E-commerce : il ne faudrait pas prendre les clients pour des canards sauvages ! (fr)
France > Droit privé > Droit de la consommation > E-commerce
Auteurs : Emmanuel Daoud et Géraldine Péronne, avocats
Publié le 3/11/2016 sur le Oh my Code!
Mots clefs : E-commerce, obligations légales, sites web, droits des consommateurs, protection des données, CNIL
Ce n’est pas la première fois que la Cnil sanctionne un site de commerce en ligne, mais la décision prise à l’encontre de la société CDiscount et la publicité qui en a été faite sont empreintes d’une particulière sévérité, à la hauteur des manquements constatés.
Par une décision du 20 septembre 2016, la Cnil a ainsi prononcé un avertissement public à l’encontre de la société CDiscount, puis, par une décision du 26 septembre 2016, a mis en demeure la société de corriger de nombreux manquements à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « loi informatique et libertés ».
Ces défauts de conformité ont été constatés lors de contrôles en ligne et sur place réalisés par les agents de la Cnil, à la suite d’au moins neuf plaintes de consommateurs.
Nous avons lu et analysé la décision PDF de mise en demeure (1) ainsi que la délibération PDF prononçant l’avertissement public (2).
Voici quelques leçons qui nous semblent pouvoir être tirées de ces décisions :
1/ Non, il n’est pas possible de qualifier le client de « super chiant » dans une zone de commentaire libre
La Cnil a constaté l’existence de nombreux commentaires non pertinents dans la table client de de la base de production de la société CDiscount, tels que : « Clt super chiant », « client raciste », « le client m’indique que sa femme souffre d’une sclérose en plaques », etc.
Naturellement, de telles observations sont contraires au principe selon lequel les données collectées doivent être adéquates, pertinentes et non excessives (article 6, 3° de la loi informatique et libertés).
On ne le répétera jamais assez, il faut prêter une attention toute particulière aux zones de commentaires libres. Celles-ci ne doivent pas constituer un exutoire pour des salariés excédés par les comportements des clients ou peu respectueux des confidences qu’ils reçoivent de ces derniers.
Une sensibilisation régulière des salariés sur le contenu des zones de commentaires libres est essentielle.
2/ Non, les données bancaires ne peuvent être conservées sans l’accord du client
La Cnil a constaté que la société conservait par défaut les coordonnées bancaires de ses clients afin de leur éviter de les ressaisir lors d’un achat ultérieur dans le cadre d’une fonctionnalité intitulée « paiement flash ».
La loi informatique et libertés dispense le responsable de traitement de recueillir le consentement de la personne concernée si le traitement s’inscrit dans le cadre de l’exécution d’un contrat. En l’occurrence, la Cnil a considéré que la réalisation d’une transaction commerciale en ligne constituait un service commercial indépendant de l’acte initial de vente ayant conduit à la collecte des données dans le cadre du paiement.
Le consommateur doit donc consentir expressément à la conservation de ses données bancaires en vue d’un éventuel paiement ultérieur.
La distinction entre l’acte de paiement initial et la conservation des données bancaires en vue d’un paiement ultérieur est assez fine et il y a fort à parier que de nombreux commerçants en ligne ne sont pas en conformité sur ce point.
3/ Non, les données à caractère personnel ne se conservent pas indéfiniment
La Cnil a constaté que certains cookies déposés via le site internet de la société CDiscount avaient une durée de vie de trente ans. Cette durée est manifestement excessive. Il convient de rappeler ici qu’en vertu de l’article 6, 5° de la loi informatique et libertés, le responsable de traitement doit définir et respecter une durée de conservation des données proportionnée à la finalité du traitement.
En outre, la Cnil a constaté que plus de 3 000 numéros de cartes bancaires associées à des cryptogrammes dont 2 104 numéros encore valides figuraient en clair dans la base de données de la société. Dans son avertissement public, outre le problème évident de sécurité de ces données, la Commission a considéré que les cryptogrammes étaient conservés pendant une durée excessive, et rappelé que leur conservation était interdite au-delà du temps strictement nécessaire à la réalisation de la transaction bancaire, y compris en cas de paiements successifs ou de conservation du numéro de la carte pour des achats ultérieurs.
