RGPD en France, Sanctions
e-commerce et données personnelles
La CNIL sanctionne : 500 000 € / BRICO PRIVE – 2021
Le e-commerçant Brico Privé, appartenant au pôle équipement de la maison du groupement Les Mousquetaires, est sanctionné pour plusieurs manquements au RGPD, aux règles sur les cookies (loi Informatique et Libertés) et pour avoir envoyé des e-mails de prospection commerciale sans le consentement des personnes (Code des postes et des communications électroniques).
Ce site de ventes « bricoprive.com », spécialisé dans le bricolage, le jardinage et l’aménagement de la maison est présent en France, en Espagne, en Italie et au Portugal. La CNIL a ainsi coopéré sur une partie de la décision avec les autorités de contrôle des 3 autres pays.
Après trois contrôles entre 2018 et 2021, la CNIL a prononcé une amende de 500 000 euros et a décidé de rendre publique sa décision.
Elle a également enjoint à la société de mettre ses traitements en conformité avec l’article L.34-5 du CPCE et l’article 5.1.e du RGPD et d’en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500 euros par jour de retard.
Les manquements au RGPD
Limitation de la durée de conservation des données -article 5.1.e
Non respect des durées de conservation des données fixées par la société elle-même :
- Conservation des données de plus de 16 000 clients n’ayant pas commandé depuis 5 ans.
- Conservation des données de plus de 130 000 personnes ne s’étant pas connectées à leur compte client depuis 5 ans.
La CNIL précise que des mesures ont été prises par Brico Privé au cours de la procédure mais elles ne permettaient pas d’atteindre pleinement une mise en conformité, ainsi la formation restreinte a prononcé une injonction à l’encontre de la société.
Obligation d’information des personnes – article 13
L’information figurant sur le site ne comportait pas tous les éléments exigés par le RGPD : conditions générales de vente, mentions légales, politique de conservation des données personnelles.
Obligation de respecter le droit à l’effacement – article 17
Les demandes d’effacement reçues n’entrainaient pas la suppression des données personnelles du client ayant formulé cette demande, seule la désactivation de l’accès au compte était effectuée.
Obligation d’assurer la sécurité des données personnelles – article 32
- Pas de mot de passe robuste demandé lors de la création d’un compte sur le site web.
- Accès des salariés au logiciel de gestion de la relation client.
- Sécurisation insuffisante
- Authentification insuffisamment sécurisée des salariés pour accéder aux bases de données de la société : conservation des mots de passe permettant d’y accéder, en clair, dans un fichier texte contenu dans un ordinateur de la société.
- Accès de 4 des salariés à une copie de la base de production de la société BRICO PRIVÉ par un compte commun.
Les manquements à la prospection commerciale et aux cookies
Aux manquements au RGPD s’ajoutent ceux liés à la prospection commerciale et aux cookies qui relèvent eux du Code des Postes et Communications Electroniques – CPCE – et de la loi Informatique et Libertés.
Obligation de recueillir le consentement des personnes à des fins de prospection commerciale par courriel – article L. 34-5 du CPCE
Des messages électroniques de prospection sans consentement préalable étaient adressés à des personnes ayant créé un compte sur le site mais qui n’ont effectué aucun achat.
La CNIL ordonne la cessation immédiate de prospecter les personnes non clientes dans ces conditions assortie d’une injonction de mise en conformité en lien avec ce manquement.
Obligation de recueillir le consentement des personnes sur l’installation de cookies sur leur terminal – article 82 de la loi Informatique et Libertés
Des cookies, notamment à des fins publicitaires, issus du site bricoprive.com, étaient automatiquement déposés sur le terminal des internautes, sans demande de consentement.
Source : Délibération SAN-2021-008 du 14 juin 2021
Trackbacks for this post