Livv
Décisions

CNIL, 24 juin 2015, n° 2015-059

CNIL

Décision

COMPOSITION DE LA JURIDICTION

Présidente :

Mme Falque-Pierrotin

CNIL n° 2015-059

23 juin 2015

La Présidente de la Commission nationale de l’informatique et des libertés ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code pénal ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 45 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2014-298C du 24 octobre 2014 de la Présidente de la Commission nationale de l’informatique et des libertés de procéder à une mission de vérification de tout traitement de données à caractère personnel mis en œuvre dans le cadre de la gestion et de l’exploitation du site […] et des applications mobiles associées ;

Vu les procès-verbaux de contrôle sur place n° 2014-298/1 et n° 2014-298/2, respectivement des 3 et 4 novembre 2014 ainsi que le procès-verbal de contrôle en ligne n° 2014-298/3 du 11 mai 2015.

I- Constate les faits suivants

La société par actions simplifiée X (ci-après la société ), sise […], a pour activité principale la mise en ligne et la gestion du site de rencontre […]. Elle emploie environ 250 personnes et a dégagé un chiffre d’affaires de (…) sur l’exercice 2013 selon les informations délivrées par la société.

En application de la décision n° 2014-298C du 24 octobre 2014 de la Présidente de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission ), une délégation de la CNIL a procédé à une mission de contrôle sur place les 3 et 4 novembre 2014 auprès de la société X. La délégation s’est attachée à examiner la conformité des traitements de données à caractère personnel mis en œuvre par la société, ou pour son compte, aux dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée, et en particulier ceux relatifs à la gestion et à l’exploitation du site web […] et des applications mobiles associées. Une délégation a également effectué un contrôle en ligne sur le site […] le 11 mai 2015 afin d’effectuer des constatations complémentaires.

La société a effectué auprès de la CNIL une déclaration n° 796865 le 15 mars 2002, modifiée les 27 juillet 2009 et 28 novembre 2011, puis le 31 juillet 2014 relative au traitement dont la finalité est intitulée Gestion des relations avec les membres et prospects des services X . Cette dernière modification porte sur les coordonnées du déclarant, de nouveaux transferts de données en dehors de l’Union européenne, (…), qui ont été autorisés, et sur la durée de conservation des données.

La délégation a été informée que le site web […] a été créé par la société X en 2002, laquelle est depuis 2009 une entité du groupe Y. Le site web est disponible dans quasiment tous les pays européens, ainsi qu’en version mobile, y compris sous la forme d’applications mobiles.

Il a été précisé que l’inscription sur le site web est gratuite. Depuis 2007, les utilisateurs peuvent également souscrire un abonnement payant afin d’accéder à l’ensemble des services du site.

Il a été constaté que la base de données contenait au total (…) comptes, dont (…) correspondent à des comptes ayant été clôturés. Seuls (…) comptes correspondent à des abonnés actifs, plus de (…) de comptes étant des comptes suspendus volontairement.

La délégation a constaté que, dans le cadre du processus d’inscription et de renseignement du compte, la société collecte auprès de ses membres des données sensibles relatives à leur vie sexuelle, à leur origine ethnique ou raciale et à leur opinion religieuse, en l’absence de recueil du consentement des personnes concernées.

La délégation a été informée que la société utilise plusieurs outils dans le cadre de la modération et de la lutte contre la fraude et le scam permettant notamment de procéder à l’exclusion des utilisateurs du site […]. Elle a constaté, dans l’outil de modération (…), la possibilité de rechercher un membre à partir de son numéro de carte de paiement tronqué. Sur cet outil, aucun renouvellement des mots de passe des utilisateurs n’est imposé.

(…)

Enfin, le contrôle en ligne effectué le 11 mai 2015 a permis de constater le dépôt de nombreux cookies dès l’arrivée sur la page d’accueil du site web.

