Action concernant la société BOULANGER et le partage de données des clients de BOULANGER.COM avec des sociétés tierces
En janvier 2022, la page permettant de créer un compte sur le site « BOULANGER.COM » contenait une case à cocher permettant de s’opposer à des partages de données douteux en lien avec de la publicité ciblée.
Cette case, située après le bouton de création de compte et décochée par défaut, était associé au texte suivant : « Je m’oppose à l’utilisation de mes données dans le cadre des traitements tels que Valiuz, statistiques Oney, publicités ciblées en lien notamment avec les sociétés Facebook et Google, etc. ».
Ce dispositif pose deux problèmes fondamentaux : la compréhension du texte et l’utilisation d’un mécanisme (d’« opt-out ») obligeant la personne à préciser pour ne pas faire l’objet d’un traitement.
Concernant le texte, il est tout simplement incompréhensible et ne permet pas de comprendre précisément les traitements réalisés. Le texte utilise des termes vagues comme « tels que » ou « etc » et utilise des noms comme « Valiuz » ou « Oney » que les clients de BOULANGER ne peuvent pas comprendre.
Concernant le fait de préciser ne pas souhaiter être l’objet du traitement, l’utilisation d’un tel mécanisme ne permet pas d’obtenir le consentement de l’internaute. Or, on comprend d’après la politique du site BOULANGER.COM, même si elle n’est pas très claire, que le traitement de données à des fins de publicité ciblée utilise le consentement comme base légale de traitement.
La société BOULANGER a été alertée pour demander la modification du dispositif. La société a répondu « mener une réflexion sur l’évolution du dispositif d’information ».
Une plainte a été déposée à la CNIL pour demander notamment qu’une information claire soit communiquée et que le consentement des personnes soit obtenu avant de réaliser de tels traitements.
La CNIL a répondu, plus d’un an plus tard, que « le traitement visé […] fait l’objet d’échanges et de travaux entre la société BOULANGER et la Direction de l’accompagnement juridique de la CNIL » et que « la société BOULANGER a, avant la date de dépôt de [la] plainte, initié une démarche d’accompagnement dans la mise en place de ce traitement », et enfin que « ces travaux [d’accompagnement] sont toujours en cours au sein de la CNIL et ceux-ci peuvent conduire à des évolutions des caractéristiques fondamentales du traitement ».
Suite à cette intervention de la CNIL, la case à cocher n’a pas été retirée. Le texte associé a toutefois été modifié ainsi que la politique relative à ce traitement.
Une procédure est également en cours pour connaître la nature de la prestation « d’accompagnement » proposée par la CNIL. Cette procédure a déjà permis de savoir que l’accompagnement de la CNIL n’est, en réalité, pas effectué auprès la société BOULANGER, comme ce que la Commission avait initialement indiqué, mais « directement auprès de la société VALIUZ ».
Chronologie des événements :
-
E-mail envoyé au DPO de Boulanger
Un e-mail a été envoyé au Délégué à la Protection des Données (DPO) de la société BOULANGER pour l’alerter et pour demander la modification du dispositif.Voir le message intégral
Madame, Monsieur le Délégué à la Protection des Données,
Le site que vous éditez, « boulanger.com », permet aux internautes de créer un compte pour, notamment, passer commande auprès de Boulanger.
L'écran de création de compte disponible à l'adresse « https://www.boulanger.com/account/signup » contient une cache à cocher, décochée par défaut, avec le libellé suivant : « Je m'oppose à l'utilisation de mes données dans le cadre des traitements tels que Valiuz, statistiques Oney, publicités ciblées en lien notamment avec les sociétés Facebook et Google, etc. ».
L'internaute doit donc cocher cette case pour ne PAS recevoir que ses données soient utilisées pour des finalités telles que la publicité ciblée.
Je constate, par ailleurs, que votre politique relative à la protection des données disponible à l'adresse « https://www.boulanger.com/evenement/infos-legales » mentionne le consentement comme base légale pour les opérations suivantes : « Prospection commerciale directe et indirecte (par exemple les listes d’audience), mesures d’efficacité des campagnes publicitaires, Profilage à des fins de personnalisation et personnalisation ».
J'aimerais vous alerter sur le fait que le consentement à un traitement ne peut pas être matérialisé par une absence d'action de l'internaute (opt-out), car le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair » (RGPD, article 4-11).
