SANCTIONS CNIL : CONDAMNATIONS D'INFOGREFFE ET D'ACCOR
Infogreffe condamné à une amende de 250 000€
Infogreffe est le Groupement d’Intérêt Economique (GIE) des greffes des tribunaux de commerce français. Son site infogreffe.fr permet de consulter les informations juridiques et économiques des structures immatriculées au Registre du Commerce et des Sociétés (RCS) et de faciliter l’accès à des documents administratifs d’entreprise.
Suite à une plainte déposée en 2020 d’un internaute indiquant que le site « conserve les mots de passe des utilisateurs en clair et qu’il a été capable d’obtenir son mot de passe par téléphone en donnant simplement son nom à l’interlocutrice du service d’assistance téléphonique », le gendarme des données personnelles a mené son enquête.
Lors des investigations, la CNIL a relevé plusieurs manquements concernant la sécurité et la conservation des données à caractère personnel. Sur la base de ces constatations, la formation restreinte (organe de la CNIL chargé de prononcer des sanctions) a prononcé à l’encontre du GIE Infogreffe une amende de 250 000 euros.
- Un manquement relatif à l’obligation de conserver les données pour une durée proportionnée à la finalité du traitement [1]
Infogreffe prévoyait que les données telles que les données bancaires, noms, prénoms, adresses postale et électronique, téléphone fixe ou portable ainsi que les questions/réponses secrètes, devaient être conservées jusqu’à 36 mois après la dernière activité.
Cependant, ces données ont été conservées plus longtemps que prévu. L’enquête a montré que l’organisme n’avait aucune procédure d’effacement des données, et que par conséquent, les données de 25 % des utilisateurs faisaient l’objet d’une durée de conservation allant au-delà des délais prévus. Elle a constaté, par ailleurs, une faiblesse dans le processus d’anonymisation des données.
- Un manquement relatif à l’obligation d’assurer la sécurité des données personnelles [2]
La protection des données a été jugée insuffisante. En effet, il était impossible pour les utilisateurs de créer un mot de passe à forte sécurité à cause de la taille imposée à celui-ci, le nombre de caractères étant limité à 8.
S’ajoute à cela le fait que l’organisme communiquait des mots de passe de compte par email. La base de données les conservait alors en clair, mais conservait également chacune des questions secrètes couramment utilisées en cas d’oubli.
La CNIL a toutefois souligné les actions mis en œuvre par Infogreffe au cours de la procédure, concernant la sécurisation de l’accès aux comptes et l’identification des membres et abonnés.
Malgré le fait qu’il s’agisse d’une plainte isolée, la sanction infligée par la CNIL reste sévère. Elle rappelle que les amendes administratives doivent être dissuasives et proportionnées, et souligne qu’elle tient compte de l’organisme et de sa situation financière.
Quelles leçons tirer de cette sanction ?
Sur les durées de conservation :
|
Sur la sécurité des données à caractère personnel :
|
|
|
ACCOR condamné à une amende de 600 000€
Par délibération rendue le 3 août 2022, la formation restreinte de la CNIL a condamné le groupe hôtelier ACCOR à une amende de 600 000€ rendue publique, pour divers manquements en matière de protection des données personnelles.
Cette sanction découle de 6 plaintes déposées entre décembre 2018 et septembre 2019, relatives aux difficultés rencontrées par des personnes pour exercer leurs droits. Suite à cela, la CNIL a effectué des contrôles en ligne et au sein des locaux de la société, de mars 2019 à février 2020.
- Un manquement à l’obligation de recueillir le consentement de la personne concernée pour traiter ses données à des fins de prospection commerciale [3]
La CNIL relève que la case relative au consentement à recevoir la newsletter était pré-cochée par défaut, notamment lorsqu’une personne procédait à une réservation, en ligne ou directement auprès du personnel d’un hôtel ; ou encore lors de la création d’un espace client sur le site du groupe ACCOR, ils devenaient alors automatiquement destinataires des courriels de diffusion de la newsletter.
La formation restreinte rappelle qu’il est possible d’adresser des courriels à un destinataire qui n’y aurait pas consenti, à 3 conditions :
- Les données collectées l’ont été auprès de la personne concernée dans le respect des dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés,
- A l’occasion d’une vente ou d’une prestation de services,
- La prospection concerne des produits et services analogues fournis par la même personne physique ou morale que celle ayant vendu un bien ou fourni une prestation de services à la personne concernée.
