Un certain nombre d’entreprises à tendance à considérer la protection des données personnelles comme un sujet secondaire, et à publier des politiques de confidentialité standardisées, quand elles ne décident pas de s’affranchir purement et simplement de cette démarche.

Les deux décisions rendues par la CNIL le 18 novembre 2020 (n° SAN 2020-008 et SAN-2020-009) à l’encontre de la société CARREFOUR et de la société CARREFOUR BANQUE devraient les inviter à réviser leur jugement.

En effet, la CNIL a sanctionné ces deux entreprises à des amendes respectives de 2.250.000 euros (pour CARREFOUR) et 800.000 euros (pour CARREFOUR BANQUE) pour violation de nombreuses différentes prescriptions du RGPD (règlementation sur les cookies, durées de conservation, exercice des droits, sécurisation des données, etc.). Parmi ces griefs, l’un des plus importants, et qui a fortement pesé dans la balance, est le non-respect de l’obligation d’information des personnes concernées prévue à l’article 13 du RGPD. Non que CARREFOUR n’ait prévu aucune information, puisqu’un document existait quant à la gestion des données personnelles, mais cette information a été jugée non conforme à l’article 13, tant dans son accessibilité que dans son contenu.

Cette décision est riche d’enseignements sur la position de la CNIL quant aux critères de rédaction d’une bonne politique de confidentialité.

Pour rappel, l’article 12 du RGPD pose les grands principes de cette information :

Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l'article 34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant.

L’article 12.7, peu connu, précise même que :

Les informations à communiquer aux personnes concernées en application des articles 13 et 14 peuvent être fournies accompagnées d'icônes normalisées afin d'offrir une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine.

Or, en l’espèce, les documents analysés par la CNIL, et relatifs à l’information des utilisateurs des sites de vente en ligne carrefour.fr et des adhérents à son programme de fidélité, et des clients de CARREFOUR BANQUE étaient à la fois peu accessibles, peu clairs, et parfois inintelligibles.

Une information difficile d’accès

Sur ce point, la CNIL relève que « la multiplicité des pages à consulter, des liens présents dans les différentes pages, ainsi que la redondance des informations ne permettent pas de considérer que les informations pertinentes pour les personnes sont aisément accessibles ».

Elle note notamment que « l’accès aux mentions d’information sur le site carrefour.fr était malaisé, puisque ces dernières étaient regroupées dans l’article 3 des conditions générales d'utilisation du site carrefour.fr que l’utilisateur devait donc parcourir. Il en va de même pour les mentions d’information relatives au programme de fidélité qui figuraient dans l’article 10 des conditions générales d'utilisation de la carte Carrefour ». Ces CGU étant particulièrement longs à lire, l’accès pour l’utilisateur à ces informations s’avérait particulièrement difficile, et qu’il « devait faire preuve d’une détermination particulière pour accéder aux informations sur ces questions » (se muer en une sorte de « Max Schrems » français).

La CNIL réaffirme ainsi sa position constante : les mentions d’informations relatives au traitement des données personnelles doivent faire l’objet d’un document unique, distinct des conditions générales de vente ou d’utilisation de l’entreprise, responsable du traitement.

Par ailleurs, la CNIL a relevé que CARREFOUR avait fait le choix d’une information « en plusieurs niveaux », ce qui est certes permis par les recommandations du G29, mais qui en l’espèce n’étaient pas respectées.

Ainsi, le G29 préconise notamment que le premier niveau/la première modalité inclut les détails de la finalité du traitement, l’identité du responsable du traitement et une description des droits des personnes concernées .

Or, la formation restreinte relève en l’espèce que « le premier niveau d’information présent sur le site carrefour.fr, accessible à partir du lien données personnelles , ne fournissait pas ces informations essentielles mais uniquement quelques informations d’ordre général comme la possibilité, pour les personnes concernées, de consulter les données personnelles qui [les] concernent ou d’ exercer les différents droits dont elles bénéficient, ou l’une des finalités du traitement (la présentation d’offres personnalisées). »

En résumé, le critère d’accessibilité de l’information n’était pas rempli par l’entreprise.

Une information inintelligible 

La CNIL rappelle que l’information relative aux données personnelles doit être délivrée en des termes « clairs et simples », afin qu’elle soit compréhensible pour les utilisateurs.

On serait tenté de recommander la même clarté et intelligibilité au législateur européen, tant le RGPD, à l’instar de nombreux textes européens, reste un document technique et parfois peu compréhensible…

Quoi qu’il en soit, c’est à l’entreprise de faire en quelque sorte ce travail de « traduction », et surtout d’application concrète de la règlementation à son système d’information, et de le présenter de façon claire et simple aux personnes dont elle traite les données.

En l’espèce, il suffit de se reporter à la décision pour constater que les expressions utilisées étaient pour le moins absconses et inintelligibles pour le commun des mortels, voire même pour un praticien averti.

