Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Données personnelles : BrandAlley.fr sanctionné par la CNIL

Brand toi ça

Données personnelles : BrandAlley.fr sanctionné par la CNIL

Le 18 juillet 2016 à 14h11

La CNIL vient d’infliger une sanction administrative de 30 000 euros à l’encontre de BrandAlley.fr. La société éponyme, derrière ce site de ventes en ligne, est épinglée pour plusieurs indélicatesses à l’égard de la loi de 1978.

Le 13 janvier 2015, une délégation de la CNIL effectuait un premier contrôle sur place pour relever déjà différents manquements de cette société française. Cela aurait pu en rester là si tout avait été rectifié à temps, mais en mars de la même année, une cliente a saisi la CNIL pour se plaindre de difficultés dans l’exercice de son droit d’accès aux données personnelles. Cette internaute adressait d’ailleurs au site de e-commerce une nouvelle lettre en mai 2015, sans plus d’effet.

Le 3 juillet 2015, BrandAlley était du coup mise en demeure par la CNIL de corriger plusieurs points de son système dans les trois mois. Bon prince, la Commission lui accordait un peu plus tard une rallonge de trois nouveaux mois. Les points litigieux visent à :

  • Encadrer le traitement relatif à la prévention des fraudes,
  • Mettre en place d’une durée de conservation des données clients,
  • Recueillir le consentement préalable des clients pour la conservation des données bancaires
  • Prendre en compte de la demande de la plaignante
  • Obtenir l’accord des internautes s’agissant des cookies
  • Cesser de transmettre les données à caractère personnel vers des pays hors UE qui n’assurent pas un niveau suffisant de protection de la vie privée et des libertés et droits fondamentaux.

Dans un courrier de janvier 2016, BrandAllay affirmait à la CNIL qu’elle s’était désormais mise en conformité. Peu satisfaite des réponses « lacunaires », la Commission organisait un nouveau contrôle sur place en février 2016. Contrôle qui a montré la persistance de plusieurs problèmes déjà relevés. En outre, un mois plus tard, elle a effectué un contrôle à distance du site Internet, une possibilité accordée par la loi sur la consommation.

La procédure gagnait alors un tour de vis supplémentaire. La CNIL a désigné un rapporteur, en l’occurrence François Pellegrini, une étape préalable à toute sanction où la société peut encore donner ses explications. Dans ce document désormais public , le rapporteur a constaté plusieurs défauts.

Des réactions trop tardives

Premièrement, BrandAllay.fr n’avait pas déposé dans le délai imparti, de demande d’autorisation pour la mise en œuvre d’un traitement antifraude. Selon les éléments du dossier, c’est « la réception du rapport de sanction qui a conduit la société à effectuer une demande d’autorisation ». Mais beaucoup trop tardivement pour ne pas abuser de la patience de l’autorité administrative...

S’agissant de la durée de conservation des données personnelles, on se retrouve un peu dans même situation. À l’échéance du délai imparti, la société avait indiqué s’être conformé à la norme simplifie 48, celle relative à la gestion de clients et de prospects. Dans le même temps, elle ajoutait que les données clients seraient conservées 5 années durant, à compter de la fin de la relation commerciale. Or ce délai n'est pas prévu par la norme en question. Pire, lors du deuxième contrôle sur place, la CNIL a constaté qu’ « aucune purge des données n’avait été réalisée ». Les explications fournies par le site de e-commerce – liées à la complexité de mise en œuvre – n’ont pas eu de poids, même si elle a depuis corrigé le tir pour revenir à un délai de conservation de 3 ans.

Cookies, chiffrement, Maroc et Tunisie

S’agissant des cookies, la société mise en demeure avait informé l'autorité de la mise en place un bandeau afin de recueillir le consentement des internautes, avant dépôt de cookies. Le contrôle en ligne effectué en mars 2016 a révélé la solidité de cette affirmation. D’un, le fameux bandeau « était rédigé de telle sorte qu’il n’informait pas les utilisateurs de leur possibilité de paramétrer le dépôt de cookies ». Soit un joli manquement à l’article 32-II de la loi de 1978.