II- Sur les manquements constatés au regard des dispositions de la loi du 6 janvier 1978 modifiée

Un manquement à l’obligation d’accomplir les formalités préalables à la mise en œuvre du traitement

Dans le cadre de la modération, la délégation a constaté que la société met en œuvre des traitements d’exclusion temporaire ou définitive des utilisateurs du site dont le comportement est contraire à ses Conditions d’Utilisation ( CGU ). (…).

Par ailleurs, il a été indiqué que le site met en œuvre un traitement de blocage (…)

La société a précisé avoir également recours à l’outil (…) de lutte contre la fraude et le scam . (…).

En outre, elle a indiqué utiliser l’outil (…) qui est un outil automatisé d’analyse de texte permettant de déterminer un indice de confiance. (…)

Il a été précisé que le service modération peut également adresser un avertissement à un membre ou procéder à son exclusion sur la base d’un signalement ou du contenu de ses publications. L’exclusion d’un membre est effectuée (…) et sera temporaire ou définitive.

Il apparaît que ces traitements automatisés sont susceptibles d’exclure des personnes du bénéfice d’un contrat ou d’une prestation. Ils relèvent donc du régime de l’autorisation en matière de formalités préalables auprès de la CNIL.

Or, la société n’a procédé à aucune demande d’autorisation concernant de tels traitements.

Ces faits constituent un manquement aux dispositions du 4° de l’article 25-I de la loi du 6 janvier 1978 modifiée qui dispose que, sont mis en œuvre après autorisation de la CNIL, Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire .

Il est rappelé qu’en application des articles 226-16 alinéa 1er et 226-24 du code pénal combinés, le fait pour une personne morale, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation de recueillir le consentement de la personne concernée pour le traitement de données sensibles relatives aux origines ethniques ou raciales, aux opinions religieuses et à la vie sexuelle des personnes

La délégation a constaté que l’internaute doit renseigner obligatoirement sur le formulaire d’inscription de la page d’accueil du site […] l’information relative à sa vie sexuelle.

Il a été constaté sur cette page d’accueil la présence de mentions d’information indiquant que Certains éléments (photographie, profil, style de vie) que [l’utilisateur peut] fournir pour [se] décrire peuvent, sous [sa] responsabilité exclusive, manifester [son] origine ethnique, [sa] nationalité ou [sa] religion. Le cas échéant, [la société X] traiter[a] et protéger[a] ces données conformément [au] libre choix [de l’utilisateur] et aux CGU de X.

La délégation a également constaté la collecte facultative de données relatives aux origines raciales ou ethniques ainsi que les opinions religieuses, une case je le garde pour moi pouvant être cochée. En outre, les étapes de renseignement du compte peuvent être validées sans renseignement de ces champs.

L’article 8 de la loi du 6 janvier 1978 modifiée prévoit notamment qu’il est interdit de collecter ou de traiter des données à caractère personnel qui sont relatives aux origines raciales ou ethniques, aux opinions religieuses et à la vie sexuelle des personnes, sauf dans les cas prévus au II de cet article, notamment en cas de consentement exprès des personnes concernées.

Or, le consentement ne peut être exprès que s’il est donné en toute connaissance de cause c’est-à-dire après la délivrance d’une information adéquate sur l'usage qui sera fait des données personnelles, indépendamment de la possibilité laissée à l’internaute de cocher une case je le garde pour moi ou de ne pas renseigner ses données.

En l’espèce, l’information quant au traitement des données sensibles est délivrée sur la page d’accueil en dessous du formulaire d’inscription au sein duquel des données relatives à la vie sexuelle sont collectées. Elle figure également dans les Conditions d’utilisation ( CGU ) dont le lien renvoyant vers celles-ci est cliquable jusqu’à la confirmation de l’inscription.

