Transmission de données à un réseau social à des fins publicitaires : la CNIL prononce une sanction de 3,5 millions d’euros

Le contexte

En janvier 2023, la CNIL a mené plusieurs contrôles auprès de la société concernée. Elle a notamment constaté que, depuis février 2018, l'entreprise transmettait les adresses électroniques et/ou les numéros de téléphone des membres de son programme de fidélité à un réseau social. Ces données étaient utilisées afin d'afficher, sur ce réseau, des publicités ciblées visant à promouvoir les articles vendus par la société.

À l'issue de ces contrôles, la formation restreinte- organe de la CNIL chargé de prononcer des sanctions - a considéré que la société avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD) et la loi Informatique et Libertés. Elle a prononcé à son encontre une amende de 3,5 millions d'euros. Cette décision a été adoptée en coopération avec 16 homologues européens de la CNIL, des données de personnes résidant dans ces pays étant concernées.

Le montant de la sanctiontient compte de la gravité des manquements constatés, dont deux portent sur des principes fondamentaux de la protection des données, ainsi que du nombre élevé de personnes concernées (plus de 10,5 millions).

La formation restreinte a également décidé de publier sa délibération. Elle a estimé que le recours à la publicité cibléesur les réseaux sociaux étant une pratique répandue parmi les acteurs économiques, il était important d'informer le public des règles applicables en la matière, sans qu'il soit, en l'espèce, utile de nommer la société concernée.

Les manquements sanctionnés

Un manquement à l'obligation de disposer d'une base légale(article 6 du RGPD)

La CNIL a considéré que les opérations de ciblage publicitaire menées sur le réseau social, reposant sur la transmission de données personnelles des membres du programme de fidélité, étaient dépourvues de base légale.

Pour justifier ce traitement, la société invoquait le consentement des personnes concernées, recueilli lors de leur adhésion au programme de fidélité de la société, lorsqu'elles acceptaient de recevoir de la prospection par SMS et/ou courrier électronique.

Or, la CNIL a considéré que le consentement de ces personnes n'était pas valablement recueilli dans la mesure où :

• aucune information n'était fournie sur le formulaire d'adhésion au programme de fidélité sur la transmission de données à des fins de publicité ciblée sur un réseau social ;
• l'information fournie dans les documents accessibles depuis le site web de la société (notamment la politique des données personnelles), soit ne mentionnait pas la transmission des données au réseau social, soit ne permettait pas de comprendre clairement la finalité de cette transmission des données. Cette information était insuffisante pour recueillir un consentement éclairé des personnes, ce d'autant que le parcours d'accès à ces différents documents était complexe.

Ces conditions ne permettaient donc pas aux personnes de donner un consentement explicite et éclairé, comme aurait pu le permettre, par exemple, une case à cocher mentionnant clairement la finalité de ce traitement.

Un manquement à l'obligation d'information des personnes concernées (articles 12 et 13 du RGPD)

La CNIL a relevé que l'information fournie sur le site web de la société était imprécise, en particulier parce qu'elle ne liait pas clairement les finalités des traitements aux bases légales correspondantes. L'information était également incomplète sur certains points (absence de mention relative à la finalité du traitement de publicité ciblée et à la durée de conservation des données des adhérents au programme de fidélité) et/ou erronée (l'information relative au transfert des données renvoyant au bouclier de protection des données « Privacy Shield », qui n'est plus en vigueur).

Un manquement à l'obligation d'assurer la sécurité des données (article 32 du RGPD)

La CNIL a constaté que les règles de complexité des mots de passe des comptes utilisateurs n'étaient pas suffisamment robustes.

En outre, la formation restreinte a rappelé que la fonction de hachageSHA-256 ne permettait pas un stockage sécurisé des mots de passe.

Un manquement à l'obligation de réaliser une analyse d'impact (article 35 du RGPD)

La société n'avait pas réalisé d'analyse d'impact sur la protection des données (AIPD) avant la mise en œuvre du traitement de publicité ciblée sur le réseau social, alors même que ce traitement impliquait :

• un volume important de données personnelles ;
• un croisement de données ;

Un tel traitement était susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées et aurait donc dû donner lieu à la réalisation préalable d'une AIPD.

Un manquement aux obligations liées à l'utilisation des cookies et traceurs (article 82 de la loi Informatique et Libertés)

Enfin, la CNIL a constaté que, lorsqu'un utilisateur se rendait sur le site web de la société, onze cookies soumis à consentement étaient déposés sur son terminal, avant même qu'il n'ait exprimé un choix.

De plus, même lorsque l'utilisateur refusait le dépôt et la lecture des cookies non essentiels, les onze cookies déposés n'étaient pas supprimés du navigateur et continuaient à être lus, en violation des règles applicables.