Par deux décisions du 26 novembre 2020, la CNIL a condamné les sociétés CARREFOUR FRANCE et CARREFOUR BANQUE pour divers manquements dans la gestion des données personnelles ayant trait plus spécifiquement aux informations préalables et postérieures à fournir aux personnes concernées.
Dans cet article, nous allons plus particulièrement étudier le contrôle exercé par la CNIL sur l’information préalable des personnes concernées, et l’effectivité de l’exercice de leurs droits.
La Société CARREFOUR FRANCE a été contrôlée pour la gestion de son site internet www.carrefour.fr. Destinataire de plusieurs plaintes de consommateur qui ne pouvaient pas exercer leurs droits d’opposition, de refus, de désinscription, la CNIL a diligenté plusieurs contrôles, en ligne et sur place.
Sur les modalités du contrôle
Ces contrôles ont conduit la CNIL a procédé à un audit complet des flux de données afin de déterminer le ou les véritables responsables de traitement, les sous-traitants et les destinataires.
Elle a ainsi révélé les différentes strates organisationnelles internes. Les données personnelles des clients peuvent être collectées soit sur le site internet www.carrefour.fr, soit par des sociétés tierces, soit par prospectus à l’occasion de l’adhésion au programme de fidélité.
Puis la CNIL a constaté que ces données étaient traitées par divers services marketing.
Elle a ensuite recherché si l’ensemble de ces informations étaient fournies à l’internaute. Le contrôle a porté sur : l’accessibilité des documents, leur lisibilité, et leur compréhension par un internaute.
A cet effet, elle a réuni, ou tenter de réunir, l’ensemble des documents précontractuels fournis aux internautes.
Enfin, la CNIL a vérifié si la procédure interne de la société permettait l’exercice effectif des droits de la personne concernée. Elle a recherché si les données étaient correctement effacées lorsque cela était demandé. De même, elle a vérifié si la durée de conservation des données était proportionnelle aux finalités recherchées. Puis elle a procédé au contrôle de l’effacement effectif des données.
Ainsi, la CNIL ne se contente pas de prendre connaissance du registre des traitements. Elle procède à un audit très strict de la réalité de la situation. Elle a le pouvoir de requalifier les relations entre les « primo-collecteur », « les donneurs d’ordre » et les « destinataires finaux » des données. Cette requalification se fait aux détriments de la société contrôlée. De sorte que celle-ci ne peut plus s’exonérer de sa responsabilité.
Sur le manquement relatif à l’accessibilité de l’information
La CNIL a analysé l’ensemble des informations juridiques fournies aux internautes sous plusieurs angles.
- Absence de Charte de Données Personnelles autonome. Au cas d’espèce, les informations relatives aux données personnelles étaient fournies dans les Conditions Générales d’Utilisation. Les CGU n’étaient pas facilement accessibles sur le site, le site comportant une multiplicité de pages. La CNIL retient que cela revient à cacher l’information.
De plus, les CGU comportaient plusieurs dizaines de pages, et les informations n’étaient pas hiérarchisées.
La CNIL retient que l’internaute ne pouvaient donc pas être correctement informé de ses droits pour les exercer.
Il convient donc de retenir que la fourniture d’une information à l’internaute est une question de forme. La CNIL rappelle avec force :
« La formation restreinte considère que celles-ci [les informations] devraient être regroupées dans un document unique distinct des conditions générales d’utilisation. »
« Elle partage ici la position développée par le G29 dans les lignes directrices sur la transparence (…) qui estime que la personne concernée ne doit pas avoir à chercher activement les informations couvertes par ces articles parmi d’autres informations telles que les conditions d’utilisation d’un site internet. »
- Non accessibilité par renvoi d’un document papier à un site internet. La CNIL sanctionne le fait que les prospectus d’adhésion au programme de fidélité faisaient un simple renvoi au site internet www.carrefour.fr. L’absence de précision de l’URL concerné, ajouté aux éléments ci-dessus décrit, avait pour effet, selon la CNIL, de priver l’internaute d’une information aisément accessible.
- L’accessibilité par fourniture d’une information rédigée en termes clairs et simples. La CNIL sanctionne également le contenu rédactionnel des clauses relatives à l’information sur les données personnelles. Elle considère que « Les formulations utilisées, souvent inutilement compliquées, rendaient la lecture des mentions d’information particulièrement fastidieuse, même pour une personne éclairée. »
- La CNIL critique également une fourniture d’informations en très grand nombre « ces dernières n’étaient ni hiérarchisées, ni ordonnées. L’information prenait la forme d’une longue énumération portant sur les différents points du Règlement. »
- Elle considère qu’une telle présentation ne permet pas aux personnes concernées de trouver facilement l’information qu’elle cherche, la contraignant à lire l’ensemble des mentions d’information. Elle estime donc que la présentation utilisée ne respectait pas l’exigence d’accessibilité posée par l’article 12 du Règlement, éclairée par les lignes directrices sur la transparence déjà citées.
La CNIL donne des indications concernant le niveau de lecture des internautes, et donc la manière de rédiger les informations.
à Les documents informationnels doivent adopter un style permettant d’être compris par le plus grand nombre lorsqu’ils sont à destination des internautes pouvant avoir des profils très divers.
à Les mentions d’information doivent opter pour un vocabulaire simple, des phrases courtes et employer un style direct. Elles doivent éviter les termes juridiques ou techniques, les termes abstraits ou ambigus et les formules telles que nous pourrions utiliser vos données, une possible utilisation de vos données, quelques données vous concernant sont utilisées, etc…
Sur le manquement relatif au contenu de l’information fournie
- Informations incomplètes : la CNIL fait la liste des informations qu’elle considère comme essentielle à la mise à disposition de l’internaute. Ainsi, le nom du responsable de traitement doit apparaitre sur le site internet, la base légale du traitement doit être argumentée, les pays de transfert, et la durée de conservation, sont des informations essentielles.
Ces informations doivent être détaillées, et non pas énumérées, pour pouvoir être qualifiée de « complètes ».
- Informations erronées. La CNIL relève que le nom du responsable de traitement n’était pas aisément identifiable, et qu’en outre, il était erroné. Elle procède à une requalification de la situation, et déclare la société CARREFOUR FRANCE seule société responsable de traitement. Toutes mentions écrites qui seraient contraires à cette interprétation est considérée comme erronée par la CNIL.
Le contrôle de la CNIL a également porté sur de nombreux autres points qui concernent l’effectivité de l’exercice des droits des personnes concernées. La Société CARREFOUR FRANCE a démontré qu’elle se mettait en conformité sur l’ensemble des points visés. La CNIL a bien retenu cette mise en conformité dans l’appréciation de la sanction. Pourtant, elle a été condamnée à une amende de 2.250.000 euros.
Il convient donc d’être très rigoureux dans la rédaction et l’implantation des chartes de données personnelles. Si vous êtes détenteur d’un site internet e-commerce, le Cabinet est à votre disposition pour l’auditer et rédiger les documents légaux conformes.