Le 17 juin 2021, la CNIL a prononcé une sanction de 500 000 Euros et une obligation de mise en conformité dans un délai de 3 mois sous astreinte de 500 euros par jour, à l’encontre de la société BRICO PRIVÉ, éditeur du site de ventes privées de bricolage, bricoprive.com pour :
- avoir envoyé des courriels de prospection sans le consentement des personnes et manquement aux obligations relatives aux cookies (200 000 euros d’amende) ;
- violation des disposition du RGPD relative au durée de conservation, à l’obligation d’information des personnes, à leur droit d’effacement des données et pour un manquement à la sécurité des données (300 000 euros d’amende).
Le point important de cette décision est le rappel par la CNIL de sa position selon laquelle la simple création d’un compte utilisateur qui n’est pas suivie d’un achat ou d’une prestation de service, n’est pas suffisante pour envoyer des emails de prospection commerciale.
Contexte – procédure
La CNIL a effectué trois contrôles entre 2018 et 2021 auprès de la société BRICO PRIVÉ, éditeur du site de ventes privées bricoprive.com dédié au bricolage, au jardinage et à l’aménagement de la maison.
Cette société exerce son activité en France, en Espagne, Italie et au Portugal. Lors des contrôles, la CNIL a constaté plusieurs manquements concernant le traitement de données personnelles des prospects et des clients.
La Société opérant dans plusieurs pays, la CNIL a coopéré, avec les autorités de contrôle des trois pays dans lesquels la société BRICO PRIVÉ propose ses services mais seulement pour les manquements au RGPD et non à la directive e-privacy (càd, les manquements à la réglementation relative aux cookies et aux traceurs ainsi qu’à la prospection commerciale qui ne sont pas soumis au mécanisme de coopération).
Les manquements au RGPD soumis à coopération européenne
Manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)
La CNIL a constaté lors de ses contrôles que les données de plus de 16 000 clients n’ayant pas passé commande et de plus de 130 000 personnes ne s’étant pas connectées à leur compte client depuis cinq ans étaient conservées.
Ces durées de conservations étaient plus longues que celles fixées par la société elle-même et étaient inappropriés.
Bien que des mesures aient été prises par la société au cours de la procédure, elle ne permettaient pas d’atteindre une mise en conformité totale, la CNIL a donc prononcé une injonction à l’encontre de la société.
Manquement à l’obligation d’information des personnes (article 13 du RGPD)
La CNIL a constaté que l’information mise à disposition des utilisateurs du site ne comportait pas l’ensemble des éléments exigés par le RGPDdont notamment les durées de conservations. La Société s’est, toutefois, conformé en cours de procédure .
Manquement à l’obligation de respecter le droit à l’effacement (article 17 du RGPD)
La société BRICO PRIVÉ a manqué à son obligation de donner pleinement suite aux demandes d’effacement qu’elle recevait dans la mesure où elle procédait uniquement à la désactivation de l’accès au compte et conservait les noms, prénom et adresse email.
La société a toutefois pris les mesures requises au cours de la procédure.
Manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)
La société n’imposait pas l’utilisation d’un mot de passe robuste lors de la création d’un compte sur son site web ou lors de l’accès des salariés au logiciel de gestion de la relation client.
De plus, l’authentification des salariés pour accéder aux bases de données de la société était insuffisamment sécurisée en raison de la conservation des mots de passe permettant d’y accéder, en clair, dans un fichier texte contenu dans un ordinateur de la société.
La CNIL a également constaté que les salariés de la société accédaient à une copie de la base de production de la société BRICO PRIVÉ par un compte commun à quatre salariés.
Les manquements à la prospection commerciale et aux cookies, non soumis à la coopération européenne
En plus des manquements au RGPD, la sanction prononcée porte sur des manquements relatifs à la prospection commerciale par voie électronique et à l’utilisation de cookies.
Ces deux points ne relèvent pas du RGPD mais de la directive e-privacy (transposé dans le code des postes et communictions et la loi informatiques et libertés) et n’ont donc pas été soumis à la procédure de coopération entre les autorités européennes.
Manquement à l’obligation de recueillir le consentement des personnes à des fins de prospection commerciale par courriel (article L. 34-5 du CPCE)
Selon la CNIL, la société envoyait, sans recueillir leur consentement préalable, des messages électroniques de prospection à des personnes ayant créé un compte sur le site mais n’ayant jamais effectué d’achat.
La CNIL a considéré que la création d’un compte ne permettait pas à BRICO Privé de se prévaloir de l’exception prévue à l’article 34-5 du CPCE et permettant d’envoyer des emails de prospection pour des produits ou services analogues lorsque l’utilsiateur a lui même fourni ses données à l’occasion d’une vente ou d’une prestation de service.
Ainsi, pour la CNIL, seul l’achat d’un bien aurait permis à la société de se prévaloir de cette exception, la seule création d’un compte n’étant pas suffisante.
Manquement relatif aux cookies (article 82 de la loi Informatique et Libertés)
La CNIL a constaté que, des cookies à des fins publicitaires étaient déposés dans le terminal de l’utilisateur avant toute action de sa part, lorsqu’il se rendait sur le site Bricoprive.com. Son consentement étant nécessaire, la société s’est mise en conformité durant la procédure.
Sanction
Pour toute ces raisons et bien que la société se soient mise en conformité avec certains points en cours de procédure, la CNIL a prononcé une sanction globale de 500 000 euros à l’encontre de la société et une injonction de mise en conformité dans les 3 mois de la notification de la décision sous astreinte de 500 euros par jour de retard.
Pour une lecture de la décision cliquer ici
Pour toute question, n’hésitez pas à contacter Arnaud Blanc, Avocat, expert des questions RGPD.
Cette publication est également disponible en en_GB.