Le consentement que vous obtenez des internautes pour effectuer des traitements , tels que le ciblage à des fins de publicité cible, n'est, par conséquence, pas valide et les données à caractère personnel des internautes sont traitées de manière illicite.
Pouvez-vous faire le nécessaire pour modifier ce dispositif ?
Pouvez-vous également modifier le libellé associé à cette case à cocher ? car il n'explique pas clairement et de façon précise la finalité du traitement. -
E-mail reçu du DPO de Boulanger
Un e-mail a été reçu du DPO de BOULANGER pour « clarifier » la situation. Les éléments apportés ne permettent toutefois pas d’éclaircir la situation.Voir le message intégral
Cher Monsieur
Je fais suite à votre courriel du 20 janvier 2022.
Je vous remercie pour votre courriel qui nous permet de clarifier notre information.
La politique de protection des données de Boulanger mentionne comme bases légales :
- le consentement pour la prospection directe par Email et/ou SMS
- l'intérêt légitime pour la prospection directe par Email et/ou SMS pour un client sur un produit ou service analogue, la prospection indirecte, le profilage à des fins de personnalisation, la mesure d’efficacité des campagnes. Ainsi, pour les traitements fondés sur l'intérêt légitime, nous proposons un mécanisme d'opposition.Je vous souhaite une bonne soirée,
Bien cordialement
[RETIRÉ]
Délégué à la Protection des Données -
E-mail envoyé au DPO de Boulanger (2)
Un e-mail a été envoyé au DPO de BOULANGER pour indiquer que le libellé associé à la case mentionne clairement les termes de « publicités ciblées » et que la politique de confidentialité de Boulanger mentionne le consentement pour les traitements à des fins de publicité ciblée. La modification du dispositif est à nouveau demandée.Voir le message intégral
Je vous remercie pour votre réponse.
Le libellé associé à la case à cocher indique : « Je m'oppose à l'utilisation de mes données dans le cadre des traitements tels que Valiuz, statistiques Oney, publicités ciblées en lien notamment avec les sociétés Facebook et Google, etc. ».
Ce libellé mentionne clairement les termes de « publicités ciblées ».
La politique de protection des données de Boulanger (https://www.boulanger.com/evenement/infos-legales) mentionne le consentement comme base légale pour les opérations liées aux publicités ciblées, je cite : « Consentement aux cookies publicitaires pour l’affichage de publicités ciblées, la reconnaissance client, la mesure d’efficacité des campagnes publicitaires ».
J'en conclus, comme je l'ai fait dans mon message initial, que le consentement est utilisé comme base légale pour réaliser ce type de traitement et que le mode d'obtention du consentement (opt-out) n'est pas valable.
Pouvez-vous modifier ce dispositif ?
Pouvez-vous également modifier le libellé associé à cette case à cocher ? car il n'explique pas clairement et de façon précise la finalité du traitement. -
E-mail reçu du DPO de Boulanger (2)
Un e-mail a été reçu du DPO de BOULANGER pour indiquer « mener une réflexion sur l’évolution du dispositif d’information ».Voir le message intégral
Cher Monsieur,
Nous distinguons intérêt légitime et consentement et nous vous avons répondu sur ce point dans notre dernier courriel.
Nous sommes attentifs à vos remarques pour améliorer la compréhension générale de nos clients et nous menons une réflexion sur l'évolution du dispositif d'information.
Bien cordialement
[RETIRÉ]
Délégué à la Protection des Données -
Plainte déposée à la CNIL
La plainte n° 28-6897 a été déposée à la CNIL pour demander qu’une information claire et compréhensible soit communiquée, que le consentement soit obtenu avant d’effectuer le traitement, que les clients soient informés que leurs données ont été divulguées et que la société démontre son intérêt légitime si elle ne souhaite pas recourir au consentementDocuments
- plainte.pdf
- annexes.pdf
-
Information de la CNIL
La CNIL a indiqué « être intervenue, par courriel de ce jour, auprès de cette société ».Voir le message intégral
Monsieur,
Vous avez saisi la Commission nationale de l’informatique et des libertés (CNIL) d’une plainte à l’encontre de la société BOULANGER.
Nous vous informons que nous sommes intervenus, par courriel de ce jour, auprès de cette société.
Nous ne manquerons pas de revenir vers vous afin de vous informer des suites qui seront données à ce dossier.
Veuillez agréer, Monsieur, l’expression de nos salutations distinguées.
