swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

La CNIL sanctionne une banque pour des atteintes à la protection des données

Philipp Fischer et Julien Levis, le 10 janvier 2021
Aux termes de sa déli­bé­ra­tion du 18 novembre 2020 (n° SAN-2020–009) concer­nant Carrefour Banque (la Banque), la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé une déci­sion portant amende de EUR 800’000 en appli­ca­tion du Règlement géné­ral sur la protec­tion des données (RGPD) et de la loi fran­çaise dite « infor­ma­tique et liber­tés ». La sanc­tion est assor­tie d’une mesure de publi­ca­tion nomi­na­tive de la délibération.

I. Résumé de la déci­sion de la CNIL

La Banque (déte­nue à 60% par Carrefour S.A.) opérait deux programmes de paie­ment en lien avec sa carte Pass. La société Carrefour France (déte­nue à 99.61% par Carrefour S.A.) gérait un programme permet­tant le ratta­che­ment de la carte Pass au programme de fidé­lité Carrefour.

La CNIL a sanc­tionné la Banque aux motifs suivants :

I.1. La Banque aurait manqué au prin­cipe de loyauté (art. 5 RGPD).

La CNIL déduit ce manque­ment de la trans­mis­sion à Carrefour France de davan­tage de données concer­nant les sous­crip­teurs de la carte Pass que celles limi­ta­ti­ve­ment énumé­rées lors de la sous­crip­tion en ligne. La CNIL souligne la nature « à la fois impré­cise et trom­peuse » de l’in­for­ma­tion four­nie par la Banque (Décision, § 34) et note :

  • L’absence d’ex­pli­ca­tion : les personnes concer­nées n’étaient pas mises en capa­cité de comprendre que leurs données seraient trans­mises à une société tierce.
  • L’indication selon laquelle seules certaines caté­go­ries de données seraient trans­mises : cette limi­ta­tion n’a pas été respec­tée en pratique, ce qui maté­ria­li­se­rait la déloyauté.

I.2. L’information aux utili­sa­teurs du site n’était pas aisé­ment acces­sible (art. 12 RGPD).

La CNIL a – à ce titre – relevé :

  • l’im­pré­ci­sion décou­lant d’un onglet inti­tulé « Protection des données bancaires » sur le site de la Banque. La Banque aurait – selon la CNIL – dû clai­re­ment mention­ner les données person­nelles et non la notion – équi­voque – de « données bancaires » ;
  • que la succes­sion de « clics » néces­saires pour atteindre la poli­tique de confi­den­tia­lité du site était insuf­fi­sam­ment intuitive ;
  • que si des infor­ma­tions de premier niveau étaient dispo­nibles sur le site, elles manquaient de renvois vers des infor­ma­tions plus détaillées sur la protec­tion des données.

I.3. L’information déli­vrée par la Banque était impré­cise et incomplète.

La CNIL sanc­tionne la Banque au titre du carac­tère insuf­fi­sam­ment détaillé de sa poli­tique de confi­den­tia­lité quant aux durées de conser­va­tion des données.

I.4. Manquement rela­tif aux cookies

La CNIL sanc­tionne le dépôt de certains cookies sans recueil préa­lable du consen­te­ment pour­tant requis.

II. Quelques ensei­gne­ments de cette décision

II.1. Méthodologie des contrôles

La moda­lité mise en œuvre par la CNIL est celle du contrôle en ligne. Certaines analyses avaient pu souli­gner l’in­suf­fi­sance des ressources allouées aux auto­ri­tés natio­nales de contrôle et en déduire la faible proba­bi­lité statis­tique d’un contrôle. Le contrôle en ligne offre toute­fois aux auto­ri­tés de contrôle un outil économe tant en ressources finan­cières qu’hu­maines : la proba­bi­lité de contrôles s’en trouve méca­ni­que­ment accrue.

II.2. Intensité du contrôle maté­riel exercé

Les viola­tions sanc­tion­nées le sont en suite d’un examen appro­fondi des méca­nismes de trai­te­ment. Si certains ont pu envi­sa­ger la mise en confor­mité au RGPD on a best effort basis, le contrôle détaillé effec­tué par la CNIL n’est pas de nature à confor­ter une telle approche.

II.3. Prise en consi­dé­ra­tion des mesures correc­trices inter­ve­nues en cours de procédure 

La CNIL examine en détail les mesures correc­trices adop­tées par la Banque et ne prononce pas d’in­jonc­tion sous astreinte du fait des correc­tions inter­ve­nues. L’amende pronon­cée est cepen­dant lourde en chiffres abso­lus (EUR 800’000). Cette sévé­rité trouve appa­rem­ment sa source dans la volonté de la CNIL de sanc­tion­ner la déloyauté déce­lée (cf. supra I.1.).

II.4. Mesure de publi­cité nomi­na­tive de la délibération 

L’impact répu­ta­tion­nel de la déci­sion est accru par le carac­tère nomi­na­tif dont est assor­tie sa publication.

II.5. Détails notables de la procédure

Il convient de rele­ver ici :

  • la limite dans le temps (deux ans) posée au carac­tère nomi­na­tif de la publication ;
  • le refus opposé par le rappor­teur (de la CNIL) à la demande formu­lée par la Banque de le rencontrer ;
  • l’ac­cueil posi­tif réservé à la demande par la Banque d’une audience à huis clos ;
  • les délais liés à la crise sanitaire.

III. Remarques conclusives

Les prin­ci­paux ensei­gne­ments à tirer de cette déci­sion incluent :

  • l’im­por­tance d’une formu­la­tion méti­cu­leuse des mentions du site Internet d’une entre­prise ayant pour objet de satis­faire à son obli­ga­tion d’information ;
  • le carac­tère signi­fi­ca­tif de l’amende pronon­cée pour des infrac­tions rela­ti­ve­ment formelles. Cette déci­sion pour­rait marquer un renfor­ce­ment de la sévé­rité des contrôles de confor­mité au RGPD ;
  • une atten­tion crois­sante peut-être portée par les auto­ri­tés de contrôle en matière de protec­tion des données au secteur bancaire. Quelques semaines après la déci­sion commen­tée, l’ho­mo­logue espa­gnol de la CNIL – l’AEPD –, semble lui avoir emboîté le pas : cette dernière a rendu le 11 décembre 2020 une déci­sion de sanc­tion à l’en­contre de la banque BBVA (amende de EUR 5’000’000 là encore prin­ci­pa­le­ment axée sur des manque­ments au devoir d’information).

En Suisse, la déci­sion ici commen­tée pour­rait préfi­gu­rer certaines évolu­tions dans la pratique du Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence, parti­cu­liè­re­ment après l’en­trée en vigueur de la nouvelle LPD (nLPD) prévue en prin­cipe en 2022. La publi­ca­tion d’une « recom­man­da­tion » du Préposé est déjà possible (art. 30 al. 2 LPD actuelle) et la nLPD renforce les pouvoirs d’en­quête du Préposé. Le Préposé repren­dra-t-il au surplus certaines des exigences substan­tielles posées par la CNIL dans sa déci­sion « Carrefour Banque » ? Cette ques­tion ne manquera pas de tenir en haleine le secteur bancaire et finan­cier suisse.



Proposition de citation : Philipp Fischer / Julien Levis, La CNIL sanctionne une banque pour des atteintes à la protection des données, 10 janvier 2021 in www.swissprivacy.law/47


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
  • Données personnelles : une approche dynamique, contextuelle et pragmatique
  • Le RGPD s’oppose-t-il à l’obligation de publier sur Internet une déclaration d’intérêts afin de lutter contre…
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law