La CNIL a sanctionné, le 12 juin 2021, la société BRICO PRIVÉ, éditeur du site « BRICOPRIVE.COM », pour de nombreux manquements relatifs au RGPD, à la loi Informatique et Liberté[1] et au Code des Postes et des Communications Électroniques (CPCE).

Le spécialiste des ventes en ligne de matériel de bricolage proposait aux internautes de créer un compte sur son site, « BRICOPRIVE.COM », pour consulter ses ventes et passer commande. Les données des utilisateurs étaient cependant conservées dans les bases de données de nombreuses années, même si les utilisateurs ne passaient plus commande ou ne se connectaient plus. 16 650 comptes de clients étaient, par exemple, conservés alors que les clients n’avaient pas passé commande depuis plus de cinq ans et 130 000 comptes étaient conservés alors que les clients ne s’étaient pas connectés depuis plus de cinq ans.

La CNIL a rappelé à la société BRICO PRIVÉ que les données à caractère personnel devaient être conservées « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées »[2]. La durée de conservation théorique n’a toutefois pas pu être établie avec certitude, car la société a attesté, lors du contrôle, qu’aucune limite de durée n’avait été établie, puis a indiqué, deux mois après, qu’une durée de trois ans avait été définie. La CNIL a estimé, en tout état de cause, que cette durée de trois ans n’était pas respectée et que les données des clients étaient, par conséquent, conservées de façon « excessive ».

La Commission reproche aussi à BRICO PRIVÉ de ne pas avoir mis à disposition des clients une information « complète »[3] relative aux traitements effectués par la société, car les coordonnées du Délégué à la Protection des Données[4] n’étaient pas indiquées, ni les durées de conservation des données, ni les bases légales des traitements, ni certains droits dont bénéficient les clients.

Par ailleurs, la CNIL reproche également à BRICO PRIVÉ de nombreux manquements relatifs à la sécurité, notamment :

  • le manque de robustesse des mots de passe des clients, qui pouvaient être composés de seulement six chiffres[5] ;
  • le manque de robustesse des mots de passe du logiciel interne de gestion de la relation client, qui étaient composés uniquement de huit caractères, avec au moins un chiffre et une lettre ;
  • le stockage en clair, dans un fichier texte, des mots de passe permettant d’accéder aux bases de données de l’entreprise ;
  • l’utilisation de la fonction de hachage MD5[6] pour conserver les mots de passe des clients[7] ;
  • l’utilisation par les salariés d’un compte commun pour accéder à des copies de la base de données[8].

Enfin, la CNIL reproche aussi à BRICO PRIVÉ :

  • l’utilisation de plus d’une trentaine de cookies à des fins publicitaires, sans le consentement de ses visiteurs[9] ;
  • l’envoi d’e-mails publicitaires aux clients sans obtenir le consentement « libre, spécifique et informée » l’utilisateur[10] ;
  • la conservation de données personnelles de clients qui avaient demandé à ce que leurs données soient effacées[11].

Une sanction de 500 000 euros a été prononcée à l’encontre de la société.

Lire :

Note : Les internautes français ne sont pas les seuls à avoir été lésés, car BRICO PRIVÉ exerce aussi en Espagne, en Italie et au Portugal. Les autorités de contrôle de ces pays ont d’ailleurs collaboré avec la CNIL et ont participé à l’élaboration de la délibération.

Notes et références

  1. L’article 82 de la loi Informatique et Libertés est le principal texte français encadrant l’utilisation de cookies. Il est la transposition de l’article 5-3 de la directive européenne « ePrivacy » (Directive 2009/136/CE).
  2. Le RGPD demande de conserver les données personnelles « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (source : RGPD, article 5-1-e). La société BRICO PRIVÉ devait donc définir, en amont, une durée de conservation pour les données clients et conserver les données uniquement pendant cette durée. Voir « Combien de temps peut-on conserver des données à caractère personnel ? ».
  3. Lorsque des données à caractère personnel sont collectées, le RGPD demande de communiquer certaines informations précises aux personnes, notamment les coordonnées du Délégué à la Protection des Données, les durées de conservation des données ou les bases juridiques du traitement (source : RGPD, article 13). La société BRICO PRIVÉ n’avait pas communiqué ces informations à ses clients. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  4. Le Délégué à la Protection des Données est la personne en charge des questions liées aux données personnelles. Voir « Qu’est ce qu’un Délégué à la Protection des Données et quelles sont ses missions ? ».
  5. Pour des raisons de sécurité, les mots de passe doivent contenir un certain nombre de caractères et certains caractères spéciaux. Voir « Quelles restrictions imposer aux mots de passe de ses utilisateurs ? ».
  6. La fonction de hachage MD5 ne doit pas être utilisée, car des vulnérabilités majeures ont été découvertes. En utilisant MD5, les mots de passe des utilisateurs de BRICO PRIVÉ pouvaient, par conséquent, être découverts si la base de données contenant les empreintes de ces mots de passe était compromise. Voir « Peut-on utiliser la fonction de hachage MD5 pour enregistrer l’empreinte des mots de passe de ses utilisateurs ? ».
  7. Pour des raisons de sécurité, les mots de passe ne doivent pas être stockés en clair, mais doivent être chiffrés en utilisant une fonction de hachage robuste. Voir « Quels sont les risques à stocker les mots de passe de ses utilisateurs en clair ? ».
  8. Pour des raisons de sécurité, il est déconseillé d’accéder à des applications sensibles à partir d’un compte partagé. Voir « Quels sont les risques à partager l’accès d’un compte ? ».
  9. Sauf exceptions, le consentement des visiteurs doit être obtenu lorsque des cookies sont utilisés (source : loi Informatique et Libertés, article 82). Voir « Doit-on obtenir le consentement des utilisateurs avant d’utiliser des cookies ? ».
  10. La législation indique qu’« Est interdite la prospection directe au moyen de système automatisé de communications électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement » et précise que le consentement correspond à une « volonté libre, spécifique et informée » (source : CPCE, article 34-5). La société BRICO PRIVÉ n’utilisait pas de mécanisme pour collecter un consentement spécifique à l’envoi d’e-mails de prospection. La société se contentait de demander aux internautes d’accepter les conditions générales de vente, conditions qui indiquaient que les coordonnées de l’utilisateur étaient utilisés à des fins de prospection. Ce mécanisme de collecte de consentement n’est pas valable. Voir « Doit-on demander le consentement des personnes avant de leur envoyer des e-mails promotionnels ? » et « Comment obtenir le consentement d’une personne pour l’envoi d’e-mails promotionnels ? ».
  11. Le RGPD donne un certain nombre de droits aux personnes, comme celui d’exiger la suppression de leurs données à caractère personnel (source : RGPD, article 17). Les clients de BRICO PRIVÉ pouvaient donc légitimement demander la suppression de leurs données. Voir « Quels droits le RGPD donne-t-il aux personnes ? ».

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données