Actualités
27.11.2020Hélène Lebon

La CNIL prononce des sanctions importantes notamment pour diffusion d’une politique de confidentialité trop vague

La CNIL a rendu le 18 novembre 2020, 2 sanctions, l’une de 2 250 000€ et l’autre de 800 000€ pour violation d’un certain nombre de dispositions du RGPD et de la loi informatique et libertés.

Ces décisions de sanction prononcées par la CNIL sont très riches, nous avons ici uniquement retenu les passages de la délibération portant sanction concernant le contenu de la politique de confidentialité et sur la mise en place de cookies.

La délibération indique que « l’emploi de formules vagues et non définies telles que les délais de prescription légale applicables ou la conservation de vos données par Carrefour Banque varie selon les réglementations et lois applicables ou encore des expressions à titre d’exemple ou de l’adverbe notamment rendaient nécessairement confuse pour les personnes concernées »

La formation restreinte note que « l’information était également incomplète dans la mesure où la société négligeait de préciser les durées de conservation applicables à toutes les données traitées ou ne précisait pas les critères utilisés pour déterminer ces durées. Ainsi, la société ne précisait pas qu’elle archivait les données contractuelles pendant cinq ans, durée de la prescription légale applicable, en cas de contentieux »

S’agissant du contenu de la politique de confidentialité

Le rapporteur considère que la politique de confidentialité de la société, intitulée Protection et confidentialité des données personnelles traitées par Carrefour Banque (…) était à la fois imprécise et lacunaire s’agissant des mentions relatives aux durées de conservation. Ainsi, d’une part, la politique d’information comportait des formulations trop vagues, ne permettant pas d’identifier des durées définies et, d’autre part, la société ne donnait aucune information concernant certaines données qu’elle indiquait pourtant collecter, telles que les données de comportement, d’habitudes et de préférences de consommation en ligne collectées par les cookies déposés sur le terminal des utilisateurs à partir de son site web. Par ailleurs, la société ne précisait pas si elle archivait ou non les données des personnes concernées.

La formation restreinte rappelle qu’aux termes de l’article 13, paragraphe 2, a) du Règlement, le responsable du traitement fournit à la personne concernée les informations relatives à la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée .

A titre d’éclairage, les lignes directrices sur la transparence précitées recommandent que « la durée de conservation [soit] formulée de manière à ce que la personne concernée puisse évaluer, selon la situation dans laquelle elle se trouve, quelle sera la période de conservation s’agissant de données spécifiques ou en cas de finalités spécifiques. Le responsable du traitement ne peut se contenter de déclarer de façon générale que les données à caractère personnel seront conservées aussi longtemps que la finalité légitime du traitement l’exige. Le cas échéant, différentes périodes de stockage devraient être mentionnées pour les différentes catégories de données à caractère personnel et/ou les différentes finalités de traitement, notamment les périodes à des fins archivistiques »

En l’espèce, la formation restreinte souligne, tout d’abord, que l’emploi de formules vagues et non définies telles que les délais de prescription légale applicables ou la conservation de vos données par Carrefour Banque varie selon les réglementations et lois applicables ou encore des expressions à titre d’exemple ou de l’adverbe notamment rendaient nécessairement confuse pour les personnes concernées la compréhension de l’étendue et de la nature des données conservées ainsi que des durées de conservation appliquées à ces données.

Elle ajoute, ensuite, que l’information était également incomplète dans la mesure où la société négligeait de préciser les durées de conservation applicables à toutes les données traitées ou ne précisait pas les critères utilisés pour déterminer ces durées. Ainsi, la société ne précisait pas qu’elle archivait les données contractuelles pendant cinq ans, durée de la prescription légale applicable, en cas de contentieux. Par ailleurs, elle ne précisait pas les durées de conservation des données collectées par les cookies, dès lors que si les Mentions légales du site comportaient bien un paragraphe relatif aux cookies, ce dernier ne précisait pas les durées de conservation des données collectées par ces cookies.

La formation restreinte considère donc qu’un manquement à l’article 13 du Règlement était constitué.

Elle relève, néanmoins, qu’au jour de la séance, la société avait complété ses mentions d’information et que sa politique de confidentialité satisfait désormais aux exigences de l’article 13 du Règlement.

Sur le manquement relatif aux cookies

La formation restreinte relève que le dépôt de 31 cookies était automatique dès l’arrivée sur la page d’accueil du site et avant toute action de l’utilisateur.

Parmi ces 31 cookies :

5 de ces cookies (les cookies MUIDB , GPS et gid , _ga et _gat_trackerBanque ) n’avaient ni pour finalité exclusive de permettre ou de faciliter la communication par voie électronique, ni n’étaient strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur. 3 de ces cookies gid , _ga et _gat_trackerBanque , dits Google analyticsla formation restreinte souligne qu’il ne fait pas débat que les données collectées par ces cookies peuvent être recoupées avec des données issues d’autres traitements pour poursuivre des finalités différentes que celles limitativement prévues par l’article 82 de la loi informatique et libertés , notamment pour mener à bien de la publicité personnalisée.

En effet, il ressort du guide pratique Association des comptes Analytics et Google Ads , mis en ligne sur un des sites de la société Google, que l’intégration de Google Analytics dans Google Ads (…) permet [aux annonceurs] de savoir précisément dans quelle mesure [leurs] annonces se traduisent par des conversions, puis d’ajuster rapidement les créations et les enchères en conséquence. [Les annonceurs peuvent] également combiner les produits afin d’identifier [leurs] segments les plus intéressants, puis susciter l’intérêt de ces utilisateurs à l’aide de messages personnalisés .

S’agissant, ensuite, des cookies MUIDB et GPS , la formation restreinte relève que ces deux cookies sont des cookies de traçage, le premier permettant de suivre un utilisateur se rendant sur différents noms de domaine appartenant à la société Microsoft, le second enregistrant un identifiant sur le terminal de l’utilisateur afin de le géolocaliser.

Dès lors, le dépôt de ces cinq cookies aurait dû obliger la société à recueillir préalablement le consentement de l’utilisateur.

La formation restreinte considère donc qu’un manquement à l’article 82 de la loi informatique et libertés était constitué.

Elle relève, néanmoins, qu’au jour de la séance, la société avait entièrement refondu sa politique en matière de cookies. Ces modifications ont amené, notamment, à l’arrêt du dépôt automatique de cookies à l’arrivée sur la page d’accueil du site depuis le 4 mars 2020.