Blog Données personnelles

La Commission Nationale de l’Informatique et des Libertés sanctionne lourdement la société Brico Privé

Le 14 juin 2021, la Commission Nationale de l’Informatique et des Libertés (« CNIL ») a sanctionné la société Brico Privé pour avoir manqué à plusieurs obligations prévues par le Règlement général sur la protection des données (« RGPD »), le Code des postes et communications électroniques (« CPCE ») et la loi Informatique et Libertés modifiée.

Cette sanction fait suite à plusieurs contrôles réalisés entre 2018 et 2021 auprès de la société éditrice d’un site internet de ventes privées dédié au bricolage. Lors de ces contrôles, la CNIL a constaté plusieurs manquements par Brico Privé concernant le traitement de données personnelles de ses prospects et clients. Les personnes concernées se situant dans plusieurs pays de l’Union européenne, la CNIL a collaboré pour une partie de la décision avec les autorités de contrôle des trois autres pays dans lesquels la société propose ses services.

Les manquements au RGPD

La CNIL a considéré que Brico Privé ne respectait pas l’obligation de limiter la durée de conservation des données personnelles prévue à l’article 5.1.e du RGPD. En effet, la société ne respectait pas les durées déterminées dans sa politique de durées de conservation et conservait les données personnelles de plus de 16 000 personnes n’ayant pas passé commande et de plus de 130 000 personnes n’étant pas connectées à leur compte client depuis plus de 5 ans.

La société a également manqué à son obligation de fournir aux personnes concernées les informations requises par l’article 13 du RGPD, les mentions d’information mises à disposition des utilisateurs de son site internet ne comportant pas l’ensemble des informations requises.

En outre, la CNIL a constaté que lorsqu’une personne demandait l’effacement de son compte, la société ne supprimait pas les données à caractère personnel mais procédait uniquement à la désactivation du compte concerné. La pratique de Brico Privé constituait donc un manquement à l’article 17 du RGPD.

Enfin, la CNIL a considéré que la société a manqué à son obligation d’assurer la sécurité des données personnelles en application de l’article 32 du RGPD. A cet égard, elle a notamment relevé que Brico Privé n’imposait pas l’utilisation de mots de passe suffisamment robustes lors de la création d’un compte sur son site internet ou pour l’accès de ses salariés au logiciel de gestion de la relation client et que le système utilisé pour la conservation des mots de passe des salariés utilisateurs du site internet était obsolète.

Les manquements au CPCE et à la loi Informatique et Libertés modifiée

D’une part, la CNIL a considéré que Brico Privé ne respectait pas les obligations prévues à l’article 82 de la loi Informatique et Libertés. En effet, Brico Privé déposait automatiquement un certain nombre de cookies sur le terminal des utilisateurs sans que leur consentement n’ait été préalablement recueilli alors que ces cookies n’étaient pas strictement nécessaires à la fourniture du service.

Brico Privé a également manqué à l’obligation de recueillir le consentement préalable de personnes concernées par une opération de prospection directe réalisée par courrier électronique prévue à l’article L. 34-5 du CPCE. Elle adressait en effet des messages électroniques de prospection sans recueillir préalablement leur consentement à des personnes ayant créé un compte sur son site internet mais n’ayant pas procédé à un achat.

La sanction

La CNIL a condamné Brico Privé à 500 000 euros d’amende et a prononcé à son encontre une injonction de mise en conformité assortie d’une astreinte. Pour le prononcé de sa sanction, la CNIL a notamment pris en considération le nombre important de personnes concernées et la négligence grave dont témoignent les manquements de la société. La CNIL a toutefois relevé les mesures de conformité mises en place par Brico Privé durant la procédure de contrôle mais celles-ci ne concernent pas tous les manquements et n’exonèrent pas la société de sa responsabilité pour les manquements constatés.

La délibération de la CNIL (Délibération SAN-2021-008 du 14 juin 2021) est accessible ici.