Année de tous les records en termes d’amendes infligées aux entreprises, 2021 a vu les sociétés Free Mobile, AG2R La Mondiale et Carrefour être épinglées par la CNIL pour manquements au RGPD. Des amendes qui auraient pu être évitées avec un peu plus de rigueur.
2021 a été une année record en Europe sur le front des amendes infligées aux entreprises pour violation du Règlement Général sur la Protection des Données (RGPD). Ce sont ainsi près de 1,1 milliard d’euros d’amendes qui ont été prononcées par les autorités européennes de protection des données personnelles l’an dernier, contre « seulement » 158,5 millions d’euros en 2020 (soit une multiplication par sept), selon un rapport du cabinet DLA Piper.
Le montant le plus élevé concerne Amazon, avec un record absolu en la matière : 746 millions d’euros infligés par l’autorité luxembourgeoise de protection des données, la CNPD (Commission Nationale pour la Protection des Données), à l’encontre de la société Amazon Europe Core en août 2021. C’est une plainte collective – pilotée par l’association la Quadrature du Net – déposée par 10 000 personnes contre Amazon en mai 2018 qui est à l’origine de cette condamnation. En cause : le système de ciblage publicitaire d’Amazon, réalisé sans le consentement libre des internautes, en violation frontale du RGPD.
En France, des amendes en hausse de 55 % en 2021
En France, le coefficient multiplicateur entre le montant des amendes 2020 et 2021 n’a pas été de sept, mais la progression d’une année sur l’autre est loin d’être négligeable : + 55 %. La CNIL a en effet prononcé 18 sanctions, dont 15 amendes, l’année dernière, pour un montant de 214 millions d’euros (138 millions d’euros en 2020). Sur les 18 sanctions, la moitié comporte un manquement en lien avec la sécurité des données personnelles. Quatre sanctions concernent une mauvaise gestion des cookies et autres traceurs.
Un nombre record de mises en demeure a par ailleurs été atteint en 2021, avec 135 décisions prononcées, contre seulement 49 l’année précédente. Une part importante de ces mises en demeure a porté sur la thématique prioritaire des cookies : 89 décisions comportent un manquement en lien avec l’utilisation des traceurs (dont 84 sont pleinement consacrées à cette question), précise la CNIL.
Des entreprises de renom prises dans les filets de la CNIL
Parmi les entreprises épinglées l’an dernier par la CNIL se trouve l’opérateur de téléphonie Free Mobile, qui a écopé d’une amende de 300 000 euros. La CNIL a en effet reçu plusieurs plaintes concernant les difficultés rencontrées par un certain nombre de personnes dans la prise en compte, par l’opérateur, de leurs demandes d’accès et d’opposition à recevoir des messages de prospection commerciale.
« Un contrôle sur place et un contrôle sur pièces ont permis de constater des manquements aux droits des personnes concernées – droit d’accès et droit d’opposition -, à l’obligation de protéger les données dès la conception ainsi qu’à la sécurité des données (transmission des mots de passe en clair par courriel) », explique la CNIL sur son site.
Dans le cas de Free Mobile, le côté exemplaire de la sanction ne fait aucun doute. Pour l’expliquer, l’autorité de contrôle française avance les arguments suivants : « La sanction prend en compte la taille et la situation financière de la société. Sa publicité se justifie par la nécessité de rappeler l’importance de traiter les demandes de droit des personnes et la sécurité des données des utilisateurs ».
Dans pareil cas, on peut légitimement se demander comment de tels dysfonctionnements portant atteinte de manière aussi flagrante aux droits des personnes ont pu subsister aussi longtemps au sein d’une entreprise telle que Free. À moins que ce ne soit une volonté manifeste de faire du chiffre à tout prix… Une stratégie bien mal récompensée compte tenu du montant de l’amende…
AG2R La Mondiale : une violation du RGPD à 1,75 million d’euros
Autre grand groupe à avoir été sanctionné par la CNIL l’an dernier, AG2R La Mondiale a appris à ses dépens qu’on ne pouvait pas conserver indéfiniment les données personnelles de ses prospects et clients et que, lors d’opérations de démarchage téléphonique, l’obligation d’information des personnes était une réalité. Le spécialiste français de la protection sociale et patrimoniale s’est vu condamné à payer pas moins de 1,75 million d’euros pour la violation de ces deux obligations du RGPD (limitation des durées de conservation des données et obligation d’information).
S’agissant des données des prospects, AG2R La Mondiale a fait entorse à la durée maximale de conservation de trois ans fixée dans son référentiel et dans le registre des traitements du groupe. Les données de près de 2 000 clients n’ayant pas eu de contact avec le groupe depuis plus de trois ans, et parfois de cinq ans, ont ainsi été conservées. Pour ce qui est des données des clients, l’entreprise n’a pas respecté les durées maximales de conservation légales prévues notamment par le Code des assurances et le Code de commerce. En l’occurrence, la société a conservé les données de plus de deux millions de clients, dont certaines de nature sensible (santé) ou particulière (coordonnées bancaires), au-delà des durées légales de conservation autorisées après la fin du contrat, rappelle la CNIL.
Concernant les opérations de démarchage téléphonique, l’information fournie aux personnes contactées par des sous-traitants de l’entreprise ne comportait pas l’ensemble des éléments exigés par le RGPD. En effet, les appels téléphoniques pouvaient être enregistrés sans que la personne n’en soit informée, ni de son droit à s’y opposer.
Là aussi, il est surprenant de constater que de telles lacunes ont pu subsister dans un groupe régi par le Code des assurances, par définition soumis à de fréquents audits, procédures de contrôles et autres rapports relatifs à sa conformité règlementaire… Les règles prudentielles n’ont apparemment pas été appliquées dans tous les départements du groupe, ce qui aurait permis d’éviter une addition aussi salée…
Deux sociétés du groupe Carrefour sanctionnées
Saisie de plusieurs plaintes, la CNIL a également sanctionné en 2021 deux sociétés du groupe Carrefour pour de multiples manquements au RGPD, notamment en matière d’information délivrée aux personnes et de respect de leurs droits. Carrefour France et Carrefour Banque ont ainsi respectivement écopé d’une amende de 2,25 millions d’euros et de 800 000 euros.
L’information fournie aux utilisateurs des sites carrefour.fr et carrefour-banque.fr, comme aux personnes désirant adhérer au programme de fidélité ou à la carte Pass, n’était pas facilement accessible (accès à l’information trop compliqué, dans des documents très longs contenant d’autres informations), ni facilement compréhensible (information rédigée en des termes généraux et imprécis, utilisant parfois des formulations inutilement compliquées). La CNIL a également constaté que, lorsqu’un utilisateur se connectait au site carrefour.fr ou au site carrefour-banque.fr, plusieurs cookies étaient automatiquement déposés sur son terminal, avant toute action de sa part.
Par ailleurs, la société Carrefour France ne respectait pas les durées de conservation des données qu’elle avait fixées. Les données de plus de 28 millions de clients inactifs depuis cinq à dix ans étaient ainsi conservées dans le cadre du programme de fidélité. Il en était de même pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq à dix ans, détaille la CNIL.
Free Mobile, AG2R La Mondiale, Carrefour… Il est regrettable que de telles entreprises, qui jouissent par ailleurs d’une très bonne réputation, ternissent leur image en raison de négligences manifestes survenues dans la gestion des règles élémentaires relatives à la protection des données. Gageons que ces amendes, dont l’objectif principal est de servir d’exemples aux autres entreprises et groupes français, incitent réellement les dirigeants à prendre les mesures nécessaires afin que le montant des amendes infligées par la CNIL cesse de progresser en 2022.