La chasse à la non conformité au RGPD a commencé. Après plusieurs mois d’application de ce nouveau Règlement, la CNIL a déjà repéré quelques failles pour certains.
Après Facebook, accusé d’avoir donné accès aux profils de ses utilisateurs à différents fabricants de smartphone (Apple, Samsung..). Ou encore Google de ne pas obtenir un consentement « libre » de ses utilisateurs. (Ce qui représente une violation au Règlement Européen.) les sanctions sur le territoire français commencent à arriver.
L’AFFAIRE OPTICAL CENTER
En Juin dernier, le Groupe Optical Center a été condamné à une amende de 250 000 euros pour atteinte à la protection des données de ses clients.
Après avoir été avertie, la CNIL a constaté qu’il était possible pour un internaute d’accéder aux factures appartenants à différents clients. Simplement en renseignant plusieurs URL dans son navigateur. D’après la Commission nationale de l’informatique et des libertés, le groupe :
« n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures ».
La société a réalisé les démarches nécessaires auprès de son prestataire pour résoudre ce problème.
Cependant, en vue de la sensibilité des données et au nombre de clients impactés (près de 334 000 clients en base de données) la CNIL a décidé de rendre publique sa décision.
LES STARTUP SONT AUSSI CONCERNÉES
Plus récemment, deux startup françaises ont été mises en demeure par la CNIL. Le motif : absence de consentement au traitement des données de géolocalisation à des fins de ciblage publicitaire.
Les sociétés on eu recours à un outil technique que l’on appelle le « SDK ». (Software Development Kit)
Le SDK permet aux développeurs d’accélérer le processus de développement mais également de récupérer la liste des applications installées sur mobile ainsi que les données des utilisateurs.”
Les deux startup spécialisées dans le marketing mobile, connectent l’analyse des comportements des consommateurs en magasin à l’aide de publicité sur smartphone. Pour se faire, rien de bien compliqué. Elles installent un SDK au sein d’application partenaire afin de récupérer les informations nécessaires au ciblage.
Les entreprises affirment que les traitements de ces données ont fait l’objet d’un consentement de la part des personnes concernées. Or, après vérification, la CNIL estime que cette collecte n’a pas été faite comme la loi l’exige en vue des points suivants :
- Les utilisateurs ne sont pas informés qu’un SDK est intégré aux applications partenaires. Ce qui implique la collecte des données de géolocalisation.
- Les utilisateurs ne sont pas informé de la finalité de ce ciblage publicitaire ni de l’identité du responsable du traitement. Ce qui enfreint l’article 7 du RGPD
- Il n’est pas possible pour les utilisateurs de télécharger l’application mobile sans le SDK.
Et pour la sanction ? La CNIL annonce qu’aucune suite ne sera données. A condition que les deux starup françaises se mettent en conformité dans un délais de trois. Auquel cas, une sanction sera délibérée.
L’un des CEO a tout de même annoncé que la société « a terminé le nouveau pop-up de récolte du consentement demandé par la CNIL et l’a prescrit à 100% de ses éditeurs partenaires » lors d’un communiqué.
CE NE SONT PAS LES SEULS…
D’autres s’en sortent moins bien… Dailymotion par exemple. La plateforme d’hébergement vidéo a été condamné à une amande de 50 000 euros, pour atteinte à la sécurité des données de leurs utilisateurs.
Ou encore, l’OPH de Rennes (Office Public de l’Habitat) qui a été, condamnée à 30.000 euros pour avoir utilisé le fichier de ses locataires à d’autres fins que celle de gestion de l’habitat social.
L’association ADEF (Association pour le développement des foyers) doit, elle aussi, verser 75.000 euros. Et ça pour ne pas avoir assez protégé les données des utilisateurs du site.
Toutes ces sanctions ont évidemment rendues publiques sur le site de la CNIL. Et ce n’est que le début !