de gestion de la relation client était composé de huit caractères, contenant au moins un chiffre et une lettre.

A cet égard, la formation restreinte de la Cnil rappelle que « pour assurer un niveau de sécurité suffisant et satisfaire aux exigences de robustesse des mots de passe, lorsqu’une authentification repose uniquement sur un identifiant et un mot de passe, la CNIL recommande, dans sa délibération n° 2017-012 du 19 janvier 2017, que le mot de passe comporte au minimum douze caractères – contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial – ou alors comporte au moins huit caractères – contenant trois de ces quatre catégories de caractères – s’il est accompagné d’une mesure complémentaire comme, par exemple, la temporisation d’accès au compte après plusieurs échecs (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (comme un captcha ) et/ou le blocage du compte après plusieurs tentatives d’authentification infructueuses ».

En outre, les mots de passe permettant aux salariés d’accéder à des bases de données étaient conservés « en clair » dans un fichier texte contenu dans un ordinateur de Brico Privé, ce qui ne constitue pas une solution de gestion sécurisée des mots de passe.

Par ailleurs, la fonction de hachage MD5 utilisée pour la conservation des mots de passe des salariés utilisateurs du site internet de Brico Privé était obsolète. A cet égard, la formation restreinte de la Cnil rappelle que « le recours à la fonction de hachage MD5 par la société n’est plus considérée depuis 2004 comme conforme à l’état de l’art et son utilisation en cryptographie ou en sécurité est proscrite », une telle pratique ne permettant pas de garantir la sécurité des données en ce qu’un tel dispositif engendre un risque de déchiffrement sans difficulté en un temps très court.

En fin, la formation restreinte de la Cnil relève qu’un compte commun à quatre salariés de Brico Privé leur permettait d’accéder à la base de production, ce qui est une pratique contraire au principe d’attribution d’un identifiant unique par utilisateur et à l’interdiction des comptes partagés, de telles règles de gestion des habilitations étant des précautions indispensables pour assurer la traçabilité effective des accès aux données.

 

Manquement aux obligations relatives à l’utilisation de cookies

Au cours de son contrôle en ligne, la formation restreinte de la Cnil constate que de nombreux cookies ayant pour finalités d’avoir une meilleure connaissance des clients, un meilleur ciblage publicitaire et de personnaliser les offres et opérations promotionnelles sont déposés automatiquement lors de l’arrivée des internautes sur le site internet de Brico Privé, avant toute action de l’utilisateur, sans avoir recueilli préalablement leur consentement à cette fin, une telle pratique n’étant pas conforme aux exigences de l’article 82 de la loi Informatique et libertés.

 

Manquement relatif à l’obligation de recueillir le consentement de la personne concernée pour la réalisation d’opérations de prospection directe au moyen de courriers électroniques

Pour mémoire, l’article L.34-5 du CPCE interdit par principe la réalisation d’opérations de prospection par courriers électroniques sans avoir recueilli au préalable le consentement de la personne concernée.

Il existe toutefois des exceptions à ce principe, notamment l’exception dite des « produits et services analogues », aux termes de laquelle la prospection directe par courrier électronique est autorisée, sans recueil préalable de consentement, lorsque les conditions suivantes sont cumulativement réunies :

  • les coordonnées de la personne concernée ont été recueillies directement auprès d’elle, à l’occasion d’une vente ou d’une prestation de services ;
  • la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale que celle à l’origine de la collecte des données ;
  • le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l’utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque fois qu’un courrier électronique de prospection lui est adressé.

Pour en savoir plus sur les règles applicables en matière de prospection commerciale, voir notre précédent article à ce sujet.

