RGPD : la jurisprudence se précise !

AVG: jurisprudentie wordt duidelijker!

AVG: jurisprudentie wordt duidelijker! De CNIL onderscheidde zich al door Google in januari een recordboete van 50 miljoen euro op te leggen omdat het bedrijf zijn klanten niet informeerde bij het gebruik van Android. Deze boete werd in juni door de Raad van State bevestigd.

Carrefour France en Carrefour Banque kregen vandaag een boete van respectievelijk 2.250.000 en 800.000 euro van de Franse Autoriteit voor Gegevensbescherming.

Hoewel de CNIL al talrijke repressieve maatregelen heeft genomen sinds de inwerkingtreding van de AVG, vertelt het beraad van 18 november ons iets meer over haar beoordeling van de wetsovertredingen en de redenen die aan haar beslissingen ten grondslag liggen.

Triggers voor een onderzoek

Over het algemeen start de CNIL een onderzoek naar aanleiding van een klacht of een specifieke melding, of op eigen initiatief als onderdeel van haar toezichtsmissies.

In het laatste geval zullen de controles zich uitgebreider uitstrekken tot degenen die verantwoordelijk zijn voor een vooraf geïdentificeerde sector. 

De CNIL heeft in haar controlestrategie voor 2020 daarom een aantal prioriteiten gedefinieerd die aan grondiger controles onderworpen zijn: gezondheidsgegevens, geolokalisatie voor lokale diensten en cookies en andere trackers.

In dit geval waren de twee bedrijven Carrefour France en Carrefour Banque het onderwerp van een onderzoek, nadat tussen juni 2018 en april 2019 15 klachten waren ingediend bij de CNIL.

Deze klachten hadden betrekking op commerciële prospectiepraktijken en het niet respecteren van het recht op toegang en verwijdering van gegevens.

De CNIL voerde verschillende online controles uit bij de bedrijven en startte eind januari 2019 een formeel onderzoek.

De contradictoire procedure leidde tot een aantal uitwisselingen van opmerkingen tussen het bedrijf en de rapporteur van de CNIL, wat resulteerde in een officieel beraad op 18 november.

 

Redenen voor het besluit

De CNIL constateert dat er niet wordt voldaan aan een aantal artikelen van de AVG:

  • De informatieplicht voor personen (artikel 13 AVG)

De informatie die aan betrokkenen werd verstrekt over de verwerking van hun gegevens was moeilijk toegankelijk, onvolledig en verborgen in lange teksten over andere onderwerpen.

De CNIL bekritiseert het gebruik van al te vage termen: Het gebruik, bijna systematisch (…), van termen als "Deze behandelingen omvatten in het bijzonder, om een of meer van de volgende redenen" Of “Uw gegevens mogen worden gebruikt” de betrokkenen niet in staat stellen volledig inzicht te krijgen in de uitgevoerde verwerkingen.

  • Cookies (artikel 82 van de Wet bescherming persoonsgegevens)

Bij aankomst op de website kreeg elke bezoeker 39 cookies te zien, voordat hij of zij de mogelijkheid had om deze te accepteren of te weigeren.

Drie van deze cookies behoren tot de oplossing Google Analytics, die tot doel heeft om internetgebruikers doelgerichte advertenties te tonen.

De gegevens van de bezoekers van de website Carrefour.fr werden dus verzameld in strijd met artikel 82 van de wet op gegevensbescherming.

Voor meer informatie over het volgen van internetgebruikers publiceerde de CNIL op 1 oktober een update van haar richtlijnen.

  • Bewaartermijn van gegevens (artikel 5.1.e AVG)

De CNIL is van mening dat de bewaartermijn voor klantgegevens (4 jaar) buitensporig is: een klant die al meerdere jaren geen zaken meer doet met het bedrijf, mag niet langer als actieve klant worden beschouwd. 

De Commissie verwijst naar haar doctrine ter zake, waarin een maximale bewaartermijn van drie jaar wordt aanbevolen. Zij beroept zich daarbij op de oude vereenvoudigde norm nr. 48 betreffende klant-prospectbestanden en onlineverkoop, en op haar recente ontwerp van referentiekader betreffende de verwerking van persoonsgegevens ten behoeve van het beheer van commerciële activiteiten.

  • Uitoefening van rechten (artikel 12 AVG)

De door Carrefour France gehanteerde procedure vereiste dat aanvragers een identiteitsbewijs moesten tonen in gevallen waarin dit niet nodig was omdat de identiteit van de klanten al was vastgesteld.

Bovendien overschreden de verwerkingstijden van verzoeken in meerdere gevallen de wettelijke vereisten.

  • Eerbiediging van de rechten (artikelen 15, 17 en 21 van de AVG en L34-5 van de Post- en elektronische communicatiewet)

De CNIL heeft in meerdere gevallen geconstateerd dat er geen reactie kwam op de verzoeken van klagers om toegang, verzet en verwijdering van gegevens.

  • Verplichting tot eerlijke verwerking van gegevens (artikel 5 AVG)

Bepaalde gegevens (postadres, telefoonnummer, aantal kinderen) die u bij de online inschrijving voor een Carrefour-kredietkaart (Pass-kaart) meedeelt, werden doorgegeven aan het loyaliteitsprogramma van Carrefour, hetgeen in tegenspraak is met de informatie die aan de betrokken personen werd verstrekt.

