|
30 000 euros de dommages et intérêts
Suite à la plainte d’une internaute ne pouvant se désinscrire du site de vente en ligne Brandalley, une délégation de la CNIL a opéré un contrôle sur place. Après plusieurs mises en demeure restées infructueuses, la société a fait l’objet d’une sanction pécuniaire de 30.000 €.
Fichier de prévention de la fraude bancaire
Au titre des manquements constatés, le non-respect de l’article 25-I-4° de la loi n° 78-17 du 6 janvier 1978 qui dispose que les traitements automatisés susceptibles du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire sont mis en œuvre après autorisation de la CNIL. La société a été mise en demeure de procéder à une demande d’autorisation pour encadrer la mise en œuvre de son traitement ayant pour finalité la prévention de la fraude à la carte bancaire.
Durée de conservation des données clients
L’article 6-5° de la loi du 6 janvier 1978 modifiée prévoit que les données à caractère personnel sont conservées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
La norme simplifiée n° 48 relative à la gestion des clients et des prospects, à laquelle la société avait pris un engagement de conformité, prévoit notamment que les données à caractère personnel relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale.
Les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant une durée de trois ans à compter de la fin de la relation commerciale (c’est-à-dire par exemple à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestation de services, du dernier contact émanant du client).
La société a été mise en demeure de définir une politique de durée de conservation des données relatives aux clients, conforme à son engagement de conformité à la norme simplifiée n° 48, et de procéder à la purge y afférente.
Procédure d’acceptation des cookies
L’article 32-II de la loi du 6 janvier 1978 modifiée dispose que tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : – de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; – des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur : i) soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; ii) soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.
Le contrôle en ligne réalisé par la CNIL avait permis de constater que le bandeau d’information relatif aux cookies était rédigé de telle sorte qu’il n’informait pas les utilisateurs de leur possibilité de paramétrer le dépôt de cookies. Plusieurs cookies ayant des finalités publicitaires étaient déposés dès l’arrivée des internautes sur la page d’accueil du site, sans recueil préalable de leur consentement.
Transfert de données personnelles vers le Maghreb
Le principe d’interdiction de transférer des données vers des Etats n’appartenant pas à l’Union européenne et n’assurant pas un niveau de protection suffisant de la vie privée ne peut être levé qu’après une décision de la CNIL. En effet, celle-ci doit apprécier si le traitement garantit un niveau de protection suffisant, notamment en raison des clauses contractuelles ou règles internes dont il fait l’objet. Par conséquent, sans décision préalable de la CNIL, les traitements de flux ne peuvent pas être mis en œuvre.
En l’espèce, avant l’expiration du délai prévu par la mise en demeure, la société n’a pas présenté de demande à la CNIL relative aux transferts de données vers le Maghreb devant être encadrés par des garanties adéquates. Ainsi, la société a continué à transférer des données à caractère personnel, hors de l’Union européenne, sans autorisation de la CNIL. |
→ Questions / Réponses juridiques
Quelle sanction a été imposée à la société Brandalley ?La société Brandalley a été sanctionnée par la CNIL à hauteur de 30 000 euros de dommages et intérêts. Cette décision fait suite à une plainte d’une internaute qui a rencontré des difficultés pour se désinscrire du site de vente en ligne. Après plusieurs mises en demeure restées sans réponse, la CNIL a jugé nécessaire d’imposer cette sanction pécuniaire. Cela souligne l’importance de la conformité aux réglementations sur la protection des données personnelles, notamment en ce qui concerne le droit des utilisateurs à se désinscrire des services en ligne. Quels manquements ont été constatés par la CNIL concernant Brandalley ?La CNIL a constaté plusieurs manquements, notamment le non-respect de l’article 25-I-4° de la loi n° 78-17 du 6 janvier 1978. Cet article stipule que les traitements automatisés qui peuvent exclure des personnes d’un droit ou d’une prestation doivent être autorisés par la CNIL. En conséquence, la société a été mise en demeure de demander une autorisation pour son traitement de données, qui avait pour but la prévention de la fraude à la carte bancaire. Cela montre l’importance d’obtenir les autorisations nécessaires avant de mettre en œuvre des traitements de données sensibles. Quelles sont les obligations concernant la durée de conservation des données clients ?Selon l’article 6-5° de la loi du 6 janvier 1978 modifiée, les données personnelles doivent être conservées uniquement pour la durée nécessaire aux finalités pour lesquelles elles ont été collectées. La norme simplifiée n° 48, à laquelle Brandalley s’était engagée, précise que les données des clients ne peuvent être conservées au-delà de ce qui est strictement nécessaire pour gérer la relation commerciale. De plus, les données utilisées à des fins de prospection commerciale peuvent être conservées pendant trois ans après la fin de la relation commerciale. La société a donc été mise en demeure de définir une politique de conservation des données conforme à ces exigences. Comment la société Brandalley a-t-elle manqué à ses obligations concernant les cookies ?La CNIL a constaté que le bandeau d’information sur les cookies sur le site de Brandalley ne fournissait pas d’informations claires et complètes aux utilisateurs. L’article 32-II de la loi du 6 janvier 1978 modifiée exige que les utilisateurs soient informés de la finalité des cookies et des moyens de s’y opposer. Cependant, plusieurs cookies à des fins publicitaires étaient déposés sans le consentement préalable des internautes. Cela constitue une violation des droits des utilisateurs, car ils n’étaient pas correctement informés de leurs options concernant le dépôt de cookies sur leur appareil. Quelles sont les règles concernant le transfert de données personnelles vers le Maghreb ?Le transfert de données personnelles vers des États en dehors de l’Union européenne, comme ceux du Maghreb, est soumis à des règles strictes. La CNIL doit donner son accord pour garantir que le niveau de protection des données est suffisant. Cela inclut l’évaluation des clauses contractuelles ou des règles internes qui encadrent le traitement des données. Dans le cas de Brandalley, la société n’a pas soumis de demande à la CNIL pour encadrer ces transferts, continuant ainsi à transférer des données personnelles sans autorisation. Cela souligne l’importance de respecter les réglementations sur la protection des données lors de transferts internationaux. |
Laisser un commentaire