• NAOS AVOCAT

Une société sanctionnée de 500 000 euros d'amende

[BREVE] Pour envoi de courriels de prospection sans le consentement des personnes concernées et manquements aux obligations du RGPD, la CNIL a prononcé et publié le 17 juin dernier une sanction de 500 000 euros d’amende contre une société spécialisée dans la vente de produits de bricolage, de jardinage et d’aménagement de la maison. Il a également été demandé à la société de rendre ses traitements conformes et d’en justifier dans un délai de 3 mois, sous astreinte de 500 euros par jour.



Depuis 2018, plusieurs contrôles ont été effectués par la CNIL auprès de la société. Au cours de ces contrôles, la CNIL a pu constater plusieurs manquements au RGPD :


  • Un manquement à l’obligation de limitation de la durée de conservation des données : La société n’avait pas respecté les durées de conservation qu’elle avait elle-même fixées. Des données personnelles de 16 000 clients n’ayant pas passé commande depuis plus de 5 ans avaient été conservées. De même, les données de plus de 130 000 clients ne s’étant pas connectés à leur compte depuis plus de 5 ans avaient été conservées ;


  • Un manquement à l’obligation d’information des personnes concernées : La société n’effaçait pas toutes les données personnelles des personnes en ayant fait la demande ;


  • Un manquement à l’obligation de sécurité des données personnelles : La société n’imposait pas l’emploi d’un mot de passe assez élaboré et l’authentification des salariées aux bases de données n’était pas assez sécurisée.


La société a également été condamnée pour manquement à l’obligation de recueillir le consentement des personnes lors de la prospection par courriel. En effet, elle prospectait par courriel, sans recueil de consentement, des personnes inscrites sur son site web, mais qui n’avaient rien acheté. Si la personne est inscrite mais n’a encore jamais rien acheté, cette pratique doit reposer sur le consentement.


Enfin, la société a également été sanctionnée pour un manquement relatif aux cookies. La société recevait automatiquement des cookies alors que les personnes concernées n’avaient pas donné leur accord. Plusieurs de ces cookies avaient servis à des fins publicitaires.


0 vue0 commentaire