Notre plainte dénonçant plusieurs risques de contrariété avec le sacro-saint RGPD a finalement porté fruit. C'est ce qu'il ressort du courrier que nous a adressé la CNIL, près de 3 ans après avoir été saisie, l'index pointé sur la boutique de l’Élysée.
Il aura donc fallu plus de 1 000 jours à la CNIL pour traiter notre demande. C’est en effet le 9 juillet 2021 que Marie-Laure Denis a signé la réponse à notre plainte adressée... le 17 septembre 2018.
L’autorité, non sans s’excuser, explique ces délais de traitement particulièrement longs par un nombre de plaintes de plus en plus important outre des « travaux que [l’autorité] a menés pour adapter ses procédures au nouveau cadre légal, notamment pour articuler le RGPD et la directive e-privacy ».
Pour mémoire, notre démarche était consécutive à la mise en ligne de la boutique officielle de l’Élysée, site où quiconque peut acheter des t-shirts, bijoux, espadrilles, agendas et autres accessoires à l’effigie du Palais et son actuel locataire. « L'intégralité des bénéfices de la boutique est affectée à ses projets de restauration » indique aujourd’hui la boutique.
Rapidement, nous avions isolé plusieurs problèmes dans la page relative aux données personnelles, en particulier la politique de gestion des cookies dans les pages du site ô combien institutionnel.
Exotique politique de gestion des cookies
Ainsi, alors que la CNIL n’avait pas encore établi ses lignes directrices, le simple fait de poursuivre sa navigation engendrait pour l’internaute l’acceptation de ces traceurs, sans recueil explicite du consentement.
Le site affirmait déposer éventuellement quatre types de cookies : des cookies techniques, des cookies d'analyse statistique, des cookies relatifs aux préférences, mais aussi des cookies de ciblage ou des cookies publicitaires. Ces derniers « limitent le nombre de fois où vous voyez une annonce et aident à mesurer l'efficacité de nos campagnes publicitaires ».
Pour le droit d’opposition, la boutique de l'Élysée se limitait à renvoyer le même internaute à la configuration de son navigateur, alors que le Conseil d’État lui-même avait jugé en juin 2018 que « le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d'opposition au dépôt de " cookies " ».
Dans les conditions générales, on découvrait, surpris, qu’une inscription à la newsletter de la boutique entrainait automatiquement l’envoi « à intervalle régulier des actualités de la Présidence et des offres proposées sur le site Web ».
Et le point 5 des CGU d’ajouter à l'époque que le responsable de traitement pouvait « être amené à transmettre vos Données Personnelles : - à la Présidence de la République qui pourra utiliser vos Données Personnelles pour vous envoyer des informations concernant l'actualité de la Présidence », sans préciser que l’envoi était conditionné à l’inscription à la newsletter.
Autres problèmes : les durées de conservation des cookies n’étaient pas précisées, pas plus que le droit d'introduire une réclamation auprès d'une autorité de contrôle, l’adresse pour contacter le DPO était la même que celle du responsable de traitement ou celle utilisée pour les relations commerciales…
La réponse de la CNIL
« S’agissant de la mention d’information relative à l’absence de contrôle du dépôt du cookies tiers sur le site boutique.elysee.fr », nous écrit la CNIL, « la société nous a indiqué qu’aucun cookie de ce type n’était déposé sur le site et que cette mention avait été indiquée afin de prévenir une éventuelle évolution de la gestion des cookies ». La mention surabondante a été effacée.
Autre modification, la société Expendo, qui édite et exploite la boutique de l’Élysée, a revu de fond en comble la gestion du refus et du dépôt de ces lignes de code « afin de le mettre en conformité avec le cadre légal et ainsi d’informer les internautes sur la manière de désactiver ou modifier leurs préférences de dépôt de cookies ».
L’entreprise a par ailleurs « apporté des précisions sur la gestion des cookies pour les principaux navigateurs ».
La même a « ajouté des informations sur la possibilité pour les internautes de retirer ou modifier leurs préférences » concernant le dépôt de ces traceurs soumis au consentement...
...Tout comme elle décrit désormais dans un tableau les durées de conservation des cookies, en précisant la base légale, la durée de stockage d’abord en base opérationnelle puis en archive.
Dans ce (premier ?) courrier, la CNIL n’a pas touché mot de la question du DPO, qui à l’époque était donc joignable à l’adresse « contact [at] expendo.org », soit la même que celle du responsable de traitement.
Dans la version consultée ce jour, Guillaume Masset, le délégué à la protection des données au sein d’Expendo est également responsable de la boutique en ligne.
La CNIL précise sur son site que plusieurs fonctions sont susceptibles de donner lieu à un conflit d’intérêts : « secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique, mais également d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement ».
