Une sanction accompagnée de la publicité de cette décision. L’autorité reproche à l’éditeur de bricoprive.com plusieurs indélicatesses sur l’autel du sacro-saint RGPD.
Par exemple, les données de 130 000 personnes avaient été conservées plus de cinq ans après leur dernière connexion au compte client. La société avait également omis de mentionner plusieurs informations impératives comme les durées de conservation, les bases juridiques des traitements et certains droits. La mention du DPO n’apparaissait que dans un formulaire dédié aux désabonnements et désinscriptions.
La même société avait une approche très particulière du droit à l’effacement : « lors du contrôle du 13 novembre 2018, la délégation de contrôle a été informée que lorsqu’une personne demande l’effacement de son compte, la société ne supprime pas les données à caractère personnel mais procède uniquement à la désactivation du compte en question, empêchant la personne de s’y connecter et bloquant l’envoi de prospection commerciale ».
Sur le terrain de la sécurité, l’authentification lors de la création d’un compte « reposait sur un mot de passe composé uniquement de six caractères numériques, de type 123456 ». Quant à l’authentification des salariés aux bases de données, elle était « insuffisamment sécurisée en raison de la conservation des mots de passe permettant d’y accéder, en clair, dans un fichier texte contenu dans un ordinateur de la société ».
Brico Privé a tenté de se dépêtrer de cette mise en cause en avançant que la sécurisation n’était qu’une obligation de moyen, non de résultat.
La formation restreinte de la CNIL lui a répondu que « la longueur et la complexité d’un mot de passe demeurent des critères élémentaires permettant d’apprécier la force de celui-ci », outre que « la nécessité d’un mot de passe fort est également soulignée par l’Agence nationale de sécurité des systèmes d’information ».
Elle lui a rappelé que « le fait de stocker les mots de passe d’accès aux bases de données en clair dans un fichier texte contenu dans un ordinateur de la société n’est pas une solution de gestion sécurisée des mots de passe ». Et que « la fonction de hachage utilisée pour la conservation des mots de passe des salariés utilisateurs du site bricoprive.com était obsolète (MD5) ».
Autres indélicatesses, des cookies installés automatiquement lors de l’arrivée sur la page d’accueil ou des prospections commerciales adressées dès la création d’un compte.
« La société a fait preuve de négligence grave s’agissant de principes fondamentaux du RGPD puisque six manquements sont constitués, portant notamment sur le principe de limitation de la durée de conservation des données, l’obligation d’informer les personnes concernées des traitements de leurs données à caractère personnel et celle de respecter leurs droits » écrit la CNIL dans sa délibération.
Elle ajoute à l’amende administrative, une série d’injonctions puisque la société n’avait corrigé au fil de l’eau, qu’une partie des contrariétés dénoncées par la CNIL lors son contrôle.
Commentaires