Si vous suivez l’actualité publiée par la CNIL, cela ne vous aura sans doute pas échappé. La société Brico Privé a été sanctionné d’une amende de 500 000 euros.
Pourquoi ? L’envoi de courriels de prospection sans avoir récolté le consentement des personnes préalablement à l’envoi, ainsi que pour le non-respect de plusieurs autres obligations.
Quels sont les autres manquements RGPD constatés par la CNIL ?
- Prospection par courriel sans récolter le consentement des personnes avant envoi
- Non-respect des durées de conservation fixées. En effet, les données de plus de 16 000 clients (n’ayant pas passé commande depuis cinq ans) étaient conservées par Brico Privé ;
- Une information dispensée aux utilisateurs/clients jugée incomplète et insuffisante par la CNIL (autant dans les CGV, dans les mentions légales que dans la politique de conservation des données personnelles) ;
- Non-respect du droit à l’effacement des personnes concernées. Les données n’étaient pas réellement supprimées. L’accès aux comptes étaient simplement désactivé ;
- Un manque de robustesse à la création des mots de passe a été constaté (clients + salariés lors de la connexion à leur logiciel de relation client) ;
- Des opérations de prospection par mail étaient envoyées aux personnes ayant créé un compte sur Brico Privé, sans que leur consentement n’ait été récolté ;
- Des cookies sont déposés sur le terminal de l’utilisateur avant que celui-ci n’ait pu lire le bandeau de cookies et consentir à leurs dépôts sur son terminal.
Brico Privé est dans le viseur de la CNIL depuis 2018. En effet, la société a tout de même subi trois contrôles avant d’être conforme au RGPD et à la Loi Informatique et Libertés.
Quelles sont les actions RGPD menées par la CNIL en 2021 ?
La sanction de Brico Privé n’étant pas la seule à susciter l’intérêt, la CNIL continue de contrôler la conformité des bandeaux de cookies. Elle rappelle, lors d’un communiqué paru le 29 juin, que la campagne de vérification se poursuit. De nouvelles mesures correctrices seront prises à l’encontre des organismes qui ne seraient pas en conformité sur ce point. Ainsi, d’autres mises en demeures pourraient être prononcées et d’autres mesures de sanctions sont déjà lancées.
Lire les sanctions des autres entreprises vous est utile !
La gestion des données personnelles pendant la crise sanitaire a fortement mobilisé la CNIL en 2020. Depuis le printemps 2021, elle se recentre désormais sur ses missions de contrôles et de sanctions.
Il est donc toujours utile de se pencher sur les points de non-conformités des autres entreprises sanctionnées. Il s’agit d’une base de vérification et de comparaison de votre organisme. Ce qu’on appelle une veille législative.
Si, à cette occasion, des manquements sont relevés, n’hésitez pas à alerter votre DPO pour l’associer à votre réflexion. C’est un excellent réflexe! Cela pourrait même peut-être éviter quelques mauvaises surprises …