La CNIL souligne deux points : que la création d’un compte client peut intervenir sans qu’une réservation soit effectuée et donc sans que l’utilisateur ayant créé le compte devienne client d’une prestation de services réalisée par la société, et que les messages de prospection commerciale reçus par les plaignants portent sur des offres promotionnelles proposées par des partenaires commerciaux du groupe ; il résulte donc que le consentement des personnes concernées à recevoir la newsletter aurait dû être recueilli.
- Un manquement à l’obligation d’information des personnes concernées [4]
Lors du contrôle, la CNIL a constaté que les informations nécessaires lors de la création d’un compte client ou lors de l’adhésion au programme de fidélité du groupe ACCOR était difficilement accessibles. En effet, la charte de la protection des données personnelles n’était accessible qu’à condition de faire défiler l’intégralité de la page sur laquelle était présent l’internaute et de cliquer sur le lien hypertexte présenté au bas de la page.
Elle rappelle alors que la personne concernée ne doit pas avoir à rechercher les informations mais doit immédiatement pouvoir y accéder.
La CNIL estime également que « l’intérêt légitime » ou « l’exécution du contrat » mentionnés dans la charte de protection des données personnelles comme bases juridiques du traitement de données à caractère personnel avec pour finalité l’envoi de prospections commerciales ne pouvaient permettre l’envoi des messages de prospection commerciale. La base juridique devait être « le consentement ».
- Un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant [5]
La CNIL a remarqué que la société n’a pas répondu à une demande de droit d’accès à ses données formulé par une plaignante.
Le compte de cette cliente avait l’objet d’une suspension suite à la détection d’une connexion frauduleuse. Elle avait justifié de son identité, permettant la réouverture de son compte client. Cependant, aucune réponse n’avait été apporté à sa demande dans le délai d’un mois maximum prévu par le RGPD.
La formation restreinte a expliqué que la société peut avoir un doute raisonnable sur l’identité du demandeur souhaitant exercer son droit d’accès dans l’hypothèse où une connexion frauduleuse a été détecté. Toutefois, dès que le doute est levé sur l’identité de la personne, la demande doit être honorée par le responsable du traitement.
- Un manquement à l’obligation de respecter le droit d’opposition des personnes concernées [6]
La société a méconnu l’obligation relative au droit d’opposition des personnes concernées.
En effet, en raison d’un dysfonctionnement du lien de désinscription accessible au bas des courriels de prospection commerciale ayant duré plusieurs semaines, la société n’a pas pris en compte les demandes des plaignants ne voulant plus recevoir ces courriels.
- Un manquement à l’obligation d’assurer la sécurité des données personnelles [7]
Il est reproché à la société ACCOR de ne pas avoir mis en œuvre les mesures nécessaires à la sécurité des données à caractère personnel des clients et des prospects du groupe.
La CNIL a constaté que la société permettait l’utilisation de mot de passe insuffisamment robuste, c’est-à-dire, un mot de passe composé de huit caractères contenant seulement deux types de caractères, sept lettres majuscules et un caractère spécial, en contradiction avec les recommandations de la CNIL et de l’ANSSI. Elle a également constaté que la société a demandé à une personne de transmettre sa pièce d’identité par courriel, sans que les données en cause ne soient chiffrées.
La CNIL précise qu’aujourd’hui, la société ACCOR s’est mise en conformité avec l’ensemble des manquements relevés lors de la procédure.
Cette décision peut faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.
Quelles leçons tirer de cette sanction ?
Sur les opérations de prospection commerciale |
Vérifier qu’elles sont soumises au recueil préalable du consentement des personnes concernées, et que ce consentement est valablement recueilli (pas par défaut)
|
Sur les mentions d’informations et la politique de protection des données d’un site internet
|
Vérifier que les mentions d’informations et la politique de protection des données d’un site internet sont conformes à la règlementation en vigueur, et facilement accessibles pour les personnes concernées
|
Sur les droits des personnes concernées |
S’assurer que les procédures et mesures techniques appropriées sont implantées correctement afin de répondre et de faire droit, dans les conditions et délais impartis, aux demandes des personnes concernées visant à exercer leurs droits
|
Sur la sécurité des données personnelles |
Vérifier que les mesures techniques et organisationnelles pour assurer la sécurité des données sont déployées
|
Les avocats de notre Pôle Data se tiennent à votre disposition afin de vous accompagner dans votre mise en conformité au RGPD.
[1] RGPD, art.5.1.e.
[2] RGPD, art. 32.
[3] Code des postes et des communications électroniques, art L.34-5
[4] RGPD, art. 12 et 13.
[5] RGPD, art.12 et 15.
[6] RGPD, art. 12 et 21.
[7] RGPD, art. 32.