Numérique et télécom
le 15/02/2024
Coralie ESTANOLCoralie ESTANOL

La CNIL sanctionne NS CARDS France pour divers manquements au RGPD et pour le non-respect des règles sur les cookies et traceurs

Le 29 décembre 2023, la Commission nationale informatique et libertés (ci-après CNIL) a infligé à la société NS CARDS FRANCE une amende de 105 000 euros[1]. Cette société, un distributeur de monnaie électronique pour les paiements en ligne, propose notamment l’utilisation de coupons Neosurf pouvant être adossée à la création d’un porte-monnaie électronique, laquelle nécessite de créer un compte utilisateur sur le site web www.neosurf.com ou l’application mobile Neosurf et de le créditer au moyen des coupons ou d’une carte bancaire. C’est cette solution de paiement qui est mise en cause dans le cadre de la délibération[2] rendue par la formation restreinte de la CNIL. Concernant les traitements transfrontaliers mis en œuvre par la société, la CNIL agissait en tant qu’autorité chef de file en application de l’article 56 du RGPD.À l’issue de deux contrôles de la conformité à la réglementation en matière de protection des données de la société NS CARDS France, réalisés les 24 septembre et 13 octobre 2021, la CNIL a constaté trois manquements aux Règlement général sur la protection des données[3] (ci-après RGPD) et un manquement à la Loi informatique et liberté[4].

En premier lieu, dans le cadre de cette délibération, il a été jugé que la société n’avait pas respecté les obligations qui lui incombaient en termes de durée de conservation de données personnelles. En vertu de l’article 5-1 e) du RGPD, le responsable de traitement est tenu, en l’absence d’une obligation légale, de conserver les données pour une durée nécessaire à la finalité du traitement. Au regard de l’article L. 213-1 du Code de la consommation, pour les contrats conclus par voie électronique et portant sur une somme égale ou supérieure à un montant fixé par décret, le contractant professionnel est tenu de conserver l’écrit constatant le contrat pour une durée déterminée par décret. L’article D. 213-1 du même Code précise que le montant mentionné à l’article L. 213-1 est fixé à 120 euros, tandis que l’article D. 213-2 établit que si la livraison du bien ou l’exécution de la prestation est immédiate, le délai est de dix ans à compter de la conclusion du contrat. Dans le cas contraire, le délai court à compter de la conclusion du contrat jusqu’à la date de livraison du bien ou de l’exécution et pour une durée de dix ans supplémentaires après cette date. Toutefois, à l’issu du délai de dix ans, qui commence à courir à la date de l’activation du compte utilisateur, les comptes utilisateurs étaient rendus inactifs et conservés en base de données pour une durée indéterminée.

Au-delà, aucune distinction n’avait été opérée entre les données visées par l’article D. 213-1 du Code de la consommation et les autres. En effet, une durée de conservation de cinq ans n’a été fixée pour ces dernières qu’à l’issue du contrôle sur place. La CNIL a donc jugé les durées de conservation des données de comptes non visées par l’article D. 213-1, initialement fixées à dix ans, comme excessives.

En second lieu, un traitement de données doit s’accompagner d’une information précise à destination des personnes concernées pour être loyal et licite. Or, en l’espèce le site web et la page de création d’un compte utilisateur renvoyaient à deux politiques de confidentialité datant de 2018 et 2021. Outre la confusion pour l’utilisateur pouvant résulter d’une telle coexistence de politiques de confidentialité, ces dernières omettaient de renseigner la durée de conservation des données et le droit d’introduire une réclamation auprès de la CNIL, informations pourtant obligatoires en vertu de l’article 13 du RGPD. La politique de confidentialité de l’application mobile a également été jugée incomplète.

Par ailleurs, ces politiques de confidentialités étaient exclusivement rédigées en anglais, malgré le fait que le public ciblé soit principalement francophone. Cette situation contrevient à l’article 12 du RGPD qui stipule que l’information doit être présentée de manière « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».

En troisième lieu, il incombe au responsable de traitement d’assurer la sécurité des données qu’il traite. En l’espèce, les règles de complexité des mots de passe des comptes utilisateurs étaient trop permissives, autorisant de fait des mots de passe insuffisamment robustes, et ils n’étaient pas accompagnés d’une mesure de restriction d’accès en cas d’échec d’authentification. Il a également été constaté que 49 214 mots de passe étaient stockés en clair dans la base de données de la société, associés à leurs adresses électroniques et identifiants respectifs. Ce mode de fonctionnement ne garantit pas une confidentialité adéquate des données traitées puisque toute personne ayant accès à la base de données des clients peut les consulter et les collecter. Enfin, s’agissant des mots de passe qui n’étaient pas conservés en clair, ils étaient stockés sous une forme hachée et salée via la fonction SHA-1, considérée comme obsolète. Ainsi, la formation restreinte de la CNIL a conclu que la société avait enfreint les obligations énoncées par l’article 32 du RGPD.

Enfin, aux termes de l’article 82 de la Loi informatique et libertés, qui transpose l’article 5 alinéa 3 de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 dite e-Privacy[5], seuls les cookies ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ou ceux strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, sont exemptés du recueil préalable du consentement de ce dernier. Or, la société recourait sur son site web aux cookies Google Analytics et au module reCaptcha Google, sans pour autant collecter au préalable le consentement des utilisateurs alors que la finalité de ces derniers ne permettait pas une telle exemption. Ainsi, en privant l’utilisateur de l’expression de son consentement, il a été jugé que la société avait commis un manquement à l’article susmentionné.

Malgré les mesures de mises en conformité adoptées ultérieurement aux contrôles réalisés, la formation restreinte de la CNIL a considéré que cela « ne saurait exonérer la société de sa responsabilité pour le passé ».

Par conséquent, en application de l’article 83 du RGPD, la formation restreinte de la CNIL a conclu qu’au regard des violations de principes fondamentaux de la réglementation en matière de données personnelles et du large nombre de personne concernées, il était justifié qu’une amende administrative soit prononcée à l’encontre de la société. Ainsi, une amende de 90 000 euros a été prise, en coopération avec 17 homologues européens de la CNIL dans le cadre du guichet unique[6], pour les manquements aux articles 5-1-e), 12, 13 et 32 du RGPD.

Puis, une seconde amende administrative, d’un montant de 15 000 euros, a été prononcée pour les manquements à l’article 82 de la loi Informatique et Libertés, pour laquelle la CNIL était seule compétente. Il a également été décidé que cette délibération soit rendue publique, sur le site de la CNIL et sur le site de Légifrance, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication[7].

 

[1] Commission nationale informatique et libertés, « Paiement électronique : la CNIL inflige une amende de 105 000 euros à NS CARDS France », 11 janvier 2024 [https://www.cnil.fr/fr/paiement-electronique-la-cnil-inflige-une-amende-de-105-000-euros-ns-cards-France]

[2] Délibération de la formation restreinte n°SAN-2023-023 du 29 décembre 2023 concernant la société NS CARDS FRANCE – Légifrance

[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[4] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[5] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (dite  » directive e-Privacy « ).

[6] Commission nationale informatique et libertés, « Paiement électronique : la CNIL inflige une amende de 105 000 euros à NS CARDS France », 11 janvier 2024 [https://www.cnil.fr/fr/paiement-electronique-la-cnil-inflige-une-amende-de-105-000-euros-ns-cards-France]