Le 14 juin 2021, la Commission Nationale de l’Informatique et des Libertés (CNIL) réunie en sa formation restreinte a prononcé à l’encontre de la société BRICO PRIVE une sanction de 500 000 € pour divers manquements relatifs à la protection des données personnelles (la CNIL a décomposé l’amande administrative en deux : 300 000 € pour les divers manquements au RGPD - manquements relevés dans le cadre de la coopération entre les autorités de contrôle européennes -, et 200 000€ pour les manquements relevant du droit français et donc de la compétence exclusive de la CNIL), ainsi qu’une injonction de mettre en conformité le traitement des données à caractère personnel dans les trois mois à venir.

Il est à noter que cette sanction a donné lieu à la mise en œuvre d’une procédure de coopération entre les autorités européennes de contrôle (ici l’Italie, l’Espagne et le Portugal en plus de la France), comme prévu aux articles 56 et 60 du règlement RGPD en ce qui concerne les manquements au dit-règlement (la Cnil indique : « les investigations ayant permis d’établir le caractère transfrontalier du traitement concerné, la CNIL a informé le 27 août 2019, conformément à l’article 56 du RGPD, l’ensemble des autorités de contrôle européennes de sa compétence pour agir en tant qu’autorité de contrôle chef de file et a ainsi ouvert la procédure pour la déclaration des autorités concernées sur ce cas »).

La CNIL a retenu contre BRICO PRIVE 6 six manquements :

• Manquement à l’obligation de limiter la durée de conservation des données : BRICO PRIVE avait bien transmis à la CNIL sa politique en matière de conservation de données, mais elle ne s’y est pas tenue. De plus, BRICO PRIVE conservait des données de clients n’ayant pas passé commande, ou ne s’étant pas connectés sur le site depuis plus de 5 ans.

• Manquement relatif à l’obligation d’informer les personnes concernées. Certaines informations que BRICO PRIVE se devait de mentionner aux personnes concernées étaient absentes ou partiellement absentes de son site internet, à savoir :

• les coordonnées du délégué à la protection des données ;
• les durées de conservation des données ;
• les bases juridiques des traitements ;
• ainsi que certains droits dont les personnes bénéficient au titre du RGPD : A savoir, droit à la limitation du traitement, droit à la portabilité des données et droit d’introduire une réclamation auprès d’une autorité de contrôle.

• Manquement relatif à l’obligation de respecter les demandes d’effacement de données à caractère personnel. En effet, il est apparu que BRICO PRIVE ne respectait pas les demandes d’effacement de données des clients, celle-ci se contentant seulement de désactiver son compte, conservant donc les données.

• Manquement relatif à l’obligation d’assurer la sécurité des données à caractère personnel. La société n’imposait pas l’utilisation d’un mot de passe robuste lors de la création d’un compte sur son site web ou lors de l’accès des salariés au logiciel de gestion de la relation client. De plus, l’authentification des salariés pour accéder aux bases de données de la société était insuffisamment sécurisée en raison de la conservation des mots de passe permettant d’y accéder, en clair, dans un fichier texte contenu dans un ordinateur de la société. Enfin, les salariés de la société accédaient à une copie de la base de production de la société BRICO PRIVÉ par un compte commun à quatre salariés.

• Manquement aux obligations relatives à l’utilisation des cookies. Plusieurs cookies étant déposés directement à l’arrivée de l’internaute sur le site, sans que les personnes concernées puissent accorder leur consentement.

• Manquement relatif à l’obligation de recueillir le consentement de la personne concernée pour la réalisation d’opérations de prospection directe au moyen de courriers électroniques. Sur le fondement de l’article L. 34-5 du Code des postes et des communications électroniques (CPCE). Il a en effet été révélé que lors de la création d’un compte, sans acte d’achat sur le site, aucun procédé visant à recueillir le consentement à la collecte et au traitement des données à caractère personnel à des fins de prospection commerciale par courrier électronique n’était mis en œuvre.

Cette sanction n’est pas négligeable, surtout si l’on considère les nombreuses actions correctrices mises en œuvre par BRICO PRIVE durant la procédure, afin de corriger les divers manquements relevés par la CNIL.

Ainsi, cette décision rappelle :

• qu’il convient de porter une attention toute particulière au respect des procédures prévues ; il ne suffit pas de formaliser une procédure, encore faut-il s’y tenir ;
• que toutes les informations prévues à l’article 13 du RGPD doivent être mentionnées à la personne concernée, même si ces informations sont complexes à obtenir et déterminer ;
• qu’il convient de mettre effectivement en place le droit des personnes concernées ;
• que lorsque le consentement est exigé par les textes (cookies ou prospection notamment), il convient de l’obtenir ;
• que la Cnil peut souhaiter vérifier la conformité au RGPD dans toutes les sociétés du groupe, et non seulement dans celles situées en France ; toutes les sociétés du groupe doivent donc être mises en conformité, la Cnil pourra sanctionner la société française après avoir examiné le respect des exigences du RGPD dans d’autres sociétés du groupe.

Cnil, Délibération SAN-2021-008, 14 06 2021