Après avoir relevé plusieurs manquements (conservation limitée des données, obligation d’information des personnes concernées, respect des droits, consentement préalable aux cookies, sécurité des données et notification d’une violation de données), la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) a prononcé une sanction pécuniaire de 2 250 000 euros à l’encontre d’une société de la grande distribution (Délibération n° SAN-2020-008 du 18 novembre 2020). Notons que la formation restreinte a constaté la mise en conformité de la société sur tous les manquements relevés.
Quels sont les points d’attention en matière d’exercice des droits ? Comment fournir une information claire aux personnes concernées ?
Quels sont les manquements en matière de droits des personnes concernées ?
Demande systématique de la pièce d’identité
A la suite de plusieurs plaintes, la Cnil avait été informée que la société demandait systématiquement la fourniture d’une pièce d’identité pour traiter les demandes d’exercice de droits émanant des clients, à l’exception de celles qui concernent l’exercice du droit d’opposition.
Rappelons que depuis un avis rendu en juin 2018, la Cnil considère que la sollicitation systématique de la pièce d’identité, sans justifier des doutes raisonnables quant à l’identité de la personne à l’origine de la demande, entrave l’exercice des droits reconnus aux personnes concernées. Mathias Avocats avait consacré un article à ce sujet.
Durée excessive du traitement des demandes
La formation restreinte de la Cnil a relevé que les délais de traitement des demandes par la société pouvaient atteindre neuf mois, étant rappelé que le délai prévu par la réglementation applicable est d’un mois. En outre, les personnes concernées n’étaient pas informées des retards dans le traitement de leurs demandes et étaient contraintes de les réitérer à plusieurs reprises.
Traitement incomplet des demandes
La formation restreinte de la Cnil a exposé sept cas où la société sanctionnée avait partiellement traité les demandes formulées par les personnes concernées.
A titre d’exemple, dans le cadre d’une demande d’accès, la formation restreinte a constaté que la société n’avait pas communiqué à la personne concernée la source des données en question. En effet, ces données avaient été obtenues lors de l’intégration d’un site web tiers à celle édité par la société sanctionnée, ce qui ne constituait pas selon cette dernière une collecte indirecte. A cet égard, la formation restreinte rappelle que la fusion de deux sites Internet ne permet pas à l’acquéreur d’avoir « la qualité de primo-collectant des données ».
En outre, il a été relevé que la société sanctionnée ne procédait pas à la suppression totale des données après la demande du droit à l’effacement. En d’autres termes, certaines données demeuraient dans la base de données de la société malgré l’exercice de ce droit. A ce titre, la formation restreinte rappelle qu’il est possible de conserver certaines données après traitement d’une demande d’exercice du droit à l’effacement sous condition que cette conservation soit faite « au titre des obligations légales ou à des fins probatoires ou lorsque la société dispose d’un motif légitime impérieux ». Toutefois, cela n’était pas le cas en l’espèce.
Quid du manquement à l’obligation d’information ?
Information non aisément accessible
Dans le cadre du site Internet et de l’adhésion aux programmes de fidélité (en ligne et au moyen d’un bulletin papier), la société sanctionnée fournissait aux personnes concernées des informations relatives à la protection des données. Etant précisé que ces dernières étaient délivrées à plusieurs niveaux.
Pour considérer que l’information délivrée n’était pas aisément accessible, la formation restreinte a notamment relevé les points suivants :
- La difficulté d’accéder aux mentions d’information sur le site Internet et à celles relatives au programme de fidélité puisqu’elles étaient regroupées dans les conditions générales d’utilisation (CGU) dudit site et de la carte de fidélité ;
- La longueur des CGU qui conduisait les personnes concernées à parcourir l’ensemble de ces documents afin de trouver les informations pertinentes, ce qui nécessitait « la preuve d’une détermination particulière» ;
- La redondance des informations qui étaient disponibles sur plusieurs documents (CGU, page relative à la protection des données, etc.) et le manque de cohérence entre elles ;
- L’absence d’éléments d’information essentiels au premier niveau d’information présent sur le site Internet qui ne donnait que des indications d’ordre général ;
- Concernant le bulletin d’adhésion papier, le renvoi simple au site Internet, sans aucune précision de la page ou de l’adresse URL à consulter.
Information non rédigée dans des termes claires et simples
Il a été relevé que les mentions d’information présentes sur le site Internet et sur les bulletins d’adhésion papier contenaient des « formulations peu claires, ambigües, ou imprécises ».
A titre d’exemple, la formulation « vous disposez également d’un droit d’obtenir la limitation d’un traitement et d’un droit à la portabilité des données que vous avez pu fournir, qui trouveront à s’appliquer dans certains cas » n’est pas une information complète selon la formation restreinte. Cette dernière considère qu’une telle formulation ne permet pas aux personnes concernées de comprendre dans quelles situations elles peuvent exercer leurs droits et selon quelles modalités.
En outre, la formation restreinte souligne l’existence de plusieurs formulations « souvent inutilement compliquées », difficile à comprendre « même pour une personne éclairée ». A ce titre, elle rappelle l’exigence d’adopter « un style permettant d’être compris par le plus grand nombre ». Elle rappelle aussi la nécessité de hiérarchiser et d’ordonner les informations, sans les présenter sous « forme d’une longue énumération portant sur les différents points » de la réglementation applicable.
Information erronée ou incomplète
Selon la formation restreinte, les informations communiquées aux personnes concernées étaient erronées ou incomplètes à plusieurs titres :
- Une autre société du groupe auquel la société sanctionnée appartient était indiquée comme responsable du traitement dans le cadre de la mise à disposition du site Internet, alors que la société sanctionnée « détermine seule la politique marketing commune à tous les formats de magasins en France».
- Seule une référence générale aux bases légales existantes était communiquée aux personnes concernées, sans préciser la base légale de chacun des traitements mis en œuvre.
- L’existence de transferts de données en dehors de l’Union européenne, la garantie mise en œuvre et les moyens d’en obtenir une copie ou l’endroit où elles sont disponibles n’étaient pas indiqués.
- Les durées de conservation ou les critères utilisés pour les déterminer n’étaient pas communiquées pour l’ensemble des données.
Correctifs mis en place par la société
La société a mis en œuvre plusieurs mesures correctrices au cours de la procédure de sanction, et notamment :
- L’envoi de courriers de réponse aux demandes d’exercice de droits qui n’exigent plus de pièce d’identité de manière systématique ;
- La restructuration de son organisation interne et l’amélioration des méthodes de travail pour que ses équipes traitent mieux les demandes d’exercice de droits ;
- Le respect d’un délai moyen de réponse aux demandes d’exercice de droits inférieur à quinze jours, voire dix jours dans certains cas ;
- La communication d’une information claire, transparente, aisément accessible et complète sur l’ensemble des supports.
Ainsi, ces actions ont permis à l’organisme de remédier aux manquements constatés par la formation restreinte, justifiant l’absence de toute injonction de se mettre en conformité.