Services de l'exercice des droits et des plaintes
-
Information de la CNIL (2)
La CNIL a indiqué qu’« il est apparu que le traitement visé […] fait l’objet d’échanges et de travaux entre la société BOULANGER et la Direction de l’accompagnement juridique de la CNIL » et que « la société BOULANGER a, avant la date de dépôt de [la] plainte, initié une démarche d’accompagnement dans la mise en place de ce traitement », et enfin que « ces travaux [d’accompagnement] sont toujours en cours au sein de la CNIL et ceux-ci peuvent conduire à des évolutions des caractéristiques fondamentales du traitement objet de votre plainte ».Voir le message intégral
Monsieur,
Vous avez saisi la Commission nationale de l’informatique et des libertés (CNIL) d’une plainte à l’encontre de la société BOULANGER par laquelle vous attirez l'attention de la Commission sur la présence d’une case à cocher intitulée « Je m'oppose à l'utilisation de mes données dans le cadre des traitements tels que Valiuz, statistiques Oney, publicités ciblées en lien notamment avec les sociétés Facebook et Google, etc. » dans le parcours de création d’un compte client et la licéité du traitement de données à caractère personnel qui y est lié.
Nous vous prions de bien vouloir nous excuser de ce retour tardif. La CNIL est saisie de plus en plus de plaintes, ce qui en impacte les délais de traitement.
Nous vous informions être intervenus auprès de la société BOULANGER par courriel afin de l’interroger sur ce traitement.
Au cours de ces échanges, il est apparu que le traitement visé par votre plainte fait l’objet d’échanges et de travaux entre la société BOULANGER et la Direction de l’accompagnement juridique de la CNIL. La société BOULANGER a, avant la date de dépôt de votre plainte, initié une démarche d’accompagnement dans la mise en place de ce traitement. Dans ce contexte, ces travaux sont toujours en cours au sein de la CNIL et ceux-ci peuvent conduire à des évolutions des caractéristiques fondamentales du traitement objet de votre plainte. Soyez assuré que celui-ci est bien pris en charge par les services de la Commission. Dans ce contexte, il est procédé à la clôture de votre dossier.
Nous vous informons que sous réserve de l’intérêt pour agir des requérants, les décisions de la CNIL sont susceptibles de faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de leur notification.
Veuillez agréer, Monsieur, nos salutations distinguées.
[RETIRÉ]
Juriste | Services de l’exercice des droits et des plaintes
-
Constatation
Il a été constaté que la case à cocher était toujours présente, mais que le texte associé a été modifié. La politique de la société a aussi été modifiée et accordait désormais une section aux traitements relatifs à VALIUZ. -
E-mail envoyé à la CNIL
Un e-mail a été envoyé à la CNIL (réf. CNIL-175016-1685693704) pour obtenir une copie du document qui encadre les travaux d’« accompagnement » de la CNIL auprès de la société BOULANGER.Voir le message intégral
Madame, Monsieur,
En réponse à ma plainte n° 28-6897 concernant la société BOULANGER et plus particulièrement le traitement associé à l’organisme VALIUZ, la CNIL m’a indiqué, le 13 avril 2023, que « le traitement visé par [ma] plainte fait l’objet d’échanges et de travaux entre la société BOULANGER et la Direction de l’accompagnement juridique de la CNIL », que « la société BOULANGER a, avant la date de dépôt de [ma] plainte, initié une démarche d’accompagnement dans la mise en place de ce traitement », et que « ces travaux sont toujours en cours au sein de la CNIL ».
Je souhaiterais obtenir des informations sur cet « accompagnement » réalisée par la CNIL auprès de la société BOULANGER.
Y-a-t-il un contrat, une lettre de cadrage ou un document qui encadre ces travaux d’« accompagnement » ?
Si un tel document existe, pouvez-vous me communiquer une copie de ce document ? -
Courrier reçu de CNIL
Un courrier a été reçu de la CNIL précisant que l’accompagnement n’est, en réalité, pas effectué auprès la société BOULANGER, mais « directement auprès de la société VALLIUZ [sic] »Voir le message intégral
Par courrier électronique en date du 2 juin 2023, vous avez indiqué souhaiter obtenir des informations sur «l'accompagnement » réalisé par la CNIL auprès de la société BOULANGER, dont il a été fait état dans la réponse apportée à votre plainte enregistrée sous le numéro 28-6897 (courriel en date du 5 avril 2023).