De deux, des cookies à finalités publicitaires étaient déposés dès l’arrivée sur le site, sans l’ombre d’un consentement préalable. Pour ce dernier point, la CNIL n’a finalement pas retenu de grief, s’estimant « insuffisamment éclairée (…) sur la répartition exacte des responsabilités entre l’éditeur du site, les annonceurs et les régies publicitaires concernés ». Par constat d’huissier, BrandAlley a par ailleurs démontré s’être mise depuis d’aplomb.

Ce n’est pas tout. La CNIL a pareillement dénoncé l’absence de chiffrement du canal de communication et d’authentification lors de l’accès à BrandAlley.fr (usage du HTTP, plutôt que HTTPS). Le 29 mars 2016, la société a produit un nouveau constat d’huissier pour montrer à la CNIL que ce défaut se conjuguait désormais au passé. Un peu tard là encore pour la Commission qui a relevé un nouveau manquement.

Enfin, la société transférait vers le Maroc et la Tunisie les données personnelles de ses clients, via l’un de ses sous-traitants. Malgré des affirmations en sens contraire en janvier 2016, la CNIL a relevé en février la persistance de ces transferts. Or, en principe, de telles opérations ne sont possibles que si le pays de destination offre un niveau de protection comparable à celui en vigueur en Europe, ce qui n’était pas le cas ici (pas plus qu'aux Etats-Unis depuis l'invalidation du Safe Harbor par la justice européenne).

Après délibération, la CNIL a décidé de sanctionner la société de 30 000 euros d’amende, outre de rendre public la délibération. Une sanction loin d’être négligeable, le critère de la confiance sur Internet étant cruciale pour un site de e-commerce. La société peut maintenant attaquer, si elle le souhaite, la décision devant le Conseil d’État.

Commentaires (31)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

“rendre public la délibération”

votre avatar

lol

elle est belle!!!!

votre avatar







Jeanprofite a écrit :



Je ne suis pas d’accord :

D’une, je préfère largement cliquer sur un bandeau plutôt qu’un site dépose 70 petits fichiers sur ma machine dans mon dos.  De deux, je vois pas en quoi les petits sites (honnêtes) sont embêtés dans la gestion de bandeaux pour les cookies vu qu’ils en sont exemptés.









De 1 : le bandeau n’empêche en rien la pose de cookie car 99,9999999% des sites web s’en fou. Le bandeau est affiché en même temps que la pose des cookie. C’est la réalité.



De 2 les petits sites sont embété car à partir du moment ou t’utilise adsense ( 90 % des sites web ) ou analytic ( idem ), et bien tu dois mettre le popup.



De 3 en tant d’internaute ca me les brise menu de devoir cliquer sur ce bandeau sur chaque site web, surtout que maintenant on ne peut plus vider ses cookies sans revoir ce fameux bandeau ( qui pose 1 cookie pour ne plus s’afficher), c’est totalement contre productif.



Ce bandeau cookie c’est juste de la merde en barre. Je ne sais pas quel est la solution contre les abus des gros sites qui te foutent 150 cookies à la 1ère connec, mais en tout cas c’est certainement pas ca.



votre avatar







Stel a écrit :



Ce bandeau cookie c’est juste de la merde en barre. Je ne sais pas quel est la solution contre les abus des gros sites qui te foutent 150 cookies à la 1ère connec, mais en tout cas c’est certainement pas ca.





Elle est simple pourtant : interdire les cookies tiers.



Perso, j’interdis tous les cookies sauf quand j’en ai besoin (avec liste blanche ou autorisation temporaire) et jamais les cookies tiers.


votre avatar

Je ne sais pas d’où tu tiens tes chiffres (technique du doigt mouillé probablement).

Un petit site qui décide de monétiser via «adsense» c’est un pro. Un pro doit être capable de mettre un bandeau.

