Minimisation des collectes, respect du droit de retrait du consentement, sécurité des données, contrôle des traitements effectués par les sous-traitants… Autant d’obligations inscrites dans le RGPD… et qui ont valu à cinq entreprises des sanctions financières prononcées cette année par la CNIL. Les voici, par ordre antechronologique.
18 septembre : 200 000 € d’amende pour SAF Logistics
Cette compagnie de fret aérien a son siège français en région parisienne et sa maison mère en Chine. La CNIL lui a infligé des amendes pour manquements dans les domaines suivants.
– Obligation de minimiser les données personnelles collectées et utilisées (article 5.1.c du RGPD)
A l’aide d’un formulaire, SAF Logistics collectait de plus en plus d’informations relatives aux membres de la famille des salariés.
– Interdiction de traiter des données sensibles (article 9)
Ce formulaire nécessitait la fourniture de données sensibles. Parmi eux, le groupe sanguin, l’origine ethnique et l’affiliation politique.
– Interdiction de collecter ou de traiter des données relatives aux infractions, condamnations et mesures de sûreté (article 10)
L’entreprise conservait des extraits de casier judiciaire alors même que les salariés concernés étaient déjà soumis à une autorisation délivrée par les autorités compétentes à la suite d’une enquête administrative.
– Obligation de coopérer avec les services de la CNIL (article 31)
La CNIL a demandé la traduction du formulaire, rédigé en chinois. Il a reçu une traduction incomplète : des champs manquaient, comme ceux relatifs à l’appartenance ethnique ou à l’affiliation politique. La commission considère que SAF Logistics a intentionnellement cherché à l’empêcher d’exercer ses pouvoirs de contrôle.
15 juin : 40 millions d’euros d’amende pour Criteo
La CNIL a relevé cinq manquements majeurs de la part de l’entreprise.
– Obligation de démontrer qu’une personne a donné son consentement (article 7.1)
Dans le cadre des activités ciblées, il appartient aux partenaires de Criteo – en contact direct avec les internautes – de recueillir les consentements nécessaires. Beaucoup ne l’ont pas fait. Cependant, Criteo n’avait mis en place aucune mesure permettant de le détecter. Les contrats avec les partenaires ne contenaient également aucune clause leur imposant de fournir la preuve de leur consentement.
– Obligation d’information et de transparence (articles 12 et 13)
La politique de confidentialité de Criteo n’incluait pas l’ensemble des finalités poursuivies par le traitement. Et certaines étaient exprimées en termes vagues et généraux.
– Respect du droit d’accès (article 15.1)
Lorsqu’une personne exerçait ce droit, Criteo ne lui envoyait pas tout ce qu’elle aurait dû avoir. Il n’a pas non plus fourni suffisamment d’informations pour comprendre le contenu des données envoyées.
– Droit de retirer le consentement et d’effacer les données (articles 7.3 et 17.1)
Lorsqu’une personne exerçait ces droits, l’affichage des publicités personnalisées prenait fin, mais Criteo ne supprimait pas l’identifiant associé ni n’effaçait les événements de navigation associés.
– Obligation de prévoir un accord entre les responsables conjoints du traitement des données (article 26)
L’accord avec les partenaires ne précisait pas certaines de leurs obligations. Par exemple sur l’exercice des droits des personnes concernées et sur l’obligation de déclarer les violations de données à la CNIL.
8 juin : 150 000 € d’amende pour KG COM
Cette société propose des services de voyance en ligne et par téléphone. La CNIL l’a contrôlé après la révélation, en 2020, d’une fuite de données. La situation financière de l’entreprise justifie le montant de l’amende, malgré un nombre de manquements particulièrement élevé.
– Minimisation des données collectées et utilisées (article 5.1.c)
KG COM enregistrait systématiquement tous les appels téléphoniques entre téléopérateurs et prospects, ainsi qu’entre médiums et clients. La CNIL considère que l’entreprise n’a pas justifié la nécessité de cette démarche au regard des objectifs avancés (contrôle de la qualité du service, justificatif de souscription au contrat, perspectives de réquisitions judiciaires).
– Obligation d’avoir une base légale pour l’utilisation des données bancaires (article 6)
KG COM conservait les données bancaires des clients au-delà de la durée strictement nécessaire à la réalisation de la transaction. La société a fait valoir son intérêt légitime dans la lutte contre la fraude. Ce que la CNIL a validé. La commission a en revanche estimé que le consentement aurait dû être obtenu dans l’autre but avancé : faciliter l’achat de nouvelles consultations.
– Obligation d’obtenir le consentement avant la collecte de catégories particulières de données (article 9)
Lors des consultations, les clients peuvent communiquer des données sur leur santé et leur orientation sexuelle ; et les voyants, prenez note. La simple volonté de bénéficier de services de voyance et de fournir spontanément des informations sensibles ne peut être considérée comme un consentement explicite, déclare la CNIL.