Je me permets de préciser que l'accompagnement de la CNIL est réalisé directement auprès de la société VALLIUZ. A toutes fins utiles je vous informe que les modalités de cet accompagnement s'inscrivent dans le cadre de la charte destinée aux professionnels, publiée le 12 février 2021 et accessible à l'adresse suivante : https://www.cnil.fr/sites/cnil/files/atoms/files/charte_accompagnement_des_professionnels.pdf
Les services de la CNIL restent à votre disposition pour toute précision que vous jugeriez utile.
Je vous prie de croire, Monsieur, à l'assurance de ma considération distinguée.
[RETIRÉ]
-
Demande d'accès aux documents envoyée à la CNIL
Une demande d’accès aux documents administratif concernant l’accompagnement de la CNIL auprès de la société VALIUZ a été envoyée à la CNIL. Tous les documents réalisés au cours de cet accompagnement sont demandés.Voir le message intégral
Madame la Présidente de la Commission nationale de l'informatique et des libertés (CNIL),
Madame [RETIRÉ],
Madame, Monsieur,En réponse à la plainte n° 28-6897 concernant la société BOULANGER et plus particulièrement le traitement de données impliquant la société VALIUZ, la Commission m’a indiqué, le 13 avril 2023, que « le traitement visé par [ma] plainte fait l’objet d’échanges et de travaux entre la société BOULANGER et la Direction de l’accompagnement juridique de la CNIL », que « la société BOULANGER a, avant la date de dépôt de [ma] plainte, initié une démarche d’accompagnement dans la mise en place de ce traitement », et que « ces travaux sont toujours en cours au sein de la CNIL ».
Le 2 juin 2023, je vous ai sollicité par courrier électronique afin d’« obtenir des informations sur cet « accompagnement » réalisé par la CNIL auprès de la société BOULANGER ». Je vous ai également demandé de me communiquer le « contrat, [la] lettre de cadrage ou [le] document qui encadre ces travaux d’« accompagnement » ».
Le 7 juillet 2023, la Commission m’a répondu par courrier électronique en précisant que « l’accompagnement de la CNIL est réalisé directement auprès de la société VALLIUZ [sic] ».
Conformément à la législation relative à l’accès aux documents administratifs, je vous sollicite afin d’obtenir une copie de tous les documents relatifs à cet « accompagnement de la CNIL » auprès de la société VALIUZ. Ces documents concernent notamment :
- l’éventuelle demande de conseil de la société VALIUZ auprès de la CNIL, ainsi que ses annexes ;
- les échanges écrits entre la société VALIUZ et la CNIL, ainsi que les documents échangés ;
- les notes ou rapports rédigés par la CNIL ou pour le compte de la CNIL concernant l’accompagnement de la Commission auprès de la société VALIUZ ou les traitements de données de la société VALIUZ ; et
- les comptes rendus des réunions ou échanges auxquels ont participé la CNIL et des employés, conseillés ou représentants de la société VALIUZ.Je vous demande de bien vouloir me communiquer ces documents sous forme électronique, dans un standard ouvert, réutilisable et aisément consultable ; et vous prie d’agréer mes salutations distinguées.
-
Accusé réception de la demande d'accès par la CNIL
Un e-mail a été reçu de la CNIL pour confirmer la bonne réception de la demande d’accès aux documents (n° 23013132) concernant l’accompagnement de la société VALIUZ.Voir le message intégral
Saisine n° 23013132
(à rappeler dans toute correspondance)
Objet : Demande CADAMonsieur,
La Commission nationale de l’informatique et des libertés a reçu le 11 octobre 2023 votre courrier électronique aux termes duquel vous demandez la communication de tous les documents relatifs à l’« accompagnement de la CNIL » auprès de la société VALIUZ.
Je vous informe que votre demande est enregistrée sous la référence indiquée ci-dessus.
La Commission dispose d’un mois pour répondre à votre demande à compter de sa réception. Le silence gardé par la Commission à l’issue de ce délai fera naître une décision implicite de refus, conformément aux dispositions de l’article R*311-12 du code des relations entre le public et l’administration.
Conformément aux dispositions des articles R.311-15 et R.342-1 du code des relations entre le public et l’administration, à l’expiration du délai mentionné ci-dessus, vous pourrez contester la décision implicite de refus en saisissant la Commission d’accès aux documents administratifs (CADA) par lettre, télécopie ou par voie électronique.
