Données personnelles et RGPD – Une sanction emblématique de la Cnil

Faits et contrôle en bref

Par décision de la Cnil du 30 mars 2018, une société de vente en ligne, opérant dans 13 pays de l'Union européenne, a fait l'objet d'une mission de contrôle dans ses locaux français. Elle a constaté de nombreux manquements aux règles de protection des données des clients traitées par ce vendeur.

La Cnil, autorité chef de file

La société exerçant ses activités dans 13 pays de l'UE, pour la première fois depuis l'entrée en application du RGPD, la Cnil a joué le rôle d'"autorité chef de file" prévue par le Règlement tout au long de la procédure d'instruction, recueillant les observations des diverses autorités de contrôle ayant collaboré, en l'occurrence l'Italie, le Portugal et la Basse Saxe en Allemagne.

Des manquements au RGPD en série

La liste des manquements est édifiante. Elle montre combien la culture du RGPD a encore du chemin à faire.
Les principaux manquements constatés sont les suivants.

Manquement au principe de minimisation des données (article 5-1 c) du RGPD)

La minimisation des données consiste à ne traiter que les données juste nécessaires à la finalité poursuivie, en l'occurrence pour un vendeur, le recueil des nom et prénom du client, de son adresse postale pour la livraison et la facturation, de son courriel, et de données relatives au paiement moyennant une sécurisation adéquate.

En l'espèce :

  • Les conversations téléphoniques avec les clients étaient intégralement enregistrées et conservées, ce qui dépassait largement la finalité de formation des personnels d'accueil téléphonique et portaient atteinte à la protection des données privées des clients ;
  • Les coordonnées bancaires des clients fournies par téléphone étaient également conservées dans ces enregistrements, au mépris de toute sécurité ;
  • En Italie, les clients étaient amenés à fournir les coordonnées de leur "carte de santé" laquelle contient bien plus d'informations sur la personne que la pièce d'identité habituelle, notamment des informations dites sensibles (données de santé).

Manquement à l’obligation de limitation de la durée de conservation des données (article 5-1 e) du RGPD)

Ce principe veut qu'un délai de conservation des données soit prévu et n'excède pas la finalité poursuivie.
En l'occurrence, il semble qu'aucun délai n'ait été prévu à l'origine – ni communiqué aux personnes intéressées, on le verra ci-dessous – puisque la Cnil a relevé de quelque 3 millions de clients ne s'étaient pas connectés à leur compte depuis plus de 5 ans, parfois bien plus.

Manquement à l’obligation d’information des personnes (article 13 du RGPD)

Avant toute collecte et traitement de données, la personne concernée doit être informée d'un certain nombre de détails, dont notamment l'identité du responsable du traitement, la durée de conservation, la finalité poursuivie, les personnes destinataires des informations communiquées, etc.
Dans le cas donné, cette information fournie dans le cadre de la politique de confidentialité n'était pas conforme au RGPD.

Manquement à l’obligation d’assurer la sécurité des données (article 32 du RGPD)

L'obligation de sécurité est un vaste ensemble qui induit de nombreuses dispositions techniques pour garantir la sécurité des données des clients ainsi traitées. C'est notamment le cas de la sécurisation des matériels informatiques pour garantir l'intégrité des données, mais aussi l'accès à celles-ci par des personnes non autorisées, que ce soit en interne (politique de contrôles d'accès sélectifs) qu'en externe (protection contre la hacking (juridiquement, "intrusion frauduleuse dans un système d'information").
À ce titre, la société n'avait pas pris la peine d'exiger de ses clients des mots de passe suffisamment sécurisés, comme par exemple de contrôler que le client crée un mot de passe contenant des majuscules, des minuscules, des caractères de ponctuation et des chiffres, et ce sur une certaine longueur.

Une forte sanction pécuniaire et médiatique

Selon la Cnil :

"Compte tenu du nombre de manquements, la formation restreinte a prononcé une amende de 250 000 euros et décidé de rendre publique sa sanction. Elle a notamment pris en considération la gravité des manquements, en lien avec l’enregistrement des conversations téléphoniques et la conservation des données bancaires. Elle a également tenu compte du nombre de personnes concernées, les données de plusieurs milliers de personnes étant conservées au-delà des durées nécessaires (plus de 3 millions d’anciens clients et plus de 25 millions de prospects). La formation restreinte a également rappelé que plusieurs des manquements portent, pour l’essentiel, sur des obligations qui existaient déjà avant l’entrée en application du RGPD.
La formation restreinte a également enjoint à la société de mettre ses traitements en conformité avec le RGPD et d’en justifier sous un délai de trois mois à compter de la notification de la délibération, sous astreinte de 250 euros par jour de retard."

Rappelons que depuis le 25 mai 2018, le RGPD permet aux autorités de contrôle (la Cnil en France) et aux autorités judiciaires des États membre de prononcer des "amendes administratives" pouvant s'élever jusqu'à 20 millions d'euros ou jusqu'à 4% du chiffre d'affaires mondial de l'entreprise sanctionnée (article 83 du RGPD). La décision de rendre publiqe la sanction parfois de la publier dans des médias ajoute à la lourdeur de la sanction, en termes d'image de l'entreprise.

En savoir plus

Lire de communiqué complet de la Cnil en date du 5 août 2020 sur son site.

Lire la très longue Délibération n°SAN-2020-003 du 28 juillet 2020 de la formation restreinte (formation contentieuse) de la Cnil sur Légifrance.

Voir également l'intéressant article en date du 7 août intitulé "Une société du e-commerce, sévèrement sanctionnée par la CNIL." sous la plume de Me Edouard Verbecq, sur le site du Village de la Justice. Cet article fournit une chronologie de la procédure et analyse les griefs formulés par la Cnil.

Voir toutes nos actualités sur les Données à caractère personnel, sur le RGPD et sur la Cnil.

Didier FROCHOT