Les « sanctions RGPD » que la CNIL a prononcées en 2023

Cityscoot, Doctissimo, KG COM, Criteo et SAF Logistics : retour sur les « amendes RGPD » que la CNIL a infligées cette année.

Minimisation des collectes, respect du droit de retrait du consentement, sécurisation des données, encadrement des traitements réalisés par les sous-traitants… Autant d’obligations inscrites au RGPD… et qui ont valu à cinq entreprises des sanctions financières prononcées cette année par la CNIL. Les voici, par ordre antéchronologique.

18 septembre : 200 000 € d’amende pour SAF Logistics

Cette entreprise de fret aérien a son siège français en région parisienne et sa maison mère en Chine. La Cnil l’a mise à l’amende pour des manquements sur les aspects suivants.

– Obligation de minimiser les données personnelles collectées et utilisées (article 5.1.c du RGPD)
Par l’intermédiaire d’un formulaire, SAF Logistics a collecté, en trop grand nombre et en trop grande variété, des informations relatives aux membres de la famille des salariés.

– Interdiction de traiter des données sensibles (art. 9)
Ledit formulaire imposait de renseigner des données sensibles. Parmi elles, le groupe sanguin, l’appartenance ethnique et l’affiliation politique.

– Interdiction de collecter ou de traiter des données relatives aux infractions, aux condamnations et aux mesures de sûreté (art. 10)
La société a conservé des extraits de casiers judiciaires alors même que les salariés concernés faisaient déjà l’objet d’une habilitation délivrée par les autorités compétentes après enquête administrative.

– Obligation de coopérer avec les services de la CNIL (art. 31)
La CNIL a sollicité la traduction du formulaire, rédigé en chinois. Il lui est parvenu une traduction incomplète : des champs manquaient, comme ceux relatifs à l’appartenance ethnique ou l’affiliation politique. La commission considère que SAF Logistics a intentionnellement cherché à l’empêcher d’exercer ses pouvoirs de contrôle.

15 juin : 40 millions d’euros d’amende pour Criteo

La CNIL a relevé cinq grands manquements de la part de l’entreprise.

– Obligation de démontrer qu’une personne a donné son consentement (art. 7.1)
Dans le cadre des activités visées, c’est aux partenaires de Criteo – en contact direct avec les internautes – de recueillir les consentements nécessaires. Plusieurs ne l’ont pas fait. Or, Criteo n’avait mis en place aucune mesure lui permettant de le détecter. Les contrats avec les partenaires ne contenaient en outre aucune clause les obligeant à fournir la preuve du consentement.

– Obligation d’information et de transparence (art. 12 & 13)
La politique de confidentialité de Criteo ne comportait pas l’ensemble des finalités poursuivies par le traitement. Et certaines étaient exprimées dans des termes vagues et larges.

– Respect du droit d’accès (art. 15.1)
Lorsqu’une personne exerçait ce droit, Criteo ne lui transmettait pas tout ce qu’il aurait fallu. Il ne fournissait par ailleurs pas d’informations suffisantes pour permettre de comprendre le contenu des données envoyées.

– Droit au retrait du consentement et à l’effacement des données (art. 7.3 & 17.1)
Lorsqu’une personne exerçait ces droits, l’affichage de publicités personnalisées prenait fin, mais Criteo ne supprimait pas l’identifiant associé et n’effaçait pas les événements de navigation liés.

– Obligation de prévoir un accord entre responsables conjoints de traitement (art. 26)
L’accord avec les partenaires ne précisait pas certaines de leurs obligations. Par exemple, sur l’exercice des droits des personnes concernées et sur l’obligation de notification des violations de données à la CNIL.

8 juin : 150 000 € d’amende pour KG COM

Cette société propose des services de voyance en ligne et par téléphone. La CNIL l’avait contrôlée après la révélation, en 2020, d’une fuite de données. La situation financière de la société justifie le montant de l’amende, en dépit nombre particulièrement élevé de manquements.

– Minimisation des données collectées et utilisées (art 5.1.c)
KG COM enregistrait systématiquement l’intégralité des appels téléphoniques entre les téléopérateurs et les prospects, ainsi qu’entre les voyants et les clients. La CNIL estime que la société n’est parvenue à justifier la nécessité de ce processus au regard des objectifs avancés (contrôle de la qualité du service, preuve de la souscription du contrat, perspectives de réquisitions judiciaires).

– Obligation de disposer d’une base légale pour l’utilisation de données bancaires (art. 6)
KG COM conservait les données bancaires des clients au-delà du temps strictement nécessaire à la réalisation de la transaction. La société a fait valoir son intérêt légitime pour la lutte contre la fraude. Ce que la CNIL a validé. La commission a en revanche estimé qu’il aurait fallu recueillir le consentement pour l’autre finalité avancée : faciliter l’achat de nouvelles consultations.

