La CNIL vient d’infliger une sanction administrative de 30 000 euros à l’encontre de BrandAlley.fr. La société éponyme, derrière ce site de ventes en ligne, est épinglée pour plusieurs indélicatesses à l’égard de la loi de 1978.
Le 13 janvier 2015, une délégation de la CNIL effectuait un premier contrôle sur place pour relever déjà différents manquements de cette société française. Cela aurait pu en rester là si tout avait été rectifié à temps, mais en mars de la même année, une cliente a saisi la CNIL pour se plaindre de difficultés dans l’exercice de son droit d’accès aux données personnelles. Cette internaute adressait d’ailleurs au site de e-commerce une nouvelle lettre en mai 2015, sans plus d’effet.
Le 3 juillet 2015, BrandAlley était du coup mise en demeure par la CNIL de corriger plusieurs points de son système dans les trois mois. Bon prince, la Commission lui accordait un peu plus tard une rallonge de trois nouveaux mois. Les points litigieux visent à :
- Encadrer le traitement relatif à la prévention des fraudes,
- Mettre en place d’une durée de conservation des données clients,
- Recueillir le consentement préalable des clients pour la conservation des données bancaires
- Prendre en compte de la demande de la plaignante
- Obtenir l’accord des internautes s’agissant des cookies
- Cesser de transmettre les données à caractère personnel vers des pays hors UE qui n’assurent pas un niveau suffisant de protection de la vie privée et des libertés et droits fondamentaux.
Dans un courrier de janvier 2016, BrandAllay affirmait à la CNIL qu’elle s’était désormais mise en conformité. Peu satisfaite des réponses « lacunaires », la Commission organisait un nouveau contrôle sur place en février 2016. Contrôle qui a montré la persistance de plusieurs problèmes déjà relevés. En outre, un mois plus tard, elle a effectué un contrôle à distance du site Internet, une possibilité accordée par la loi sur la consommation.
La procédure gagnait alors un tour de vis supplémentaire. La CNIL a désigné un rapporteur, en l’occurrence François Pellegrini, une étape préalable à toute sanction où la société peut encore donner ses explications. Dans ce document désormais public , le rapporteur a constaté plusieurs défauts.
Des réactions trop tardives
Premièrement, BrandAllay.fr n’avait pas déposé dans le délai imparti, de demande d’autorisation pour la mise en œuvre d’un traitement antifraude. Selon les éléments du dossier, c’est « la réception du rapport de sanction qui a conduit la société à effectuer une demande d’autorisation ». Mais beaucoup trop tardivement pour ne pas abuser de la patience de l’autorité administrative...
S’agissant de la durée de conservation des données personnelles, on se retrouve un peu dans même situation. À l’échéance du délai imparti, la société avait indiqué s’être conformé à la norme simplifie 48, celle relative à la gestion de clients et de prospects. Dans le même temps, elle ajoutait que les données clients seraient conservées 5 années durant, à compter de la fin de la relation commerciale. Or ce délai n'est pas prévu par la norme en question. Pire, lors du deuxième contrôle sur place, la CNIL a constaté qu’ « aucune purge des données n’avait été réalisée ». Les explications fournies par le site de e-commerce – liées à la complexité de mise en œuvre – n’ont pas eu de poids, même si elle a depuis corrigé le tir pour revenir à un délai de conservation de 3 ans.
Cookies, chiffrement, Maroc et Tunisie
S’agissant des cookies, la société mise en demeure avait informé l'autorité de la mise en place un bandeau afin de recueillir le consentement des internautes, avant dépôt de cookies. Le contrôle en ligne effectué en mars 2016 a révélé la solidité de cette affirmation. D’un, le fameux bandeau « était rédigé de telle sorte qu’il n’informait pas les utilisateurs de leur possibilité de paramétrer le dépôt de cookies ». Soit un joli manquement à l’article 32-II de la loi de 1978.