Après, vu qu’en tant qu’internaute, tu acceptes les cookies  des «99,9999999% des sites web» tu dois pouvoir garder les cookies sans que cela te dérange plus que ça hein…



Quant à analytic, le petit site qui veut avoir des infos en respectant son visiteur utilise plutôt Piwic ,qui lui n’a pas a être déclaré via bandeau. CQFD.

 

votre avatar







Jeanprofite a écrit :



Un petit site qui décide de monétiser via «adsense» c’est un pro. Un pro doit être capable de mettre un bandeau.

blabblablablalbla sans interêt







Manifestement tu n’y connais quedalle en parlant d’un sujet qui te dépasse.

Ah et merci pour l’anecdote sur “Piwic “, j’ai bien rigolé :)

Devant autant de mauvaise foi je n’ai qu’une solution : t’ignorer.


votre avatar

PIWIK, d’accord.

Après continu d’ignorer si tu veux; si tu peux ignorer de commenter tes petites frustrations c’est encore mieux :-)

votre avatar



De deux, des cookies à finalités publicitaires étaient déposés dès

l’arrivée sur le site, sans l’ombre d’un consentement préalable.





C’est le problème avec les messages imposés dans le bandeau (qu’on attribue à tort à la CNIl puisque c’est l’UE qui l’impose).



La plupart du temps, c’est juste “ok c’est comme ça et pas autrement, si tu veux va lire la page xxx mais ça ne changera rien” (pas de bouton de refus).

Et sinon c’est “pour améliorer l’expérience utilisateur”, comme si se pomper la data par tous ces trackers pubs améliorait quelque chose pour l’internaute.

votre avatar







Altair31 a écrit :



Et non <img data-src=" />&nbsp;!





alors là je ne suis plus sur mais vu que tu peux la supprimer ça me parait bizarre


votre avatar

C’est ce qui me semble aussi, ou alors c’est tellement caché que même moi je me suis fait avoir.

&nbsp;

On peut ensuite la supprimer dans son espace client, mais j’imagine qu’elle doit être conservée un bon moment, au moins dans leurs sauvegardes, et peut donc toujours être récupérée en cas de fuite de données.

votre avatar

1 c’est bien trop lent !

2 c’est la fermeture du commerce avec interdiction pour son gérant d’en suivre une nouvelle qui aurait du être prononcée.

votre avatar

En fait, il y a un moment, Amazon nous demandait si on voulait enregistrer ou pas.



Mais maintenant ils ne posent plus la question, ils enregistrent direct .. mais proposent de supprimer après coup.

Il faut juste y penser à chaque fois c’est assez relou …

votre avatar

Même réaction que Gromsempai, c’est <img data-src=" />.

Je comprends mieux pourquoi la navigation sur ces sites manquent cruellement de fougue <img data-src=" />

votre avatar

Après ça reste assez “secure” dans le sens où si tu veux faire livrer à une autre adresse postale tu est obligé de ressaisir les infos de la CB.



Mais bon, c’est quand même chiant.

votre avatar







bad10 a écrit :



Après ça reste assez “secure” dans le sens où si tu veux faire livrer à une autre adresse postale tu est obligé de ressaisir les infos de la CB.



Mais bon, c’est quand même chiant.





Ce qui me gêne c’est plutôt le fait qu’en cas de piratage et/ou de fuite de données, ma carte bleue se retrouvera dans la nature.


votre avatar

Pour info les recommandations de la CNIL en la matière :&nbsp;



https://www.cnil.fr/fr/utilisation-des-cartes-bancaires-pour-le-paiement-distanc…



Après le souci n’est pas tant de stocker ou pas (ou de le faire faire par le prestataire certifié PCI-DSS quand ce n’est pas le cas du site), mais d’informer le client lorsque c’est le cas et d’avoir un consentement clair ;)

votre avatar



Cesser de transmettre les données à caractère personnel vers des pays

hors UE qui n’assurent pas un niveau suffisant de protection de la vie

privée et des libertés et droits fondamentaux.e et des libertés et droits fondamentaux.



Pays hors UE… Les données peuvent donc rester en France malgré tout.

votre avatar

Moué.



