Le 13 novembre 2018, la CNIL a effectué un contrôle dans les locaux de la société Brico Privé, société de bricolage, portant notamment sur :
- les durées de conservation des données,
- l’information des personnes concernées,
- le respect des demandes d’effacement des données personnelles des personnes concernées,
- l’obligation d’assurer la sécurité des données
- l’obligation de recueillir le consentement de la personne concernée pour recevoir de la prospection commerciale par courrier électronique.
Afin de compléter ses investigations et après avoir reçu des documents complémentaires de Brico Privé, la CNIL a procédé à un contrôle en ligne de l’ensemble des traitements réalisés depuis le domaine bricoprive.com le 6 février 2020.
Le 13 janvier 2021, la société ayant indiqué que des modifications avaient été apportées aux modalités de dépôt des cookies, une délégation de la CNIL a effectué une nouvelle mission de contrôle en ligne des traitements réalisés depuis le domaine bri-coprive.com afin de mettre à jour les constats effectués le 6 février 2020.
A l’issue de ces contrôles, la CNIL a relevé divers manquements concernant les traitements de données à caractère personnel réalisés par la société Brico Privé.
Tout d’abord en ce qui concerne l’obligation pour le responsable de traitement de limiter la durée de conservation des données à caractère personnel (article 5(1)(e) du RGPD), la CNIL a constaté que la société n’avait pas mis en application la politique de conservation des données transmise par la société deux mois après la date du premier contrôle opéré, et qu’elle disposait encore de données sur 16 653 clients inactifs depuis plus de 5 ans sans pouvoir justifier des raisons de cette durée de conservation.
Bien que la société Brico Privé mette désormais en œuvre des durées de conservation conformes, la CNIL a estimé qu’au jour du contrôle, la politique de durées de conservation n’était pas respectée et que les données étaient conservées pour des durées excessives, ce qui caractérisait donc un manquement à l’article précité.
Ensuite, s’agissant de l’obligation d’information des personnes concernées par les traitements (article 13 du RGPD), la CNIL a constaté que Brico Privé ne fournissait pas sur son site web certaines informations requises telles que les coordonnées de son délégué à la protection des données (DPO), les durées de conservation des données, les bases juridiques du traitement et certains droits dont bénéficient les personnes en vertu du RGPD.
Toutefois, la société a justifié avoir mis en conformité sa politique de protection des données, et elle a indiqué à la CNIL avoir mis en ligne une page destinée à la description des droits dont les personnes bénéficient au titre du RGPD, accessible via un lien présent en pied de chaque page de son site.
Ainsi, la CNIL a considéré que le manquement était constitué, mais que la société s’était mise en conformité dans le cadre de la procédure de sanction.
Concernant l’article 17 du RGPD (droit à l’effacement), la CNIL a relevé que la société ne supprimait pas les données lorsque des clients formulaient de telles demandes. Elle ne procédait en réalité qu’à la désactivation du compte, empêchant ainsi la personne de s’y connecter et bloquant l’envoi de prospection commerciale.
Sur ce point également, la CNIL a considéré que le manquement était constitué, mais que la société s’était mise en conformité à la date de clôture de l’instruction.
En ce qui concerne le respect de l’obligation de garantir un niveau de sécurité des données adapté au risque causé par les traitements opérés par Brico Privé (article 32 du RGPD), la CNIL a constaté que le niveau de sécurité n’était pas suffisant et ne répondait pas notamment aux exigences de robustesse des mots de passe, tant pour les utilisateurs du site internet que pour les employés.
En effet d’une part, l’authentification lors de la création d’un compte sur le site brico-prive.com reposait sur un mot de passe composé uniquement de six caractères numériques.
D’autre part, la CNIL a relevé que le mot de passe pour accéder au logiciel de gestion de la relation client était composé de huit caractères, contenant au moins un chiffre et une lettre, et que l’authentification des salariés aux bases de données était insuffisamment sécurisée car les mots de passe permettant d’y accéder étaient stockés en clair dans un fichier texte enregistré au sein d’un ordinateur de la société.
La CNIL rappelle qu’en matière de robustesse des mots de passe, lorsqu’une authentification repose uniquement sur un identifiant et un mot de passe, elle recommande que ce mot de passe comporte au minimum 12 caractères parmi lesquels doivent figurer au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial.
Si le mot de passe est accompagné d’une mesure complémentaire (temporisation d’accès au compte après plusieurs échecs, captcha…), ce mot de passe doit comporter au moins 8 caractères parmi lesquels figurent au moins trois de ces quatre catégories de caractères.
Dès lors, la CNIL a considéré que la politique de gestion des mots de passe de la société n’était pas suffisamment robuste et contraignante pour garantir la sécurité des données.