De deux, des cookies à finalités publicitaires étaient déposés dès l’arrivée sur le site, sans l’ombre d’un consentement préalable. Pour ce dernier point, la CNIL n’a finalement pas retenu de grief, s’estimant « insuffisamment éclairée (…) sur la répartition exacte des responsabilités entre l’éditeur du site, les annonceurs et les régies publicitaires concernés ». Par constat d’huissier, BrandAlley a par ailleurs démontré s’être mise depuis d’aplomb.
Ce n’est pas tout. La CNIL a pareillement dénoncé l’absence de chiffrement du canal de communication et d’authentification lors de l’accès à BrandAlley.fr (usage du HTTP, plutôt que HTTPS). Le 29 mars 2016, la société a produit un nouveau constat d’huissier pour montrer à la CNIL que ce défaut se conjuguait désormais au passé. Un peu tard là encore pour la Commission qui a relevé un nouveau manquement.
Enfin, la société transférait vers le Maroc et la Tunisie les données personnelles de ses clients, via l’un de ses sous-traitants. Malgré des affirmations en sens contraire en janvier 2016, la CNIL a relevé en février la persistance de ces transferts. Or, en principe, de telles opérations ne sont possibles que si le pays de destination offre un niveau de protection comparable à celui en vigueur en Europe, ce qui n’était pas le cas ici (pas plus qu'aux Etats-Unis depuis l'invalidation du Safe Harbor par la justice européenne).
Après délibération, la CNIL a décidé de sanctionner la société de 30 000 euros d’amende, outre de rendre public la délibération. Une sanction loin d’être négligeable, le critère de la confiance sur Internet étant cruciale pour un site de e-commerce. La société peut maintenant attaquer, si elle le souhaite, la décision devant le Conseil d’État.
Commentaires (32)
#1
C’est aussi le cas sur Amazon non ?
Pourquoi ils ne se prennent pas la CNIL également ?
#2
Concernant les cookies, beaucoup trop de sites web les enregistre dès la
1ère visite, et n’offrent pas la possibilité de les refuser.
Hmm y a de quoi faire niveau inspection là.
#3
https://twitter.com/davlgd/status/754969348633223168 ;)
PS : ce sont des chiffres sur une première visite en navigation privée
#4
de telles opérations ne sont possibles que si le pays de destination
offre un niveau de protection comparable à celui en vigueur en Europe
Pays ou société ? Parce que dans le premier cas, on peut arrêter au bas mot plus de la moitié des hotlines de boites françaises.
#5
#6
Ben, si personne ne le dénonce auprès de la CNIL, il faut laisser le temps à cette dernière pour se saisir du dossier.
Après, je pense qu’Amazon sera très prompt à corriger le tir et s’en tirera avec un simple avertissement !
#7
Et non
" /> !
#8
Pwa c’est juste hallucinant !
#9
#10
C’est ce qui me semble aussi, ou alors c’est tellement caché que même moi je me suis fait avoir.
On peut ensuite la supprimer dans son espace client, mais j’imagine qu’elle doit être conservée un bon moment, au moins dans leurs sauvegardes, et peut donc toujours être récupérée en cas de fuite de données.
#11
1 c’est bien trop lent !
2 c’est la fermeture du commerce avec interdiction pour son gérant d’en suivre une nouvelle qui aurait du être prononcée.
#12
En fait, il y a un moment, Amazon nous demandait si on voulait enregistrer ou pas.
Mais maintenant ils ne posent plus la question, ils enregistrent direct .. mais proposent de supprimer après coup.
Il faut juste y penser à chaque fois c’est assez relou …
#13
Même réaction que Gromsempai, c’est
" />.
" />
Je comprends mieux pourquoi la navigation sur ces sites manquent cruellement de fougue
#14
Après ça reste assez “secure” dans le sens où si tu veux faire livrer à une autre adresse postale tu est obligé de ressaisir les infos de la CB.
Mais bon, c’est quand même chiant.
