La Cnil prononce une sanction de 3,5 millions d’euros à une société, non citée, pour avoir transmis les données de membres de son programme de fidélité à un réseau social à des fins de ciblage publicitaire, sans consentement valable. Cette décision a été adoptée en coopération avec 16 homologues européens de la Cnil, car des données de personnes résidant dans ces pays étaient concernées. Le nombre de personnes touchées dépasse 10,5 millions.
Transmission des données du programme de fidélité
En janvier 2023, la Cnil a réalisé plusieurs contrôles auprès de la société concernée. Elle a constaté que, depuis février 2018, l’entreprise transmettait les adresses électroniques ou les numéros de téléphone des membres de son programme de fidélité à un réseau social. Ces données étaient utilisées afin d’afficher, sur ce réseau, des publicités ciblées visant à promouvoir les articles vendus par la société.
La Cnil souligne que le recours à la publicité ciblée sur les réseaux sociaux est une pratique répandue parmi les acteurs économiques, et qu’il est important d’informer le public des règles applicables en la matière, sans qu’il soit, en l’espèce, utile de nommer la société concernée.
Absence de base légale pour la transmission des données
La Cnil considère qu’un ciblage publicitaire sur un réseau social reposant sur la transmission de données personnelles des membres du programme de fidélité, est dépourvu de base légale. Pour justifier ce traitement, la société invoquait le consentement des personnes concernées, recueilli lors de leur adhésion au programme de fidélité, lorsqu’elles acceptaient de recevoir de la prospection par SMS ou par courrier électronique.
La Cnil déclare que le consentement de ces personnes n’était pas valablement recueilli dans la mesure où aucune information n’était fournie sur le formulaire d’adhésion au programme de fidélité sur la transmission de données à des fins de publicité ciblée sur un réseau social. De plus, l’information fournie sur le site web de la société (notamment la politique des données personnelles), soit ne mentionnait pas la transmission des données au réseau social, soit ne permettait pas de comprendre clairement la finalité de cette transmission des données.
Un parcours complexe pour accéder aux documents
La Cnil affirme que cette information est insuffisante pour recueillir un consentement éclairé des personnes, ce d’autant que le parcours d’accès à ces différents documents était complexe. La Cnil estime qu’il aurait fallu, par exemple, une case à cocher mentionnant clairement la finalité de ce traitement car les conditions ne permettaient pas aux personnes de donner un consentement explicite et éclairé.
La Cnil insiste sur le fait que l’information fournie sur le site web de la société était imprécise, en particulier parce qu’elle ne liait pas clairement les finalités des traitements aux bases légales correspondantes. L’information était également incomplète sur certains points. La Cnil pointe l’absence de mention relative à la finalité du traitement de publicité ciblée et à la durée de conservation des données des adhérents au programme de fidélité. L’information pouvait aussi être erronée telle que l’information relative au transfert des données renvoyant au bouclier de protection des données « Privacy Shield », qui n’est plus en vigueur.
Absence d’analyse d’impact
Enjeu important, la Cnil sanctionne également le manquement à l’obligation de réaliser une analyse d’impact (article 35 du RGPD). La société n’avait pas réalisé d’analyse d’impact sur la protection des données (AIPD) avant la mise en œuvre du traitement de publicité ciblée sur le réseau social. Or ce traitement implique un volume important de données personnelles. Il amène un croisement de données.
La Cnil affirme que ce traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes concernées et aurait donc dû donner lieu à la réalisation préalable d’une AIPD. Dans la foulée, la Cnil a constaté que les règles de complexité des mots de passe des comptes des utilisateurs n’étaient pas suffisamment robustes. Elle rappelle que la fonction de hachage SHA-256 ne permet pas un stockage sécurisé des mots de passe.
Usage des cookies sans consentement
La Cnil relève d’autre part un manquement aux obligations liées à l’utilisation des cookies et traceurs (article 82 de la loi Informatique et Libertés). Elle a constaté que, lorsqu’un utilisateur se rendait sur le site web de la société, 11 cookies soumis à consentement étaient déposés sur son terminal, avant même qu’il n’ait exprimé un choix. De plus, même lorsque l’utilisateur refusait le dépôt et la lecture des cookies non essentiels, les onze cookies déposés n’étaient pas supprimés du navigateur et continuaient à être lus, en violation des règles applicables.
Top lectures en ce moment
L’actualité de la transformation
L'IA clé de nos besoins vitaux dans l'eau, l'électricité et le gaz
Marchés de l’eau : l’IA générative arrive dans les réponses aux appels d’offres des collectivités
Saur, spécialiste de la distribution d’eau potable, fait évoluer son processus de réponse aux appels d’offres des collectivités et des industriels en y injectant de l’IA géné…
Stockage de l’électricité : l’IA générative outil d’accélération clé chez Engie
Le stockage de l’électricité est un enjeu stratégique. Engie s’y attelle et mobilise pour cela l’IA générative de type RAG, c'est-à-dire basée sur le traçage des documents source. …
Nouvelle donne dans le gaz naturel : GRDF s’adapte en utilisant l’IA
GRDF, leader de la distribution du gaz naturel en France, affine sa stratégie d’IA. Il s’appuie sur des serveurs internes pour la confidentialité des données de ses clients. GRDF c…
Et vous, qu’en pensez-vous ?
Votre réaction, vos questions ou vos suggestions ? Déposez votre avis ci-dessous.
Je réagis à cet article