BrandAlley épinglé par la CNIL : des données personnelles et des cookies

LégislationRégulations
cnil-brandalley

Après plusieurs avertissements, la CNIL inflige 30 000 euros d’amende à BrandAlley pour des manquements à la loi « Informatique et Libertés ».

Des « faits d’une particulière gravité au regard du volume de personnes concernées ». Ainsi la CNIL décrit-elle les manquements de BrandAlley vis-à-vis de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Dans ce contexte, la commission a infligé au spécialiste de la vente en ligne de produits neufs ou d’occasion dans le domaine du prêt-à-porter, de la beauté et de la maison une sanction pécuniaire de 30 000 euros (délibération de la formation restreinte no 201-204 du 7 juillet 2016).

Aux origines du dossier, une décision du 22 décembre 2014 par laquelle la CNIL prenait l’initiative de vérifier les traitements mis en œuvre par BrandAlley, en particulier ceux relatifs à la gestion des clients et des prospects.

Les contrôles menés le 13 janvier 2015 au sein des locaux de la société – qui compte 69 salariés pour un chiffre d’affaires avoisinant les 60 millions d’euros sur l’exercice 2014-2015 – ont permis de déceler de nombreux manquements à la loi « informatique et libertés ». Alors même que BrandAlley avait pris des engagements, notamment en matière de conformité à la norme simplifiée de la CNIL no 48 relative à la gestion des clients et des prospects (déclaration du 4 août 2010).

Dernier délai

Le 3 juillet 2015, la commission ouvrait une procédure de mise en demeure, laissant trois mois à BrandAlley pour adopter des mesures correctives. Et faire, par la même occasion, droit à la demande adressée le 21 mars par une plaignante qui dénonçait les difficultés rencontrées pour accéder à ses données à caractère personnel auprès de la société.

BrandAlley avait sollicité – et obtenu, le 16 octobre 2015 – un délai de trois mois supplémentaires. Par des courriers des 11 et 19 janvier 2016, l’entreprise avait finalement indiqué s’être mis en conformité avec l’ensemble des injonctions. Ce n’est pas ce que la CNIL a constaté lors de son contrôle conduit le 18 février.

Mais de quelles injonctions parle-t-on au juste ? En premier lieu, il est reproché à BrandAlley de ne pas avoir demandé à la CNIL l’autorisation pour mettre en œuvre un traitement ayant pour finalité la prévention de la fraude à la carte bancaire « et ainsi susceptible d’exclure des personnes » (chapitre IV de la loi 78-17, plus particulièrement l’article 25-I-4o).

Pour sa défense, BrandAlley a assuré avoir fait une demande d’autorisation le 1er avril 2016, ajoutant ne pas avoir pu respecter le délai imparti pour cause de « difficultés organisationnelles ».

La CNIL a surtout retenu le fait que la mise en conformité est intervenue trop tardivement, malgré plusieurs rappels. Elle a appliqué la même logique sur les problématiques de conservation des données.

Une histoire de cookies

En respect de son engagement du 4 août 2010 et de l’article 6-5o de la loi 78-17, BrandAlley avait été prié de définir une politique en la matière et de procéder aux purges y afférentes. Ce qui n’a pas été effectué à temps, selon la CNIL, en dépit des « difficultés » que la société dit avoir rencontrées avec la mise en place d’une nouvelle version de son site.

Autre infraction relevée : une mauvaise information des internautes sur les moyens de paramétrage des cookies « afin notamment d’accepter ou refuser leur dépôt et lecture sur leur ordinateur » (article 32-II relatif à l’information des abonnés ou utilisateurs de services de communications électroniques).

Sur ce point, la CNIL avait demandé à BrandAlley d’indiquer clairement aux visiteurs de son site Web, via un bandeau, qu’ils ont la possibilité de modifier les paramètres des cookies et que la poursuite de la navigation vaut consentement au dépôt des cookies.

Un contrôle en ligne réalisé le 1er mars 2016 a attesté de la présence d’un bandeau… qui n’informait pas correctement les utilisateurs.

La CNIL s’est par ailleurs aperçue que des cookies à finalité publicitaire étaient déposés dès l’arrivée sur la page d’accueil, sans recueil préalable de consentement. Elle n’a toutefois pas retenu ce dernier grief, s’estimant « insuffisamment éclairée » sur la répartition exacte des responsabilités entre l’éditeur du site, les annonceurs et les régies publicitaires concernés.

BrandAlley est également pointé du doigt pour ne pas avoir mis en œuvre de moyens suffisants pour assurer la sécurité et la confidentialité des données personnelles des internautes. En particuliers au niveau des pages de connexions aux comptes et de celles comportant des formulaires (pas de https).

À noter enfin ce manquement à l’obligation de respecter les règles relatives aux transferts de données à caractère personnel hors de l’Union européenne (articles 68 et 69 de la loi 78-17 modifiée). BrandAlley n’a pas, d’après la CNIL, pris les mesures nécessaires avec ses sous-traitants pour assurer « un niveau suffisant de protection de la vie privée » lors de l’envoi de données vers le Maroc et la Tunisie.

Crédit photo : BeeBright – Shutterstock.com

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur