Tout juste lancée, la boutique de l’Élysée respecte-t-elle le RGPD sur toute la ligne ? Nous avons déposé une réclamation auprès de la Cnil, après avoir identifié différents problèmes susceptibles de se poser dans ce haut lieu de consommation made in France.
l’Élysée a mis en ligne sa boutique officielle. Dans ses rayons, des produits dérivés à l’honneur de l’institution, mais aussi de son chef de file. Le site a fait les gros titres après son lancement. Il aurait enregistré 350 000 euros de ventes en seulement trois jours.
Nous n’avons pas évoqué cette opération commerciale, préférant explorer depuis vendredi l’angle moins clinquant du RGPD. Lorsque l’Élysée lance une telle opération, les données personnelles sont une question sensible, d'autant que sa large couverture médiatique a drainé un grand nombre de badauds. Et c’est justement pour nous assurer d’un parfait respect avec le règlement européen ou la loi de 1978 que nous avons saisi la Cnil, non sans isoler plusieurs difficultés potentielles.
D’abord, qui est responsable de ce site ? C’est Alexandre Benalla, d’après nos confrères de Quotidien, qui s’appuient sur des déclarations durant sa garde à vue (« J'ai sous ma responsabilité la mise en place d'une boutique en ligne et le projet d'une boutique physique qui a pour objet la vente de produits dérivés »).
Sur le terrain juridique, le responsable de traitement est surtout Expendo Organisation, une SARL située à Pigny, dans le Cher, avec pour gérant un certain Cedric Bastié. L’intéressé dispose d’autres mandats similaires, notamment auprès de B2C Communication Evasion. Il a une certaine expérience du Château, pour y avoir animé en 2009 le goûter de Noël.
Quelles sont les difficultés identifiées ? Sur la page relative aux données personnelles, là où le site définit sa politique de gestion de ce patrimoine sensible, plusieurs questions se posent quant à la politique des cookies, ainsi que celle de l’exploitation des données personnelles, outre la durée de conservation des données et les missions du délégué à la protection des données (DPO).
Politique des cookies
Le site affirme déposer « éventuellement » quatre types de cookies : techniques, d'analyse statistique, relatifs aux préférences, et enfin de ciblage ou publicitaires. Ces derniers « limitent le nombre de fois où vous voyez une annonce et aident à mesurer l'efficacité de nos campagnes publicitaires ».
L’acceptation des cookies est simple, pour ne pas dire simpliste : « En poursuivant votre navigation sur le Site Web, vous acceptez l'utilisation de ces cookies » indique un bandeau. Sachant que différents cookies sont susceptibles d’être déposés, notamment des cookies publicitaires, on peut déjà s’interroger sur l’exigence d’un éventuel recueil du consentement de l’utilisateur, qui doit alors être exprès et préalable.
En outre, s’agissant du droit d’opposition à ces traceurs, le site renvoie l’internaute à la configuration de son navigateur (sous Firefox, Chrome, IE et Safari). Cette politique pourrait cependant contrarier la législation en vigueur. Le Conseil d’État dans son arrêt du 6 juin 2018 a d'ailleurs épinglé ces pratiques, à l’égard du site Challenges.fr, non sans expliquer pourquoi :
« Il résulte de l'instruction que les éléments portés à la connaissance des utilisateurs du site" www.challenges.fr " ne leur permettaient ni de différencier clairement les catégories de " cookies " susceptibles d'être déposés sur leur terminal, ni de s'opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition. Dans ces conditions, c'est à bon droit que la formation restreinte de la Cnil a considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d'opposition au dépôt de " cookies " et en a déduit qu'il n'avait pas été remédié au manquement à l'obligation d'information et de mise en œuvre d'un mécanisme d'opposition en cas de dépôt de témoins de connexion ».
Sur le site de l’Élysée, justement, sous Internet Explorer par exemple, la seule alternative offerte aux visiteurs est soit de bloquer, soit d’accepter les cookies dans leur ensemble (« Cliquez sur l'onglet Confidentialité, puis sous Paramètres, déplacez le curseur vers le haut pour bloquer tous les cookies ou vers le bas pour autoriser tous les cookies, puis cliquez sur OK »). Difficile dans ces conditions de s’opposer « à ceux dont le dépôt est soumis [au] consentement préalable » des personnes.
