La protection des données personnelles & les e-commerce, attention aux sanctions de la CNIL !

Article du 24 août 2020
Par
Margaux Lalanne-Magne
La protection des données personnelles & les e-commerce, attention aux sanctions de la CNIL !

Ce qui devait arriver depuis le contrôle de la société SPARTOO effectué par la CNIL en date du 31 Mai 2018 arriva… Par une décision du 28 Juillet 2020, la CNIL a sanctionné la société pour plusieurs manquements importants à la réglementation européenne dite RGPD.

Pour les manquements constatés, la CNIL a sanctionné la société au paiement d’une amende administrative de 250 000 € et a enjoint cette dernière de se mettre en conformité dans un délai de 3 mois sous astreinte de 250 € par jour de retard. Une sanction qui invite tous les acteurs du e-commerce à être particulièrement vigilants…

 

Mais, en clair, la réglementation européenne sur la protection des données personnelles, dite RGPD, c’est quoi …? 


Tout d’abord, le RGPD signifie Règlement Général sur la Protection des Données. Ce dernier encadre le traitement des données personnelles sur tout le territoire de l’Union européenne, en s’adaptant aux évolutions technologiques et à l’usage de celles-ci par les diverses sociétés. 

D’après la CNIL, ce contrôle s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce principalement le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant, en harmonisant ces règles en Europe.

La CNIL définit le traitement des données personnelles comme “une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).”


Retour sur les principales règles européennes à respecter et leur interprétation concrète et pratique par l’autorité de contrôle, la CNIL, à travers la sanction qu’elle vient d’imposer à la société SPARTOO.

note d'information
Dans un raisonnement analogue, l’absence d’un demandeur d’asile à l’audience a été considérée comme justifiée « compte tenu de la pandémie du Covid-19 en cours et des mesures de confinement prises par l’autorité publique, alors que le département du Haut-Rhin constitue un foyer majeur de l’épidémie, les circonstances caractérisant un cas de force majeure » (CA Colmar, 6ème chambre, 23 Mars 2020, n°20/01206 et n°20/01207).

Le principe de minimisation des données collectées

Le règlement européen est clair dans son principe : « Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Il s’agit du principe de minimisation des données. Cependant, dans son application, il peut être compliqué de comprendre ce qu’attendent les autorités de contrôle et ce qui est entendu par des données nécessaires au regard des finalités… 

 

Tristement, on pourra apprécier la sanction de la société SPARTOO au moins pour son aspect pédagogue quant à l’interprétation du texte…

 

À titre d’exemple, en l’espèce, la CNIL a considéré que l’enregistrement systématique et intégral des conservations téléphoniques du service client sont une atteinte à ce principe, à l’encontre d’une part des clients mais aussi des salariés de la société. 

 

Par ailleurs, toujours dans le cas d’espèce, la collecte de la copie de la carte de santé pour la lutte contre la fraude en Italie constitue un manquement au principe de minimisation des données par la société qui exerce son activité au moyen de sites internet déployés dans différents pays de l’Union Européenne, dont l’Italie.

note d'information
Dans un raisonnement analogue, l’absence d’un demandeur d’asile à l’audience a été considérée comme justifiée « compte tenu de la pandémie du Covid-19 en cours et des mesures de confinement prises par l’autorité publique, alors que le département du Haut-Rhin constitue un foyer majeur de l’épidémie, les circonstances caractérisant un cas de force majeure » (CA Colmar, 6ème chambre, 23 Mars 2020, n°20/01206 et n°20/01207).

La durée limitée de conservation des données personnelles

Encore une fois, le règlement européen est clair, mais uniquement dans son principe : « les données à caractère personnel doivent être conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, sauf exception liée à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ».  

En l’espèce, la CNIL a précisé que si une durée de conservation de 2 ans en base active à compter de la date de dernière activité des prospects pouvait être adéquate, celle de 5 ans était cependant excessive. 

 

La CNIL a également rappelé que la seule ouverture d’un email par un prospect ne permettait pas de faire repartir la durée de conservation des données. En effet, un clic dans l’email est nécessaire.


Par ailleurs, elle a refusé que des données telles que l’email et le mot de passe d’un client soient « hashées » (c’est-à-dire puissent permettre une reconnexion ultérieure du client sur son compte) et non supprimées à l’expiration de la durée de conservation des données.

bon à savoir
Découvrez notre modèle de business plan au format Word pour votre projet de création d'entreprise.
Voir le document

La parfaite information de la personne aux données collectées

Sur ce point, le règlement européen prévoit que plusieurs informations doivent être portées à la connaissance de la personne concernée au moment où les données sont obtenues, telles que : « l'indication des destinataires des données collectées et de la base sur laquelle le traitement est effectué ».

En l’espèce, la CNIL reproche à la société de ne pas informer le client du transfert des données pour traiter les appels clients vers Madagascar, en particulier dans sa politique de protection des données.

 

Sur le même principe, la CNIL reproche à la société de ne pas informer de manière claire et détaillée les salariés du service client de l’enregistrement des conversations et de ses modalités.

Les mesures de sécurité barrières pour favoriser la protection des données

Le règlement européen prévoit que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».  

En l’espèce, deux points significatifs relevés par la CNIL doivent être étudiés :

 

-       L’absence de sécurisation des mots de passe des comptes clients

 

En l’espèce, un mot de passe de 6 caractères pour la création d’un compte n’est pas suffisant en termes de sécurité pour la CNIL. 

 

La CNIL se réfère en effet à ses recommandations données lors de la délibération en date du 22 Juin 2017, qui prévoient qu’un mot de passe est sécurisé lorsqu’il contient au minimum 12 caractères avec des caractères spécifiques à savoir une lettre majuscule, une minuscule, un chiffre et un caractère spécial. 



-       La réception de scan de carte bancaire par mail

 

En l’espèce, la société demandait aux clients qui étaient suspectés de fraude de scanner leur carte bancaire par email. La société pouvait ne laisser visibles que les 4 premiers numéros mais la CNIL a considéré que la société collectait les numéros de carte bancaire et a sanctionné le défaut de sécurité dans la transmission des données.

bon à savoir
Qiiro l’assistant juridique qui accompagne les franchisseurs et les franchisés au quotidien.
Créer un compte

Voir d'autres articles

logo qiiro
Restez informé
Merci. Nous avons bien pris en compte votre inscription.
Oops! Une erreur s'est produite. Veuillez re-essayer ou nous contacter via service@qiiro.eu.