En l’espèce, la Cnil avait constaté que, lors de la création d’un compte sans acte d’achat sur le site web de Brico Privé, aucun procédé visant à recueillir le consentement à la collecte et au traitement des données à caractère personnel à des fins de prospection commerciale par courrier électronique n’était mis en œuvre. A cet égard, la formation restreinte de la Cnil souligne que « la création d’un compte ne préjuge pas de la commande éventuelle de produits auprès de la société BRICO PRIVÉ », ce dont il résulte qu’en l’absence d’achat, l’internaute qui crée son compte en ligne demeure un prospect et ne peut être sollicité par courrier électronique que s’il y a dûment consenti.

Pour pallier cette non-conformité, Brico Privé a intégré une case à cocher dédiée afin de recueillir le consentement des internautes qui viendraient désormais créer un compte en ligne sur le site internet de Brico Privé.

Pour les internautes disposant déjà d’un compte en ligne mais n’ayant pas procédé à un achat, Brico Privé a indiqué à la Cnil qu’elle souhaitait adresser à chaque prospect n’ayant pas encore donné son consentement cinq courriels visant à obtenir leur accord à recevoir de la prospection par voie électronique. Ces cinq courriels seraient envoyés au cours d’une période de 100 jours à compter de la date de dernière activité du prospect et, en l’absence d’activité de la part du prospect et sans consentement de ce dernier à recevoir de la prospection commerciale à la suite des cinq courriels qu’elle lui aura adressés, elle cessera de le prospecter.

S’agissant de telles pratiques, la formation restreinte de la Cnil considère que « le fait de solliciter les personnes en question pour leur demander si elles souhaitent recevoir des courriels de prospection constitue en soi un traitement qui ne saurait reposer, en l’espèce, que sur un éventuel intérêt légitime de la société ». En effet, la formation de jugement de la Cnil estime que les prospects, en choisissant de créer un compte sur le site internet de Brico Privé, ont manifesté un certain intérêt pour les services proposés par cette dernière et que, dès lors, ils pouvaient raisonnablement s’attendre à ce que la société les contacte. Elle considère cependant que l’envoi aux prospects de cinq courriels, a fortiori au cours d’une période de 100 jours, excède le nombre de courriels auxquels pourraient raisonnablement s’attendre ces derniers.

 

*             *

*

 

En l’espèce, la formation de jugement de la Cnil a prononcé les sanctions suivantes à l’égard de Brico Privé en raison des manquements précités :

  • une amende administrative d’un montant de 500 000 euros, qui se décompose comme suit :
    • 300 000 euros pour les manquements aux articles 5-1-e), 13, 17 et 32 du RGPD (cf. manquements relevés dans le cadre de la coopération entre les autorités de contrôle européenne) ;
    • 200 000 euros pour les manquements à l’article 82 de la loi Informatique et libertés et à l’article L. 34-5 du CPCE (cf. manquements relevant du droit français et donc de la compétence exclusive de la Cnil) ;
  • une injonction de mettre en conformité le traitement de données à caractère personnel pour lequel des irrégularités demeurent, en déployant certaines mesures spécifiques (purger des données de clients, cesser d’adresser de la prospection par courrier électronique à des prospects n’y ayant pas consenti,…), étant précisé que cette injonction est assortie d’une astreinte de 500 euros par jour de retard à l’issue d’un délai de trois mois suivant la notification de la délibération de la formation restreinte de la Cnil, les justificatifs de la mise en conformité devant être adressés à la cette dernière dans ce délai.

Les sanctions prononcées par la Cnil dans cette affaire ne sont pas négligeables, et ce d’autant que la formation restreinte de la Cnil relève que nombre d’actions correctrices avaient d’ores et déjà été déployées par Brico Privé en cours de procédure, permettant de corriger en partie les manquements relevés par la Cnil dans son rapport de sanction.

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

 

 

AGIL’IT se tient à votre disposition pour vous accompagner dans le cadre de la mise et/ou du maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel et en matière de cookies et autres traceurs.

 

 

Par AGIL’IT – Pôle ITData protection & Télécoms

Laure LANDES-GRONOWSKI, Avocate associée

Marie MILIOTIS, Avocate