Sanction pécuniaire de Brandalley

30 000 euros de dommages et intérêts

Suite à la plainte d’une internaute ne pouvant se désinscrire du site de vente en ligne Brandalley, une délégation de la CNIL a opéré un contrôle sur place.  Après plusieurs mises en demeure restées infructueuses, la société a fait l’objet d’une sanction pécuniaire de 30.000 €.

Fichier de prévention de la fraude bancaire

Au titre des manquements constatés, le non-respect de l'article 25-I-4° de la loi n° 78-17 du 6 janvier 1978 qui dispose que les traitements automatisés susceptibles du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire sont mis en œuvre après autorisation de la CNIL.

La société a été mise en demeure de procéder à une demande d'autorisation pour encadrer la mise en œuvre de son traitement ayant pour finalité la prévention de la fraude à la carte bancaire.

Durée de conservation des données clients

L'article 6-5° de la loi du 6 janvier 1978 modifiée prévoit que les données à caractère personnel sont conservées pendant une durée qui n'excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

La norme simplifiée n° 48 relative à la gestion des clients et des prospects, à laquelle la société avait pris un engagement de conformité, prévoit notamment que les données à caractère personnel relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale.

Les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant une durée de trois ans à compter de la fin de la relation commerciale (c'est-à-dire par exemple à compter d'un achat, de la date d'expiration d'une garantie, du terme d'un contrat de prestation de services, du dernier contact émanant du client).

La société a été mise en demeure de définir une politique de durée de conservation des données relatives aux clients, conforme à son engagement de conformité à la norme simplifiée n° 48, et de procéder à la purge y afférente.

Procédure d’acceptation des cookies

L'article 32-II de la loi du 6 janvier 1978 modifiée dispose que tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :

- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

- des moyens dont il dispose pour s'y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur : i) soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; ii) soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.

Le contrôle en ligne réalisé par la CNIL avait permis de constater que le bandeau d'information relatif aux cookies était rédigé de telle sorte qu'il n'informait pas les utilisateurs de leur possibilité de paramétrer le dépôt de cookies. Plusieurs cookies ayant des finalités publicitaires étaient déposés dès l'arrivée des internautes sur la page d'accueil du site, sans recueil préalable de leur consentement.

Transfert de données personnelles vers le Maghreb

Le principe d'interdiction de transférer des données vers des Etats n'appartenant pas à l'Union européenne et n'assurant pas un niveau de protection suffisant de la vie privée ne peut être levé qu'après une décision de la CNIL. En effet, celle-ci doit apprécier si le traitement garantit un niveau de protection suffisant, notamment en raison des clauses contractuelles ou règles internes dont il fait l'objet. Par conséquent, sans décision préalable de la CNIL, les traitements de flux ne peuvent pas être mis en œuvre.

En l'espèce, avant l'expiration du délai prévu par la mise en demeure, la société n'a pas présenté de demande à la CNIL relative aux transferts de données vers le Maghreb devant être encadrés par des garanties adéquates. Ainsi, la société a continué à transférer des données à caractère personnel, hors de l'Union européenne, sans autorisation de la CNIL.

[toggles class="yourcustomclass"]

[toggle title="Télécharger la Décision" class="in"]Télécharger [/toggle][toggle title="Poser une Question"]Poser une question sur cette thématique, la rédaction ou un abonné vous apportera une réponse en moins de 48h[/toggle][toggle title="Paramétrer une Alerte"]Paramétrer une alerte jurisprudentielle, pour être informé par email lorsqu'une décision est rendue sur ce thème[/toggle][toggle title="Commander un Casier judiciaire"]Commander un bilan judiciaire sur l'une des personnes morales citées dans cette affaire (ou sur toute autre personne morale).[/toggle][acc_item title="Reproduction"]Copier ou transmettre ce contenu[/toggle][toggle title="Vous avez traité un dossier similaire?"]Maître [/toggle]

[/toggles]