Par une délibération en date du 7 juillet 2016, la CNIL a condamné la société Brandalley, spécialisée dans la vente en ligne notamment de chaussures et de produits de beauté, à une amende de 30 000 euros. La CNIL a effacé le nombre de clients inscrits auprès de la société Brandalley mais précise que celle-ci emploie 69 salariés et a réalisé un chiffre d’affaires de 60 millions d’euros. La condamnation porte donc sur une société relativement importante, ce qui montre une nouvelle fois que même des acteurs importants du web ne prennent malheureusement pas au sérieux les questions relatives à la sécurité des données personnelles.

Sur le plan procédural, on retrouve un point de départ que nous avons déjà relevé : les consommateurs ne se plaignent plus aux associations de consommateurs mais directement à la CNIL. En l’occurrence,

Le 21 mars 2015, la CNIL a été saisie par une plaignante qui dénonçait les difficultés qu’elle rencontrait dans l’exercice de son droit d’accès à ses données à caractère personnel auprès de la société. Par courrier du 30 mars 2015, la CNIL a enjoint à la société de faire droit à cette demande. Malgré la réitération de cette injonction au mois de mai 2015, la société n’a pas répondu.

Pourquoi ne pas avoir répondu ? La société n’a pas pris l’injonction au sérieux ? C’est de l’incompétence caractérisée, incompétence que l’on retrouve tout au long de la procédure.

Continuons. La liste des griefs mérite d’être reproduite in extenso car elle synthétise les nombreux manquements à la réglementation :

  1. Un manquement à l’obligation de procéder à des formalités préalables à la mise en œuvre d’un traitement

Le chapitre IV de la loi n° 78-17 du 6 janvier 1978 modifiée régit les formalités à effectuer préalablement à la mise en œuvre d’un traitement. En particulier, l’article 25-1-4° dispose que « les traitements automatisés susceptibles du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire» sont mis en œuvre après autorisation de la CNIL.

La société a été mise en demeure le 3 juillet 2015 de procéder auprès de la CNIL à une demande d’autorisation pour encadrer la mise en œuvre de son traitement ayant pour finalité la prévention de la fraude à la carte bancaire. La société a répondu à cette injonction, par courrier du 11 janvier 2016, en indiquant qu’elle avait désigné un Correspondant Informatique et Libertés. Il a été constaté par la Commission, après l’expiration du délai renouvelé de la mise en demeure, à savoir le 21 janvier 2016, que la société n’avait pas déposé, auprès de la CNIL, de demande d’autorisation pour ce traitement.

En défense, la société a indiqué que la demande d’autorisation avait été effectuée par son CIL le 1er avril 2016. Elle ne conteste pas qu’au jour de la séance, elle n’était pas détentrice de l’autorisation requise, la demande ayant été déposée trois semaines auparavant et non pas dans le délai imparti par la mise en demeure. Elle précise en outre avoir rencontré des difficultés organisationnelles pour effectuer cette formalité auprès de la CNIL.

La formation restreinte constate qu’à l’expiration du délai de conformité prévu par la mise en demeure, lequel avait été renouvelé, la société n’avait procédé à aucune demande d’autorisation auprès de la CNIL. Elle précise que la désignation d’un CIL n’est pas de nature à exonérer un organisme des formalités préalables relevant du régime de l’autorisation. En l’espèce, ce n’est que la réception du rapport de sanction qui a conduit la société à effectuer une demande d’autorisation. En outre, la circonstance que cette demande ait été effectuée trois semaines avant la séance est sans incidence sur la caractérisation de ce manquement aux dispositions de l’article 25-1-4° de la loi du 6 janvier 1978 modifiée.

Deux choses importantes ici :

  • apparemment, la société n’a pas pris au sérieux les demandes de la CNIL ;
  • comme l’indique la CNIL, ce n’est pas parce qu’une société nomme un Correspondant Informatique et Liberté qu’elle peut estimer avoir respecté la réglementation en matière de protection des données personnelles.
  • 2 Un manquement à l’obligation de définir et mettre en œuvre une durée de conservation des données

L’article 6-5° de la loi du 6 janvier 1978 modifiée prévoit que les données à caractère personnel sont conservées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

La norme simplifiée n° 48 relative à la gestion des clients et des prospects, à laquelle la société a pris un engagement de conformité par déclaration du 4 août 2010, prévoit notamment que « les données à caractère personnel relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la section de la relation commerciale. […] Par ailleurs, et sous réserve du respect de l’article 6 de la présente norme, les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant une durée de trois ans à compter de la fin de la relation commerciale (c’est-à-dire par exemple à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestation de services, du dernier contact émanant du client) ».

La société a été mise en demeure de définir une politique de durée de conservation des données relatives aux clients, conforme à son engagement de conformité à la norme simplifiée n° 48, et de procéder à la purge y afférente.