Cordialement
[RETIRÉ]
-
Refus tacite de la CNIL de la demande d'accès
En l’absense de réponse de la CNIL après un délai d’un mois, la demande d’accès aux documents est considérée refusée. -
Saisie de la CADA
La Commission d’accès aux documents administratifs (CADA) est saisie (réf. 20236826) pour contester le refus de la CNIL de communiquer les documents concernant l’accompagnement de la société VALIUZ.Voir le message intégral
Votre demande porte sur :
Refus de communication de documents administratifs par la CNIL - Saisine n° 23013132
Document(s) objet de la saisine :
Les documents relatifs à l'« accompagnement » effectué par la CNIL auprès de la société VALIUZ, notamment :
- la demande de conseil de la société VALIUZ
auprès de la CNIL, ainsi que ses annexes ;
- les échanges écrits entre la société VALIUZ et la CNIL,
ainsi que les documents échangés ;
- les notes ou rapports rédigés par la CNIL ou pour le compte
de la CNIL concernant l’accompagnement de la Commission auprès de la société VALIUZ ou les
traitements de données de la société VALIUZ ; et
- les comptes rendus des réunions ou échanges
auxquels ont participé la CNIL et des employés, conseillés ou représentants de la société VALIUZ.Date de la demande à l'administration :
2023-10-11T00:00:00+0200
Observation
Concernant la demande
Lors de mes échanges avec la CNIL intervenus suite à une
plainte relative aux traitements de données effectués par la société BOULANGER, la Commission m’a informé que les services de la CNIL réalisaient une prestation d’« accompagnement » auprès de la société VALIUZ.Concernant les documents demandés
Les modalités (date de démarrage, périmètre, durée, objectifs) de cette prestation d’accompagnement n’ont pas été rendus publics par la CNIL, ce qui explique pourquoi ma demande ne concerne pas un document bien précis, mais l’ensemble des documents relatifs à cette prestation. Toutefois, d’après la « Charte d’accompagnement des professionnels »[1] publiée par la CNIL en février 2023, les sociétés souhaitant bénéficier d’un tel accompagnement doivent « motiver leur demande précisément ». C’est pourquoi, le document relatif à cette demande a notamment été demandé.
Concernant la nature des documents demandés
Dans la charte d’acompagnement pré-citée, il est notamment indiqué dans la section « Les échanges avec la CNIL sont-ils confidentiels ? » (p. 6) que « comme tout document administratif, les réponses aux demandes de conseil sont en principe communicables au public au sens de la loi du 17 juillet 1978 ».
Concernant ma personne et mon intérêt
Je suis [RETIRÉ] et édite, par ailleurs, un site Web
(eWatchers.org) sur lequel je publie notamment des informations et des analyses relatives à la protection des données.[1] https://cnil.fr/sites/cnil/files/atoms/files/charte_accompagnement_des_professionnels.pdf
-
Information de la CNIL de la saisie de la CADA
Un e-mail a été envoyé à la CNIL pour l’informer que la CADA a été saisie suite à son refus.Voir le message intégral
Madame [RETIRÉ],
Suite à ma demande du 11 octobre (n° 23013132) et en l'absence de réponse de la part de la CNIL, je vous informe que la CADA a été saisie.
-
Accusé réception de la CADA
Un courrier a été reçu de la CADA pour confirmer la bonne réception de la demande d’accès aux documents.Voir le message intégral
Références à rappeler : 20236826
Vos références : Commission nationale de l'informatique et des libertés (CNIL)Monsieur,
J'ai l'honneur d'accuser réception de la demande d'avis que vous avez présentée à la commission d'accès aux documents administratifs par courrier enregistré à son secrétariat le 13 novembre 2023.(1)
L’avis de la commission vous sera transmis par courrier ou par courrier électronique (2) dans les meilleurs délais.
Si vous avez obtenu entière satisfaction de la part de l'administration, je vous recommande de le faire connaître aussitôt à la Commission en indiquant que vous vous désistez de votre demande d'avis. Vous faciliterez ainsi, dans l'intérêt de tous les autres usagers, la recherche d'efficacité en permettant de concentrer les efforts sur les affaires non réglées et de réduire les délais d'intervention.
Je vous prie de croire, Monsieur, à l'assurance de ma considération distinguée.
Pour le Président et par délégation,
La Secrétaire générale
[RETIRÉ]