Bon je vous l'avais promis, il est temps de vous faire un résumé des deux sanctions CNIL de la semaine dernière !
Let the flood begin.
Le 18 novembre la CNIL a infligé 2 sanctions au sein du groupe Carrefour :
- 2,25millions d'euros contre Carrefour France
- 800 000 euros contre Carrefour Banque
On commence par résumer la sanction Carrefour France.
La CNIL a lancé son enquête contre Carrefour France à la suite de 15 plaintes reçues, principalement parce que Carrefour ne supprimait pas des clients de listing de prospection malgré leurs demandes.
La CNIL a donc décidé d'enquêter sur Carrefour et a élargi son enquête à d'autres sujets que celui des plaintes.
Moralité : répondez aux demandes des clients !
Premier constat de la CNIL, des durées de conservation trop longues. Les données clients étaient gardées 4 ans après leur dernier achat, la CNIL recommande 3 ans max.
Bon.
Ensuite, Carrefour exigeait systématiquement une copie d'une pièce d'identité pour l'exercice des droits (accès, suppression, portabilité, toussa). Or c'est interdit. On ne peut exiger un ID que s'il existe un doute sur l'identité de la personne, pas systématiquement.
3e point, et là c'est particulièrement intéressant, l'information obligatoire.
Le RGPD liste les informations obligatoires à fournir aux personnes (ce qu'on trouve dans la politique de confidentialité en gros) et dit que ces infos doivent être claires et facilement accessibles.
Là, la CNIL constate plusieurs manquements.
Pêle-mêle :
- Les infos éparpillées un peu partout sur le site et pas regroupé sur une même page
- Les infos bien cachées au milieu des CGU (interminables)
- Les infos pas hiérarchisées, sans titre, etc pour que ce soit bien indigeste
- L'utilisation de termes pour rendre l'info floue : notamment, une ou plusieurs finalités, entre autre, etc.
Bref, tout pour embrouiller les personnes, ça ne passe pas.
Ensuite pour tout ce qui est exercice de droit.
Déjà, la CNIL reproche l'obligation de se logger pour se désabonner d'une newsletter, d'autant plus que certains abonnés n'avaient pas de comptes.
Elle reproche également à Carrefour d'avoir répondu à une demande de suppression en supprimant le client du listing prospection. Or le client demandait bien une suppression totale de son compte.
3 derniers points sur cette première sanction :
- Des données accessibles en claire sur le net, il suffisait juste de modifier un caractère d'une URL (un classique).
- Une faille de sécurité jamais notifiée à la CNIL et pas corrigée au bout de 2 ans
- Aucun respect du consentement en matière de cookies, 39 cookies déposées dès votre arrivée sur le site.
On passe maintenant à la sanction Carrefour Banque. La CNIL a décidé d'enquêter sur cette filiale de Carrefour afin de vérifier les échanges de données entre elle et Carrefour France (qui gère notamment le site carrefour.fr).
Globalement les reproches sont les mêmes : pas de respect des droits, mauvaise information, utilisation abusive des cookies.
Mais il faut en plus ajouter des échanges open-bar (ou presque) de données avec les autres sociétés du groupe Carrefour sans en informer les clients.
Eh oui, même au sein d'un groupe on peut pas se passer la donnée n'importe comment.
Concernant le montant des amendes, la CNIL note que Carrefour a été collaboratif et a corrigé les problèmes avant même la fin de l'enquête. Elle juge néanmoins qu'il s'agit de manquements trop graves et décide donc d'une amende et de rendre la sanction publique.
L'autre point, c'est la décision de mettre une amende alors que la société a rapidement rectifié le tir. On pourra discuter du montant, mais en tout cas c'est la première fois que la CNIL agit de la sorte. On peut donc dire que la période de tolérance est passée.
Sur ce, si vous voulez en savoir plus je vous renvoie vers les résumés sur GDPRhub (en anglais).
- https://gdprhub.eu/index.php?title=CNIL_-_SAN-2020-008 (de moi)
- https://gdprhub.eu/index.php?title=CNIL_-_SAN-2020-009 (de @Fra-data67)
Et si vous avez des questions, hésitez pas je reste dans le coin.
@Roka super résumé, merci!
@Roka Merci pour ces infos !
Dans mon entourage, un grand nombre d'informaticiens ont pour opinion que la CNIL sanctionne très peu les violations du RGPD, sans doute par manque de moyens, alors qu'il y en a partout, jusque sur les sites de journaux nationaux (https://www.pixeldetracking.com/fr/home/le-pire-du-recueil-du-consentement-avec-lemonde-fr). Est-ce que tu es en désaccord avec cette affirmation ?
@mallabori
Je suis complètement d'accord !
Il suffit de regarder sur https://www.enforcementtracker.com/ ou https://gdprhub.eu pour se rendre compte que la CNIL est bien moins active que ses homologues. La CNIL espagnole prononce par exemple par semaine le même nombre d'amendes que la CNIL française en un an. Mais avec des montants d'amende bien moindre. Ce sont des stratégies différentes.
@Roka merci pour ces liens intéressants, je connaissais pas !
Ce qui est intéressant dans ces deux décisions c'est que ce sont des cas d'école de ce qu'il ne faut pas faire quand on gère un site marchand. C'est un très bon exemple à citer si vous travaillez ou avez à faire avec ces sociétés.