En réponse à la mise en demeure, la société a indiqué par courrier du 11 janvier 2016, qu’elle s’était mise en totale conformité avec la norme simplifiée n° 48, tout en précisant, de manière contradictoire, avoir fixé une durée de conservation des données des clients de 5 ans à compter de la fin de la relation commerciale, afin qu’elle soit calquée sur la durée de la responsabilité civile contractuelle.

Le contrôle effectué par la CNIL le 18 février 2016, postérieurement à l’expiration du délai de mise en conformité, a permis de constater qu’aucune purge des données n’avait été réalisée.

En défense, la société indique que, lors du contrôle de la CNIL du 18 février 2016, la durée de conservation de cinq ans avait déjà été définie dans le registre du CIL. Elle déclare que seule la purge n’avait pas encore été mise en œuvre à cette date, en raison de la complexité de cette dernière et de l’adaptation de la nouvelle version du site. La procédure avait, quant à elle, été actée par les équipes opérationnelles de la société. La société indique que, au 12 avril 2016, elle a fait constater par huissier de justice la mise en œuvre effective de la purge des données à caractère personnel des clients de la société. Elle précise que les délais initialement pris en compte, à tort, ont été ramenés à trois ans à compter de la dernière demande de documentation ou du dernier achat des clients, afin de pleinement satisfaire aux dispositions de la norme simplifiée n° 48 édictée par la CNIL.

La formation restreinte considère que la société n’a pas respecté les termes de la mise en demeure en ce qu’elle ordonne le respect des dispositions de l’article 6-5° de la loi du 6 janvier 1978 modifiée. Elle retient qu’il n’a pas été satisfait à la demande alors même que la société avait obtenu un délai supplémentaire pour s’y conformer. En effet, à l’échéance du délai de la mise en demeure, la société n’avait pas défini de durées de conservation conformes à la norme simplifiée n° 48 à laquelle elle avait pris un engagement de conformité, celles renseignées dans le registre du CIL étant plus longues. En outre, contrairement à ce qu’elle a déclaré en réponse à la mise en demeure, il est établi que la société n’avait procédé à aucune purge des données au sein de sa base qui comptait toujours    les comptes clients. La formation restreinte considère enfin que la société a bénéficié du temps nécessaire à la mise en œuvre des mesures exigées, lesquelles relèvent d’une gestion normale des dossiers des clients et des prospects.

Le manquement aux obligations découlant de l’article 6-5° de la loi du 6 janvier 1978 modifiée est, dès lors, caractérisé.

Autrement dit, la durée ne doit pas être excessive et, point intéressant, le fait qu’elle coïncide avec les règles de prescription en matière de responsabilité contractuelle ne constitue pas une cause exonératoire de responsabilité. Pratiquement, il convient d’envisager au mieux une durée d’un an et de pouvoir justifier de façon objective des raisons qui conduiraient à étendre ce délai. Dans tous les cas, il est indispensable de purger les fichiers.

3 Un manquement à l’obligation d’informer et d’obtenir l’accord préalable des personnes concernées avant d’inscrire des informations (cookies) sur leur équipement terminal de communications électroniques ou d’accéder à celles-ci

L’article 32-11 de la loi du 6 janvier 1978 modifiée dispose que « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

  • des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu ’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

  • soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ».

La mise en demeure du 3 juillet 2015 enjoignait à la société d’informer et obtenir l’accord préalable des personnes concernées à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci (lecture des cookies). En particulier, il lui a été enjoint, sauf à mettre en place un dispositif présentant les mêmes garanties, d’indiquer aux personnes concernées, au préalable et de manière claire et complète, sur le bandeau présent sur le site web, qu’elles ont la possibilité de changer les paramètres de ces cookies en cliquant sur un lien présent dans le bandeau et que la poursuite de la navigation vaut consentement au dépôt des cookies. Il lui a également été enjoint de conditionner cette inscription et cet accès à une action positive préalable des personnes concernées.

En réponse à la mise en demeure, par courrier du 11 janvier 2016, la société a indiqué qu’un bandeau d’information avait été mis en place sur la page d’accueil de son site et que le dépôt de cookies ne s’opérait qu’après avoir recueilli le consentement des utilisateurs.

Le contrôle en ligne réalisé le 1er mars 2016 a permis de constater que le bandeau d’information relatif aux cookies était rédigé de telle sorte qu’il n’informait pas les utilisateurs de leur possibilité de paramétrer le dépôt de cookies. Il a été constaté en outre que plusieurs cookies ayant des finalités publicitaires étaient déposés dès l’arrivée des internautes sur la page d’accueil du site, sans recueil préalable de leur consentement.

