Livv
Décisions

CNIL, 26 septembre 2016, n° 2016-083

CNIL

Décision

COMPOSITION DE LA JURIDICTION

Présidente :

Mme Falque-Pierrotin

CNIL n° 2016-083

25 septembre 2016

La Présidente de la Commission nationale de l’informatique et des libertés ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code pénal ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 45 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2016-011C du 4 février 2016 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification auprès de la société X ;

Vu les procès-verbaux de contrôle n° 2016-011/0 du 11 février 2016, n° 2016-011/1 du 11 février 2016, n° 2016-011/2 et n° 2016-011/3 du 17 mars 2016 et n° 2016-011/4 du 8 août 2016 ;

Vu notamment les plaintes n° 15019270 du 1er juillet 2015, n° 15020279 du 16 juillet 2015, n° 15020764 du 21 juillet 2015, n° 15025278 du 10 septembre 2015, n° 15025582 du 14 septembre 2015, n° 15026460 du 23 septembre 2015, n° 15030814 du 7 novembre 2015, n° 16001379 du 19 janvier 2016 et n° 16005917 du 23 février 2016 ;

I- Constate les faits suivants

La société X (ci-après la société ), sise […], a notamment pour activité la vente de produits sur internet aux particuliers ( B2C ). Elle compte environ 1.500 salariés et a réalisé en 2014 un chiffre d’affaires d’environ 1,6 milliard d’euros.

En application de la décision n° 2016-011C du 4 février 2016 de la Présidente de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission ), une délégation de la CNIL a procédé, les 11 février et 8 août 2016, à des constatations en ligne sur le site […] (ci-après le site ), ainsi qu’à des missions de contrôle sur place, les 11 février et 17 mars 2016 auprès de la société X, située […], et, le 17 mars 2016, auprès de la société […] (ci-après le prestataire ), […].

La délégation s’est attachée à examiner la conformité des traitements de données à caractère personnel mis en œuvre par la société, ou pour son compte, aux dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée.

La délégation a constaté, dans la base de données de la société, la présence de commentaires non pertinents concernant ses clients, ainsi que l’enregistrement d’une conversation téléphonique entre un client et un téléconseiller contenant les coordonnées bancaires de celui-ci.

En outre, la délégation a été informée que la société met en œuvre un traitement de lutte contre la fraude à la carte bancaire qui n’a pas été autorisé par la CNIL. Elle a également constaté que les formulaires en ligne permettant de collecter des données à caractère personnel auprès des personnes concernées ne contiennent pas de mention d’information ou une mention partielle.

De même, la délégation a constaté que des cookies à finalité publicitaire sont déposés sur le terminal des internautes dont certains ont une durée de vie pouvant aller jusqu’à 30 ans. La société lui a également indiqué ne pas connaître la finalité de 3 des cookies ainsi déposés.

Par ailleurs, la délégation a constaté que la société conserve des numéros de cartes bancaires tronqués dont la date de validité a expiré depuis 2011.

En outre, la délégation a été informée que les mots de passe permettant aux internautes de se connecter à leur compte en ligne sont composés d’un nombre minimum de cinq caractères et a constaté que certains de ces mots de passe sont conservés en clair dans la base de données de la société.

De même, la société a précisé qu’en cas de demande de suppression des données, elle modifie certaines des données du compte, mais conserve les demandes des personnes et leurs documents d’identité. La délégation a également été informée qu’un dysfonctionnement est à l’origine de l’envoi de newsletters de la société à une personne qui n’est inscrite à aucune newsletter.

Par ailleurs, la délégation a constaté que le formulaire de création de compte en ligne ne contient pas de moyen permettant aux internautes de consentir à l’envoi de prospection commerciale électronique.

Enfin, la délégation a constaté que lors d’une commande, la page de paiement sécurisé par carte bancaire mentionne Avec le paiement flash, plus besoin de saisir vos données bancaires lors de vos prochaines commandes expédiées à cette adresse. Si vous souhaitez supprimer les informations relatives à vos cartes de paiement, rendez-vous dans la rubrique Espace client / C mon compte dès la validation de votre commande. En savoir plus sur la sécurité et les modes de paiement . La délégation a été informée, par courrier de la société du 9 septembre 2016, que lorsque l’internaute valide le paiement de sa commande, le service paiement flash est activé .