Vous faites un foin pour les gros sites genre les echo et cie qui abusent et abusent des cookies.



Soit, c’est sale, c’est même vomitif, on peut pas les défendre.



Par contre vous parlez pas beaucoup des centaines de milliers de petits sites qui sont emmerdé par ces obligation de popup cnil, sans parler de tout les gens qui sont emmerdé par ces popup.

C’est juste la fausse bonne idée ce truc, c’est juste du spam en plus.

votre avatar







saladiste a écrit :



Lol. <img data-src=" />









ouais c’est ca lol

Surtout donne pas d’argument ca pourrait être intéressant.

Si t’as rien à dire, bah dit rien.



Ah et je finit par : lol , comme ca j’ai l’air sympa :)


votre avatar

La situation actuelle n’est pas bonne, tout le monde le sait (surtout parce que le bandeau ne sert à rien en l’état sur la majorité des sites contrairement à ce qui aurait du être le cas, mais ce n’était pas le meilleur dispositif, préféré sans doute par les éditeurs à une application d’un Do Not Track global ;)).



Ce n’est pas pour autant que les abus doivent se multiplier sans sanction. Après on verra les actions de la CNIL à la rentrée et comment le règlement EU sur la protection des données va venir faire évoluer tout ça.&nbsp;

votre avatar

Oh, les petits Brand….

votre avatar

Je ne suis pas d’accord :

D’une, je préfère largement cliquer sur un bandeau plutôt qu’un site dépose 70 petits fichiers sur ma machine dans mon dos.&nbsp; De deux, je vois pas en quoi les petits sites (honnêtes) sont embêtés dans la gestion de bandeaux pour les cookies vu qu’ils en sont exemptés.

votre avatar

Moi j’ai eu du mal a lire l’article, plein de phrases pas françaises ou des mots qui manquent…bref ça pique ou mon français est encore pire que je pensais….

&nbsp;

“Mettre en place d’une durée de conservation des données clients,”“Or ce délai non prévu par la norme en question.“Doit y en avoir d’autres mais vu que je suis ni journaliste, ni rédac chef en droit , et que j’ai&nbsp;arrêté&nbsp;mes études&nbsp;assez tôt, je pars du principe que c’est moi qui me&nbsp;goure&nbsp;, mais la ya des passage j’ai beau les relire pour&nbsp;moi ça veut rien dire (même si on comprends le sens)….

votre avatar





  • Recueillir le consentement préalable des clients pour la conservation des données bancaires



    C’est aussi le cas sur Amazon non ?

    Pourquoi ils ne se prennent pas la CNIL également ?

votre avatar

Concernant les cookies, beaucoup trop de sites web les enregistre dès la

1ère visite, et n’offrent pas la possibilité de les refuser.

Hmm y a de quoi faire niveau inspection là.

votre avatar

https://twitter.com/davlgd/status/754969348633223168 ;)



PS : ce sont des chiffres sur une première visite en navigation privée

votre avatar



de telles opérations ne sont possibles que si le pays de destination

offre un niveau de protection comparable à celui en vigueur en Europe

Pays ou société ? Parce que dans le premier cas, on peut arrêter au bas mot plus de la moitié des hotlines de boites françaises.

votre avatar







bad10 a écrit :



Recueillir le consentement préalable des clients pour la conservation des données bancairesC’est aussi le cas sur Amazon non ?

Pourquoi ils ne se prennent pas la CNIL également ?





amazon te demande si tu veux enregistrer ta carte


votre avatar

Ben, si personne ne le dénonce auprès de la CNIL, il faut laisser le temps à cette dernière pour se saisir du dossier.



Après, je pense qu’Amazon sera très prompt à corriger le tir et s’en tirera avec un simple avertissement !

votre avatar

Et non <img data-src=" />&nbsp;!

votre avatar

Pwa c’est juste hallucinant !

Données personnelles : BrandAlley.fr sanctionné par la CNIL

  • Des réactions trop tardives

  • Cookies, chiffrement, Maroc et Tunisie

Fermer