Toutefois, qu’il s’agisse des données relatives à la vie sexuelle des personnes ou des données relatives aux origines raciales ou ethniques ainsi que des opinions religieuses, aucun moyen technique à l’endroit de la collecte n’est mis à la disposition de la personne auprès de laquelle les données sensibles sont collectées et traitées afin de s’assurer qu’elle y consent de manière expresse sur la base d’une information spécifique.

Ces faits constituent un manquement à l’article 8 de la loi du 6 janvier 1978 modifiée qui prévoit notamment qu’il est interdit de collecter ou de traiter des données à caractère personnel qui sont relatives à la vie sexuelle des personnes, sauf dans les cas prévus au II de cet article, notamment en cas de consentement exprès des personnes concernées.

Il est rappelé enfin qu’en application des articles 226-19 et 226-24 du code pénal combinés, le fait pour une personne morale, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle de celles-ci, est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données

(…)

Si la finalité relative à la nécessité d’identification des personnes est légitime, le traitement du numéro de la carte de paiement des utilisateurs, quand bien même tronqué, est excessif au regard de la finalité du traitement.

Ces faits constituent des manquements aux obligations découlant du 3° de l’article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée, qui dispose que les données à caractère personnel collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Il est rappelé à cet égard que la CNIL a adopté la délibération n° 2013-358 du 14 novembre 2013 portant adoption d’une recommandation quant aux données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance.

Celle-ci précise que la collecte du numéro de carte de paiement ne peut avoir pour finalités que la réalisation d'une transaction, la réservation d'un bien ou d'un service, la création d'un compte de paiement pour faciliter les achats ultérieurs sur le site du commerçant, l'offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement ou encore la lutte contre la fraude à la carte de paiement.

Un manquement à l’obligation de définir et respecter une durée de conservation des données proportionnée à la finalité du traitement

En premier lieu, la société a procédé le 15 mars 2002 à la déclaration n° 796865 de son traitement ayant pour finalité la Gestion des relations avec les membres et prospects des services X . Par courrier du 31 juillet 2014 venant modifier cette déclaration, elle a indiqué qu’elle conservait les données de ses clients pour toute la durée de la gestion de la relation commerciale, en ce compris la durée de prescription applicable aux procédures éventuelles et pour lesquelles ces données constitueraient des preuves ou permettraient d’établir le respect d’une obligation légale par X . Elle a ajouté que les données des prospects, ainsi que celles des clients à l’issue de la relation commerciale, sont conservées pendant 3 ans à des fins de prospection commerciale. Elle précise qu’ au terme de ces délais, les données [seraient] anonymisées de manière irréversible afin d’en supprimer tout élément personnel, aux fins d’analyses agrégées et statistiques […] .

Or, il a été constaté lors du contrôle sur place que la base de données contenait au total (…) comptes. Parmi ceux-là, (…) comptes sont conservés alors qu’ils correspondent à des comptes ayant été clôturés, dont (…) il y a plus de 3 ans. De plus, la plus ancienne clôture de compte à l’initiative de l’utilisateur date du 24 mars 2003.

Il résulte de ces constatations que la société conserve les données des personnes ayant procédé à la clôture de leur compte au-delà de la durée de 3 ans après cette clôture. Outre le fait que la personne n’est plus cliente, elle n’a même plus la qualité de prospect. La société ne procède donc pas à la purge des données des comptes clients clôturés sur la base des durées de conservation qu’elle a définies par déclaration n° 796865.

Concernant les comptes ayant fait l’objet d’une modération par le site, il a été constaté que parmi les (…) comptes clôturés il y a plus d’un an, (…) comptes l’ont été pour des raisons de modération. A cet égard, la plus ancienne clôture de compte pour de telles raisons date du 19 juin 2002 (année de la création du site web […]).

De plus, il a été constaté que la société conserve sans limitation dans son outil de modération les messages des utilisateurs donnant lieu à une action de modération, le plus ancien message conservé datant du 3 avril 2011.

