par Louison CHARTIER, étudiante du Master 2 Droit des médias électroniques
Le 29 décembre 2023, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé une amende de 105 000 € contre la société NS CARDS FRANCE.
Cette société est “un distributeur de monnaie électronique qui permet d’effectuer des paiements en ligne.“. Il existe 2 possibilités : soit l’utilisateur retire des coupons “Neosurf” dans les différents points de vente agréés, soit il les utilise directement avec un porte monnaie électronique.
Les coupons Neosurf permettent le paiement en ligne sans carte bancaire. Ils peuvent être utilisés pour jouer à des jeux d’argent en ligne, pour faire du e-shopping ou encore pour effectuer des échanges entre particuliers.
En septembre et octobre 2021, les services CNIL ont effectué des contrôles sur le site Web “Neosurf” et dans les locaux de la société NS CARDS FRANCE. Ces contrôles ont permis de relever des manquements au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (RGPD) et à la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (LIL).
Des manquements quant à la durée de conservation et à la sécurisation des données
L’article 5-1 e) du RGPD dispose que “Les données à caractère personnel doivent être : {…} conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées {…}”.
La durée de conservation ne doit donc pas être excessive au regard des finalités justifiant le traitement des données personnelles. Or, le contrôle CNIL a notamment révélé que plus de 70 000 comptes étaient inactifs depuis 10 ans sans pour autant avoir fait l’objet d’une quelconque purge de la base de données. D’ailleurs, les comptes doivent finir par être a minima archivés, puis supprimés ou anonymisés pour respecter cet article. La CNIL a considéré que la société “conservait les données de comptes utilisateurs, même inactivés, pour une durée indéterminée”, raison pour laquelle la violation de l’article pré-cité était caractérisée.
Aussi, l’article 32 du RGPD dispose que “{…} le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque {…}”. L’article cite des exemples de mesures comme le chiffrement ou la pseudonymisation. À ce titre, la CNIL a repéré que les règles de complexité des mots de passe étaient trop permissives et insuffisamment robustes. Concrètement, un mot de passe à 6 caractères et contenant seulement une majuscule, une minuscule et un chiffre suffisait pour s’inscrire. Le système de hachage des mots de passe utilisé par la société était obsolète. Il n’y avait en outre “aucune restriction d’accès en cas d’échec d’authentification“.
Un manquement quant à l’obligation d’information des personnes
Dans une volonté de transparence, l’article 12 du RGPD dispose que “Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14”. Parmi ces informations, doivent apparaître l’identité du responsable de traitement, les finalités du traitement, la base juridique de ce traitement, la durée de conservation ou encore la possibilité d’introduire une réclamation auprès d’une autorité de contrôle. Le responsable de traitement doit assurer un “traitement équitable et transparent”.
Ces informations doivent se trouver dans les mentions légales du site. Or, la politique de confidentialité du site ne contenait ni la durée de conservation des données personnelles ni le droit d’introduire une réclamation auprès de la CNIL. Cette dernière était obsolète et peu claire pour les utilisateurs car deux versions étaient disponibles sur le site.
Un manquement quant à l’utilisation des cookies et traceurs
L’article 82 de la LIL prévoit que l’utilisateur doit avoir été informé de façon claire et éclairée de toutes les opérations d’accès ou d’inscription d’informations dans son terminal. De plus, ces opérations ne sont possibles qu’après avoir recueilli son consentement. La seule exception vaut pour “les cookies ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ou ceux strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur étant exemptés de cette obligation”.
Dans le cas d’espèce, des cookies Google Analytics avaient été déposés sur les terminaux des utilisateurs sans leur consentement (notamment pour calculer la mesure d’audience sur le site internet de Neosurf). De plus, ces cookies pouvaient avoir des fonctionnalités publicitaires, fonctionnalités qui ne rentrent pas dans l’exception au recueil du consentement de l’article 82 précité.
Également, la formation restreinte de la CNIL a constaté l’utilisation du mécanisme de reCaptcha Google sans recueil du consentement des utilisateurs. Ce mécanisme permet de bloquer les robots sur le site internet de Neosurf. Or, en utilisant ce mécanisme sans le consentement des utilisateurs, la société ND CARDS FRANCE en qualité d’éditeur du site “a permis les actions de lecture et d’écriture des informations présentes sur les terminaux des utilisateurs” ce qui constitue donc une violation de l’article précité.
L’amende a été fixée à 90 000€ quant aux différents manquements du RGPD et à 15 000€ quant au non respect de la LIL. Le montant a notamment pris en compte le nombre de personnes concernées, la négligence de la société ou encore la nature des données personnelles (et notamment des données bancaires).