II- Sur les manquements constatés au regard des dispositions de la loi du 6 janvier 1978 modifiée

Un manquement à l’obligation d’accomplir les formalités préalables à la mise en œuvre du traitement

La délégation a été informée que la société recourt à plusieurs dispositifs de lutte contre la fraude à la carte bancaire, et notamment :

A l’issue de ces différentes vérifications, si la suspicion de fraude est avérée, la commande est alors annulée.

Or, il apparaît que les traitements automatisés mis en œuvre par la société X elle-même n’ont pas fait l’objet de formalité préalable auprès de la Commission.

Ces faits constituent un manquement à l’article 25, I, 4° de la loi du 6 janvier 1978 en application duquel les traitements automatisés susceptibles du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire sont mis en œuvre après autorisation de la CNIL.

Il est rappelé qu’en application des articles 226-16 alinéa 1er et 226-24 du code pénal combinés, le fait pour une personne morale, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données

En premier lieu, la délégation a demandé à la société de procéder à une extraction de l’ensemble des champs commentaires non nuls et non vides présents dans la table client de la base de production de la société.

Elle a constaté la présence de commentaires non pertinents, comme par exemple CLT SUPER CHIANT , CLTE IMBECILE , CLIENT RACISTE , CLT A UNE MALADIE CARDIAQUE , URGENT CLIENT AYANT UN CANCER QUI LUI DONNE DU MAL A PARLER AU TELEPHONE , CLT SOUHAITE RECEVOIR SA COMMANDE CAR SA MERE EST DIABETIQUE ET ELLE N A PAS DE REFRIGERATEUR POUR SON MEDICAMENT , LE CLIENT M INDIQUE QUE SA FEMME SOUFFRE D UNE SCLEROSE EN PLAQUE .

En second lieu, la délégation a été informée que la société a sous-traité la gestion des appels entrants de son activité de vente à distance à son prestataire. La société a précisé que, au cours d’une conversation téléphonique, un module de l’applicatif utilisé permet d’interrompre automatiquement l’enregistrement téléphonique lorsque la personne concernée fournit ses coordonnées bancaires.

Pour autant, sur l’échantillon de trois enregistrements téléphoniques extraits de l’applicatif de la société, la délégation a constaté qu’un enregistrement contient les coordonnées bancaires de la personne concernée (numéro de carte bancaire, date d’expiration et cryptogramme).

Ces faits constituent un manquement aux obligations prévues au 3° de l’article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée, qui dispose que les données à caractère personnel collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Un manquement à l’obligation de recueillir le consentement des personnes à la conservation de leurs coordonnées bancaires

La délégation a constaté et a été informée que la société conserve par défaut les coordonnées bancaires de ses clients afin de leur éviter de les ressaisir lors d’un achat ultérieur. Ce traitement est dénommé par la société paiement flash .

Aux termes de l’article 7 de la loi n° 78-17 du 6 janvier 1978 modifiée : un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes :

1° Le respect d'une obligation légale incombant au responsable du traitement ;

2° La sauvegarde de la vie de la personne concernée ;

3° L'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ;

4° L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;

5° La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée.

Il résulte de ces dispositions qu’en l’absence de consentement des personnes concernées, un responsable de traitement ne peut légalement mettre en œuvre un traitement de données à caractère personnel que si celui-ci est fondé sur l’une des conditions alternatives visées ci-dessus.

En l’espèce, faute de recueil du consentement de ses utilisateurs, la conservation des coordonnées bancaires au-delà de la transaction commerciale opérée par la société ne peut avoir pour base légale que l’une des conditions énumérées par les 1° à 5° de l’article précité.

Compte tenu de la nature des traitements en cause, les 1°, 2° et 3° de l’article 7 ne peuvent constituer la base légale de cette conservation par la société.

Le traitement issu de la fonctionnalité paiement flash ne peut donc être examiné qu’au regard du 4° et du 5° de l’article 7.

En premier lieu, l’article 7-4° de la loi dispense le responsable de traitement de recueillir le consentement de la personne concernée si le traitement s’inscrit dans le cadre de l’exécution d’un contrat.

En l’espèce, la finalité de la conservation des données relatives aux cartes bancaires par la société va au-delà de la simple réalisation d’une transaction commerciale en ligne, dès lors qu’elle s’inscrit en réalité dans la fourniture d’un service commercial indépendant de l’acte initial de vente ayant conduit à la collecte des données dans le cadre du paiement.