L’exploitation des données personnelles
Au point 4 de la page relative aux données personnelles, on découvre également qu’une inscription à la newsletter de la boutique entraine l’envoi « à intervalle régulier des actualités de la Présidence et des offres proposées sur le site Web ». L’utilisateur dispose alors « à tout moment la possibilité de [se] désabonner en cliquant sur le lien prévu à cet effet situé en bas de chacune des newsletters ».
Le point 5 relatif à la transmission des données personnelles à des tiers nous apprend que le responsable de traitement « peut être amené à transmettre vos Données Personnelles […] à la Présidence de la République qui pourra utiliser vos Données Personnelles pour vous envoyer des informations concernant l'actualité de la Présidence ».
Remarquons déjà qu’il n’est plus précisé cette fois que cet envoi est conditionné à l’inscription à la newsletter. L’articulation des points 4 et 5 interroge du coup : présentée ainsi, elle rend théoriquement possible l’envoi d’actualité par l’Élysée alors même que la personne concernée ne s’est pas inscrite ou bien s’est désinscrite de la newsletter.
Les termes sont en outre très généreux (transmission de « vos Données personnelles »). Or, selon le point 1, l’expression « vos Données personnelles » comprend « notamment vos nom, prénom, adresse, numéro de téléphone, adresse de courriel, données bancaires, identifiant, mot de passe et autres informations qui permettent votre identification et que vous mettez à disposition d’EXPENDO ORGANISATION à tout moment ». Faute de nuance élémentaire, toutes ces informations pourraient être transmises à l’Élysée.
Durée de conservation, information préalable
Le site n’indique pas exactement la durée de conservation. Aucun souci en principe, le RGPD autorise cette situation, tout en exigeant « les critères utilisés pour déterminer cette durée » soient communiqués.
Ces critères sont définis au point 3 de la page relative aux données personnelles (« Toutes les Données Personnelles collectées sont stockées sur un serveur offrant toutes les garanties de sécurité et sont conservées pendant une durée n'excédant pas la durée nécessaire à la réalisation des objectifs figurant à la Section 3 ci-avant ») :
Il y aura donc conservation des données personnelles aussi longtemps que devra par exemple être assurée la gestion du compte client ou le suivi d’activités de l’internaute sur le site. Peut-on vraiment parler de « critères » avec un objectif si flou ?
L’article 13 du RGPD oblige également le responsable à informer la personne concernée de son « droit d'introduire une réclamation auprès d'une autorité de contrôle ». Sauf erreur, ce droit n’est pas indiqué.
Le délégué à la protection des données personnelles
Selon le RGPD, « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel » (article 38).
Pour garantir l’effectivité de ces missions, la Cnil ajoute que le délégué (ou DPO en anglais) « doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer ses missions ». Par ses fonctions, le DPO doit pouvoir agir « d’une manière indépendante ».
Le choix organisationnel du traitement questionne. Selon cette page relative aux conditions générales de vente, le DPO est joignable à l’adresse « contact @ expendo.org ». Or, il s’agit de la même adresse que celle du responsable de traitement (« veuillez contacter la société EXPENDO ORGANISATION, responsable du traitement de vos Données Personnelles dans le cadre de l'activité du Site Web, en envoyant un courriel à contact @ expendo.org »).
Mieux : ce mail est encore utilisé par Expendo elle-même pour ses propres relations commerciales, sans lien avec la boutique élyséenne. On la retrouve aussi sur Deltapsi, site de ventes en ligne qui commercialise des produits Expendo, ou ce bon de commande pour des catalogues avec écran vidéo, vendus par la même entreprise, ou cette page d'Evasion-communication.fr, relative à un défilé pour enfants.
Avec cette logique de pot commun, des courriers que la personne concernée pense adresser au seul DPO risquent donc d’être accessibles à une quantité indéterminée de tiers non habilités.
Nous reviendrons sur ce dossier, notamment si la Cnil décide de lancer une enquête.