En outre, la société indique dans la déclaration n° 796865 de son traitement qu’elle souhaite conserver les données des comptes clients notamment à des fins probatoires. Toutefois, la conservation des ces données en base active est excessive au regard de cette finalité, les données devant faire l’objet d’un archivage intermédiaire.

L’absence de purge de données est d’ailleurs confirmée par la société elle-même qui a informé la délégation qu’elle a élaboré un projet relatif au cycle de vie des données , dans lequel un processus de suppression et d’anonymisation des données collectées auprès des utilisateurs est prévu. Par courrier du 17 novembre 2014, la société a fourni à la CNIL une procédure relative aux règles internes de purge des données des membres daté du 24 juillet 2014 (12 mois après la clôture du compte et à l’issue de 24 mois d’inutilisation d’un compte).

A cet égard, l’avis 5/2009 du G29 sur les réseaux sociaux en ligne adopté le 12 juin 2009, précise que certains services de réseautage social conservent également les données d'identification des utilisateurs suspendus du service pour s'assurer qu'ils ne pourront pas se reconnecter. Ces utilisateurs doivent alors être informés qu'un tel traitement est en cours. En outre, les seules informations dont la conservation est autorisée sont les informations d'identification et non les raisons pour lesquelles ces personnes ont été suspendues. Ces informations ne devraient pas être conservées plus d'un an .

Par ailleurs, il a été constaté que la plus ancienne suspension d’un compte à l’initiative de l’utilisateur date du 5 octobre 2009. La société a précisé qu’au jour du contrôle aucune politique de purge n’était mise en place s’agissant des comptes inutilisés depuis plus de 24 mois ou suspendus volontairement par un membre. Il en résulte que les comptes inactifs ne font l’objet d’aucune suppression par la société en fonction d’une règle définie.

Enfin, la société a indiqué que dans le cadre du projet relatif au cycle de vie des données , elle conserverait certaines données à caractère personnel des membres à des fins d’analyse et de statistiques agrégées. (…).

Le processus de suppression et d’anonymisation décrit par la société fait apparaître que certaines données demeureraient indirectement identifiantes, ce qui démontre que les données ne feraient pas l’objet d’une purge.

En second lieu, la délégation a constaté lors du contrôle sur place que les données enregistrées dans certains cookies déposés par le site sont accessibles pendant une durée excessive par rapport aux finalités poursuivies. La durée de conservation la plus longue constatée pour un cookie à finalité publicitaire étant de 68 ans.

A cet égard, la CNIL a adopté la délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs. Cette recommandation, qui n’a pas de valeur impérative, vise à interpréter les dispositions législatives précitées et à éclairer sur la mise en place de mesures concrètes permettant de garantir le respect de ces dispositions, afin, soit qu’ils mettent en œuvre ces mesures, soit qu’ils mettent en œuvre des mesures d’effet équivalent.

Elle précise que les Cookies doivent (…) avoir une durée de vie limitée à treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur (faisant suite à l’expression du consentement) et leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site .

L’ensemble de ces faits constitue un manquement aux obligations découlant du 5° de l’article 6 de la loi du 6 janvier 1978 modifiée qui prévoit que les données à caractère personnel sont conservées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Il est en outre rappelé qu’en application des articles 226-20 et 226-24 du code pénal combinés, le fait pour une personne morale, de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d’autorisation ou d’avis, ou par la déclaration préalable adressée à la Commission nationale de l’informatique et des libertés, est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation d’informer et d’obtenir l’accord préalable des personnes concernées avant d’inscrire des informations (cookies) sur leur équipement terminal de communications électroniques ou d’accéder à celles-ci (lecture des cookies)

L’article 32-II de la loi du 6 janvier 1978 modifiée dispose que Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement;

des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur .

Les cookies nécessitant une information et un consentement préalables de l’internaute sont notamment les cookies liés aux opérations relatives à la publicité ciblée et les cookies traceurs de réseaux sociaux générés par les boutons de partage de réseaux sociaux .