– Obligation de recueillir le consentement préalable à la collecte de catégories particulières de données (art. 9)
Lors des consultations, les clients peuvent communiquer des données sur leur santé et leur orientation sexuelle ; et les voyants, en prendre note. La simple volonté de recevoir des prestations de voyance et de livrer spontanément des informations sensibles ne peut être considéré comme un consentement explicite, déclare la CNIL.

– Obligation d’assurer la sécurité des données (art. 32)
Les exigences de mot de passe pour les comptes utilisateurs étaient insuffisantes. Le site www.voyance-en-direct.tv utilisait le protocole HTTP. Et le mécanisme de chiffrement des données bancaires présentait des vulnérabilités.

– Obligation de notifier les violations de données à la CNIL (art. 33)
KG COM a estimé ne pas pouvoir constater la violation de données qu’on lui avait signalée. Motif : la fermeture de son serveur et l’absence de conservation des journaux de connexion par le sous-traitant. La CNIL a considéré que l’entreprise pouvait comparer l’échantillon qu’on lui avait fourni à sa base de données.

– Obligations liées à l’utilisation des cookies (art. 82 loi informatique et libertés)
Premier manquement : le dépôt de trois cookies sans consentement dès l’arrivée sur le site. Deuxième manquement : l’absence de bandeau d’information. Celui finalement mis en place ne permettait pas, initialement, de refuser le dépôt de cookies aussi facilement que de l’accepter.

11 mai : 280 000 € d’amende pour Doctissimo

La CNIL a structuré sa décision en cinq grands manquements, mais certains associent plusieurs infractions.

– Interdiction de conserver les données personnelles plus longtemps que nécessaire au regard des finalités de traitement (art. 5.1.e)
Le manquement constaté est lié, d’une part, aux questionnaires et tests Doctissimo. De l’autre, aux comptes utilisateurs. Sur le premier point, la CNIL a sanctionné la conservation des réponses et des adresses IP pendant 24 mois, sans qu’il y ait lieu. Elle a aussi estimé que Doctissimo n’avait pas veillé efficacement aux pratiques du sous-traitant chargé d’anonymiser ces données. Il utilisait une fonction SHA256 sans clé de hachage, ne procédant de ce fait qu’à une pseudonymisation.
Le deuxième point est dans la même veine : anonymisation inefficace des comptes d’utilisateurs après trois ans d’inactivité. Doctissimo n’a, dans ce contexte, pas exercé un contrôle satisfaisant sur les mesures techniques et organisationnelles de son sous-traitant.

– Obligation de recueillir le consentement au traitement de catégories particulières de données personnelles (art. 9)
Dans le viseur, les questionnaires santé. Doctissimo ne recueillait pas le consentement au traitement des réponses. Il fournissait simplement un lien vers sa politique de protection des données personnelles.

– Obligation d’encadrer, par un acte juridique formalisé, les traitements effectués conjointement avec un autre responsable de traitement (art. 26)
Aucun des contrats noués avec deux sous-traitants ne définissait les obligations respectives.

– Obligation d’assurer la sécurité des données personnelles (art. 32)
Les pages des tests utilisaient le protocole HTTP. Les mots de passe faisaient l’objet d’une protection insuffisante (hachage MD5 obsolète, puis usage de Bcrypt alors même que la combinaison d’algorithmes cryptographiques pour assurer le stockage de données personnelles n’est pas recommandé).

– Obligation d’information sur les traitements (art. 82 loi informatique et libertés)
À l’arrivée sur le site, Doctissimo déposait un cookie publicitaire sans recueil préalable de consentement, et avant toute action de l’utilisateur.

16 mars : 125 000 € d’amende pour Cityscoot

La première sanction financière de l’année visait le loueur de scooters en libre-service. La CNIL a relevé trois manquements.

– Obligation de veiller à la minimisation des données (art. 5.1.c)
Aucune des finalités avancées ne justifiait une collecte de données de géolocalisation si fine, a décidé la CNIL. Cityscoot invoquait le traitement des infractions au Code de la route et des réclamations des clients, ainsi que le support utilisateur et la gestion des sinistres et des vols.

– Obligation d’encadrer, par un contrat, les traitements effectués par un sous-traitant (art. 28.3)
Trois contrats du genre ne contenaient pas toutes les mentions requises.

– Obligation d’informer l’utilisateur et d’obtenir son consentement avant d’inscrire et de lire des informations sur son équipement personnel (art. 82 loi informatique et libertés)
Cityscoot recourait à reCAPTCHA lors de la création de compte sur l’app mobile. Ainsi que lors de la connexion et de la réinitialisation de mot de passe sur le site web. Le mécanisme impliquait l’envoi de données à Google pour analyse. L’utilisateur n’en était pas informé.