#15
#16
Pour info les recommandations de la CNIL en la matière :
https://www.cnil.fr/fr/utilisation-des-cartes-bancaires-pour-le-paiement-distanc…
Après le souci n’est pas tant de stocker ou pas (ou de le faire faire par le prestataire certifié PCI-DSS quand ce n’est pas le cas du site), mais d’informer le client lorsque c’est le cas et d’avoir un consentement clair ;)
#17
Cesser de transmettre les données à caractère personnel vers des pays
hors UE qui n’assurent pas un niveau suffisant de protection de la vie
privée et des libertés et droits fondamentaux.e et des libertés et droits fondamentaux.
Pays hors UE… Les données peuvent donc rester en France malgré tout.
#18
Moué.
Vous faites un foin pour les gros sites genre les echo et cie qui abusent et abusent des cookies.
Soit, c’est sale, c’est même vomitif, on peut pas les défendre.
Par contre vous parlez pas beaucoup des centaines de milliers de petits sites qui sont emmerdé par ces obligation de popup cnil, sans parler de tout les gens qui sont emmerdé par ces popup.
C’est juste la fausse bonne idée ce truc, c’est juste du spam en plus.
#19
#20
La situation actuelle n’est pas bonne, tout le monde le sait (surtout parce que le bandeau ne sert à rien en l’état sur la majorité des sites contrairement à ce qui aurait du être le cas, mais ce n’était pas le meilleur dispositif, préféré sans doute par les éditeurs à une application d’un Do Not Track global ;)).
Ce n’est pas pour autant que les abus doivent se multiplier sans sanction. Après on verra les actions de la CNIL à la rentrée et comment le règlement EU sur la protection des données va venir faire évoluer tout ça.
#21
Oh, les petits Brand….
#22
Je ne suis pas d’accord :
D’une, je préfère largement cliquer sur un bandeau plutôt qu’un site dépose 70 petits fichiers sur ma machine dans mon dos. De deux, je vois pas en quoi les petits sites (honnêtes) sont embêtés dans la gestion de bandeaux pour les cookies vu qu’ils en sont exemptés.
#23
Moi j’ai eu du mal a lire l’article, plein de phrases pas françaises ou des mots qui manquent…bref ça pique ou mon français est encore pire que je pensais….
“Mettre en place d’une durée de conservation des données clients,”“Or ce délai non prévu par la norme en question.“Doit y en avoir d’autres mais vu que je suis ni journaliste, ni rédac chef en droit , et que j’ai arrêté mes études assez tôt, je pars du principe que c’est moi qui me goure , mais la ya des passage j’ai beau les relire pour moi ça veut rien dire (même si on comprends le sens)….
#24
“rendre public la délibération”
#25
lol
elle est belle!!!!
#26
#27
#28
Je ne sais pas d’où tu tiens tes chiffres (technique du doigt mouillé probablement).
Un petit site qui décide de monétiser via «adsense» c’est un pro. Un pro doit être capable de mettre un bandeau.
Après, vu qu’en tant qu’internaute, tu acceptes les cookies des «99,9999999% des sites web» tu dois pouvoir garder les cookies sans que cela te dérange plus que ça hein…
Quant à analytic, le petit site qui veut avoir des infos en respectant son visiteur utilise plutôt Piwic ,qui lui n’a pas a être déclaré via bandeau. CQFD.
#29
#30
PIWIK, d’accord.
Après continu d’ignorer si tu veux; si tu peux ignorer de commenter tes petites frustrations c’est encore mieux :-)
#31
De deux, des cookies à finalités publicitaires étaient déposés dès
l’arrivée sur le site, sans l’ombre d’un consentement préalable.
C’est le problème avec les messages imposés dans le bandeau (qu’on attribue à tort à la CNIl puisque c’est l’UE qui l’impose).
La plupart du temps, c’est juste “ok c’est comme ça et pas autrement, si tu veux va lire la page xxx mais ça ne changera rien” (pas de bouton de refus).
Et sinon c’est “pour améliorer l’expérience utilisateur”, comme si se pomper la data par tous ces trackers pubs améliorait quelque chose pour l’internaute.