Afin de proposer aux professionnels du secteur des lignes directrices en la matière, la CNIL a adopté la délibération précitée n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs.

Cette recommandation rappelle que la validité du consentement est liée à la qualité de l’information reçue . La Commission recommande donc que ce consentement soit recueilli en deux étapes :

première étape : l’internaute qui se rend sur le site d’un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau : des finalités précises des Cookies utilisés ; de la possibilité de s’opposer à ces Cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ; du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal ;

seconde étape : les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des Cookies nécessitant un recueil du consentement : pour l’ensemble des technologies visées par l’article 32-II précité ; par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d'audience .

En outre, la recommandation indique que l’information doit être visible, mise en évidence et complète .

A l’occasion du contrôle en ligne, lorsque la délégation s’est connectée au site web […] , elle a constaté que 45 cookies ont été déposés sur son équipement terminal. Parmi eux, elle a constaté le dépôt de cookies tiers à finalité publicitaire, tels que par exemple ceux émanant des régies publicitaires doubleclick et keyade .

En outre, la délégation a constaté que les internautes sont informés du dépôt des cookies par un bandeau précisant ce qui suit : En poursuivant votre navigation, vous acceptez l’installation de cookies afin de réaliser des statistiques d’audience et vous proposer des services et offres adaptés à vos centres d’intérêt Bas du formulaire ainsi qu’un bouton Pour en savoir plus / paramétrer .

Cependant, la délégation a constaté que le lien hypertexte Pour en savoir plus / paramétrer présent sur le bandeau renvoie vers la page Charte d’utilisation des cookies , qui explique aux internautes comment procéder au paramétrage de leur navigateur en fonction du navigateur utilisé.

Or, le paramétrage du navigateur ne peut être considéré comme un mécanisme valable d’opposition au dépôt des cookies que dans deux cas :

le site ne dépose pas de cookies techniques essentiels à son fonctionnement : dans ce cas, la personne concernée peut paramétrer son navigateur de manière à bloquer le dépôt de tous les cookies, qu’ils proviennent du domaine du site (cookies first party ) ou du domaine d’un tiers (cookies third party ), dont ceux nécessitant son consentement, et ce sans l’exposer à des conséquences négatives importantes ;

le site ne dépose pas de cookies first party nécessitant le recueil du consentement de la personne concernée : dans ce cas, cette dernière peut paramétrer son navigateur de manière à bloquer le dépôt de cookies third party sans empêcher le site de fonctionner ni risquer que des cookies first party soumis au consentement ne soient déposés.

En l’espèce, la Charte d’utilisation des cookies du site précise que X et ses partenaires commerciaux déposent des cookies de session , lesquels sont des cookies techniques. Il est également indiqué que la société dépose des cookies d’origine (de première partie) notamment à des fins de commercialisation et d’analyse , lesquels sont des cookies first party soumis au consentement.

Par conséquent, le paramétrage du navigateur ne peut, en l’espèce, être considéré comme un mécanisme valable d’opposition au dépôt de cookies.

Par ailleurs, la délégation a constaté que le dépôt de cookies dans l’équipement terminal de communications électroniques de l’internaute s’opère dès la connexion au site internet, avant toute action de la part de l’internaute tendant à poursuivre sa navigation sur le site.

Au regard de ce qui précède, il apparaît que le site web n’a pas informé de manière satisfaisante les personnes concernées et n’a pas recueilli leur consentement avant de procéder au dépôt des cookies.

L’ensemble de ces faits constitue un manquement au II de l’article 32 précité de la loi du 6 janvier 1978 modifiée, qui soumet notamment à information et à accord préalables de l’internaute le dépôt de tels cookies.

