A la fin du mois de juillet 2020, la Commission Nationale de l’Informatique et des Libertés (la « CNIL ») annonçait une amende de 250.000 € à l’encontre d’une société éditrice d’un site e-commerce connu pour la vente en ligne de chaussures et accessible depuis plusieurs pays de l’Union Européenne.
Cette annonce fait suite à un contrôle par la CNIL dans les locaux de cette société puis a une enquête contradictoire.
Dans sa décision du 28 juillet 2020, la CNIL reproche à la société d’avoir collecté trop de données, trop longtemps et sans une information suffisante et des mesures de sécurité satisfaisantes.
Ainsi, la société est épinglée par la CNIL pour différents manquements au Règlement Général sur la Protection des Données (le « RGPD ») :
- un manquement au principe de minimisation des données des salariés et des clients européens de la société ;
- un manquement à l’obligation de limiter la durée de conservation des données car les données des clients et prospects étaient conservées indéfiniment jusqu’au contrôle. Malgré une rectification de la société en cours de contrôle, la CNIL la condamne pour la mauvaise pratique des années passées. Même la pseudonymisation mise en œuvre par la société n’a pas satisfait la CNIL, qui a jugé le traitement non conforme au RGPD ;
- un manquement à l’obligation d’information au motif que la politique de confidentialité de la société mentionne plusieurs bases légales pour ces traitements et que ses salariés ne sont pas suffisamment informés des conditions de l’enregistrement de leurs appels téléphoniques ;
- un manquement à l’obligation d’assurer la sécurité des données, notamment du fait de l’absence de robustesse de la procédure de choix des mots de passe pour les clients.
L’ardoise est lourde puisque non seulement la CNIL condamne à une amende de 250.000 € et rend publique sa décision mais enjoint à la société de justifier sa conformité sous astreinte de 250 € par jour de retard après 3 mois suivant la notification de sa décision.
Et vous ? Vous en êtes où de votre mise en conformité RGPD ? Sachez que la CNIL vient de publier sa charte des contrôles…