Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. NS Cards France, 29 décembre 2023

Résumé des faits

Après avoir effectué deux contrôles auprès de la société NS CARDS France, éditrice du site neosurf.com et de l’application mobile « Neosurf » permettant d’effectuer des paiements en ligne, la CNIL a constaté plusieurs manquements qui concernent la durée de conservation des données, l’information des personnes, la sécurisation des données, ainsi que le dépôt des cookies et traceurs sur le terminal des utilisateurs.

La CNIL a ainsi décidé d’infliger deux amendes publiques à la société NS CARDS France d’un montant total de 105 000 euros. La première amende est liée aux manquements au RGPD, prise en coopération avec 17 autorités européennes de protection des données. La seconde amende concerne les manquements à la loi Informatique et Libertés.

Motifs de la sanction / Manquements

  • Non-respect de l’art. 5.1.e du RGPD

Conservation des données pour une durée excessive.

  • Non-respect des articles 12 et 13 du RGPD

Absence d’une information appropriée des personnes.

  • Non-respect de l’art. 32 du RGPD

Absence d’une sécurisation suffisante des données.

  • Non-respect de l’art. 82 de la loi Informatique et Libertés

Absence d’information appropriée et de recueil du consentement.

Que retenir de la décision ?

  • Le responsable de traitement et le sous-traitant sont tenus de désigner un DPO lorsque le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle.
  • La durée de conservation des données personnelles doit être déterminée en fonction de la finalité poursuivie par le traitement.
  • Lorsque les données ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées, elles doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire lorsque leur conservation est nécessaire pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses.
  • Dans le cadre de l’archivage intermédiaire, un tri des données pertinentes à archiver doit être effectué, et le responsable de traitement doit prévoir soit une base de données d’archives dédiée, soit une séparation logique dans la base de données active.
  • Les données en archivage intermédiaire ne doivent être sauvegardées que pour une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont conservées.
  • Le fait de rendre un compte inactif ne correspond ni à une suppression des données personnelles qu’il contient, ni à une anonymisation.
  • Une information fournie au moyen d’une politique de confidentialité disponible uniquement en anglais, relative à des traitements de données ciblant majoritairement un public francophone, n’est pas conforme aux exigences de transparence de l’information.
  • Une politique de confidentialité ne mentionnant pas des informations sur la durée de conservation des données et le droit d’introduire une réclamation auprès de la CNIL est considérée comme étant incomplète.
  • La coexistence de deux versions incomplètes de la politique de confidentialité est susceptible de créer une confusion chez les personnes concernées quant à l’étendue des droits dont elles disposent à l’égard de leurs données et aux conséquences du traitement de ces dernières.
  • Les mesures mises en place pour sécuriser les données doivent être identifiées en tenant compte des caractéristiques du traitement et des risques qu’il induit, ainsi que de l’état de connaissances et du coût des mesures.
  • La conservation sécurisée des mots de passe constitue une précaution élémentaire en matière de protection des données personnelles.
  • La politique de mots de passe déployée doit être suffisamment robuste pour garantir la sécurité des données traitées.
  • La conservation en clair des mots de passe d’utilisateurs, associés à leurs identifiants et à leur adresse courriel, ne permet pas de garantir leur sécurité.
  • Le recours à la fonction SHA-1 pour le hachage des mots de passe n’est plus considéré comme conforme à l’état de l’art.
  • Le dépôt des cookies Google Analytics ne peut être effectué qu’après recueil du consentement de l’utilisateur, dès lors qu’ils n’ont pas pour finalité exclusive de permettre ou de faciliter la communication par voie électronique et ne sont pas non plus strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur.
  • Le mécanisme de reCaptcha Google ne permettant pas uniquement la sécurisation de l’authentification, mais également d’effectuer des opérations d’analyse de la part de Google, le consentement de l’utilisateur doit être recueilli.

Le + DLD

  • Pour décider du prononcé d’une amende, plusieurs critères sont pris en compte, tels que la nature, la gravité et la durée de la violation, la portée ou la finalité du traitement concerné, le nombre de personnes affectées, les mesures prises par le responsable de traitement pour atténuer le dommage subi par les personnes concernées, le fait que la violation a été commise par négligence, le degré de coopération avec l’autorité de contrôle et dans certain cas, le niveau de dommage subi par les personnes.
  • Pour décider de la publication ou pas de la sanction, la CNIL tient notamment compte de la gravité des manquements et du nombre des personnes concernées.

Délibération Complète de la CNIL

Consulter

À lire aussi