En second lieu, l’article 7-5° de la loi dispense le responsable de traitement de recueillir le consentement de la personne concernée si le traitement est justifié par l’intérêt légitime de celui-ci, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentales de la personne concernée. L’intérêt légitime du responsable de traitement doit être apprécié d’une part, en tant que tel, et d’autre part, au regard de l’intérêt de la personne concernée et de ses droits et libertés fondamentaux, auquel l’intérêt légitime du responsable de traitement ne saurait porter atteinte. A cet égard, pour apprécier la légitimité de l’intérêt du responsable de traitement, il convient notamment de tenir compte de la proportionnalité du traitement de données au regard de ses finalités.

En l’espèce, la société justifie de la conservation de données bancaires par son souhait de faciliter la conclusion de contrats ultérieurs, alors même que ces futurs actes d’achats ne sont qu’hypothétiques et conduisent à conserver des données bancaires au-delà du délai nécessaire à la finalité initiale de leur collecte, à savoir un achat en ligne, et que l’intérêt des utilisateurs est de renforcer leur contrôle sur ces informations compte tenu des risques de fraudes associés à leur traitement.

Dans ces conditions, faute de pouvoir se prévaloir d’une des exceptions instaurées par l’article 7 de la loi du 6 janvier 1978 modifiée, la société est donc tenue de recueillir le consentement des personnes à la conservation des données relatives à leurs cartes bancaires.

En outre, cette obligation de recueil du consentement est rappelée dans la délibération de la CNIL n° 2013-358 du 14 novembre 2013 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance.

Un manquement à l’obligation d’informer les personnes concernées

En premier lieu, la délégation a constaté que le premier formulaire permettant aux personnes concernées de créer un compte sur le site ( Vous êtes nouveau client […] ? ) ne contient aucune mention relative aux traitements de données à caractère personnel.

En second lieu, elle a constaté que les formulaires permettant aux utilisateurs de modifier leur adresse électronique ou leur mot de passe ( Mon compte / Mon mot de passe et Mes informations personnelles / Créer un nouveau mot de passe ) précisent uniquement que : A tout moment, vous disposez d’un droit d’accès, de modification, de rectification et de suppression des données qui vous concernent (art. 34 de la loi Informatique et Libertés du 6 janvier 1978). Par notre intermédiaire, vous pouvez recevoir des propositions d’autres sociétés. Si vous ne le souhaitez pas, il vous suffit de vous rendre dans la rubrique Mes newsletters ou de cliquer ici. Vous pouvez également en faire la demande à nos services par courrier à : […].

Ainsi, les personnes concernées ne sont pas informées de l’identité du responsable de traitement, de la finalité du traitement, du caractère obligatoire ou facultatif des données et du droit d’opposition au traitement dont ils disposent.

Ces faits constituent un manquement à l’article 32 de la loi n° 78-17 du 6 janvier 1978 modifiée qui dispose :

I.- La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant :

1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Du caractère obligatoire ou facultatif des réponses ;

4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;

5° Des destinataires ou catégories de destinataires des données ;

6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne.

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

Il est également rappelé qu’en application des articles 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas informer, dans les conditions prévues à l’article 32 de la loi du 6 janvier 1978 modifiée, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est puni d’une peine d’amende pouvant atteindre 7.500 €.

Sur l’inscription d’informations sur l’équipement terminal de communications électroniques des personnes concernées et sur l’accès à ces informations

L’article 32-II de la loi du 6 janvier 1978 modifiée dispose que Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :

de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement;

des moyens dont il dispose pour s'y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :

soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur .

Les cookies nécessitant une information et un consentement préalables de l’internaute sont notamment les cookies liés aux opérations relatives à la publicité ciblée, certains cookies de mesure d’audience et les cookies traceurs de réseaux sociaux générés par les boutons de partage de réseaux sociaux .

Afin de proposer aux professionnels du secteur des lignes directrices en la matière, la CNIL a adopté la délibération n°2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs. Cette recommandation, qui n’a pas de valeur impérative, vise à interpréter les dispositions législatives précitées et à éclairer les acteurs sur la mise en place de mesures concrètes permettant de garantir le respect de ces dispositions, afin, soit qu’ils mettent en œuvre ces mesures, soit qu’ils mettent en œuvre des mesures d’effet équivalent.

