La Commission nationale de l’informatique et des libertés (CNIL) vient d’ordonner à Boulanger de ne plus enregistrer de commentaires jugés « excessifs » dans ses fichiers clients. La célèbre enseigne, spécialisée dans le multimédia et l’électroménager, a d’ores et déjà présenté ses excuses et promet de corriger le tir.
« Client très con », « casse couille », « grosse connasse », « folle », « fort accent africain », « n’a pas de cerveau », « alcoolique », « juive », « c’est fait opéré dune hernie discal il y a 3 mois » (sic), « se croit tout permis »... Voilà le type de commentaires sur lesquels est tombée la délégation de la CNIL, en février dernier, lors d’une inspection dans le magasin Boulanger d’Annemasse. Ces mots fleuris avaient été laissés par les salariés de l’entreprise dans le logiciel interne de gestion des clients. Celui-ci est utilisé au niveau national et permet entre autres d’éditer des factures ou de gérer le service après vente.
Au total, ce sont 5 828 commentaires « non pertinents » qui ont ainsi été recensés par les agents de la Commission. Rien que ça ! Pour l’autorité administrative indépendante, ces consignations sont autant de manquements à l’obligation qui incombait à Boulanger, comme à tout responsable d’un traitement de données personnelles, de « veiller à l’adéquation, à la pertinence et au caractère non excessif » des informations collectées par ses soins (comme le prévoit l’article 6 de la loi Informatique et Libertés).
Avertissement de la CNIL en direction des gestionnaires de fichiers clients
La publication de cette mise en demeure (rendue en fait le 26 juin) a clairement vocation à dissuader d’autres sociétés de suivre le même chemin que Boulanger. « Si le recours à l'utilisation de zones de commentaires libres n'est pas interdit dans la mesure où il permet un suivi des dossiers de clients, les informations renseignées doivent être objectives et en relation avec la prestation commerciale. Elles ne doivent pas porter atteinte à l'image de la personne. Il appartient aux sociétés qui disposent de fichiers clients comprenant de telles zones de commentaires de prendre toutes les mesures pour que leurs salariés respectent effectivement ces règles » prévient ainsi la CNIL dans un communiqué.
Boulanger a d’ailleurs été enjoint à faire le nécessaire d’ici trois mois pour « éviter que des commentaires excessifs ne soient enregistrés ». Cela devrait passer selon la Commission par un système de détection automatique des termes déplacés, ainsi que par des directives à l’attention des salariés. Mais rien ne dit qu’en attendant, les milliers de messages « non pertinents » aient été effacés...
Boulanger également épinglé pour des problèmes de sécurité, des cookies publicitaires...
Mais l'histoire ne s'arrête pas là ! En plus de ce contrôle sur place, la CNIL a inspecté au cours du mois de mai le site Internet de Boulanger. Et là aussi, quelques entorses à la loi Informatique et Libertés ont été détectées. Les agents de la Commission ont en effet constaté que des cookies étaient déposés sur le terminal du visiteur, sans son consentement. Pire : certains de ces cookies « sont accessibles pendant une durée excessive au regard des finalités poursuivies ». En l’occurrence, des cookies publicitaires d’une durée de vie de quinze ans (contre treize mois normalement).
Un manquement à l’obligation « d’assurer la sécurité et la confidentialité des données personnelles » collectées par l’enseigne a enfin été observé, mais l’institution a censuré les détails de cette infraction... De telle sorte qu’il est impossible de savoir quels sont les faits reprochés à Boulanger. On peut néanmoins imaginer que ce passage ait été flouté afin d'éviter que des pirates ne cherchent à exploiter une éventuelle faille de sécurité découverte par la Commission. Mais il ne s’agit que d’une hypothèse.
Et maintenant ? Si d’ici trois mois, Boulanger ne corrigeait pas tous ces problèmes, la CNIL pourrait alors ouvrir une procédure de sanction. Sur Twitter, l’entreprise a néanmoins d’ores et déjà annoncé qu’elle prendrait « toutes les mesures » pour remédier à ces dysfonctionnements « en totale opposition [à ses] valeurs ».
Suite aux dysfonctionnements identifiés par @CNIL Boulanger présente ses sincères excuses et prend toutes les mesures pour y remédier.
— Boulanger (@boulanger) 24 Juillet 2015
