RGPD : la jurisprudence se précise !
RGPD : la jurisprudence se précise ! La CNIL s’était déjà distinguée en infligeant en janvier dernier une amende record de 50 millions d’euros à la société Google, pour défaut d’information de ses clients dans le cadre de l’utilisation d’Android, amende confirmée en juin par le Conseil d’Etat.
Aujourd’hui les sociétés Carrefour France et Carrefour Banque se voient condamnées respectivement à des amendes de 2 250 000 et 800 000 euros par la Commission Informatique et Libertés.
Si la CNIL a déjà de nombreuses actions répressives à son actif depuis l’entrée en vigueur du RGPD, la délibération du 18 novembre nous en apprend un peu plus sur son appréciation des infractions à la loi et sur les motifs qui guident ses décisions.
Les éléments déclencheurs d’une enquête
De façon générale, la CNIL entame une enquête soit à la suite du dépôt d’une plainte ou d’un signalement précis, soit de sa propre initiative dans le cadre de ses missions de contrôle.
Dans ce dernier cas, les contrôles porteront de façon plus étendue sur les responsables d’un secteur préalablement identifié.
La CNIL a ainsi défini dans sa stratégie de contrôle pour 2020 plusieurs priorités qui font l’objet de vérifications plus poussées : les données de santé, la géolocalisation pour les services de proximité ainsi que les cookies et autres traceurs.
Dans le cas d’espèce, les deux sociétés Carrefour France et Carrefour Banque ont fait l’objet d’une enquête à la suite du dépôt de 15 plaintes auprès de la CNIL entre juin 2018 et avril 2019.
Ces plaintes portaient sur les pratiques de prospection commerciale et le non-respect des droits d’accès et d’effacement des données.
La CNIL a opéré plusieurs contrôles en ligne, dans les locaux des sociétés, et a initié une instruction formelle fin janvier 2019.
La procédure, contradictoire, a donné lieu à plusieurs échanges d’observations entre la société et le rapporteur de la CNIL, aboutissant le 18 novembre à sa délibération officielle.
Les motifs de la décision
La CNIL relève des manquements touchant au respect de nombreux articles du RGPD :
- L’obligation d’informer les personnes (article 13 du RGPD)
L’information fournie aux personnes concernant le traitement de leurs données était difficilement accessible, incomplète et noyée dans de longs textes portant sur d’autres sujets.
La CNIL critique l’utilisation de termes trop vagues : L’utilisation, de manière quasiment systématique (…), de termes tels que « ces traitements incluent notamment, pour l’une ou plusieurs des raisons suivantes » ou « vos données sont susceptibles d’être utilisées » ne permettent pas aux personnes concernées d’appréhender pleinement les traitements mis en œuvre.
- Cookies (article 82 de la loi Informatique et Libertés)
En arrivant sur le site internet, tout visiteur se voyait gratifié du dépôt de 39 cookies avant même d’avoir l’occasion de les accepter ou de les refuser.
Trois de ces cookies appartenaient à la solution Google Analytics, avec pour but le ciblage publicitaire des internautes.
Les données des visiteurs du site Carrefour.fr étaient dès lors collectées en infraction à l’article 82 de la loi Informatique et Libertés.
Pour plus d’informations sur le traçage des internautes, la CNIL a publié le 1er octobre dernier une mise à jour de ses lignes directrices.
- Durée de conservation des données (article 5.1.e du RGPD)
La CNIL considère que la durée de conservation des données des clients (4 ans) est excessive : un client n’ayant pas commercé avec la société pendant plusieurs années ne doit plus être considéré comme un client actif.
La Commission renvoie à sa doctrine sur le sujet qui recommande une durée de conservation de trois ans maximum : elle cite l’ancienne norme simplifiée n°48 relative aux fichiers clients-prospects et à la vente en ligne, et son récent projet de référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales.
- Exercice des droits (article 12 du RGPD)
La procédure mise en place par Carrefour France exigeait un justificatif d’identité des demandeurs dans des circonstances où cela n’était pas nécessaire car l’identité des clients était établie.
Par ailleurs, les délais de traitement des requêtes dépassaient dans plusieurs cas le prescrit légal.
- Respect des droits (articles 15, 17 et 21 du RGPD et L34-5 du Code des postes et des communications électroniques)
La CNIL a relevé plusieurs cas d’absence de réaction aux demandes d’accès, d’opposition et d’effacement des données des plaignants.
