Sanction CNIL de Carrefour : une affaire riche d’enseignements

Saisie de plusieurs plaintes, la CNIL a sanctionné deux sociétés du groupe CARREFOUR pour des manquements au RGPD :

  • 2 250 000 euros à l’encontre de CARREFOUR FRANCE (décision ici) pour des manquements en lien en lien essentiellement avec l’information des personnes, les durées de conservation et la sécurité ;
  • 800 000 euros à l’encontre de CARREFOUR BANQUE (décision à lire là) pour des manquements en lien principalement avec l’information des personnes et les cookies.

La CNIL ayant déjà résumé sa décision dans un billet sur son site internet, nous souhaitons plutôt partager avec vous notre regard expert sur ces décisions riches de rappels, mais aussi d’enseignements.

1/ Bien informer les personnes, c’est fournir une information très facilement accessible

La CNIL a reproché à Carrefour d’avoir un intitulé de politique de protection des données trop vague, et de ne pas renvoyer vers la politique en question de façon suffisamment directe dans le cadre de « l’information par strates ». Ce système, qui permet de mettre une clause menue sur un support opérationnel et de renvoyer vers un contenu RGPD plus complet, nécessite en effet de renvoyer directement vers ledit contenu complet et non simplement vers la page d’accueil du site.

L’imprécision de l’intitulé de l’onglet Protection des données bancaires figurant en pied de page du site, évoquant les données bancaires et non les données à caractère personnel, ne pouvait permettre aux personnes concernées de comprendre aisément qu’en cliquant sur ce lien elles allaient être redirigées vers la politique de confidentialité du site

2/ L’information des personnes doit être claire et simple.

« Tu as mal rangé ta chambre ». Voilà ce qu’aurait pu dire Maman CNIL à Carrefour, ce chenapan en pleine crise d’adolescence. Si l’information est disséminée sur plusieurs pages, et si des informations sont trop redondantes, ce n’est pas conforme !

Les informations […] étant dispersées et morcelées entre plusieurs documents (conditions générales d’utilisation, conditions générales de vente, page relative à la protection des données personnelles , page dédiée à l’exercice des droits), certaines informations n’étaient présentes que sur certaines pages, alors que d’autres étaient présentées plusieurs fois.

Et la CNIL de préciser plus loin : « malgré le nombre très important d’informations communiquées, ces dernières n’étaient ni hiérarchisées, ni ordonnées. L’information prenait la forme d’une longue énumération portant sur les différents points du Règlement ». En somme, si c’est visuellement la pagaille, ça l’est intellectuellement aussi !

3/ Pour être transparent vis-à-vis des clients, il faut s’exprimer sans langue de bois

En mai 2018, un discours vaseux type « nous apportons la plus grande attention à la protection de vos données », passe encore. Mais aujourd’hui il n’est plus temps du tout. On veut du vrai, du concret, du précis !

Les mentions d’information doivent s’attacher, autant que faire se peut, à utiliser un vocabulaire simple, faire des phrases courtes et employer un style direct, mais aussi éviter les termes juridiques ou techniques, les termes abstraits ou ambigus et les formules telles que nous pourrions utiliser vos donnéesune possible utilisation de vos donnéesquelques données vous concernant sont utilisées

Le régulateur des données à caractère personnel a reproché à Carrefour de ne pas préciser les durées de conservation ni même d’expliquer son mode de fonctionnement sur le sujet. La CNIL a également indiqué que les bases légales renseignées par la société étaient bien trop vagues, car trop « en lot » : « vos données pourront servir à ceci, cela, et peut-être aussi ça, etc. ». Au cas où vous n’auriez pas encore compris, on ne joue pas aux devinettes dans les mentions RGPD !

4/ Le principe de loyauté demande de la précision

La CNIL a reproché à CARREFOUR BANQUE de manquer d’honnêteté envers ses clients à propos du partage de données avec CARREFOUR FRANCE, entité du même groupe. La banque oubliait de dire qu’elle transmettait l’adresse postale, le numéro de téléphone et le nombre d’enfants aux copains d’en face.

Le rapporteur considère ainsi que la société a manqué au principe de loyauté dès lors qu’elle transmettait à la société CARREFOUR FRANCE plus de données à caractère personnel concernant les souscripteurs de la carte Pass, que celles limitativement énumérées dans le cadre du parcours de souscription en ligne.

Expliquer qu’on partage 2 ou 3 données avec « les sociétés de notre groupe » n’est donc clairement pas suffisant.

