Trois ans après notre plainte, la CNIL estime que la boutique de l’Élysée respecte le RGPD
Vite, un mug RGPD
Le 19 juillet 2021 à 08h05
5 min
Droit
Droit
Notre plainte dénonçant plusieurs risques de contrariété avec le sacro-saint RGPD a finalement porté fruit. C'est ce qu'il ressort du courrier que nous a adressé la CNIL, près de 3 ans après avoir été saisie, l'index pointé sur la boutique de l’Élysée.
Il aura donc fallu plus de 1 000 jours à la CNIL pour traiter notre demande. C’est en effet le 9 juillet 2021 que Marie-Laure Denis a signé la réponse à notre plainte adressée... le 17 septembre 2018.
L’autorité, non sans s’excuser, explique ces délais de traitement particulièrement longs par un nombre de plaintes de plus en plus important outre des « travaux que [l’autorité] a menés pour adapter ses procédures au nouveau cadre légal, notamment pour articuler le RGPD et la directive e-privacy ».
Pour mémoire, notre démarche était consécutive à la mise en ligne de la boutique officielle de l’Élysée, site où quiconque peut acheter des t-shirts, bijoux, espadrilles, agendas et autres accessoires à l’effigie du Palais et son actuel locataire. « L'intégralité des bénéfices de la boutique est affectée à ses projets de restauration » indique aujourd’hui la boutique.
Rapidement, nous avions isolé plusieurs problèmes dans la page relative aux données personnelles, en particulier la politique de gestion des cookies dans les pages du site ô combien institutionnel.
Exotique politique de gestion des cookies
Ainsi, alors que la CNIL n’avait pas encore établi ses lignes directrices, le simple fait de poursuivre sa navigation engendrait pour l’internaute l’acceptation de ces traceurs, sans recueil explicite du consentement.
Le site affirmait déposer éventuellement quatre types de cookies : des cookies techniques, des cookies d'analyse statistique, des cookies relatifs aux préférences, mais aussi des cookies de ciblage ou des cookies publicitaires. Ces derniers « limitent le nombre de fois où vous voyez une annonce et aident à mesurer l'efficacité de nos campagnes publicitaires ».
Pour le droit d’opposition, la boutique de l'Élysée se limitait à renvoyer le même internaute à la configuration de son navigateur, alors que le Conseil d’État lui-même avait jugé en juin 2018 que « le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d'opposition au dépôt de " cookies " ».
Dans les conditions générales, on découvrait, surpris, qu’une inscription à la newsletter de la boutique entrainait automatiquement l’envoi « à intervalle régulier des actualités de la Présidence et des offres proposées sur le site Web ».
Et le point 5 des CGU d’ajouter à l'époque que le responsable de traitement pouvait « être amené à transmettre vos Données Personnelles :-à la Présidence de la République qui pourra utiliser vos Données Personnelles pour vous envoyer des informations concernant l'actualité de la Présidence », sans préciser que l’envoi était conditionné à l’inscription à la newsletter.
Autres problèmes : les durées de conservation des cookies n’étaient pas précisées, pas plus que le droit d'introduire une réclamation auprès d'une autorité de contrôle, l’adresse pour contacter le DPO était la même que celle du responsable de traitement ou celle utilisée pour les relations commerciales…
La réponse de la CNIL
« S’agissant de la mention d’information relative à l’absence de contrôle du dépôt du cookies tiers sur le site boutique.elysee.fr », nous écrit la CNIL, « la société nous a indiqué qu’aucun cookie de ce type n’était déposé sur le site et que cette mention avait été indiquée afin de prévenir une éventuelle évolution de la gestion des cookies ». La mention surabondante a été effacée.
Autre modification, la société Expendo, qui édite et exploite la boutique de l’Élysée, a revu de fond en comble la gestion du refus et du dépôt de ces lignes de code « afin de le mettre en conformité avec le cadre légal et ainsi d’informer les internautes sur la manière de désactiver ou modifier leurs préférences de dépôt de cookies ».
L’entreprise a par ailleurs « apporté des précisions sur la gestion des cookies pour les principaux navigateurs ».
La même a « ajouté des informations sur la possibilité pour les internautes de retirer ou modifier leurs préférences » concernant le dépôt de ces traceurs soumis au consentement...
...Tout comme elle décrit désormais dans un tableau les durées de conservation des cookies, en précisant la base légale, la durée de stockage d’abord en base opérationnelle puis en archive.
Dans ce (premier ?) courrier, la CNIL n’a pas touché mot de la question du DPO, qui à l’époque était donc joignable à l’adresse « contact [at] expendo.org », soit la même que celle du responsable de traitement.
Dans la version consultée ce jour, Guillaume Masset, le délégué à la protection des données au sein d’Expendo est également responsable de la boutique en ligne.
La CNIL précise sur son site que plusieurs fonctions sont susceptibles de donner lieu à un conflit d’intérêts : « secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique, mais également d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement ».