Cette recommandation rappelle que la validité du consentement est liée à la qualité de l’information reçue . La Commission recommande donc que ce consentement soit recueilli en deux étapes :

première étape : l’internaute qui se rend sur le site d’un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau : des finalités précises des Cookies utilisés ; de la possibilité de s’opposer à ces Cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ; du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal ;

seconde étape : les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des Cookies nécessitant un recueil du consentement : pour l’ensemble des technologies visées par l’article 32-II précité ; par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d'audience .

En outre, la recommandation indique que le consentement doit se manifester par le biais d'une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer et qu’il ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix et n’est pas exposée à des conséquences négatives importantes si elle refuse de donner son consentement .

Enfin, elle précise que les Cookies doivent (…) avoir une durée de vie limitée à treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur (faisant suite à l’expression du consentement) et leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site .

Un manquement à l’obligation d’informer et de mettre en œuvre un mécanisme valable d’opposition

En l’espèce, lorsque la délégation s’est connectée au site, elle a constaté que 50 cookies ont été déposés sur son équipement terminal avant toute action. Par courrier reçu le 14 mars 2016, la société a indiqué que certains de ces cookies ont une finalité publicitaire.

En premier lieu, la délégation a constaté, sur la page d’accueil du site, la présence d’un bandeau indiquant que En continuant à naviguer sur notre site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts. > En savoir plus .

Dès lors, l’internaute n’est pas informé des moyens dont il dispose pour s’opposer au dépôt de cookies.

En second lieu, la délégation a constaté que le lien hypertexte > En savoir plus présent sur le bandeau renvoie vers une page intitulée Tout sur les cookies . Cette page informe les internautes de la possibilité qui leur est offerte de paramétrer leur navigateur pour gérer les cookies déposés.

Or, le paramétrage du navigateur ne peut être considéré comme un mécanisme valable d’opposition au dépôt des cookies que dans deux cas :

si le site ne dépose pas de cookies techniques essentiels à son fonctionnement : dans ce cas, la personne concernée peut paramétrer son navigateur de manière à bloquer le dépôt de tous les cookies, qu’ils proviennent du domaine du site (cookies first party ) ou du domaine d’un tiers (cookies third party ), dont ceux nécessitant son consentement, et ce sans l’exposer à des conséquences négatives importantes ;

si le site ne dépose pas de cookies first party nécessitant le recueil du consentement de la personne concernée : dans ce cas, cette dernière peut paramétrer son navigateur de manière à bloquer le dépôt de cookies third party sans empêcher le site de fonctionner ni risquer que des cookies first party soumis au consentement ne soient déposés.

En l’espèce, le site dépose des cookies techniques essentiels à son fonctionnement (par exemple, les cookies _$culture et mssctse déposés par le domaine […]. Il dépose également des cookies first party ayant une finalité publicitaire (le cookie __gads déposé par le domaine […] qui nécessitent donc de recueillir le consentement de la personne concernée.

Par conséquent, le paramétrage du navigateur ne peut, en l’espèce, être considéré comme un mécanisme valable d’opposition au dépôt de cookies.

En outre, la page intitulée Tout sur les cookies propose également aux internautes de refuser ou d’accepter le dépôt des cookies via la plateforme interprofessionnelle Youronlinechoices . Or, cette plateforme ne constitue pas un moyen valable d’opposition au dépôt des cookies dans la mesure où elle permet uniquement d’empêcher l’affichage de publicités ciblées, mais pas le dépôt des cookies.

Au regard de ce qui précède, il apparaît que le site n’a pas informé de manière satisfaisante les personnes concernées et n’a pas mis en œuvre de mécanisme valable d’opposition.

Ces faits constituent un manquement au II de l’article 32 précité de la loi du 6 janvier 1978 modifiée, qui soumet à information et accord préalables de la personne concernée l’inscription d’informations sur son équipement terminal de communications électroniques et l’accès à celles-ci.

En outre, il est rappelé qu’en application des articles 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas informer les personnes concernées et obtenir leur accord avant d’accéder à ou d’inscrire des informations dans leur équipement terminal de communications électroniques est puni d’une peine d’amende pouvant atteindre 7.500 €.

Un manquement à l’obligation de définir une finalité déterminée, explicite et légitime du traitement

Dans son courrier reçu le 14 mars 2016, la société a indiqué ne pas connaître la finalité de 3 des cookies déposés via son site ( abba_id déposé par le domaine beacon3.abba.accenture.com / _cshn déposé par le domaine […] / FotcapveoPopAd déposé par le domaine […]).