En défense, la société a indiqué avoir, dès le mois d’août 2015, engagé des pourparlers avec la société ■■■■ afin que soit mis en place un module de gestion des cookies déposés via son site web. Ces pourparlers n’auraient pas abouti en raison notamment |

| et de la sortie de la version 6 de son site. Elle a finalement signé ce bon de commande le 16 mars 2016. Elle ajoute avoir fait constater par huissier de justice le 8 avril 2016 qu’aucun autre cookie que ceux bénéficiant d’une exemption ne pouvait se déposer sur les terminaux des utilisateurs du site www.brandalley.fr sans le consentement exprès et préalable de ces derniers.

La formation restreinte relève, s’agissant du recueil préalable du consentement des utilisateurs au dépôt et à la lecture de cookies sur leur terminal de communications électroniques, que des cookies à finalité publicitaire sont déposés dès l’arrivée sur la page d’accueil du site www.brandalley.fi et qu’en cela, les obligations issues de l’article 32-11 de la loi du 6 janvier 1978 modifiée ne sont pas satisfaites. Toutefois, la formation restreinte s’estime insuffisamment éclairée, au cas d’espèce, sur la répartition exacte des responsabilités entre l’éditeur du site, les annonceurs et les régies publicitaires concernés, pour se prononcer sur ce point du manquement. Elle ne retient donc pas, en l’espèce, ce grief.

La formation restreinte considère, s’agissant de l’information des personnes sur les modalités de paramétrage des cookies, qu’à l’expiration du délai renouvelé de la mise en demeure, la société n’a pas procédé, dans le bandeau, à une information claire et complète concernant les moyens de paramétrage mis à la disposition des utilisateurs pour s’opposer au dépôt et à la lecture des cookies sur leur terminal de communications électroniques. En effet, l’information délivrée était trop imprécise pour que les utilisateurs soient en mesure de comprendre qu’ils bénéficiaient de la possibilité d’exprimer leur choix. Dès lors, la formation restreinte considère que le manquement à l’article 32-11 de la loi du 6 janvier 1978 modifiée est caractérisé sur ce point.

Ce point constitue, à notre sens, l’élément le plus important de l’arrêt. Il précise les règles à respecter pour qu’un site puisse installer des cookies. Là encore, la CNIL ne se contente pas d’une simple approche formelle ; elle vérifie que les informations fournies au consommateur lui permettent de comprendre la portée de son engagement en la matière. L’enjeu, c’est de laisser le choix. Il y a ici une démarche à définir en amont pour les sites internet qui ne doit pas être prise à la légère

4 Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données

L’article 34 de la loi du 6 janvier 1978 modifiée dispose que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

La mise en demeure du 3 juillet 2015 enjoignait notamment à la société de mettre en œuvre un chiffrement du canal de communication et une authentification du site distant lors de l’accès au site www.brandalley.fr. Or, le contrôle du 18 février 2016 a permis de constater l’absence de sécurisation du site, la version accessible par défaut utilisant le protocole « http » non sécurisé. En particulier, les pages de connexion au compte des utilisateurs et les pages comportant un formulaire de renseignement de données à caractère personnel n’étaient pas sécurisées.

En défense, la société a indiqué que le 29 mars 2016, elle a fait constater par huissier de justice la mise en œuvre sur son site du protocole sécurisé « https » à tous les stades d’accès de l’utilisateur et/ou du client, en particulier lors de la consultation du site, de la création d’un compte, de la prise de commande ou du paiement.

La formation restreinte considère que l’absence de mise en œuvre d’un protocole sécurisé sur le site de la société ne permettait pas de garantir le chiffrement des communications, ni l’authentification du site, pour sécuriser les échanges de données à caractère personnel. Elle prend acte des mesures correctives apportées a posteriori mais considère qu’à l’expiration du délai de conformité à la mise en demeure, la société n’avait pas mis en œuvre des moyens suffisants pour répondre à l’obligation de sécurité et de confidentialité des données imposée par la loi du 6 janvier 1978 modifiée. Il en résulte que le manquement à l’article 34 de la loi du 6 janvier 1978 modifiée est caractérisé.

C’est un constat extrêmement grave. Un site important de vente en ligne n’assure aucune sécurité en matière des données qui lui sont transmises ! On retiendra enfin comme condition minimale de sécurisation l’adoption du protocole HTTPS.

Comparé à tous ces griefs, le dernier point peut paraître anecdotique. Il porte sur le transfert des données hors Union européenne. Il nous rappelle toutefois que la sortie du Royaume-Uni de l’Europe oblige impérativement à s’assurer que les procédures sont bien respectées et que l’accord qui a été dernièrement négocié est bien valable.

On soulignera un dernier point : devant tant de manquements, la sanction peut paraître faible. Les sociétés ont intérêt à changer rapidement leurs pratiques car les amendes seront à coup sûr plus élevées une fois le règlement européen en vigueur.

https://www.cnil.fr/sites/default/files/atoms/files/2016-204_sanction_brandalley.pdf