Action concernant la néobanque SHINE suite à l’utilisation de services de ciblage publicitaire sur le site SHINE.FR
En novembre 2022, le site de la néobanque pour professionnels SHINE, « SHINE.FR », propriétée de la SOCIÉTÉ GÉNÉRALE, utilisait Google Analytics et l’exécutait au chargement de la page d’accueil, avant la moindre action de l’internaute.
Ce traitement de données était réalisé bien qu’une bannière de consentement à l’utilisation de cookies était affichée.
Une plainte a été déposée à la CNIL pour demander que Google Analytics soit retiré et que les données collectées soient supprimées. La Commission a répondu, quatre mois plus tard, que « les services de la CNIL sont intervenus […] en rappelant à la société SHINE les obligations qui lui incombent concernant l’encadrement des transferts de données vers un pays hors de l’Union européenne et plus particulièrement vers les Etats-Unis ».
La Commission lui a également rappelé que « le dépôt de cookies ne peut avoir lieu qu’à la condition que l’utilisateur ait exprimé son consentement préalable, sauf s’il s’agit de cookies strictement nécessaires à la fourniture du service ».
Suite à cette intervention de la CNIL, Google Analytics était toujours utilisé. Une seconde plainte a été déposée pour réitérer les demandes initiales. La Commission a répondu, neuf mois plus tard, que « la CNIL est intervenue » auprès de la société, une seconde fois, et « lui a rappelé les obligations lui incombant sur l’encadrement des transferts de données vers un pays hors de l’Union européenne ».
En janvier 2024, Google Analytics n’était plus exécuté au chargement de la page. Toutefois, les services de ciblage publicitaire Google Ads et LinkedIn Ads étaient désormais exécutés au chargement de la page, malgré l’affichage d’une bannière de consentement à l’utilisation de cookies. Une nouvelle plainte a alors été déposée à la CNIL pour demander que ces services soient retirés (ou que le consentement préalable des internautes soit obtenu), et que les données collectées soient supprimées. La Commission a répondu, trois jours plus tard, que la « CNIL est intervenue » auprès de la société, pour la troisième fois, et lui a « indiqué que les modalités de dépôt des traceurs sur le site web qu’il édite doivent être conformes aux dispositions de l’article 82 de la loi du 6 janvier 1978 ».
En juin 2024, les services Google Ads et LinkedIn Ads n’étaient plus exécutés au chargement de la page d’accueil.
Chronologie des événements :
-
Plainte déposée à la CNIL
La plainte n° 44-2987 a été déposée à la CNIL pour demander que Google Analytics soit retiré, que les données collectées grâce à Google Analytics soient supprimées et que les personnes soient informées que leurs données personnelles ont été collectées sans leur consentement et transférées dans un pays ne garantissant pas une protection adéquate.Documents
- Plainte Shine.pdf
-
Plainte transmise
La plainte n° 44-2987 a été transmise au service de l’exercice des droits et des plaintes de la CNIL. -
Message de la CNIL
La CNIL a indiqué que « les services de la CNIL sont intervenus […] en rappelant à la société SHINE les obligations qui lui incombent concernant l’encadrement des transferts de données vers un pays hors de l’Union européenne et plus particulièrement vers les Etats-Unis » et que « le dépôt de cookies ne peut avoir lieu qu’à la condition que l’utilisateur ait exprimé son consentement préalable, sauf s’il s’agit de cookies strictement nécessaires à la fourniture du service ».Voir le message intégral
Monsieur,
Vous avez saisi la Commission Nationale de l’Informatique et des Liberté (CNIL) d’une plainte relative à l’utilisation du service Google Analytics sur le site web www.shine.fr édité par la société SHINE et des transferts vers les Etats-Unis que l'utilisation d'un tel outil impliqueraient.
Les services de la CNIL sont intervenus à l’appui de votre plainte en rappelant à la société SHINE les obligations qui lui incombent concernant l'encadrement des transferts de données vers un pays hors de l’Union européenne et plus particulièrement vers les Etats-Unis à la suite de l'invalidation de la décision 2016/1250 relative à l'adéquation de la protection assurée par le bouclier de protection des données entre l’Union européenne et les États-Unis (Privacy shield).
Nous lui avons également rappelé que, conformément à l’article 82 de la loi « Informatique et Libertés », sauf s’il s’agit de cookies strictement nécessaires à la fourniture du service sollicité par l’utilisateur ou de cookies ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique, le dépôt de cookies ne peut avoir lieu qu’à la condition que l’utilisateur ait exprimé son consentement préalable.
Il est donc procédé à la clôture de votre dossier.
Si malgré cette intervention vous constatez que la problématique persiste, nous vous invitons à revenir vers nos services en nous saisissant d’une nouvelle plainte, par voie postale ou électronique en utilisant notre téléservice de plainte en ligne https://www.cnil.fr/fr/plaintes, et en y joignant tout élément utile à son instruction (nous vous invitons à également y mentionner le numéro de ce dossier). La CNIL examinera alors s’il convient de mener de plus amples investigations.
Nous vous informons que, sous réserve de l’intérêt pour agir des requérants, les décisions de la CNIL sont susceptibles de faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de leur notification.
Nous vous prions d’agréer, Monsieur, l’expression de nos salutations distinguées.