  • Beveiligingsinbreuk (artikel 32 AVG)

De CNIL heeft eindelijk een kwetsbaarheid opgemerkt die online toegang tot facturen van klanten mogelijk maakt. De CNIL benadrukt dat de genomen maatregel, namelijk het toevoegen van een reeks willekeurige tekens, op zichzelf niet voldoende is om deze kwetsbaarheid te verhelpen.

De CNIL wijst erop dat de ANSSI al sinds 2013 waarschuwt voor deze kwetsbaarheid in verband met URL-adressen.

Na de ontdekking van de kwetsbaarheid had een verplicht systeem voor pre-authenticatie moeten worden geïmplementeerd.

Nalevingsinspanningen en passende sancties

De bedrijven hebben tijdens de procedure hun medewerking verleend aan de CNIL en alle nodige maatregelen genomen om hun gegevensverwerking in overeenstemming te brengen met de wet.

Hoewel de CNIL deze samenwerking benadrukt, bestraft zij de verantwoordelijken toch vanwege de ernst van de overtredingen. Het gaat om ernstige tekortkomingen die een groot aantal mensen treffen.

We zijn echter nog ver verwijderd van de maximale boete die de CNIL had kunnen opleggen, namelijk 4% aan omzet. 

Om deze omzet te berekenen, die als basis dient voor de berekening van de grondslag van de boete, identificeert de CNIL eerst om welk bedrijf het gaat.

Zij is van oordeel dat voor de beoordeling van het begrip onderneming in de zin van de artikelen 101 en 102 van het VWEU rekening moet worden gehouden met de omzet die is behaald door de vennootschap CARREFOUR FRANCE en door de dochterondernemingen waarvan zij eigenaar is en die de verwerking hebben geprofiteerd. 

De omzet van dit bedrijf (…) bedraagt in 2019 dus 14,9 miljard euro.

De beperkte opleiding van de CNIL houdt echter ook rekening met de specifieke aard van het economische model van de massadistributie, dat wordt gekenmerkt door een bijzonder hoge omzet maar lage marges. 

Op basis van deze elementen werd besloten Carrefour France een boete op te leggen van 2.250.000 euro en Carrefour Banque een boete van 800.000 euro.

De ernst van de overtredingen rechtvaardigt bovendien de openbaarheid van het besluit en vormt een middel om de vele betrokkenen te informeren.

Remedies

De beslissing van de CNIL vormt een handeling van een bestuursorgaan, waartegen binnen een termijn van twee maanden na de kennisgeving ervan beroep kan worden aangetekend bij de Raad van State. 

En ook

Frankrijk:

  • Het evenement georganiseerd door de CNIL op 23 november op de gegevensportabiliteit is online beschikbaar op de website van de autoriteit.
  • Om gemeenten en intergemeentelijke organisaties bewust te maken van de – zeer reële – risico’s van cyberaanvallen, publiceert ANSSI een gids voor cyberbeveiligingsproblemenDeze gids is bedoeld om gekozen bestuurders te overtuigen om te investeren in de beveiliging van hun informatiesystemen.

Europa:

  • De Belgische privacyautoriteit heeft op 26 november een schikking getroffen memorandum van overeenstemming met DNS België om de “.be”-domeinnamen van sites die de AVG schenden, te schorsen.
  • Vóór 8 januari zal de Europese Commissie een besluit nemen over deGoogle neemt FitBit over, een overname die vragen oproept op het gebied van gegevensbescherming en concurrentie.
  • De Europese Commissie publiceerde op 12 november haar concept-standaardcontractbepalingen. Het concept lag vier weken lang ter discussie.

Deze herziene versie is bedoeld om de gevolgen van de inmiddels beroemde Schrems II-uitspraak te verhelpen en de gegevensoverdrachten naar de Verenigde Staten in overeenstemming met de Europese wetgeving.

Wij verwijzen ook naar de aanbevelingen van het Europees Comité voor gegevensbescherming over hetzelfde onderwerp, die op 10 november zijn aangenomen.

  • De nieuwe Europese verordening voor digitale diensten wordt naar verwachting begin december gepubliceerd.

Het doel van de Commissie is om “big tech” reguleren door kleine en middelgrote bedrijven in staat te stellen hun diensten te ontwikkelen, digitale spelers te versterken en online desinformatie te bestrijden.

Internationaal :

  • De nieuwe Canadese wet ter bescherming van persoonsgegevens is effectiever gemaakt en er staan aanzienlijke boetes op bij schending van de beginselen ervan.
  • Verenigde Staten: de Californische wet op privacyrechten (“CPRA”) werd op 3 november aangenomen.

Met deze nieuwe tekst wordt een toezichthoudende autoriteit opgericht: de California Privacy Protection Agency. Deze autoriteit heeft de bevoegdheid om financiële sancties op te leggen.

Het is de eerste toezichthoudende autoriteit op dit gebied in de Verenigde Staten.

Anne Christine Lacoste

Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.

 

Ontdek Viqtor®
nl_NL_formalNL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL nl_NL_formalNL