Pour avoir illégalement conservé les données clients, avoir refusé d’effacer les informations personnelles ou encore insuffisamment informer les internautes, Brico Privé écope d’une amende de 500 000 euros.
Dans les faits, ce sont les données de 130 000 personnes qui avaient été conservées plus de cinq ans après leur dernière connexion au compte client. Brico Privé avait également.négligé de mentionner plusieurs informations impératives comme les durées de conservation, les bases juridiques des traitements et certains droits. La mention du DPO ne figure que dans un formulaire dédié aux désabonnements et désinscriptions.
Autre point, la société a une approche très légère du droit à l’effacement : « lors du contrôle du 13 novembre 2018, la délégation de contrôle a été informée que lorsqu’une personne demande l’effacement de son compte, la société ne supprime pas les données à caractère personnel, mais procède.uniquement à la désactivation du compte en question, empêchant la personne de s’y connecter et bloquant l’envoi de prospection commerciale ».
Une Sécurité négligée
Le gendarme français a fait savoir que la société n’imposait pas l’utilisation d’un mot de passe robuste lors de la création d’un compte sur son site web ou lors de l’accès des.salariés au logiciel de gestion de la relation client. Là encore, des mesures de rectifications ont été prises pour y remédier.
Brico Privé a répondu à cette accusation en avançant que la sécurisation n’était qu’une obligation de moyen, non de résultat.
Ainsi la CNIL lui a répondu que « la longueur et la complexité d’un.mot de passe demeurent.des critères élémentaires permettant d’apprécier.la force de.celui-ci », outre que « la nécessité d’un mot de passe fort est également soulignée par l’Agence nationale de sécurité des systèmes d’information ».
Elle lui a rappelé que « le fait de stocker les mots de passe d’accès aux bases de données en clair dans un fichier texte contenu dans un ordinateur de la société n’est pas une.solution de gestion sécurisée des mots de passe ». Et que « la fonction de hachage utilisée pour la conservation des mots de.passe des salariés utilisateurs du site bricoprive.com était obsolète (MD5) ».
Autre grosse infraction, les cookies installés automatiquement lors de l’ouverture de la page d’accueil du site Internet.
« La société a fait preuve de négligence grave s’agissant de principes fondamentaux du RGPD puisque six manquements sont constitués, portant notamment.sur le principe de limitation de la durée de conservation des données, l’obligation d’informer les personnes concernées des traitements de leurs données.à caractère personnel et celle de respecter leurs droits » écrit la CNIL dans sa délibération.
