Une cliente a déposé plainte après avoir eu accès aux informations la concernant auprès de la société BOULANGER. La CNIL a alors procédé à un contrôle des traitements de données personnelles, et a constaté de nombreux manquements de cette société à ses obligations en sa qualité de responsable de traitement :

–          Manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données collectées dans son fichier de gestion des clients. C’est ainsi que près de 6000 commentaires tels que « CLIENT TRES AGRESSIF », « CLIENT TRES CON » ou encore « FORT ACCENT AFRICAIN » ont été découverts.

–          108 cookies avaient été déposés, dont 90 ayant une finalité publicitaire. Or, si une information relative aux cookies existe bien via un bandeau renvoyant vers une rubrique « Utilisation des cookies », le dépôt des cookies s’opère dès la connexion sur le site internet. Dès lors, l’information n’est faite que postérieurement au dépôt des cookies, sans que le consentement de l’internaute ne soit valablement recueilli.

–          Manquement à la durée de conservation des données. Certains avaient une durée de vie pouvant aller jusqu’à 15 ans ! Or dans une délibération[1] la CNIL avait affirmé que la durée de vie des cookies devait être limitée à 13 mois après leur premier dépôt.

–          Manquement à l’obligation de sécurité pour l’ensemble des traitements de données en raison du libre accès par les  tiers à celui-ci.

La CNIL a donc mis en demeure la Société BOULANGER de se conformer à ses obligations légales sous un délai de trois mois.

Pour rappel la conformité à la loi informatique et libertés impose :

–          une obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données, étant rappelé que toute personne a un droit d’accès aux données collectées la concernant ;

 –          une obligation d’informer et d’obtenir l’accord préalable des personnes concernées avant de déposer des cookies sur leur terminal ;

 –          une obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement ;

 –           une obligation d’assurer la sécurité et la confidentialité des données.


[1] Délibération datant de 2013

 

Par Claudia Weber – Avocat Associé

ITLAW Avocats

Nous contacter