Ces faits constituent un manquement aux obligations du 2° de l’article 6 de la loi du 6 janvier 1978 modifiée selon lequel les données sont collectées pour des finalités déterminées, explicites et légitimes (…) .

Un manquement à l’obligation de définir et respecter une durée de conservation des données proportionnée à la finalité du traitement

En premier lieu, la délégation a constaté que la durée de vie de certains cookies déposés via le site peut aller jusqu’à près de 30 ans (par exemple, les cookies __g_u déposés par les domaines […] et […] qui expirent le 3 février 2046).

En dernier lieu, la délégation a été informée et a constaté qu’en cas de demande par un client d’une suppression de ses données, la société utilise un script permettant d’effacer les données relatives à son adresse électronique, à son nom et à son prénom (l’adresse postale et la date de naissance étant conservées). Ainsi, 646 lignes de la base de données ont été modifiées. En outre, la délégation a constaté que, pour au moins deux de ces clients, les courriers de demande de suppression et les documents d’identité numérisés (passeport et titre de séjour) sont conservés dans l’application métier. Or, si la gestion des demandes des clients implique que leur identité soit vérifiée, la conservation des demandes et des titres d’identité n’est pas pour autant justifiée au-delà du traitement de ces demandes par la société.

L’ensemble de ces faits constitue un manquement aux obligations découlant du 5° de l’article 6 de la loi du 6 janvier 1978 modifiée qui prévoit que les données à caractère personnel sont conservées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Il est en outre rappelé qu’en application des articles 226-24 et 226-20 du code pénal combinés, le fait pour une personne morale, de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d’autorisation ou d’avis, ou par la déclaration préalable adressée à la Commission nationale de l’informatique et des libertés, est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données

La délégation a été informée et a constaté que les mots de passe permettant aux utilisateurs de se connecter au site de la société sont composés de cinq caractères minimum, ce qui ne permet pas d’assurer la confidentialité et la sécurité des données auxquelles ils permettent d’accéder. Elle a, en outre, constaté que le mot de passe 123456 est accepté, de même qu’un mot de passe composé de cinq chiffres identiques. Une jauge indique, par ailleurs, aux utilisateurs la complexité des mots de passe choisis.

A cet égard, la délégation a été informée qu’un projet, programmé pour le premier semestre 2016, vise à porter la complexité des mots de passe à huit caractères alphanumériques minimum dont au moins un caractère spécial.

Ces faits constituent un manquement à l’article 34 de la loi n° 78-17 du 6 janvier 1978 disposant que Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

Il est en outre rappelé qu’en application des articles 226-17 et 226-24 du code pénal combinés, le fait pour une personne morale de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation de respecter le droit d’opposition

M. F. a saisi la CNIL, le 23 février 2016, d’une plainte car il reçoit plusieurs fois par jour des newsletters de la société, et ce alors même qu’il a fait de multiples demandes de désinscription.

A cet égard, la délégation a été informée que, pour ce qui est de l’envoi de newsletters, la société utilise deux bases de données : la base B. qui contient l’état des abonnements aux newsletters X et la base N. qui permet l’envoi effectif des newsletters X aux adresses électroniques figurant dans la base B. Ces deux bases sont synchronisées tous les jours pour prendre en compte les inscriptions et demandes de désinscriptions des utilisateurs.

La délégation a été informée et a constaté que le plaignant n’est inscrit à aucune newsletter de X dans la base B. La société a indiqué que l’envoi de newsletters à ce dernier est dû à un dysfonctionnement.

Ces faits constituent un manquement aux dispositions de l’article 38 de la loi n° 78-17 du 6 janvier 1978 qui dispose que Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur (…) .

En outre, il convient de rappeler que, en application des articles 226-18-1 et 226-24 du code pénal combinés, le fait pour une personne morale de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

III. Sur la qualification de ces faits au regard du code des postes et des communications électroniques

Un manquement à l’obligation de respecter les dispositions de l’article L. 34-5 du code des postes et des communications électroniques

La délégation a constaté que le formulaire permettant de créer un compte client présente une mention d’information indiquant notamment que : Suite à L’ouverture de votre compte […], vous recevrez les newsletters de X incluant les Bons Plans du jour, le Best of de la semaine, les Bombes de dernières minutes… de X et de ses filiales .

