Conservation, effacement, information... Brico Privé est condamné par la Cnil pour violation du RGPD
Brico Privé est épinglé par la Cnil pour plusieurs manquements au RGPD. Il écope d'une amende de 500 000 euros pour avoir illégalement conservé des données clients, refusé d'effacer des informations personnelles ou encore insuffisamment informer les internautes. La plupart de ces violations ont été rectifiées depuis l'ouverture de la procédure.
La Commission nationale de l'informatique et des libertés (Cnil) a rendu une décision ce jeudi 17 juin dans laquelle elle condamne Brico Privé à une amende de 500 000 euros pour la violation de plusieurs dispositions du Règlement général sur la protection des données (RGPD). Le contrevenant a désormais trois mois pour se mettre en conformité à compter de la notification de la délibération sous astreinte de 5 000 euros par jour.
Cette décision a fait l'objet d'une concertation avec les autorités de protection des données car cette société exerce son activité en France ainsi que dans trois autres pays européens : Espagne, Italie et Portugal.
Le site viole le RGPD
La Cnil a effectué trois contrôles entre 2018 et 2021 auprès de la société qui édite le site de ventes privés bricoprive.com dédié au bricolage, au jardinage et à l’aménagement de la maison. Lors de ses contrôles, l'autorité français a constaté plusieurs manquements concernant le traitement de données personnelles des prospects et des clients.
Dans le détail, l'entreprise ne respectait pas les durées de conservation qu'elle avait fixées. Les données de plus de 16 000 clients n’ayant pas passé commande depuis cinq ans étaient ainsi conservées. Il en était de même pour plus de 130 000 personnes ne s’étant pas connectées à leur compte client depuis cinq ans. Des mesures ont été prises par la société au cours de la procédure mais ne permettaient pas d’atteindre pleinement une mise en conformité, précise la Cnil dans sa décision.
Les demandes d'effacement non traitées
De plus, la société ne donnait pas pleinement suite aux demandes d'effacement des données personnelles. En effet, elle ne procédait pas à la suppression de ces informations mais simplement à la désactivation du compte de l'intéressé. Elle a toutefois pris des mesures au cours de la procédure, rapporte la Commission. Le droit d'information des clients n'était pas non plus respecté car le site ne comportait pas l’ensemble des éléments exigés par le RGPD, que ce soit dans les conditions générales de vente, les mentions légales ou la politique de conservation des données personnelles. Sur ce point encore, Brico Privé a procédé aux modifications nécessaires.
Concernant la sécurité informatique, le gendarme français note que la société n’imposait pas l’utilisation d’un mot de passe robuste lors de la création d’un compte sur son site web ou lors de l’accès des salariés au logiciel de gestion de la relation client. Là encore, des mesures de rectifications ont été prises pour y remédier.
Des messages de prospection non consentis
Deux manquements ne concernent pas le RGPD mais le code des postes et des communications électroniques et la loi informatique et libertés. Le premier concerne l'envoi de messages électroniques de prospection sans avoir recueilli le consentement préalable des personnes ayant créé un compte sur le site mais n’ayant pas procédé à un achat.
Le second porte sur le fait que plusieurs cookies étaient automatiquement déposés sur le terminal de l'internaute avant toute action de sa part. Plusieurs de ces cookies étant utilisés à des fins publicitaires, le consentement de l’utilisateur aurait pourtant dû être recueilli avant leur dépôt. Cependant, plus aucun cookie publicitaire n’est désormais déposé avant que l’utilisateur n’ait donné son accord.
Sélectionné pour vous
SUR LE MÊME SUJET
Conservation, effacement, information... Brico Privé est condamné par la Cnil pour violation du RGPD
Tous les champs sont obligatoires
0Commentaire
Réagir