De plus, la fonction de hachage utilisée par la société pour la conservation des mots de passe des salariés utilisateurs du site bricoprive.com (MD5) était obsolète, toutefois, la société a justifié à la suite de la procédure de contrôle avoir mis en œuvre un système en SHA256 sur l’ensemble des mots de passe des utilisateurs, qui correspond aux attentes de la CNIL en la matière.
Enfin, un compte générique était utilisé par les salariés accédant à une copie de la base de production, ce que la société a également dû corriger car cette pratique ne permettait pas de garantir la sécurité des données.
Par ailleurs, en ce qui concerne le dépôt de cookies, la CNIL a constaté lors du contrôle en ligne du 6 février 2020 que plusieurs cookies n’entrant pas dans le champ des exceptions au recueil du consentement prévues à l’article 82 de la loi Informatique et Libertés étaient placés sur le terminal de l’utilisateur dès son arrivée sur la page d’accueil du site, et avant toute action de sa part.
Par la suite, alors même que la société avait affirmé avoir cessé de déposer des cookies soumis à consentement de manière automatique lors de l’arrivée des utilisateurs sur son site depuis le 10 novembre 2020, le contrôle en ligne du 13 janvier 2021 a au contraire démontré que 13 cookies étaient encore déposés dès l’arrivée d’un utilisateur sur le site en cause.
La CNIL considère donc que le manquement à l’article 82 de la loi Informatique et Libertés est constitué, tout en retenant que depuis le 26 janvier 2021, les cookies nécessitant le recueil du consentement des utilisateurs n’étaient plus déposés automatiquement dans le terminal de l’utilisateur à l’arrivée sur la page d’accueil du site.
En outre et ultimement, la CNIL a constaté que la société effectuait des opérations de prospection commerciale à destination des utilisateurs ayant créé un compte sans avoir obtenu leur consentement.
Il est apparu lors des contrôles qu’aucun mécanisme permettant de recueillir le consentement des utilisateurs au traitement de leurs données à des fins de prospection commerciale n’était prévu lors de la création d’un compte.
C’est pourquoi la CNIL a estimé qu’un manquement à l’article L. 34-5 du Code des postes et des communications électroniques était constitué, et qu’au surplus, les éléments communiqués ne permettaient pas de considérer que la société s’était complètement mise en conformité à la date de clôture de l’instruction.
En raison de l’ensemble de ces manquements, et malgré les efforts de mise en conformité de la société Brico Privé au cours de la procédure, la CNIL a condamné la société Brico Privé à :
- une amende de 300 000 € pour violation des articles 5(1)(e), 13, 17 et 32 du RGPD
- une amende de 200 000 € pour violation de l’article 82 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés et de l’article L.34-5 du code des postes et des communications électroniques (CPCE).
La CNIL a également ordonné à la société Brico Privé de mettre ses traitements en conformité avec les obligations résultant des articles 5(1)(e) RGPD et de l’article L. 34-5 du CPCE, et notamment :
- cesser de conserver les données à caractère personnel des anciens clients du site web de la société à l’issue de la période d’inactivité fixée, procéder à la purge de telles données conservées par la société jusqu’à la date de la délibération de la CNIL et justifier de la suppression de ces données auprès de la CNIL ;
- justifier d’une procédure d’archivage intermédiaire des données des clients, mise en place après avoir opéré un tri des données pertinentes à archiver et une suppression des données non pertinentes, ainsi que du point de départ de cet archivage (par exemple, s’agissant des factures archivées à des fins comptables) ;
- cesser toute prospection commerciale auprès des prospects qui n’ont pas donné leur accord, sauf à obtenir leur consentement.
Enfin, la CNIL a décidé de rendre publique cette décision pendant 2 ans, et d’assortir l’injonction de mise en conformité d’une astreinte de 500 (cinq cents) euros par jour de retard à l’issue d’un délai de trois mois suivant la notification de la délibération, les justificatifs de la mise en conformité devant être adressés à la CNIL dans ce délai.
Le montant de cette sanction semble sévère, d’autant plus au regard du nombre de personnes concernées par les manquements constatés.
Cependant, la pluralité et la gravité des manquements, portant sur des principes fondamentaux du RGPD tels que la limitation de la conservation des données, la transparence et la sécurité, a probablement incité la CNIL à prononcer cette sanction ; d’autant plus que selon les informations disponibles en ligne, la société BRICO PRIVE aurait réalisé 170 millions d’euros de chiffre d’affaires en 2020, et viserait même 200 millions d’euros en 2021, ce qui a également pu motiver la CNIL à adopter une sanction plutôt élevée.
Délibération SAN-2021-008 du 14 juin 2021
Raphaël EKWALLA-MATHIEU
Avocat Collaborateur
Raphaël RAULT
Avocat Associé
Département Numérique