- Obligation de traiter les données de manière loyale (article 5 du RGPD)
Certaines données (adresse postale, numéro de téléphone, nombre d’enfants) communiquées lors de la souscription en ligne d’une carte de crédit Carrefour (carte Pass) étaient transmises au programme Carrefour fidélité, en contradiction avec les mentions d’information fournies aux personnes concernées.
- Violation de sécurité (article 32 du RGPD)
La CNIL a enfin constaté une vulnérabilité permettant d’accéder en ligne aux factures des clients, et souligne que la mesure mise en place, à savoir l’ajout d’une chaîne de caractères aléatoires, ne suffit pas à elle seule à pallier une telle vulnérabilité.
La CNIL rappelle que l’ANSSI alerte depuis 2013 sur cette vulnérabilité liée aux adresses URL.
Un système d’authentification préalable obligatoire aurait dû être mis en place à la suite de la découverte de la vulnérabilité.
Des efforts de mise en conformité et une sanction adaptée
Les sociétés ont coopéré avec la CNIL pendant la procédure, et pris toutes les mesures requises pour mettre leurs traitements de données en conformité avec la loi.
Si la CNIL souligne cette coopération, elle n’en sanctionne pas moins les responsables, en raison de la gravité des violations : celles-ci concernent des manquements caractérisés, et affectent un nombre important de personnes.
On reste néanmoins loin de la sanction maximale qu’aurait pu imposer la CNIL, à hauteur de 4% du chiffre d’affaires.
Pour calculer ce chiffre d’affaires qui sert de base au calcul de l’assiette de l’amende, la CNIL identifie tout d’abord l’entreprise concernée.
Elle considère que, pour apprécier la notion d’entreprise conformément aux articles 101 et 102 du TFUE, il convient de prendre en compte le chiffre d’affaires réalisé par la société CARREFOUR FRANCE et par les filiales qu’elle détient et qui ont bénéficié des traitements.
Le chiffre d’affaires de cette entreprise (…) s’élève ainsi à 14,9 milliards d’euros en 2019.
La formation restreinte de la CNIL prend toutefois aussi en considération la spécificité du modèle économique de la grande distribution, caractérisé par un chiffre d’affaires particulièrement élevé mais des marges faibles.
Ces éléments la conduisent à décider d’une amende de 2 250 000 euros à l’encontre de Carrefour France et 800 000 euros concernant Carrefour Banque.
La gravité des manquements justifie également la publicité de la décision, et constitue un moyen d’informer les nombreuses personnes concernées.
Les voies de recours
La délibération de la CNIL constitue un acte d’une autorité administrative, susceptible de recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.
Et aussi
France :
- L’événement organisé par la CNIL le 23 novembre sur la portabilité des données est accessible en ligne sur le site de l’autorité.
- Afin de sensibiliser les communes et intercommunalités aux risques – très réels – de cyber attaques, l’ANSSI publie un guide des enjeux de la cybersécurité. Ce guide vise à convaincre les élus d’investir afin de développer la protection de leurs systèmes d’information.
Europe :
- L’autorité belge de protection de la vie privée a conclu ce 26 novembre un protocole d’accord avec DNS Belgique pour suspendre les noms de domaine « .be » des sites en infraction avec le RGPD.
- Avant le 8 janvier, la Commission européenne se prononcera sur l’acquisition de FitBit par Google, acquisition qui soulève des questions dans les domaines de la protection des données et de la concurrence.
- La Commission européenne a publié ce 12 novembre son projet de clauses contractuelles types, projet ouvert à commentaires pendant quatre semaines.
Cette version révisée entend remédier aux conséquences du désormais fameux arrêt Schrems II, et permettre les transferts de données vers les Etats-Unis dans le respect du droit européen.
On renvoie également aux recommandations du Comité Européen de Protection des Données sur le même sujet, adoptées ce 10 novembre.
- La nouvelle réglementation européenne des services du numérique devrait être publiée début décembre.
L’objectif de la Commission est de réglementer les « big tech » en permettant également aux TPE/PME de développer leurs services, de responsabiliser les acteurs du numérique et de lutter contre la désinformation en ligne.
International :
- La nouvelle loi Canadienne de protection des données à caractère personnel voit son efficacité renforcée, avec des amendes conséquentes en cas de violation de ses principes.
- Etats-Unis : le California Privacy Rights Act (“CPRA”) a été adopté ce 3 novembre.
Ce nouveau texte établit une autorité de supervision, la California Privacy Protection Agency, dotée du pouvoir d’imposer des sanctions pécuniaires.
Il s’agit de la première autorité de supervision dans ce secteur aux Etats-Unis.
Anne Christine Lacoste
Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.