– Obligation d’assurer la sécurité des données (article 32)
Les exigences en matière de mot de passe pour les comptes d’utilisateurs étaient insuffisantes. Le site www.voyance-en-direct.tv utilisait le protocole HTTP. Et le mécanisme de cryptage des données bancaires présentait des vulnérabilités.
– Obligation de déclarer les violations de données à la CNIL (article 33)
KG COM considère ne pas être en mesure de constater la violation de données qui lui a été signalée. Motif : la fermeture de son serveur et le manque de conservation des logs de connexion par le sous-traitant. La CNIL a estimé que l’entreprise pouvait comparer l’échantillon qui lui avait été fourni avec sa base de données.
– Obligations liées à l’utilisation des cookies (art. 82 loi informatique et libertés)
Premier manquement : le dépôt de trois cookies sans consentement à l’arrivée sur le site. Deuxième échec : l’absence de bandeau d’information. Celui finalement mis en place ne permettait pas dans un premier temps de refuser le dépôt de cookies aussi facilement que de l’accepter.
11 mai : 280 000 € d’amende pour Doctissimo
La CNIL a structuré sa décision en cinq manquements majeurs, mais certains cumulent plusieurs infractions.
– Interdiction de conserver les données personnelles plus longtemps que nécessaire aux finalités du traitement (article 5.1.e)
Le manquement constaté est lié, d’une part, aux questionnaires et tests Doctissimo. De l’autre, aux comptes d’utilisateurs. Sur le premier point, la CNIL a sanctionné la conservation des réponses et des adresses IP pendant 24 mois, sans que cela soit nécessaire. Elle a également estimé que Doctissimo n’avait pas contrôlé efficacement les pratiques du sous-traitant chargé d’anonymiser ces données. Il utilisait une fonction SHA256 sans clé de hachage, effectuant ainsi uniquement une pseudonymisation.
Le deuxième point va dans le même sens : une anonymisation inefficace des comptes utilisateurs après trois ans d’inactivité. Doctissimo n’a pas, dans ce contexte, exercé un contrôle satisfaisant sur les mesures techniques et organisationnelles de son sous-traitant.
– Obligation d’obtenir le consentement au traitement de catégories particulières de données personnelles (article 9)
Dans le viseur, des questionnaires de santé. Doctissimo n’a pas recueilli de consentement au traitement des réponses. Elle a simplement fourni un lien vers sa politique de protection des données personnelles.
– Obligation de réglementer, par un acte juridique formalisé, le traitement effectué conjointement avec un autre responsable du traitement (article 26)
Aucun des contrats conclus avec deux sous-traitants ne définissait les obligations respectives.
– Obligation d’assurer la sécurité des données personnelles (article 32)
Les pages de test utilisaient le protocole HTTP. Les mots de passe faisaient l’objet d’une protection insuffisante (hachage MD5 obsolète, puis utilisation de Bcrypt alors même que la combinaison d’algorithmes cryptographiques pour assurer le stockage des données personnelles n’est pas recommandée).
– Obligation de fournir des informations sur les traitements (art. 82 loi informatique et libertés)
A son arrivée sur le site, Doctissimo a déposé un cookie publicitaire sans obtenir le consentement préalable, et avant toute action de l’utilisateur.
16 mars : 125 000 € d’amende pour Cityscoot
La première sanction financière de l’année a visé la société de location de scooters en libre-service. La CNIL a constaté trois manquements.
– Obligation d’assurer la minimisation des données (article 5.1.c)
Aucune des finalités avancées ne justifiait une collecte aussi détaillée de données de géolocalisation, a jugé la CNIL. Cityscoot a cité le traitement des infractions au code de la route et des plaintes des clients, ainsi que l’accompagnement des utilisateurs et la gestion des réclamations et des vols.
– Obligation de réglementer, par le biais d’un contrat, le traitement effectué par un sous-traitant (article 28.3)
Trois de ces contrats ne contenaient pas toutes les informations requises.
– Obligation d’informer l’utilisateur et d’obtenir son consentement avant de s’inscrire et de prendre connaissance des informations sur son équipement personnel (art. 82 loi informatique et libertés)
Cityscoot a utilisé reCAPTCHA lors de la création d’un compte sur l’application mobile. Ainsi que lors de la connexion et de la réinitialisation des mots de passe sur le site Web. Le mécanisme impliquait l’envoi de données à Google pour analyse. L’utilisateur n’en a pas été informé.
A consulter en complément :
RGPD : changement du certificat de conformité
RGPD : cinq ans après, les failles des dossiers transfrontaliers
La CJUE clarifie deux aspects clés du RGPD
La réforme du RGPD prend forme au Royaume-Uni
Illustration © portailgda via Chasse visuelle / CC BY-NC-SA