Trois ans après notre plainte, la CNIL estime que la boutique de l’Élysée respecte le RGPD
-
Exotique politique de gestion des cookies
-
La réponse de la CNIL
Commentaires (17)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 19/07/2021 à 08h16
La longue route vers l’application du RGPD qui a déjà 5 ans ….
Le 19/07/2021 à 11h19
Merci Marc et NextInpact pour défendre nos droits… Et me faire rire quand j’imagine la tête des gars qui pensaient être tranquilles avec leur boutique de l’Elysée. C’est mal vous connaître
Le 19/07/2021 à 12h02
Le délai de réponse me fait penser a un certain transporteur dont je tairait le nom
Le 19/07/2021 à 12h16
Déjà les 3 ans de retard, c’est inadmissible et honteux. Ensuite la simple existence de cette boutique, destinée à vendre l’éborgneur de gilets jaunes et destructeur de la France, parachuté par l’UE et ses copains milliardaires, est un abus de biens sociaux caractérisé. Qui plus est : ce pauvre type et sa cougar ne font plus rire personne, à part peut-être chez LREM et ses copains milliardaires…
Bref, vous avez bien fait de les taquiner, mais le problème de fond, c’est que cette boutique est une insulte ouverte aux français, et une preuve évidente de corruption généralisée. Ça fait au moins deux ans que l’article 68 de la Constitution aurait du être enclenché par les députés et sénateurs qui ont refusé de faire le ménage qui s’impose, en couvrant les agissement de l’individu. Chacun en tirera ses conclusions.
Le 19/07/2021 à 12h21
Comme disait Coluche, il suffit de confier la gestion d’une Crise à l’administration française.
Ca ne l’arrêtera pas mais ça la ralentira considérablement…
Le 19/07/2021 à 12h41
C’est vrai, il n’y a pas assez de fonctionnaires affectés à la CNIL et un budget bien trop faible.
Augmentons les impôts avec Asselineau.
Le 19/07/2021 à 19h23
Une augmentation d’impôt n’est pas forcement nécessaire. Il suffit juste de virer les 4 ou 5 copains “conseiller en comm’” qui ne servent que pour l’égo du président. Et avec les économies réalisées (un conseiller, ça coute un pognon de dingue) on peut embaucher 10 agents pour la CNIL, 10 infirmières pour les hôpitaux et 10 profs. J’exagère à peine.
Pourquoi parler d’augmentation d’impôts ? Après des décennies “d’optimisation” et de privatisation par les énarques, ça coûte de plus en plus cher pour en faire de moins en moins. Juste revenir en arrière serai un moindre mal.
Le 20/07/2021 à 06h44
Tu as vu à qui je répondais?
Le 19/07/2021 à 13h31
C’est sûr que le site d’une boutique de l’Elysée méritait bien tout cet acharnement.
Il n’y a rien de plus important dans la vie que de faire ch.. les politiques qui travaillent au bon fonctionnement du pays.
Merci NeXT Impact de si bien utiliser ma contribution au maintien de votre site (quand je pense que j’ai même versé une contribution volontaire …) 😁
Le 22/07/2021 à 15h00
tu coules, t’as encore touché un caillou dans le lac alain. Toi les pinoches c’est par sac de 50 que tu les achètes.
Parce que si tu remercies NXI de bien utiliser ta contribution volontaire, tu dois embrasser bercy pour son utilisation de ta contribution non volontaire appelé impôt qui a servi pour la mise en ligne du dit site et les salaires versés à la CNIL pour contrôler les malfaçons qui y ont été introduite.
Le 19/07/2021 à 13h37
J’espère que vous êtes en train de travailler sur Pegasus pour nous détailler les problèmes.
Car entre ça et les problèmes RGPD d’un presta pour la boutique de l’Elysée, il n’y a pas photos quand même.
Le 19/07/2021 à 14h11
Il est pris. Je leur envoie Ikki pour brûler tout ça et protéger Athena !
Le 19/07/2021 à 15h00
C’est juste moi, ou ils ont pas répondu sur le fait qu’on pouvait recevoir de la propagande gouvernementale si on s’inscrivait à la newsletter ?
Le 19/07/2021 à 15h29
J’en conclue que ça devait être de la bonne.
Le 19/07/2021 à 17h49
Un acharnement… C’est vrai, ca fait 1000 jours qu’ils emmerdent tout le monde et la CNIL et qu’on voit 3 articles par jour (dimanche inclus), uniquement pour ce sujet
Tu n’as pas l’impression d’exagérer un tout petit poil, avec un article il y a 3 ans, et un article aujourd’hui?
Le 19/07/2021 à 23h56
Cela fait 2 ans que j’ai signalé la disponibilité de documents confidentiels (avec questionnaires de santé) sans mesure de sécurisation à la CNIL et l’ANSSI… Ca veut dire que j’en peux encore m’attendre à une réponse ?!! La faille a depuis été corrigée mais la faute de cet assureur de prêt est tellement énorme et la réponse tellement absente, ça me sidère !
Le 20/07/2021 à 15h36
3 ans… Moi qui vais la saisir pour des sites de rencontres, ça fait long.