Ainsi, la politique de confidentialité de CARREFOUR indiquait par exemple que :

ces traitements incluent notamment , pour l’une ou plusieurs des raisons suivantes ou vos données sont susceptibles d’être utilisées …-(lesquelles ?..)

vous disposez également d’un droit d’obtenir la limitation d’un traitement et d’un droit à la portabilité des données que vous avez pu fournir, qui trouveront à s’appliquer dans certains cas (mais lesquels ?)

vos données pourront (mais quand ? ) peut-être transmises à tout ou partie des destinataires suivantes : […] les marques partenaires, mais dans ce cas ces derniers n’ont pas accès ni directement ni indirectement aux données vous concernant et seuls [sic] des données liées à votre profil sans qu’il soit possible de vous identifier directement ou indirectement, aux sociétés du groupe Carrefour pour les finalités susvisées s’agissant des destinataires des données… (comprenne qui pourra !)

Ainsi, d’une façon générale, l’emploi de formulations imprécises ou ambiguës comme « notamment », « dans certains cas », ou l’emploi systématique du conditionnel, sont jugées comme de mauvaises pratiques ne permettant pas de délivrer une information claire et compréhensibles pour les utilisateurs.

La commission estime aussi que « Les formulations utilisées, souvent inutilement compliquées, rendaient la lecture des mentions d’information particulièrement fastidieuse, même pour une personne éclairée. Par exemple, une phrase comme vous pouvez demander à exercer votre droit d’opposition pour motif pour des raisons tenant à votre situation particulière, à un traitement de données personnelles vous concernant lorsque le traitement est fondé sur l’intérêt légitime du responsable de traitement y compris le profilage extraite des conditions générales du site carrefour.fr ne permet pas à un utilisateur profane de comprendre ni l’existence, ni la portée, ni les conditions d’exercice de son droit d’opposition. (et d’ailleurs, nous n’y avons rien compris non plus !!).

La liste est longue, et le lecteur de ce billet (déjà long, lui aussi !), pourra se reporter utilement aux points 75 et suivants de la décision, pour y voir un joyeux florilège de rédactions à proscrire pour sa politique de confidentialité ;

C’est ici qu’il faut rappeler que la politique de confidentialité n’est pas qu’une sorte de « passage obligé », un exercice purement formel, dans lequel on pourrait se contenter de recopier quelques articles du RGPD : c’est le document qui doit permettre de délivrer une information accessible et compréhensible, et qui par conséquent conditionne la validité de l’engagement des personnes concernées, et donc la licéité du traitement.

Une mauvaise politique de confidentialité peut ainsi rendre le traitement illicite, et donc exposer à de lourdes sanctions, comme l’illustre cette décision.

Une information incomplète

Non seulement la politique de confidentialité était peu compréhensible, mais elle était également incomplète, en ce qu’elle ne contenait pas toutes les informations requises par l’article 13 du RGPD.

La CNIL s’est notamment attardée sur deux points : la base légale et la durée de conservation.

Concernant la base légale, c’est souvent l’un des points les plus épineux du document, et, et nécessite une réelle analyse juridique des traitements de données réalisées par l’entreprise.

Comme le rappelle la CNIL, l’indication de la base légale applicable à chaque traitement présente une importance particulière, car elle conditionne l’existence et la mise en œuvre de certains droits. Par exemple, le droit d’opposition n’est pas applicable lorsque le traitement est fondé sur une obligation légale ; et un traitement fondé sur le consentement doit cesser lorsque la personne retire son consentement.

Or, en l’espèce, CARREFOUR se contentait la société d’indiquer que « les données à caractère personnel peuvent être traitées en raison du consentement de l’utilisateur, de l’exécution du contrat ou de l’intérêt légitime du responsable de traitement », sans plus de précisions, ni de distinctions entre les différents traitements.

La CNIL condamne donc là encore la « liste à la Prévert » que l’on voit dans certaines politiques de confidentialité, et qui ne permet pas de s’assurer de la licéité du traitement, pour chaque traitement de données mis en œuvre.

Enfin, CARREFOUR et CARREFOUR BANQUE sont épinglées pour ne pas avoir mentionné de durées de conservation spécifiques pour chaque type de données traitées, comme l’impose l’article 13.2 f) du RGPD.

En l’espèce, les deux sociétés s’étaient contentées de déclarer que « les données à caractère personnel sont conservées aussi longtemps que la finalité légitime du traitement l’exige » … ce qui n’est encore une fois qu’une redite du RGPD, mais ne contient aucune information concrète pour l’utilisateur.

On peut aussi en déduire que l’emploi de formules vagues telles que « les délais de prescription applicables » (sans précision sur la durée de ces délais), ou que « la conservation des données varie selon les réglementations et la loi applicable » n’est pas conforme aux exigences de l’article 13 du RGPD.

En résumé, la morale de cette affaire est assez simple : une politique de confidentialité mal rédigée équivaut à une quasi-absence d’information des utilisateurs, et prive le traitement de toute légalité.

Il est donc recommandé aux entreprises de prendre le temps nécessaire pour la rédaction de ce document, et de ne pas se contenter de documents « standards » que l’on peut trouver un peu partout sur Internet, en se posant les bonnes questions sur les modalités de traitement des données personnelles de ses clients par l’entreprise.  

Le Cabinet Leclère & Louvier Avocats est à votre disposition pour rédiger ou revoir vos documents d’information RGPD, et plus généralement, vous accompagner dans votre démarche de mise en conformité.

Josquin Louvier, Avocat.