Or, au stade de l’ouverture d’un compte qui ne préjuge en rien de la commande éventuelle de produits auprès de la société X, aucun moyen n’est mis à la disposition des personnes (tel qu’une case à cocher par exemple) afin d’exprimer leur consentement à recevoir de la prospection commerciale électronique.

Les faits précités sont de nature à constituer un manquement aux obligations résultant de l’article L.34-5 du code des postes et des communications électroniques qui dispose notamment qu’ Est interdite la prospection directe au moyen d'un automate d'appel, d'un télécopieur ou d'un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d'une personne physique qui n'a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen. Pour l'application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection direct (…) .

Il est rappelé qu’en application des articles 121-2, 131-13, 131-41 du code pénal et de l’article R. 10-1 du code des postes et communications électroniques, la commission de tels faits par une personne morale est susceptible d’être punie d’une peine d’amende pouvant atteindre 3 750 euros, et ce, pour chaque communication.

En conséquence, la société X, sise […], est mise en demeure, sous un délai de trois (3) mois à compter de la notification de la présente décision, et sous réserve des mesures qu’elle aurait déjà pu adopter, de :

procéder à l’accomplissement des formalités préalables applicables aux traitements mis en œuvre, et en particulier procéder à une demande d’autorisation pour les traitements automatisés ayant pour finalité la lutte contre la fraude ;

cesser de traiter des données inadéquates, non pertinentes ou excessives, en particulier :

prendre les mesures nécessaires pour éviter que des commentaires excessifs ne soient enregistrés dans les bases de données de la société, et en particulier mettre en place un système de détection automatique de ces derniers et attirer l’attention des salariés sur la nécessité de n’enregistrer que des données adéquates et pertinentes ;

prendre les mesures nécessaires pour éviter que les coordonnées bancaires des clients ne soient enregistrés lors des appels reçus par la société ;

recueillir le consentement des clients à la conservation de leurs données bancaires lorsque ces données sont collectées pour permettre aux clients de ne pas les ressaisir lors de chaque achat ultérieur ;

procéder à l’information des utilisateurs du site internet, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée, quant aux traitements de données à caractère personnel mis en place, et ce directement sur les formulaires permettant de collecter des données à caractère personnel ;

informer les personnes concernées et mettre en œuvre un mécanisme valable d’opposition à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci. A cet égard, il appartient à la société, sauf à mettre en place un dispositif présentant les mêmes garanties, d’indiquer aux personnes concernées, au préalable et de manière claire et complète, par exemple sur le bandeau d’information présent sur la page d’accueil du site, que la personne concernée a la possibilité de changer les paramètres de ces cookies en cliquant sur un lien présent dans le bandeau. Ce bandeau doit renvoyer à une page présentant les solutions adéquates mises à la disposition des personnes concernées pour accepter ou refuser les cookies ;

identifier la finalité de chacun des cookies, ou, à défaut, ne plus procéder à leur dépôt sur l’équipement terminal de la personne concernée ;

définir et mettre en œuvre une politique de durée de conservation des données relatives aux utilisateurs du site qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées, et notamment :

- en veillant à ne pas déposer de cookies dont la durée de validité est supérieure à treize mois après leur dépôt sur l’équipement terminal de la personne concernée ;

- en ne conservant pas les demandes de suppression de données et les pièces d’identité associées au-delà du temps nécessaire au traitement des demandes ;

prendre toute mesure de sécurité, pour l’ensemble des traitements de données à caractère personnel mis en œuvre, permettant de préserver la sécurité des données et d’empêcher que des tiers non autorisés y aient accès, notamment en mettant en place une politique contraignante relative aux mots de passe, en termes notamment de complexité (8 caractères minimum dont au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial) ;

prendre les mesures nécessaires pour permettre aux personnes concernées d’exercer de façon effective leur droit d’opposition, notamment en cessant d’adresser des messages électroniques à caractère commercial aux personnes qui en font la demande ;

conditionner l’envoi de prospection commerciale électronique au recueil du consentement des personnes concernées ;

justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l’issue de ce délai, si la société X s’est conformée à la présente mise en demeure, il sera considéré que la procédure est close et un courrier lui sera adressé en ce sens.

À l’inverse, s’il est constaté que la société ne s’est pas conformée à la présente mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de la Commission de prononcer l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée.