Votre navigateur ne reconnait pas le javascript. Veuillez le mettre à jour.Sanction de la CNIL pour X

			Sanction CNIL pour  X
			1

Sanction CNIL pour X

Décision 2015-048 du 24 juin 2015


Commission Nationale de l'Informatique et des LibertésDécision n°2015-048 du 24 juin 2015Décision n° 2015-048 du 24 juin 2015 mettant en demeure la société X Etat: VIGUEUR

La Présidente de la Commission nationale de l’informatique et des libertés ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code pénal ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 45 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2014-141C du 25 juin 2014 de la Présidente de la Commission nationale de l’informatique et des libertés de procéder à une mission de vérification relative à tout traitement mis en œuvre dans le cadre de la gestion et de l’exploitation du site internet […] et des applications correspondantes ;

Vu les procès-verbaux de contrôle sur place n° 2014-141C et n° 2014-141/2, respectivement des 2 juillet 2014 et 2 octobre 2014.

Constate les faits suivants

La société par actions simplifiée X (ci-après la société), sise […], a pour activité principale la mise en ligne et la gestion du site de rencontre […]. Elle emploie environ 20 personnes et a dégagé un chiffre d’affaires de (...) sur l’exercice 2013.

En application de la décision n° 2014-141C du 25 juin 2014 de la Présidente de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission), une délégation de la CNIL a procédé à une mission de contrôle sur place les 2 juillet et 2 octobre 2014 auprès de la société X. La délégation s’est attachée à examiner la conformité des traitements de données à caractère personnel mis en œuvre par la société, ou pour son compte, aux dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée, et en particulier ceux relatifs à la gestion et à l’exploitation du site internet […] et des applications correspondantes.

La société a effectué auprès de la CNIL une déclaration n° 1232346 le 27 avril 2007 relative au traitement dont la finalité est intitulée Fichier clients membres de la communauté gestion BD.

La délégation a été informée que le site web […] a été créé par la société X en 2007 et vise un public haut de gamme, hétérosexuel et homosexuel.

L’inscription sur le site est gratuite. Le profil utilisateur de la personne qui s’inscrit fait l’objet d’une modération manuelle par le site (...).

Après cette action de modération, certains membres dont les critères de recherche correspondent au profil du nouvel inscrit, sont invités à voter pour accepter ou non la demande d’admission à la communauté […] du nouvel inscrit ((...) de candidats refusés). Une fois accepté, le membre ne peut entrer en relation avec les autres utilisateurs qu’après avoir souscrit un abonnement. (...)

La délégation a constaté que le nombre de comptes actifs est de (...) et que le nombre de comptes ayant été refusés à la modération, refusés au vote ou supprimés est de (...).

Il a été ajouté que les actions de modération peuvent conduire à l’exclusion d’un utilisateur du site. Toutefois, les utilisateurs exclus peuvent procéder à une nouvelle inscription sur le site, le site ne mettant en œuvre aucune liste d’exclusion.

La délégation a constaté lors du contrôle que la société n’a ni défini ni mis en œuvre de durées de conservation des données des personnes qui ne sont plus inscrites, des personnes dont le compte est inactif ou des personnes ayant tenté, sans succès, de s’inscrire au site de rencontre. Le contrôle a permis de constater qu’aucune procédure de suppression des données n’a été définie ou mise en œuvre.

La délégation a constaté que le formulaire d’inscription nécessite le renseignement de données à caractère personnel dont certaines sont des données relatives à la sexualité des personnes.

En outre, il a été constaté le dépôt de nombreux cookies dès l’arrivée sur la page d’accueil du site web. Un bandeau d’information est apposé en haut de page et indique En naviguant sur […], vous acceptez nos cookies et ceux de nos partenaires, qui permettent d’améliorer votre expérience. Ainsi qu’un bouton En savoir plus.

(...)

Sur les manquements constatés au regard des dispositions de la loi du 6 janvier 1978 modifiée

Un manquement à l’obligation d’accomplir les formalités préalables à la mise en œuvre du traitement

La délégation a relevé que la sélection des nouveaux inscrits par les autres membres de la communauté est notamment basée sur un algorithme de vote.

(...)

Cette pondération vise à produire une décision finale d’acceptation ou de refus du candidat. Il apparaît que ce traitement automatisé est susceptible d’exclure des personnes du bénéfice d’un contrat ou d’une prestation. Ils relèvent donc du régime de l’autorisation en matière de formalités préalables auprès de la CNIL.

Or, la société n’a procédé à aucune demande d’autorisation concernant un tel traitement.

Ces faits constituent un manquement aux dispositions du 4° de l’article 25-I de la loi du 6 janvier 1978 modifiée qui dispose que, sont mis en œuvre après autorisation de la CNIL, Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire.

Il est rappelé qu’en application des articles 226-16 alinéa 1er et 226-24 du code pénal combinés, le fait pour une personne morale, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation de recueillir le consentement de la personne concernée pour le traitement de données sensibles

La délégation a constaté que l’internaute doit renseigner obligatoirement sur le formulaire d’inscription au site […] l’information relative à sa vie sexuelle.

L’article 8 de la loi du 6 janvier 1978 modifiée prévoit notamment qu’il est interdit de collecter ou de traiter des données à caractère personnel qui sont relatives à la vie sexuelle des personnes, sauf dans les cas prévus au II de cet article, notamment en cas de consentement exprès des personnes concernées.

Or, le consentement ne peut être exprès que s’il est donné en toute connaissance de cause c’est-à-dire après la délivrance d’une information adéquate sur l’usage qui sera fait des données personnelles.

En l’espèce, aucun moyen technique à l’endroit de la collecte n’est mis à la disposition de la personne auprès de laquelle les données sensibles sont collectées et traitées afin de s’assurer qu’elle y consent de manière expresse sur la base d’une information spécifique.

La Commission considère que le fait, pour la personne concernée, de renseigner ses données sensibles, ne saurait être considéré comme un consentement exprès. L’utilisateur doit pouvoir marquer son assentiment en cochant une case dédiée à l’approbation de l’usage de ses données personnelles sensibles auquel il consent, ce qui n’est pas le cas en l’espèce.

Ces faits constituent un manquement à l’article 8 de la loi du 6 janvier 1978 modifiée qui prévoit notamment qu’il est interdit de collecter ou de traiter des données à caractère personnel qui sont relatives à la vie sexuelle des personnes, sauf dans les cas prévus au II de cet article, notamment en cas de consentement exprès des personnes concernées.

Il est rappelé enfin qu’en application des articles 226-19 et 226-24 du code pénal combinés, le fait pour une personne morale, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle de celles-ci, est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation d’informer les personnes

La délégation a constaté que le formulaire d’inscription au site […] et les pages permettant à l’utilisateur de compléter son profil imposent à l’internaute de renseigner des données à caractère personnel.

Or, si un lien sur le formulaire d’inscription renvoie vers les Conditions Générales d’Utilisation et de Vente (CGUV) et la Politique de confidentialité relative au respect de la vie privée du site web, aucune mention d’information relative à l’article 32 de la loi du 6 janvier 1978 modifiée ne figure directement sur celui-ci. De plus, le caractère obligatoire ou facultatif des réponses n’est pas précisé.

Ces faits constituent un manquement à l’article 32-I de la loi n° 78-17 du 6 janvier 1978 modifiée qui dispose que :

I. La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant :

1° De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Du caractère obligatoire ou facultatif des réponses ;

4° Des conséquences éventuelles, à son égard, d’un défaut de réponse ;

5° Des destinataires ou catégories de destinataires des données ;

6° Des droits qu’elle tient des dispositions de la section 2 du présent chapitre ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne.

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

Il est également rappelé qu’en application des articles 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas informer, dans les conditions prévues à l’article 32 de la loi du 6 janvier 1978 modifiée, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est puni d’une peine d’amende pouvant atteindre 7.500 €.

Un manquement à l’obligation de définir et respecter une durée de conservation des données proportionnée à la finalité du traitement

En premier lieu, la société a procédé à la déclaration n° 1232346 de son traitement relatif à la gestion de ses clients membres du site au sein de laquelle elle a indiqué conserver les données à caractère personnel de ses clients jusqu’à suppression du compte.

Or, la délégation a constaté que la base de données […] de la société contient notamment une table dénommée member_user_deleted comprenant de nombreuses données à caractère personnel relatives à (...) comptes supprimés.

Il en résulte que la société ne procède pas à la purge des données relatives aux comptes supprimés à l’initiative de la société ou de la personne concernée.

L’absence de purge de données est d’ailleurs confirmée par la société elle-même qui, dans ses courriers des 9 janvier et 8 juin 2015, informe la Commission de son projet de mise en place d’un processus de suppression des données des comptes des utilisateurs, des données des personnes ayant tenté de créer un compte utilisateur, ainsi qu’un processus d’anonymisation des données à des fins statistiques, sans toutefois en justifier.

Par ailleurs, s’agissant des données relatives à la carte bancaire, la délégation a été informée qu’elles étaient conservées au-delà du terme du contrat d’abonnement. Or, une telle conservation est excessive au regard de la finalité de paiement de l’abonnement, lequel s’effectue en une seule fois.

Il est rappelé à cet égard que la CNIL a adopté la délibération n° 2013-358 du 14 novembre 2013 portant adoption d’une recommandation quant aux données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance.

Celle-ci précise que la durée de conservation des données de la carte doit correspondre au délai nécessaire à la réalisation de la transaction, c’est-à-dire au paiement effectif qui peut être augmenté, le cas échéant, du délai de rétractation prévu par l’article L. 121-20-12 du code de la consommation, à savoir 14 jours.

Cette recommandation, qui n’a pas de valeur impérative, vise à interpréter les dispositions législatives précitées et à éclairer sur la mise en place de mesures concrètes permettant de garantir le respect de ces dispositions, afin, soit qu’ils mettent en œuvre ces mesures, soit qu’ils mettent en œuvre des mesures d’effet équivalent.

La CNIL précise également que, le cas échéant, à des fins probatoires, les données relatives à la carte de paiement, à l’exception du cryptogramme visuel, pourront être versées en archives intermédiaires et utilisées en cas de contestation de la transaction pour la durée prévue par l’article L. 133-24 du code monétaire et financier, à savoir 13 mois suivant la date de débit ou 15 mois suivant la date de débit en cas d’utilisation de cartes de paiement à débit différé.

En second lieu, la délégation a constaté que les données enregistrées dans certains cookies déposés par le site sont accessibles pendant une durée excessive par rapport aux finalités poursuivies. La durée de conservation la plus longue constatée pour un cookie à finalité publicitaire étant de 15 ans.

A cet égard, la CNIL a adopté la délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs. Cette recommandation, qui n’a pas de valeur impérative, vise à interpréter les dispositions législatives précitées et à éclairer sur la mise en place de mesures concrètes permettant de garantir le respect de ces dispositions, afin, soit qu’ils mettent en œuvre ces mesures, soit qu’ils mettent en œuvre des mesures d’effet équivalent.

Elle précise que les Cookies doivent (...) avoir une durée de vie limitée à treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur (faisant suite à l’expression du consentement) et leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site.

L’ensemble de ces faits constitue un manquement aux obligations découlant du 5° de l’article 6 de la loi du 6 janvier 1978 modifiée qui prévoit que les données à caractère personnel sont conservées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Il est en outre rappelé qu’en application des articles 226-20 et 226-24 du code pénal combinés, le fait pour une personne morale, de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d’autorisation ou d’avis, ou par la déclaration préalable adressée à la Commission nationale de l’informatique et des libertés, est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation d’informer et d’obtenir l’accord préalable des personnes concernées avant d’inscrire des informations (cookies) sur leur équipement terminal de communications électroniques ou d’accéder à celles-ci (lecture des cookies)

L’article 32-II de la loi du 6 janvier 1978 modifiée dispose que Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Les cookies nécessitant une information et un consentement préalables de l’internaute sont notamment les cookies liés aux opérations relatives à la publicité ciblée et les cookies traceurs de réseaux sociaux générés par les boutons de partage de réseaux sociaux.

Afin de proposer aux professionnels du secteur des lignes directrices en la matière, la CNIL a adopté la délibération précitée n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs.

Cette recommandation rappelle que la validité du consentement est liée à la qualité de l’information reçue. La Commission recommande donc que ce consentement soit recueilli en deux étapes :

première étape : l’internaute qui se rend sur le site d’un éditeur (page d’accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau : des finalités précises des Cookies utilisés ; de la possibilité de s’opposer à ces Cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ; du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal ;

seconde étape : les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des Cookies nécessitant un recueil du consentement : pour l’ensemble des technologies visées par l’article 32-II précité ; par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d’audience.

En outre, la recommandation indique que l’information doit être visible, mise en évidence et complète.

En premier lieu, lorsque la délégation s’est connectée au site web […], elle a constaté que 30 cookies ont été déposés sur son équipement terminal. Par courrier reçu par la CNIL le 16 juillet 2014, la société a indiqué que 19 de ces cookies ont une finalité publicitaire ou de partage de contenus sur les réseaux sociaux.

La délégation a également constaté, sur le site internet, la présence d’un bandeau, indiquant que En naviguant sur […], vous acceptez nos cookies et ceux de nos partenaires, qui permettent d’améliorer votre expérience. Ainsi qu’un bouton En savoir plus.

Cette mention d’information n’est pas satisfaisante dans la mesure où la personne n’est pas informée :

des finalités publicitaires et de partage sur les réseaux sociaux de certains des cookies déposés ;

de la possibilité de changer les paramètres des cookies en cliquant sur un lien présent dans le bandeau ;

de ce qu’une action positive de la part de l’internaute, à savoir la poursuite de la navigation sur le site, est requise pour exprimer son accord au dépôt des cookies.

En outre, la délégation a constaté que le lien hypertexte En savoir plus présent sur le bandeau renvoie vers la page Politique de confidentialité - Respect de la vie privée qui évoque les cookies. Il est notamment précisé que Les utilisateurs ont cependant le droit de modifier les paramètres et options de leur logiciel de navigation sur internet pour empêcher l’utilisation des cookies.

Toutefois, cela peut perturber le fonctionnement de certains services ou fonctions. Si vous voulez en savoir plus sur l’utilisation des cookies stockés sur votre ordinateur, rendez-vous sur Your Online Choices. . Un lien hypertexte renvoie vers le site web www.youronlinechoices.com/fr/.

Or, le paramétrage du navigateur ne peut être considéré comme un mécanisme valable d’opposition au dépôt des cookies que dans deux cas :

le site ne dépose pas de cookies techniques essentiels à son fonctionnement : dans ce cas, la personne concernée peut paramétrer son navigateur de manière à bloquer le dépôt de tous les cookies, qu’ils proviennent du domaine du site (cookies first party) ou du domaine d’un tiers (cookies third party), dont ceux nécessitant son consentement, et ce sans l’exposer à des conséquences négatives importantes ;

le site ne dépose pas de cookies first party nécessitant le recueil du consentement de la personne concernée : dans ce cas, cette dernière peut paramétrer son navigateur de manière à bloquer le dépôt de cookies third party sans empêcher le site de fonctionner ni risquer que des cookies first party soumis au consentement ne soient déposés.

En l’espèce, le site dépose des cookies techniques internes (first party) essentiels à son fonctionnement (notamment […]).

En outre, il a été constaté que le site dépose des cookies first party soumis au consentement, par exemple le cookie ema_ace dont la finalité publicitaire a été confirmée par la société lors du contrôle.

Par conséquent, le paramétrage du navigateur ne peut, en l’espèce, être considéré comme un mécanisme valable d’opposition au dépôt de cookies.

Par ailleurs, la délégation a constaté que le dépôt de cookies dans l’équipement terminal de communications électroniques de l’internaute s’opère dès la connexion au site internet, avant toute action de la part de l’internaute tendant à poursuivre sa navigation sur le site.

Au regard de ce qui précède, il apparaît que le site internet n’a pas informé les personnes concernées et n’a pas recueilli leur consentement avant de procéder au dépôt des cookies.

En second lieu, concernant les applications mobiles […], développées pour fonctionner dans les environnements APPLE et ANDROID, qui utilisent des cookies notamment à finalités publicitaires, la délégation a été informée que le fonctionnement du tracking publicitaire sur celles-ci est similaire à celui effectué sur des ordinateurs. Il a été constaté la présence d’un bandeau d’information relatif aux cookies sur la version mobile qui renvoie à la page de confidentialité du site. Toutefois, la délégation a été informée qu’aucune procédure d’opposition aux cookies n’est mise en œuvre sur ce support.

L’ensemble de ces faits constitue un manquement au II de l’article 32 précité de la loi du 6 janvier 1978 modifiée, qui soumet notamment à information et à accord préalables de l’internaute le dépôt de tels cookies.

En outre, il est rappelé qu’en application des articles 131-41 et R. 625-10 du code pénal combinés, le fait pour la personne morale responsable d’un traitement de ne pas informer les personnes concernées et obtenir leur accord avant d’accéder à ou d’inscrire des informations dans leur équipement terminal de communications électroniques est puni d’une peine d’amende pouvant atteindre 7.500 €.

Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données

(...)

Eu égard notamment à la sensibilité des données, ces faits constituent un manquement à l’article 34 de la loi n° 78-17 du 6 janvier 1978 disposant que Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Il est en outre rappelé qu’en application des articles 226-17 et 226-24 du code pénal combinés, le fait pour une personne morale de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni d’une peine d’amende pouvant atteindre 1.500.000 €.

Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données gérées par un sous-traitant

Les contrats conclus entre la société X et les prestataires de services (...) ne prévoient pas de clause relative aux obligations du sous-traitant en matière de protection de la sécurité et de la confidentialité des données et de ce que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

Ces faits constituent un manquement aux dispositions de l’article 35 de la loi n° 78-17 du 6 janvier 1978 qui dispose notamment que Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

En conséquence, la société X, sise […], est mise en demeure, sous un délai de trois (3) mois, à compter de la notification de la présente décision, et sous réserve des mesures qu’elle aurait déjà pu adopter, de :

procéder à l’accomplissement des formalités préalables applicables aux traitements mis en œuvre, en particulier procéder à une demande d’autorisation en ce qui concerne les traitements de données susceptibles d’exclure des personnes ;

recueillir le consentement exprès des personnes, sur la base d’une information spécifique, à la collecte et au traitement de leurs données sensibles - en l’espèce des données relatives à la vie sexuelle des personnes - par tout procédé, tel qu’une case à cocher, apposé à l’endroit de la collecte ;

procéder à l’information des utilisateurs du site, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée, directement sur les formulaires de collecte des données, des traitements de leurs données à caractère personnel ;

définir et mettre en œuvre une politique de durée de conservation des données relatives aux utilisateurs qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées, et notamment :

respecter la durée de conservation des données à caractère personnel telle qu’indiqué dans la déclaration préalable du traitement de gestion des membres du site web ; à défaut procéder à la modification de cette déclaration et justifier de la durée de conservation choisie ;

procéder à la purge des données relatives aux comptes ayant été supprimés (comptes dont les utilisateurs se sont désinscrits) et aux comptes inactifs (suspension volontaire du compte incluse) depuis un certain délai, 2 ans par exemple ;

le cas échéant, pour le traitement ayant pour finalité l’élaboration de statistiques, veiller à l’anonymisation irréversible en procédant à la purge de toutes données à caractère personnel, y compris les données indirectement identifiantes ;

en matière de données relatives à la carte de paiement, procéder à la purge des données au-delà de la durée nécessaire à la transaction, le cas échéant sous réserves des dispositions de l’article L. 121-20-12 du code de la consommation et de l’article L. 133-24 du code monétaire et financier uniquement pour le versement en archives intermédiaires (cryptogramme visuel excepté) ;

en matière de cookies, ne pas déposer de cookies dont la durée de validité est supérieure à treize mois après leur dépôt sur l’équipement terminal de la personne concernée.

informer et obtenir l’accord préalable des personnes concernées à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci (lecture des cookies). A cet égard, il appartient à la société, sauf à mettre en place un dispositif présentant les mêmes garanties légales :

d’indiquer aux personnes concernées, au préalable et de manière claire et complète, sur le bandeau présent sur le site internet :

les finalités de tous les cookies soumis au consentement ;

que la personne concernée a la possibilité de changer les paramètres de ces cookies en cliquant sur un lien présent dans le bandeau. Ce bandeau doit renvoyer vers une page présentant les solutions adéquates mises à la disposition des personnes concernées pour accepter ou refuser le dépôt des cookies ;

que la poursuite de la navigation vaut consentement au dépôt des cookies ;

de conditionner cette inscription et cet accès à une action positive préalable des personnes concernées ;

adopter les mesures visant à assurer la sécurité et la confidentialité des données, notamment en :

(...)

prévoir au sein de tous les contrats liant la société X aux sociétés prestataires de services, en particulier les sociétés (...) des clauses permettant de définir les obligations incombant aux prestataires en matière de protection de la sécurité et de la confidentialité des données des clients de la société X et préciser que les prestataires ne peuvent agir que sur instruction du responsable du traitement, conformément aux dispositions de l’article 35 de la loi du 6 janvier 1978 modifiée.

justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l’issue de ce délai, si la société X s’est conformée à la présente mise en demeure, il sera considéré que la procédure est close et un courrier lui sera adressé en ce sens.

À l’inverse, s’il est constaté que la société X ne s’est pas conformée à la présente mise en demeure, un rapporteur pourra être désigné et demander à la formation restreinte de la Commission de prononcer l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée.

La Présidente

Isabelle FALQUE-PIERROTIN



Nature de la délibération: AVERTISSEMENT
Date de la publication sur legifrance: 1 août 2015

Date de l'article :