Le Quotidien du 18 juin 2021 : Données personnelles

[Brèves] Sanction de 500 000 euros à l’encontre de la société Brico Privé

Réf. : CNIL, 14 juin 2021, délibération n° SAN-2021-008 (N° Lexbase : X9170CML)

Lecture: 6 min

N7967BYQ

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Brèves] Sanction de 500 000 euros à l’encontre de la société Brico Privé. Lire en ligne : https://www.lexbase.fr/article-juridique/69325965-breves-sanction-de-500-000-euros-a-lencontre-de-la-societe-brico-prive
Copier

par Marie-Lou Hardouin-Ayrinhac

le 17 Juin 2021

►  Pour avoir envoyé des courriels de prospection sans le consentement des personnes et pour avoir manqué à plusieurs obligations du « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I), la formation restreinte de la CNIL a prononcé une amende de 500 000 euros à l'encontre de la société Brico Privé et a décidé de rendre publique sa décision ;

Elle a également enjoint à la société de mettre ses traitements en conformité avec l’article L. 34-5 du Code des postes et des communications électroniques (CPCE) (N° Lexbase : L7352LXL) et l’article 5, 1, e), du « RGPD » et d’en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500 euros par jour de retard.

Contexte. La CNIL a effectué trois contrôles entre 2018 et 2021 auprès de la société Brico Privé, qui édite le site de ventes privées « bricoprive.com » dédié au bricolage, au jardinage et à l’aménagement de la maison. Cette société exerce son activité en France ainsi que dans trois autres pays européens (Espagne, Italie et Portugal). Lors des contrôles, la CNIL a constaté plusieurs manquements concernant le traitement de données personnelles des prospects et des clients.

Sur la base de ces éléments, la CNIL a effectivement considéré que la société avait manqué à plusieurs obligations prévues par le Code des postes et des communications électroniques (CPCE), le « RGPD » et la loi « Informatique et Libertés » (loi n° 78-17, du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés N° Lexbase : L8794AGS).

Les personnes concernées se trouvant dans plusieurs pays de l’Union européenne, la formation restreinte a coopéré, sur une partie de la décision, avec les autorités de contrôle des trois pays dans lesquels la société Brico Privé propose ses services. 

Les manquements au « RGPD » soumis à coopération européenne

  • Un manquement à l’obligation de limiter la durée de conservation des données (« RGPD », art. 5.1.e)

La société Brico Privé ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de 16 000 clients n’ayant pas passé commande depuis cinq ans étaient ainsi conservées. Il en était de même pour plus de 130 000 personnes ne s’étant pas connectées à leur compte client depuis cinq ans.

Des mesures ont été prises par la société au cours de la procédure, mais ne permettaient pas d’atteindre pleinement une mise en conformité, la CNIL a ainsi prononcé une injonction à l’encontre de la société.

  • Un manquement à l’obligation d’information des personnes (« RGPD », art. 13)

L’information mise à disposition des utilisateurs du site ne comportait pas l’ensemble des éléments exigés par le « RGPD », que ce soit dans les conditions générales de vente, les mentions légales ou la politique de conservation des données personnelles.

La société a cependant mis en place des mesures pour procéder aux modifications nécessaires à sa mise en conformité avec le « RGPD » au cours de la procédure.

  • Un manquement à l’obligation de respecter le droit à l’effacement (« RGPD », art. 17)

La société Brico Privé a manqué à son obligation de donner pleinement suite aux demandes d’effacement qu’elle recevait dans la mesure où la société ne supprimait pas les données personnelles du client ayant formulé cette demande (en conservant par exemple, ses nom, prénom et adresse électronique). Elle procédait uniquement à la désactivation de l’accès au compte.

La société a toutefois pris les mesures requises au cours de la procédure concernant ce point.

  • Un manquement à l’obligation d’assurer la sécurité des données personnelles (« RGPD », art. 32)

La société n’imposait pas l’utilisation d’un mot de passe robuste lors de la création d’un compte sur son site web ou lors de l’accès des salariés au logiciel de gestion de la relation client. De plus, l’authentification des salariés pour accéder aux bases de données de la société était insuffisamment sécurisée en raison de la conservation des mots de passe permettant d’y accéder, en clair, dans un fichier texte contenu dans un ordinateur de la société. Enfin, les salariés de la société accédaient à une copie de la base de production de la société Brico Privé par un compte commun à quatre salariés.

La société a toutefois pris des mesures au cours de la procédure concernant ces points.

Les manquements à la prospection commerciale et aux cookies, non soumis à la coopération européenne

En plus des manquements au « RGPD » qui ont dû faire l’objet d’un processus de coopération avec les autorités de contrôle espagnole, italienne et portugaise, la sanction prononcée porte sur des manquements relatifs à la prospection commerciale par voie électronique et aux cookies.

Ces deux points ne relèvent pas du « RGPD » mais du CPCE et de la loi « Informatique et Libertés » et n’ont donc pas été soumis aux autres autorités européennes.

  • Un manquement à l’obligation de recueillir le consentement des personnes à des fins de prospection commerciale par courriel (CPCE, art. L. 34-5)

La société adressait des messages électroniques de prospection sans recueillir leur consentement préalable à des personnes ayant créé un compte sur le site mais n’ayant pas procédé à un achat.

Or, dans ce cas, l’article L. 34-5 du CPCE prévoit que de telles opérations sont soumises au consentement préalable des personnes concernées. En l’absence d’un tel consentement, la formation restreinte a considéré que la société méconnaissait ses obligations et qu’elle devait cesser de prospecter les personnes non-clientes dans ces conditions.

La CNIL a prononcé une injonction de mise en conformité en lien avec ce manquement.

  • Un manquement relatif aux cookies (loi « Informatique et Libertés », art. 82)

La CNIL a constaté que, lorsqu’un utilisateur se rendait sur le site « bricoprive.com », plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies étant utilisés à des fins publicitaires, le consentement de l’utilisateur aurait pourtant dû être recueilli avant leur dépôt.

La société ayant modifié, durant la procédure, le fonctionnement de son site web, plus aucun cookie publicitaire n’est désormais déposé avant que l’utilisateur n’ait donné son accord.

Sanction. La formation restreinte de la CNIL a prononcé une amende de 500 000 euros et a décidé de rendre publique sa décision. Elle a également enjoint à la société de mettre ses traitements en conformité avec l’article L. 34-5 du CPCE et l’article 5, 1, e), du « RGPD » et d’en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500 euros par jour de retard.

© Reproduction interdite, sauf autorisation écrite préalable

newsid:477967

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.