Il y a parfois quelque chose d’affligeant à lire des décisions prises par la Cnil, très sévères dans leur constat des manquements à la protection des données personnelles des Français, et très peu dissuasives dans leurs sanctions. Il en va ainsi de la décision prise contre le site de vente en ligne de grandes marques Brandalley, rendue publique ce lundi par la Cnil.
L’autorité administrative y raconte qu’elle avait effectué un contrôle de la société en janvier 2015, pour vérifier la manière dont étaient traitées les données ?e « millions de comptes clients » et de prospects, dans le cadre d’un programme contre la fraude aux paiements en ligne. Elle avait alors constaté « de nombreux manquements » à la loi, ce qui avait provoqué une mise en demeure de la société de se mettre rapidement en conformité.
30 000 euros d’amende pour 300 millions d’euros de chiffre d’affaires
Or, Brandalley n’aurait eu qu’une « une réponse lacunaire relative à la mise en demeure », ce qui a incité la Cnil, un an plus tard, à déclencher une série de contrôles complémentaires qui ont montré que rien ou presque n’avait changé. Ainsi elle a notamment constaté l’absence de demande d’autorisation auprès de la Cnil pour le traitement de données de paiement, pour le transfert des données vers le Maroc et la Tunisie, l’absence de procédure de purge des bases de données après un certain temps de conservation des données, ou encore l’absence de protection technique des échanges de données par le protocole HTTPS.
Donc, face au laxisme de Brandalley, la Cnil a déclenché une procédure de sanction qui a abouti à… 30 000 euros d’amende. « Nous avons pour objectif de doubler notre chiffre d’affaires en dix-huit mois, pour atteindre 300 millions d’euros en 2016 », déclarait l’an dernier Cyril Andrino, le PDG de Brandalley. Autant dire que les 30 000 euros d’amende doivent doucement le faire rigoler, même si l’atteinte à la réputation du site aura un coût indirect difficile à chiffrer, mais certainement négligeable tant les consommateurs n’ont qu’un intérêt très relatif pour la protection de leurs données. Et encore faudrait-il qu’ils soient informés de la sanction, or la Cnil n’a pas usé du pouvoir qu’elle avait d’obliger Brandalley à informer ses clients de la décision.
Sans doute la Cnil a-t-elle voulu faire preuve de proportionnalité alors qu’elle n’a sanctionné Google qu’à 150 000 euros d’amende, le maximum prévu actuellement par la loi.
Le projet de loi numérique prévoit d’étendre cette sanction à 3 millions d’euros maximum, et l’entrée en vigueur du règlement européen sur les données personnelles (d’ici 2 ans) permettra d’aller jusqu’à 4 % du chiffre d’affaires dans les cas les plus graves.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !