La campagne nationale « Je ne suis pas une data » intitiée par l’UFC QUE CHOISIR met en avant les enjeux liés à l’utilisation commerciale des données concernant les consommateurs qu’elles soient collectées en ligne ou hors ligne. Ces informations concernant les consommateurs et permettant de cibler les messages publicitaires ou les différents démarchages sont l’objet de toutes les « attentions ».
Un exemple: le trésor du fichier clients de Camaïeu
Le fichier client de Camaïeu avec des informations concernant de plus de 4 millions de clients a fait l’objet en fin d’année 2022, d’un projet de mise en vente dans le cadre de la liquidation de la marque de vêtements. Face à la réglementation liée au RGPD (il s’agit du règlement général de la protection des données qui est un règlement européen valable dans toute l’Union européenne et portant sur la manière dont les entreprises et autres organisations doivent se comporter vis-à-vis des données personnelles), le commissaire-priseur en charge de leur vente a renoncé à les soumettre aux enchères des acheteurs potentiels. Un prix de vente de base à 500 000€ avait été annoncé aux acquéreurs potentiels. Des données qui valent leur pesant d’or…
La Commission Nationale de l’Informatique et des Libertés (CNIL)
« Cette commission a été créée par la loi Informatique et Libertés du 6 janvier 1978. Elle est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés », indique le site de la CNIL.
« Elle est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »
Elle se saisit de plaintes et effectue des contrôles qui peuvent amener des condamnations et des sanctions.
Des exemples de condamnations prononcées : INFOGREFFE, EDF, FREE, GOOGLE, FACEBOOK,…
La justice a épinglé certaines de ces sociétés pour des pratiques non conformes à la réglementation :
- données personnelles : Instagram écope d’une amende de 405 millions d’euros au niveau européen pour des non-respects de la réglementation liée au traitement des données des mineurs. Une enquête avait été ouverte fin 2020, pour vérifier si l’application avait fait le nécessaires pour protéger les données des utilisateurs, notamment des mineurs, alors qu’il faut avoir au moins 13 ans pour ouvrir un compte sur Instagram.
- la CNIL (Commission nationale de l’informatique et des libertés) a condamné en septembre 2022 le site Infogreffe à une amende de 250 000 euros pour avoir conservé des données personnelles au-delà des délais légaux.
- le 24 novembre 2022, la CNIL a sanctionné la société EDF d’une amende de 600 000 euros, notamment pour ne pas avoir respecté ses obligations en matière de prospection commerciale et de droits des personnes. Plusieurs plaintes concernant les difficultés rencontrées par des personnes dans la prise en compte de leurs droits par la société EDF, premier fournisseur d’électricité en France avaient été reçues par la CNIL.
- après la sanction d’EDF, la CNIL a également épinglé Free pour des raisons identiques. Le fournisseur d’accès à Internet a été frappé par une amende de 300 000 €. Il ne tenait pas tenu compte des demandes de clients qui souhaitaient accéder ou effacer leurs données personnelles. De plus, il lui est reproché de ne pas fournir à ses clients un mot de passe suffisamment robuste pour protéger l’accès à leurs données.
La CNIL a également sanctionné le fait d’avoir remis en circulation auprès de clients des Freebox ayant eu une première utilisation pour d’anciens abonnés mais sans effacer les photos ni les vidéos personnelles ou l’enregistrement de programmes TV (faits datant de 2018-2019). - la CNIL a constaté que les sites Facebook.com, Google.fr et Youtube.com ne permettaient pas de refuser les cookies aussi simplement que de les accepter. Elle a sanctionné en janvier 2022, GOOGLE à hauteur de 150 millions d’euros et FACEBOOK à 60 millions d’euros et leur enjoint de se mettre en conformité dans un délai de trois mois.
A la suite de contrôles, la CNIL avait constaté que les sites web facebook.com, google.fr et youtube.com proposaient un bouton permettant d’accepter immédiatement les cookies. Mais ils ne mettaient pas en place de solution identique (bouton ou autre) pour permettre à l’utilisateur de refuser facilement le dépôt de ces cookies. Plusieurs clics étaient nécessaires pour refuser tous les cookies, contre un seul pour les accepter.
La formation restreinte de la CNIL a considéré que ce procédé portait atteinte à la liberté du consentement : « dès lors que, sur internet, l’utilisateur s’attend à pouvoir rapidement consulter un site, le fait de ne pas pouvoir refuser les cookies aussi simplement qu’on peut les accepter biaise son choix en faveur du consentement. Cela constitue une violation de l’article 82 de la loi Informatique et Libertés. »
21 sanctions e la CNIL visant des thématiques et des secteurs d’activité variés en 2022
« En 2022, 21 sanctions ont été prononcées par la CNIL, pour un montant de 101 277 900 euros. 13 d’entre elles ont été rendues publiques. Ces sanctions comportent 19 amendes (dont 7 avec injonctions sous astreinte) et 2 décisions de liquidation d’astreinte (c’est-à-dire le paiement d’une somme en raison du non-respect d’un ordre donné par la CNIL dans sa décision de sa21 sanctions e la CNIL visant des thématiques et des secteurs d’activité variés en 2022
« Les décisions de sanction ont concerné des secteurs d’activité, des thématiques et des acteurs très divers. Parmi les manquements les plus fréquents figurent le défaut d’information des personnes, le non-respect de leurs droits et le défaut de coopération avec la CNIL. »
Le droit d’opposition obligatoire
En cas de non-respect du RGPD, la Cnil (Commission nationale de l’informatique et des libertés) peut être saisie. Elle peut ensuite prononcer une mise en demeure ou des sanctions, allant jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel.
Dans tous les cas, les consommateurs ont le droit de s’opposer au traitement de leurs données personnelles. Et ce, à tout moment, par voie électronique ou postale.
Soyez vigilants lorsque vous accédez à un site et prenez le temps de préciser vos choix en matière de cookies.
Par ailleurs, lorsque vous vous inscrivez sur un site et procurez des infos vous concernant (adresse, nom, prénom, …), pensez à cocher les options vous opposant à la réutilisation de vos données.
Quand et comment adresser une plainte à la CNIL ?
Le site de la CNIL apporte des informations utiles au consommateur :
– « Quand vous ne parvenez pas à exercer vos droits « Informatique et Libertés ». Par exemple, vous avez demandé à votre banque une copie des données vous concernant et enregistrées dans ses fichiers il y a plus d’un mois et elle ne vous a toujours pas répondu.
– Quand vous souhaitez signaler une atteinte aux règles de protection des données personnelles par un organisme public ou privé. Par exemple, si votre employeur a installé une caméra de vidéosurveillance sans vous en informer. »
Pour effectuer ces démarches, rendez-vous sur le site de la CNIL en cliquant ICI