La CNIL1 a sanctionné, le 12 juin 2021, la société Brico Privé en charge du site Internet bricoprive.com, pour de nombreux manquements relatifs au RGPD2.

La Commission reproche au spécialiste des ventes privées deux éléments principaux : la conservation des données des clients et la sécurité d'accès à ces données.

En ce qui concerne la conservation des données, la CNIL reproche à Brico Privé :

  • la conversation des données à caractère personnel des clients sans limite de durée3. Les données de plus de 130 000 personnes étaient, par exemple, conservées dans leur base de données, alors qu'elles ne s'étaient pas connectées depuis plus de cinq ans ;
  • l'absence de certaines mentions obligatoires, comme les coordonnées du délégué à la protection des données ou les durées de conservation des données ;
  • la conservation de données personnelles de clients qui avaient demandé à ce que leurs données soient effacés ;

En ce qui concerne la sécurité des données, la CNIL reproche à Brico Privé :

  • la trop faible sécurité des comptes des clients, qui pouvaient être protégés par des mots de passe de seulement six chiffres4.
  • la trop faible sécurité de l'accès au logiciel interne de gestion de la relation client, qui était protégé par un mot de passe de seulement huit caractères.
  • le stockage, en clair, des mots de passe des employés permettant d'accéder aux bases de données de l'entreprise ;
  • l'utilisation de la fonction de hachage MD55 pour conserver les mots de passe des clients6 ;
  • l'utilisation par les salariés d'un compte commun pour accéder à des copies de la base de données7.

Par ailleurs, la Commission reproche aussi à Brico Privé :

  • l'utilisation de plus d'une trentaine de cookies à des fins publicitaires et marketing sur leur site Internet, sans le consentement de ses visiteurs8 ;
  • l'envoi d'e-mails publicitaires aux clients, sans leur consentement9.

Les internautes français ne sont pas les seuls à avoir été lésés, car Brico Privé exerce aussi en Espagne, en Italie et au Portugal. Les autorités de contrôle de ces pays ont d'ailleurs collaboré avec la CNIL et ont exprimé leur soutien.

Une sanction de 500 000 euros a été prononcée à l'encontre de la société.

Lire la délibération sur le site Légifrance

Notes et références

  1. CNIL : Commission Nationale de l'Informatique et des Libertés.
  2. RGPD : Règlement Général de Protection des Données.
  3. Le RGPD impose que les données à caractère personnel doivent être conservées pendant une limite prédéfinie, la plus courte possible, en fonction de la finalité de traitement. Voir « Combien de temps peut-on conserver des données à caractère personnel ? »
  4. Pour des raisons de sécurité, les mots de passe doivent contenir un certain nombre de caractères, et certains caractères spéciaux. Voir « Quelles restrictions imposer aux mots de passe de ses utilisateurs ? ».
  5. La fonction de hachage MD5 ne doit pas être utilisée car des vulnérabilités majeures ont été découvertes. Voir « Peut-on utiliser la fonction de hachage MD5 pour calculer l'empreinte des mots de passe de ses utilisateurs ? ».
  6. Pour des raisons de sécurité, les mots de passe ne doivent pas être stockés en clair, mais doivent être chiffrés en utilisant une fonction de hachage et d'autres mécanismes. Voir « Ne stockez pas les mots de passe de vos utilisateurs en clair », « Comment stocker les mots de passe pour éviter que les hackers ne les volent » et « Quels sont les risques à stocker les mots de passe de ses utilisateurs en clair ? ».
  7. Pour des raisons de sécurité, il est déconseillé d'accéder à des applications sensibles à partir d'un compte partagé. Voir « Quels sont les risques à partager l'accès d'un compte ? ».
  8. L'utilisation de cookies est fortement encadrée par le RPGD, qui demande notamment à ce que les utilisateurs soient informés et donnent leur autorisation. Voir « La loi évolue pour vous permettre de refuser les cookies et de ne plus être traqué » et « Doit-on demander l'autorisation des utilisateurs avant d'utiliser des cookies ? ».
  9. Le RGPD conditionne l'envoi d'e-mails promotionnels au consentement de la personne. Voir « Doit-on demander le consentement des personnes avant de leur envoyer des e-mails promotionnels ? ».