Service des plaintes
-
Plainte déposée à la CNIL
Google Analytics était toujours utilisé et exécute au chargement de la page. La plainte n° 44-19769 a été déposée à la CNIL pour réitérer les demandes initiales.Documents
- Plainte Shine GA2.pdf
- www.shine.fr_Archive [23-03-03 18-43-40].txt
-
Plainte transmise
La plainte n° 44-19769 a été transmise au service de l’exercice des droits et des plaintes de la CNIL. -
Envoi d'informations complémentaires à la CNIL
La CNIL a été informée que les manquements rapportés persistaient.Documents
- www.shine.fr_Archive [23-07-09 21-57-20].har.txt
Voir le message intégral
Madame, Monsieur,
Les manquements constatés, à savoir des transferts de données vers les États-Unis effectués par Google Analytics lors du chargement initial de la page, sont toujours présents à ce jour, le 09/07/2023.
Je vous transmets, à titre d'information, le détail des requêtes effectuées par Google Analytics lors de la consultation du site.
-
Message de la CNIL
La CNIL a indiqué que « la CNIL est intervenue » auprès de la société et « lui a rappelé les obligations lui incombant sur l’encadrement des transferts de données vers un pays hors de l’Union européenne ».Voir le message intégral
Monsieur,
Vous avez adressé à la Commission nationale de l'informatique et des libertés (CNIL) une plainte relative à un ou plusieurs outils impliquant des transferts de données à caractère personnel vers les Etats-Unis.
Je vous informe que, depuis la réception de votre plainte, la Commission européenne a adopté une décision d'adéquation constatant que les États-Unis assurent un niveau de protection des données à caractère personnel équivalent à celui de l'Union européenne. Il ressort de cette décision que les organismes soumis au règlement général sur la protection des données (RGPD) peuvent désormais transférer des données à caractère personnel vers les organismes certifiés qui se sont engagés à adhérer à ce cadre légal. Aussi, depuis le 10 juillet 2023, les transferts de données vers les États-Unis dont vous faites état dans votre plainte sont en principe conformes aux exigences posées par le règlement général sur la protection des données (RGPD).
S'agissant des transferts intervenus avant le 10 juillet 2023, la CNIL est intervenue à l'appui de votre demande auprès de l'organisme mis en cause. Elle lui a rappelé les obligations lui incombant sur l'encadrement des transferts de données vers un pays hors de l'Union européenne et plus particulièrement vers les Etats-Unis à la suite de l'invalidation de la décision 2016/1250 relative à l'adéquation de la protection assurée par le bouclier de protection des données entre l'Union européenne et les États-Unis (Privacy shield).
Compte tenu de ces éléments, je vous informe de la décision de la CNIL de clore votre plainte.
Je vous prie d'agréer mes salutations distinguées.
Sous réserve de votre intérêt à agir, vous pouvez contester cette décision de clôture en saisissant le Conseil d’Etat dans un délai de 2 mois à compter de la date de notification de ce message. Ce délai est augmenté d'un mois pour les personnes qui demeurent en Guadeloupe, en Guyane, à la Martinique, à La Réunion, à Saint-Barthélemy, à Saint-Martin, à Mayotte, à Saint-Pierre-et-Miquelon, en Polynésie française, dans les îles Wallis et Futuna, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises ou de deux mois pour les personnes qui demeurent à l'étranger.
-
Plainte déposée à la CNIL
Google Analytics n’était plus exécuté au chargement de la page. Les services Google Ads et Linked Ads étaient toutefois exécutés au chargement de la page. La plainte n° 44-48631 a été déposée à la CNIL pour demander que ces services soient retirés (ou que le consentement préalable des internautes soit obtenu), et que les données collectées soient supprimées.Documents
- Plainte Shine GAD LI.pdf
- www.shine.fr_Archive [24-01-19 17-03-09] GA.har.txt
- www.shine.fr_Archive [24-01-19 17-03-25] LI.har.txt
-
Plainte transmise
La plainte n° 44-48631 a été transmise au service de l’exercice des droits et des plaintes de la CNIL. -
Message de la CNIL
La CNIL a indiqué que la « CNIL est intervenue » auprès de la société et lui a « indiqué que les modalités de dépôt des traceurs sur le site web qu’il édite doivent être conformes aux dispositions de l’article 82 de la loi du 6 janvier 1978 ».Voir le message intégral
Vous avez adressé à la Commission nationale de l’informatique et des libertés (CNIL) une plainte relative aux modalités de dépôt de traceurs avant tout consentement via des modules à finalités ou fonctionnalités publicitaires sur un site web.
La CNIL est intervenue à l’appui de votre demande auprès de l’organisme mis en cause. Il a ainsi été indiqué que les modalités de dépôt des traceurs sur le site web qu’il édite doivent être conformes aux dispositions de l’article 82 de la loi du 6 janvier 1978.
A toutes fins utiles, vous pouvez consulter la page du site web de la CNIL intitulée « Cookies et autres traceurs : la CNIL publie de nouvelles lignes directrices » ( https://www.cnil.fr/fr/cookies-et-autres-traceurs-la-cnil-publie-des-lignes-directrices-modificatives-et-sa-recommandation).
Compte tenu de ces éléments, je vous informe de la décision de la CNIL de clore votre plainte.
Sous réserve de votre intérêt à agir, vous pouvez contester cette décision de clôture en saisissant le Conseil d’Etat dans un délai de 2 mois à compter de la date de notification de ce message.
Si vous souhaitez revenir vers la CNIL parce que vous constatez que le manquement subsiste malgré notre première intervention, je vous prie d’attendre un délai de 4 mois, afin que l’organisme dispose d’un délai suffisant pour se mettre en conformité avec la réglementation, avant de nous adresser une nouvelle plainte en y joignant tout élément utile à son instruction (nous vous invitons à également y mentionner le numéro de ce dossier).
Je vous prie d'agréer mes salutations distinguées.
Par délégation de la Présidente, [RETIRÉ], chef du service de l’exercice des droits et des plaintes
-
Constatation
Les services Google Ads et LinkedIn Ads n’étaient plus exécutés au chargement des pages.