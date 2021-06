La CNIL a effectué trois contrôles entre 2018 et 2021 auprès de la société BRICO PRIVÉ, qui édite le site de ventes privés bricoprive.com dédié au bricolage, au jardinage et à l’aménagement de la maison. Cette société exerce son activité en France ainsi que dans trois autres pays européens (Espagne, Italie et Portugal). Lors des contrôles, la CNIL a constaté plusieurs manquements concernant le traitement de données personnelles des prospects et des clients.

Sur la base de ces éléments, la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a effectivement considéré que la société avait manqué à plusieurs obligations prévues par le Code des postes et des communications électroniques (CPCE), le RGPD et la loi Informatique et Libertés.

Les personnes concernées se trouvant dans plusieurs pays de l’Union européenne, la formation restreinte a coopéré, sur une partie de la décision, avec les autorités de contrôle des trois pays dans lesquels la société BRICO PRIVÉ propose ses services.

À l’issue de ce processus, la formation restreinte a prononcé une amende de 500 000 euros et a décidé de rendre publique sa décision. Elle a également enjoint à la société de mettre ses traitements en conformité avec l’article L.34-5 du CPCE et l’article 5.1.e du RGPD et d’en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500 euros par jour de retard.

Les manquements au RGPD soumis à coopération européenne

Un manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)

La société BRICO PRIVÉ ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de 16 000 clients n’ayant pas passé commande depuis cinq ans étaient ainsi conservées. Il en était de même pour plus de 130 000 personnes ne s’étant pas connectées à leur compte client depuis cinq ans.

Des mesures ont été prises par la société au cours de la procédure mais ne permettaient pas d’atteindre pleinement une mise en conformité, la formation restreinte a ainsi prononcé une injonction à l’encontre de la société.

Un manquement à l’obligation d’information des personnes (article 13 du RGPD)

L’information mise à disposition des utilisateurs du site ne comportait pas l’ensemble des éléments exigés par le RGPD, que ce soit dans les conditions générales de vente, les mentions légales ou la politique de conservation des données personnelles.

La société a cependant mis en place des mesures pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD au cours de la procédure.

Un manquement à l’obligation de respecter le droit à l’effacement (article 17 du RGPD)

La société BRICO PRIVÉ a manqué à son obligation de donner pleinement suite aux demandes d’effacement qu’elle recevait dans la mesure où la société ne supprimait pas les données personnelles du client ayant formulé cette demande (en conservant par exemple, ses nom, prénom et adresse électronique). Elle procédait uniquement à la désactivation de l’accès au compte.

La société a toutefois pris les mesures requises au cours de la procédure concernant ce point.

Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)

La société n’imposait pas l’utilisation d’un mot de passe robuste lors de la création d’un compte sur son site web ou lors de l’accès des salariés au logiciel de gestion de la relation client. De plus, l’authentification des salariés pour accéder aux bases de données de la société était insuffisamment sécurisée en raison de la conservation des mots de passe permettant d’y accéder, en clair, dans un fichier texte contenu dans un ordinateur de la société. Enfin, les salariés de la société accédaient à une copie de la base de production de la société BRICO PRIVÉ par un compte commun à quatre salariés.

La société a toutefois pris des mesures au cours de la procédure concernant ces points.

Les manquements à la prospection commerciale et aux cookies, non soumis à la coopération européenne

En plus des manquements au RGPD qui ont dû faire l’objet d’un processus de coopération avec les autorités de contrôle espagnole, italienne et portugaise, la sanction prononcée porte sur des manquements relatifs à la prospection commerciale par voie électronique et aux cookies.

Ces deux points ne relèvent pas du RGPD mais du CPCE et de la loi Informatique et Libertés et n’ont donc pas été soumis aux autres autorités européennes.

Un manquement à l’obligation de recueillir le consentement des personnes à des fins de prospection commerciale par courriel (article L. 34-5 du CPCE)

La société adressait des messages électroniques de prospection sans recueillir leur consentement préalable à des personnes ayant créé un compte sur le site mais n’ayant pas procédé à un achat.

Or, dans ce cas, l’article L. 34-5 du Code des postes et des communications électroniques (CPCE) prévoit que de telles opérations sont soumises au consentement préalable des personnes concernées. En l’absence d’un tel consentement, la formation restreinte a considéré que la société méconnaissait ses obligations et qu’elle devait cesser de prospecter les personnes non clientes dans ces conditions.

La formation restreinte de la CNIL a prononcé une injonction de mise en conformité en lien avec ce manquement.

Un manquement relatif aux cookies (article 82 de la loi Informatique et Libertés)

La CNIL a constaté que, lorsqu’un utilisateur se rendait sur le site bricoprive.com, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part. Plusieurs de ces cookies étant utilisés à des fins publicitaires, le consentement de l’utilisateur aurait pourtant dû être recueilli avant leur dépôt.

La société ayant modifié, durant la procédure, le fonctionnement de son site web, plus aucun cookie publicitaire n’est désormais déposé avant que l’utilisateur n’ait donné son accord.