En outre, il est rappelé qu’en application des articles 131-41 et R. 625-10 du code pénal, le fait pour la personne morale responsable d’un traitement de ne pas informer les personnes concernées et obtenir leur accord avant d’accéder à ou d’inscrire des informations dans leur équipement terminal de communications électroniques est puni d’une peine d’amende pouvant atteindre 7.500 €.

Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données

(…)

Eu égard notamment à la sensibilité des données, ces faits constituent un manquement à l’article 34 de la loi n° 78-17 du 6 janvier 1978 disposant que Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

Il est en outre rappelé qu’en application des articles 226-17 et 226-24 du code pénal combinés, le fait pour une personne morale de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

En conséquence, la société X, sise […], est mise en demeure, sous un délai de trois (3) mois, à compter de la notification de la présente décision, et sous réserve des mesures qu’elle aurait déjà pu adopter, de :

procéder à l’accomplissement des formalités préalables applicables aux traitements mis en œuvre, en particulier procéder à une demande d’autorisation en ce qui concerne les traitements de données susceptibles d’exclure des personnes ;

recueillir le consentement exprès des personnes, sur la base d’une information spécifique, à la collecte et au traitement de leurs données sensibles - en l’espèce des données relatives aux origines ethniques ou raciales, aux opinions religieuses et à la vie sexuelle des personnes - par tout procédé, tel qu’une case à cocher, apposé à l’endroit de la collecte ;

ne traiter que des données adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, notamment en cessant d’utiliser le numéro de la carte de paiement, même tronqué, à des fins d’identification des membres du site ;

définir et mettre en œuvre une politique de durée de conservation des données relatives aux utilisateurs qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées, et notamment :

respecter la durée de conservation des données à caractère personnel telle qu’indiqué dans la déclaration préalable n° 796865 du traitement de gestion des relations avec les membres et les prospects des services X, à défaut procéder à la modification de cette déclaration et justifier de la durée de conservation choisie ;

en fonction des durées de conservation fixées, procéder à la purge des données relatives aux comptes ayant été supprimés (comptes dont les utilisateurs se sont désinscrits) et aux comptes inactifs (suspension volontaire du compte incluse) depuis un certain délai, 2 ans par exemple ;

définir et mettre en œuvre une politique d’archivage intermédiaire des données des membres qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées, en particulier s’agissant des finalités probatoires, et prévoir à cet effet une base de données d’archives dédiée ou une séparation logique dans la base de données active, après avoir opéré un tri des données pertinentes à archiver ; procéder à la purge des données des profils archivés qui ne sont pas nécessaires à l’établissement de la preuve d’un droit ou d’un contrat ou au respect d’une obligation légale ;

le cas échéant, pour le traitement ayant pour finalité l’élaboration d’analyses et de statistiques agrégées, veiller à l’anonymisation irréversible en procédant à la purge de toutes données à caractère personnel, y compris les données indirectement identifiantes ;

en matière de cookies, ne pas déposer de cookies dont la durée de validité est supérieure à treize mois après leur dépôt sur l’équipement terminal de la personne concernée.

informer et obtenir l’accord préalable des personnes concernées à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci (lecture des cookies). A cet égard, il appartient à la société, sauf à mettre en place un dispositif présentant les mêmes garanties :

d’informer les internautes quant aux solutions adéquates leur permettant d’accepter ou de refuser le dépôt des cookies. Cette information doit être accessible à partir du bandeau présent sur le site internet, par exemple sur la page intitulée Charte d’utilisation des cookies ;

de conditionner cette inscription et cet accès à une action positive préalable des personnes concernées ;

adopter les mesures visant à assurer la sécurité et la confidentialité des données, notamment en :

justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l’issue de ce délai, si la société X s’est conformée à la présente mise en demeure, il sera considéré que la procédure est close et un courrier lui sera adressé en ce sens.

À l’inverse, s’il est constaté que la société X ne s’est pas conformée à la présente mise en demeure, un rapporteur pourra être désigné et demander à la formation restreinte de la Commission de prononcer l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée.