Quel prix êtes-vous prêts à payer pour l’ignorer ?
La CNIL a prononcé une sanction de 105 000 euros à l’encontre d’une société entreprise qui édite le site neosurf.com et l’application mobile « Neosurf » permettant d’effectuer des paiements en ligne après inscription au service.
Nous sommes accros aux statistiques, principalement celles de Google (Analytics ), mais à quel prix ?
Les (en)jeux de la CNIL pour 2024
Grâce à ses procédures simplifiées, à l’image des radars routiers automatiques, la CNIL peut se consacrer pleinement à de grands projets, tel que l’Intelligence Artificielle. Les grands axes pour 2024, comme le confirment les dernières sanctions, restent :
En témoigne la sanction prononcée le 11 janvier 2024 à l’encontre de NS CARDS FRANCE pour 105 000 euros ou celle de Yahoo, le 18 janvier 2024 de 10 millions d’euros pour l’unique motif de l’usage des cookies !
1. Un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e du RGPD)
La société avait défini une durée de conservation de dix ans à l’issue de laquelle les comptes utilisateurs étaient désactivés, mais non supprimés. Les données des comptes étaient donc conservées pour une durée indéterminée.
En outre, la durée de conservation de dix ans était appliquée à tous les comptes utilisateurs, sans tri entre les données à conserver, par exemple en application de certaines règles du Code de la consommation.
2. Un manquement à l’obligation d’informer les personnes (articles 12 et 13 du RGPD)Â
Tant sur son site web que sur son application mobile, NS CARDS FRANCE informait les personnes via une politique de confidentialité incomplète et obsolète. En outre, cette information était fournie en anglais, alors que le public visé par la société est majoritairement francophone.
3. Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)
Les règles de complexité des mots de passe des comptes utilisateurs étaient insuffisamment robustes.
En outre, près de 50 000 mots de passe étaient conservés en clair dans la base de données et associés à l’adresse électronique et l’identifiant des utilisateurs.
Enfin, s’agissant des mots de passe qui étaient stockés sous une forme hachée et salée, la fonction de hachage utilisée était obsolète (SHA-1).
Ces défauts de sécurité exposaient les données de comptes à des risques d’attaques informatiques ou de fuite.
4. Un manquement aux obligations liées à l’utilisation des cookies et traceurs (article 82 de la loi Informatique et Libertés)
La CNIL a constaté le dépôt de cookies Google Analytics sur le terminal de l’utilisateur sans son accord. Or, dans la mesure où ces cookies peuvent comporter des fonctionnalités publicitaires et, en tout état de cause, permettent de collecter des données pouvant être utilisées pour maintenir et protéger le service Analytics, ils ne peuvent être déposés sur le terminal de l’utilisateur sans son accord.
En outre, la société avait recours à un mécanisme de reCAPTCHA, fourni par la société GOOGLE, lors de la création du compte et lors de la connexion sur le site web et l’application mobile. Ce mécanisme fonctionne avec une collecte d’informations matérielles et logicielles (telles que les données sur les appareils et les applications). Alors que les données collectées étaient transmises à GOOGLE pour analyse, la société ne fournissait aucune information à l’utilisateur et ne recueillait pas son accord préalable, que ce soit pour accéder aux informations stockées sur son équipement ou pour écrire des informations sur celui-ci.
L’absence de recueil d’accord au dépôt de cookies Google Analytics a concerné chaque visiteur du site web, soit plusieurs centaines de milliers de personnes. De même, l’absence de recueil d’accord à l’utilisation du reCAPTCHA a concerné potentiellement chacun des 700 000 titulaires de comptes à la date des contrôles.