La CNIL prononce des sanctions records à l’encontre de Google et d’Amazon pour violation de la règlementation sur les cookies

/dans , /par

Le 7 décembre 2020, la formation restreinte de la CNIL a prononcé des sanctions pour violation de la règlementation sur les cookies à l’encontre de :

Entre décembre 2019 et mai 2020, la CNIL a effectué des contrôles en ligne sur les sites google.fr et amazon.fr qui ont permis de révélé trois typologies de violations de Loi Informatique et Libertés :

  • Dépôt de cookies sans consentement préalable de l’utilisateur

Des cookies à finalité publicitaire étaient automatiquement déposés sur l’ordinateur de l’internaute, sans action de sa part, ce comportement n’étant pas compatible avec l’obligation de recueil préalable du consentement de l’utilisateur.

  • Défaut d’information des utilisateurs

Pour les deux sites, aucune information claire et complète relative aux cookies n’était fournie à l’utilisateur par le bandeau d’information s’affichant en pied de page ni, pour le site google.fr, sur la page apparaissant lorsqu’il cliquait sur le bouton « Consulter maintenant ».

  • Pour le site google.fr, un cookie publicitaire demeurait actif même après avoir activé le mécanisme d’opposition à la personnalisation des annonces.

Selon la CNIL, le montant important des sanctions prononcées est justifié non seulement au regard de la gravité des manquement constatés mais également de leur portée puisqu’ils ont affecté des millions de consommateurs et des bénéfices élevés qu’ils ont indirectement générés soit via des services de publicité (pour les sociétés Google) soit en permettant d’augmenter considérablement la visibilité des produits commercialisés par Amazon.

Bien que le dépôt automatique des cookies sans consentement ait entretemps cessé, les nouveaux bandeaux d’information s’affichant sur les pages google.fr et amazon.fr ne permettaient toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informaient pas du fait qu’ils pouvaient refuser ces cookies.

C’est pourquoi la CNIL a également adopté des injonctions sous astreinte afin que les sociétés Google et Amazon procèdent à une information des personnes conforme à la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification de sa décision. A défaut, elles s’exposeront au paiement d’une astreinte de 100.000 euros par jour de retard.

Cybermalveillance.gouv.fr publie son étude nationale 2020

/dans , /par

Cybermalveillance.gouv.fr est un dispositif national créé fin 2017 dont les missions sont :

  • d’assister les victimes d’actes de cybermalveillance,
  • de sensibiliser les publics aux risques numériques,
  • d’observer les menaces numériques en France.

Il a publié le 3 décembre dernier son étude nationale sur l’exposition aux risques des internautes. Cette étude met notamment en avant l’importance des actes de cybermalveillance puisque 90% des internautes sondés ont déjà été victimes au moins une fois d’un acte de cybermalveillance. le top 3 des menaces cyber en 2020 sont :

  • le phishing (70% des personnes sondées) ;
  • les demandes d’argent d’une personne usurpant l’identité d’un proche (52% des personnes sondées) ;
  • les virus informatiques (52% des personnes sondées).

Viennent ensuite les emails d’un interlocuteur prétendant avoir piraté leur ordinateur ou webcam, le piratage du compte de messagerie ou de réseau social, le cyberharcèlement et la fraude à la carte bancaire.

L’étude de Cybermalveillance.gouv.fr se penche également sur les réactions des internautes face aux actes de cybermalveillance rencontrés et révèle que la plupart des sondés n’ont rien fait de particulier, sauf pour la fraude à la carte bancaire où 84% ont contacté leur banque mais seulement 26% ont déposé plainte.

Cela s’explique notamment par l’absence de connaissance des solutions à leur disposition puisque la moitié des répondants affirme ne pas savoir à qui s’adresser en cas de problème. Sur les noms d’organismes cités spontanément, on retrouve le Gouvernement ou .gouv.fr (8%) et la CNIL (5%) avant Cybermalveillance.gouv.fr (1,6%).

Toutefois, 43% des internautes déclarent avoir entendu parler de la plateforme d’assistance www.cybermalveillance.gouv.fr, notamment via leurs recherches sur Internet (pour 31 % des répondants) ou la presse (15%).

Bien que 80% des personnes interrogées se disent suffisamment informées sur les risques liés à Internet, les résultats de l’étude encouragent à poursuivre la sensibilisation sur les risques numériques notamment pour leur donner les bons réflexes en cas d’attaque et les aider à mieux comprendre les risques pour s’en prémunir.

A ce titre, le dispositif www.cybermalveillance.gouv.fr mène plusieurs actions en :

  • mettant à disposition gratuitement un kit de sensibilisation accessible au grand-public ainsi que des ressources et contenus de sensibilisation (vidéos de sensibilisation, mémos, fiches réflexes et pratiques…) ;
  • publiant des articles d’actualité et des alertes sur ses réseaux sociaux dès qu’une nouvelle malveillance est identifiée ;
  • recensant la liste des 43 cybermalveillances traitées dans son outil de diagnostic en ligne.

Pour retrouver les résultats de l’étude.

La CNIL prononce des sanctions à l’encontre du groupe Carrefour pour un total de 3 millions d’euros

/dans , /par

Entre mai et juillet 2019, la CNIL a été saisie de plusieurs plaintes visant les sociétés Carrefour France et Carrefour Banque qui ont déclenché un contrôle des traitements de données personnelles effectués par ces sociétés.

La CNIL a constaté de nombreux manquements notamment :

  • L’utilisation des cookies qui étaient déposés sur le terminal des utilisateurs avant le recueil de leur consentement ;
  • L’obligation d’information des personnes concernées : la CNIL a jugé que les informations fournies par le groupe Carrefour étaient difficilement accessibles, peu claires et parfois incomplètes (durée de conservation, transferts de données hors UE et bases légales) ;
  • Le respect des droits des personnes concernées : la demande systématique d’un justificatif d’identité n’était pas justifiée, le délai d’un mois pour répondre aux demandes était régulièrement dépassé ou les demandes n’étaient pas traitées, notamment en matière d’opposition à la prospection commerciale par SMS ou par email ;
  • L’obligation de traiter les données de manière loyale : certaines données étaient transmises par Carrefour Banque à Carrefour Fidélité en contradiction totale avec l’information transmise aux personnes concernées au moment du recueil de leur consentement pour effectuer le transfert ;
  • Les durées de conservation des données : certaines durées étaient trop importantes (4 ans après le dernier achat des clients) et elles n’étaient pas respectées, ce qui a donné lieu à la conservation des données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans.

Les sociétés s’étant entretemps mises en conformité aucune injonction n’a été prononcée par la CNIL mais elle a néanmoins sanctionné la société CARREFOUR FRANCE d’une amende de 2.250.000 euros et la société CARREFOUR BANQUE d’une amende de 800.000 euros.

Pour lire la décision de la CNIL.