La Cnil a lourdement sanctionné une entreprise qui a transmis pendant des années des données personnelles des membres de son programme de fidélité à un réseau social. Plus de 10 millions d’utilisateurs européens sont concernés.
La Commission nationale informatique et libertés (Cnil) a frappé du poing sur la table, en sanctionnant une entreprise dont le nom n’a pas été révélée. Des contrôles menés en février 2023 ont montré que cette société transmettait les adresses électroniques et/ou les numéros de téléphone des membres de son programme de fidélité à un réseau social et ce, depuis 2018.
De nombreux manquements et erreurs au menu
Une fois en possession de ces données, le réseau social — lui aussi anonyme — affichait de la publicité ciblée pour promouvoir les produits vendus par l’entreprise fautive. Cette dernière s’est rendue coupable d’infraction à plusieurs obligations inscrites dans le règlement européen sur la protection des données (RGPD). C’est la raison pour laquelle elle écope d’une sanction de 3,5 millions d’euros. L’amende est d’autant plus lourde que la pratique concerne plus de 10,5 millions de personnes, en France comme ailleurs en Europe. La Cnil a travaillé avec ses homologues européens de 16 pays.
Si la Cnil n’a pas voulu révéler les noms des entreprises concernées, la commission a tout de même tenu à communiquer sur l’affaire : « il était important d’informer le public des règles applicables [en matière de publicité ciblée] sans qu’il soit, en l’espèce, utile de nommer la société concernée. » Au cœur de la décision figure d’abord l’absence de base légale valable pour le ciblage publicitaire mis en place. L’entreprise estimait disposer du consentement des membres de son programme de fidélité, recueilli lors de l’inscription lorsqu’ils acceptaient de recevoir des communications par courriel ou SMS.
Mais la Cnil a jugé ce consentement invalide : aucune information claire n’était fournie sur la transmission des données à un réseau social à des fins de publicité ciblée. Les documents accessibles depuis le site web, comme la politique de confidentialité, étaient soit lacunaires, soit trop imprécis pour permettre aux utilisateurs de comprendre la finalité réelle du traitement. Dans ces conditions, les personnes concernées ne pouvaient pas donner un consentement « libre, spécifique et éclairé ».
Le régulateur pointe également un manquement à l’obligation d’information. La Cnil relève que les informations mises à disposition des utilisateurs ne permettaient pas d’identifier clairement les finalités des traitements ni les bases légales associées. Certaines mentions obligatoires faisaient défaut, notamment sur la durée de conservation des données ou sur l’existence même d’un traitement de publicité ciblée.
D’autres informations étaient tout simplement obsolètes, comme les références à des mécanismes de transfert de données vers les États-Unis qui ne sont plus en vigueur. Ces imprécisions et erreurs ont été jugé incompatibles avec les exigences de transparence du RGPD.
Enfin, la formation restreinte a retenu des manquements en matière de sécurité et de prévention des risques. Les règles de gestion des mots de passe ont été jugées insuffisantes, tout comme le recours à la fonction de hachage SHA-256 pour leur stockage, considérée comme inadaptée à un niveau de sécurité satisfaisant. L’entreprise n’avait par ailleurs pas réalisé d’analyse d’impact sur la protection des données avant de déployer ce dispositif de ciblage publicitaire, alors même qu’il reposait sur un volume important de données et sur leur croisement.
À cela s’ajoutent des infractions liées aux cookies : plusieurs traceurs soumis à consentement étaient déposés avant tout choix de l’utilisateur et n’étaient pas supprimés en cas de refus, en contradiction avec la loi Informatique et Libertés.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Cnil