La Cnil a encore reproché à la société CDiscount d’avoir conservé les documents d’identité numérisés (passeport et titre de séjour) de personnes ayant formé une demande de suppression de leur données à caractère personnel.
Il s’agit donc bien de prévoir dans la procédure en interne, la suppression des données à caractère personnel collectées au moment de la demande de suppression des données. A priori, cette règle s’applique aussi aux demandes visant à corriger des données ou à s’opposer à leur collecte.
4/ Non aux mots de passe trop simples
La Cnil a constaté que les mots de passe permettant aux utilisateurs de se connecter au site de la société CDiscount étaient composés de cinq caractères minimum.
La Cnil a soulevé l’existence d’un manquement à l’obligation d’assurer la sécurité et la confidentialité des données (article 34 de la loi informatique et libertés).
La Commission recommande en effet un mot de passe comportant au moins huit caractères composé d’au moins trois types de caractères différents (chiffres, lettres minuscules et majuscules ou caractère spéciaux).
5/ Non, l’argument de la bonne foi de la société n’est pas recevable
La société CDiscount a fait valoir différents arguments au soutien de sa défense devant la Cnil, arguments qui s’apparentent à une démonstration de sa bonne foi.
Il est intéressant de constater que la société CDiscount s’est dotée d’un correspondant informatique et libertés (CIL) et ce, depuis 2009. Est-ce que le CIL a été suffisamment diligent ? Est-ce que le responsable de traitement a donné les moyens au CIL d’exercer sa mission et s’est montré attentif aux recommandations faites par ce dernier ? Quoi qu’il en soit, la présence d’un CIL au sein d’une société, bien qu’essentielle, ne constitue pas une garantie de conformité à la loi informatique et libertés. Le responsable de traitement doit donc également s’assurer du bon déroulement de la mission du CIL.
La société CDiscount a notamment invoqué, s’agissant des données bancaires conservées par la société, « une dérive opérationnelle plutôt qu’une faille de sécurité ». C’est l’occasion de rappeler que la sécurité des données n’est pas seulement une question de technique et de solidité des systèmes informatiques, mais elle suppose également une sensibilisation du personnel et des prestataires aux obligations de sécurité.
La société CDiscount a aussi mis en avant l’existence de projets en cours qui devraient remédier à plusieurs points de non-conformité identifiés par la Cnil :
– un projet de définition d’une durée d’archivage et de purge de la base de données prévu pour 2016,
– un projet programmé pour le premier semestre 2016, visant à porter la complexité des mots de passe à huit caractères alphanumériques minimum dont au moins un caractère spécial.
En dépit de ces projets, qui démontrent pourtant de la part de la société, une identification des risques et un souci d’y remédier, la Cnil a considéré que les manquements étaient constitués.
Il ne faut donc pas attendre pour mettre en œuvre une politique de mise en conformité à partir du moment où elle a été définie. La Cnil se montre peu sensible aux projets de mise en conformité non encore exécutés.
6/ Oui, la publicité faite par la Cnil est une très mauvaise publicité
Les décisions de la Cnil prises à l’encontre de la société CDiscount ont été largement relayées par la presse généraliste. Naturellement, elles sont de nature à entamer la confiance des consommateurs de la société et de constituer un frein pour d’éventuels nouveaux clients.
En un mot, une telle publicité est désastreuse pour la réputation d’une société.
Afin d’éviter ce type de mésaventure, la prévention est la clé et réside essentiellement dans une politique de conformité adéquate en matière de données à caractère personnel (audit de conformité, sensibilisation du personnel, etc.) et dans sa mise en œuvre concrète.
Fort heureusement, les sociétés de e-commerce sont de plus en plus sensibilisées aux enjeux de protection des données à caractère personnel et se conforment aux dispositions légales et réglementaires applicables. Pour autant, les consommateurs doivent également rester vigilants et la décision commentée en est la preuve, une plainte déposée auprès de la Cnil, gardienne des données personnelles, peut avoir des conséquences très négatives pour la société visée.
La société CDiscount dispose de deux mois à compter de la décision de la Cnil pour interjeter appel devant le Conseil d’Etat.
Par Emmanuel Daoud et Géraldine Péronne, avocats
(1) Décision n°2016-083 du 26 septembre 2016 mettant en demeure la société CDiscount PDF.