La CNIL a sanctionné de 3,5 millions d'euros une entreprise reconnue coupable de transmission illégale de données de fidélité à un réseau social, sans consentement. Plus de 10,5 millions de personnes sont potentiellement concernées.
La Commission nationale de l'informatique et des libertés (CNIL) a annoncé, jeudi, avoir infligé une lourde amende à une entreprise française, dont le nom n'a pas filtré. Cette dernière a été sanctionnée pour avoir alimenté, pendant des années, les algorithmes publicitaires d'un réseau social avec les coordonnées de millions de personnes, le tout sans leur accord explicite. Une pratique plus répandue qu'on ne le croit, mais qui a poussé la Commission à taper du poing sur la table.
Sept ans de transmission automatique de données vers un réseau social
Dans sa décision, la CNIL explique que depuis février 2018, l'entreprise faisait en sorte de transférer automatiquement les données de chaque nouvel adhérent à son programme de fidélité vers un réseau social. Elle transmettait notamment des adresses électroniques et des numéros de téléphone. Tout cela se faisait dans le but de créer des audiences pour ensuite matraquer ces personnes de publicités ciblées. Plus de 10,5 millions de personnes sont concernées, toutes étant essentiellement françaises.
Le stratagème était simple, mais trompeur. L'entreprise se retranchait derrière le consentement donné pour recevoir des SMS ou e-mails promotionnels. Sauf que nulle part sur le formulaire d'adhésion, il n'était question de transmission à un réseau social. L'information existait quelque part dans les méandres du site web, mais tellement diluée qu'elle en devenait invisible. La CNIL estime qu'il est impossible de parler de consentement éclairé dans ces conditions.
Les contrôles effectués dès janvier 2023 ont révélé l'ampleur du système. Les enquêteurs ont découvert que l'information fournie était non seulement incomplète et imprécise, mais carrément erronée sur certains points. Le parcours pour accéder aux documents pertinents relevait du labyrinthe administratif. Une case à cocher claire mentionnant la finalité du traitement aurait suffi. Mais ça, c'était visiblement trop demander.
Une cascade de manquements au-delà du consentement
Le problème de consentement n'était que la pointe de l'iceberg. Car côté sécurité, c'était aussi la foire. Les mots de passe manquaient de robustesse, et la CNIL a dû rappeler que la fonction de hachage SHA-256 ne permet pas un stockage sécurisé des identifiants. Quant à la politique de confidentialité, elle faisait référence au Privacy Shield, ce bouclier de protection UE-États-Unis, qui n'est pourtant plus en vigueur.
Autre oubli de taille, l'analyse d'impact relative à la protection des données (AIPD). Avant de lancer un traitement aussi sensible (volume colossal de données, croisements multiples, risques élevés pour les personnes), une AIPD s'imposait, précise la CNIL. Il n'y a pas de trace d'une telle démarche. L'entreprise a foncé tête baissée dans son système de ciblage publicitaire sans évaluer les risques. Autant dire que le gendarme des données n'a pas apprécié.
Enfin, il y a la question des cookies. Onze traceurs se déposaient automatiquement avant que l'utilisateur n'exprime le moindre choix. Pire encore, même après un refus explicite, ces cookies n'étaient ni supprimés ni désactivés. Ils continuaient tranquillement à pister les visiteurs. La CNIL a choisi de publier cette décision sans nommer l'entreprise. Mais le message adressé au secteur est on ne peut plus clair : ces pratiques ne passent plus.
