Par Haas Avocats
Le 29 décembre dernier, la CNIL a sanctionné NS CARD France (ci-après : «NS CARD»), un distributeur de monnaie électronique français qui opère dans le paiement en ligne via la distribution de coupons Neosurf.Concrètement, les utilisateurs finaux ont accès à ces coupons dans les points de vente agréés ou en s’inscrivant sur la plateforme www.neosurf.com.
Compte tenu des éléments recueillis au cours des contrôles réalisés en ligne et sur place, la CNIL a finalement saisi sa formation restreinte des manquements exposés ci-après.
Le manquement au principe de limitation de conservation : données associées aux comptes utilisateurs
En principe, les données personnelles doivent être conservées pendant une durée strictement nécessaire à la réalisation de la finalité de leur traitement1. Afin d’assurer le respect de ce principe, la CNIL a articulé son raisonnement autour de deux axes.
Dans un premier temps, la CNIL constate que 70 049 comptes se sont vus être inactifs depuis 10 ans et demeuraient consultables au sein de la base de production malgré la politique de conservation de l’entreprise2.
A la lumière de la jurisprudence rendue en matière de durée de conservation3, la CNIL rappelle que l’inactivation d’un compte utilisateur ne correspond ni à une suppression de données personnelles, ni à une anonymisation. En conséquence, la CNIL considère que la conservation des comptes inactifs constitue un manquement au principe de limitation de la conservation des données personnelles.
Dans un second temps, la CNIL relève que la société poursuivie appliquait irrégulièrement une durée de conservation de 10 aux contrats électroniques portant sur une valeur inférieure à 120€4.
L’information des personnes concernées
Dans le cadre de son contrôle la CNIL constate plusieurs manquements gravitant autour de la politique de confidentialité5 concernant son :
- Intelligibilité compte tenu du fait qu’elle est intégralement rédigée en anglais alors qu’elle est adressée à des utilisateurs majoritairement francophones et que deux versions de cette politique coexistaient sur le site Internet du plaignant ;
- Incomplétude dans la mesure où elle ne fait pas état des durées de conservations applicables et du droit de réclamation auprès d’une autorité compétente.
Les manquements à l’obligation de sécurité du traitement
Là aussi, dans le cadre de son contrôle, la CNIL constate le manque de robustesse de la politique de mots de passe, celle-ci n’exigeant que 6 caractères de trois sortes dépourvus de mesures de sécurité complémentaires6. Cette politique contrevient aux recommandations de la CNIL qui prévoit que la robustesse d’un mot de passe doit a minima garantir l’utilisation de 8 signes incluant au moins 3 catégories de caractères différents ainsi qu’une mesure de sécurité complémentaire (tels que la temporisation d’accès au compte après plusieurs échecs)7 ou au moins 12 caractères différents selon les dernières recommandations de la CNIL et de l’ANSSI en matière de robustesse des mots de passe.
Par ailleurs, la CNIL considère que les modalités de stockage des mots de passe ne répondent pas à ses préconisations. En outre, leur stockage n’était pas chiffré, et toute personne accédant à la base de données clients de NS CARD pouvait librement les consulter.
Enfin la CNIL constate que la fonction de hachage utilisée par NS CARD (à savoir la fonction SHA-1) n’était plus conforme à l’état de l’art et qu’elle ne permettait pas d’assurer la sécurité des données des utilisateurs.
Les manquements gravitant autour des cookies
Dans le cadre de ses observations, la CNIL constate que NS CARD ne respecte pas le consentement des utilisateurs concernant l’utilisation :
- d’un cookie publicitaire (en l’occurrence Google Analytics)
En effet, afin d’assurer le suivi de son audience, NS CARD a recours à Google Analytics.
La CNIL rappelle qu’en matière de cookies, l’éditeur d’un site Internet ne peut s’affranchir du consentement de la personne concernée qu’en démontrant que le cookie utilisé a pour finalité exclusive :
- De faciliter la communication par voie électronique ; ou
- De permettre la fourniture d’un service expressément demandé par l’utilisateur.
Compte tenu de ses fonctionnalités publicitaires, l’utilisation de Google Analytics doit être consentie par la personne concernée8. Ainsi, en s’affranchissant de l’accomplissement d’une telle formalité, NS CARD a violé les obligations qui lui incombent.
- du reCaptcha de Google
NS CARD reconnait avoir recours au reCaptcha de Google en violation du consentement des personnes concernées.
Cependant, dans ses conclusions, la société excipe que la responsabilité de GOOGLE devrait également être recherchée compte tenu du manque d’accessibilité et d’intelligibilité des informations relatives aux conséquences liées à l’utilisation du service reCaptacha.
Prenant le contrepied de cette argumentation, la CNIL considère qu’en tant qu’éditeur, il appartenait à NS CARD d’analyser les CGU publiées par Google, d’autant que celles-ci renseignent les éditeurs sur la nécessité d’obtenir le consentement des utilisateurs préalablement au dépôt du reCaptcha.
Au regard de tout ce qui précède, la CNIL a finalement prononcé une sanction de 105 000 euros à la société NS CARD. Un grand signal qui est envoyé aux acteurs du milieu.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
_
1 Article 5-1,e) du RGPD que
2 Les données associées au compte utilisateurs sont prévues pour être conservées pendant une durée de 10 ans à compter de la dernière opération effectuée
3Délibération SAN-2022-018 du 8 septembre 2022
4la société poursuivie a finalement ramené à 5 ans, la durée de conservation des contrats électroniques ne répondant pas aux critères mentionnés aux articles L.213-1 et D.213-1 du code de la consommation
5Selon les articles 12 à 14 RGPD que les personnes concernées doivent être informées : « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » des caractéristiques essentiels du traitement de leurs données et des modalités leur permettant d’exercer les prérogatives qui leur sont conférés au titre du RGPD
6En adéquation avec l’article 32 du RGPD, il incombe au responsable de traitement d’assurer la protection des données qu’il est amené à traiter. A ce titre, il incombe à NS CARD de tenir compte « des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite »
7Délibération n°2017-012 du 19 janvier 2017.
8Article 82 de la loi Informatique et Libertés