5/ On peut acheter des données, mais la transparence n’a pas de prix

Il a été reproché à CARREFOUR, dans le cadre de l’exercice d’un droit d’accès d’un client d’une société rachetée par le groupe, de ne pas avoir rappelé la provenance des données ; quand bien même tous les clients avaient été informés du rachat de la société par l’enseigne de grande distribution.

Par ailleurs les fusions et acquisitions de sociétés ne donnent pas la qualité de « primo-collectant » à la société ayant absorbé l’autre.

La formation restreinte considère que la fusion ultérieure entre le site web ooshop et le site carrefour.fr ne donne pas à la société CARREFOUR FRANCE la qualité de primo-collectant des données à caractère personnel. En effet, les données à caractère personnel ont été transmises à la société CARREFOUR FRANCE par la société OOSHOP, ce qui correspond au cas d’une collecte indirecte, les données n’ayant pas été collectées par CARREFOUR FRANCE auprès de la personne concernée.

CARREFOUR aurait donc dû rappeler l’origine des données à la personne concernée ET lui fournir l’information due en tant que collecteur indirect des données (art. 14 RGPD).

6/ En matière de droits des personnes concernées, le silence n’est pas d’or

Une personne concernée a demandé à ce que ses données soient supprimées. Etant limité pour s’exécuter pour des raisons techniques, le groupe CARREFOUR n’a pas donné suite. Il en ressort qu’il aurait dû faire l’effort de surmonter le problème technique (voir point suivant) et surtout, quand bien même c’eut été trop complexe, il eut fallu contacter la personne concernée pour échanger sur le sujet.

[…] parce que l’effacement n’était pas possible sur le fondement de l’article 17 du RGPD, il lui revenait de prendre l’attache des personnes concernées, ce qu’elle n’a pas fait en l’espèce.

7/ L’opt-out dans les emails de prospection commerciale, contrairement aux antibiotiques, c’est automatique !

CARREFOUR a fait une double boulette à l’occasion de campagnes de prospection commerciale. D’abord, la société a mis un mauvais lien de désabonnement dans un mailing à près de 350.000 personnes – excusez du peu – forçant à se connecter à un compte pour gérer le désabonnement. Problème ? De nombreux destinataires de l’email, sélectionnés par erreur, n’avaient pas de compte CARREFOUR.

Le rapporteur considère que la société a manqué à ses obligations découlant de l’article L.34-5 du code des postes et des communications électroniques dès lors qu’elle n’a pas systématiquement offert aux destinataires de ses courriels de prospection un moyen simple et effectif de se désabonner dans les courriels en question.

La seconde erreur est partagée entre CARREFOUR et son prestataire chargé de rooter des SMS commerciaux et de remonter les « STOP SMS » exprimés par les prospects. Le prestataire était chargé de faire une remontée journalière des oppositions, puis une synthèse mensuelle. Dans l’une de ces synthèses, quelques demandes ont été oubliées. Côté CARREFOUR, l’erreur était de ne jamais traiter les demandes au jour de jour et de toujours attendre la synthèse mensuelle pour agir.

Pour autant, la formation restreinte souligne que la société avait reçu cette opposition dans le cadre de la transmission au fil de l’eau et qu’elle aurait donc dû cesser toute prospection commerciale envers le plaignant.

8/ Une donnée à caractère personnel en clé primaire d’une base de données ? Mauvaise idée

La base de données de prospection commerciale de la société sanctionnée par la CNIL avait pour clé d’entrée une adresse email. Une telle architecture ne permettait donc pas, d’après CARREFOUR, de faire droit à une demande de suppression d’adresse email, puisque tout les autres données du même utilisateur auraient été impactées.

Que voilà une situation mal réfléchie d’après la CNIL ! Si l’organisation choisie ne permet pas de respecter le RGPD et n’a aucun autre fondement que « on a toujours fait comme ça », alors il faut en changer.

La formation restreinte constate que la société a fait le choix d’utiliser comme clef d’entrée de sa base de données l’adresse électronique des personnes, donc une donnée à caractère personnel. Cette décision purement pratique, sans que la conservation de la donnée en question soit justifiée par une quelconque finalité légitime au regard des éléments du dossier, ne saurait lui permettre de s’exonérer de ses obligations […].

9/ Les cookies, c’est pas de la tarte

Rien d’inédit sur le sujet. La CNIL rappelle inlassablement que seuls les cookies techniques indispensables au fonctionnement du site peuvent être déposés sans consentement préalable. Ce qui est plus intéressant, c’est que la CNIL a l’air de considérer qu’on ne peut jamais entrer dans ces exceptions lorsqu’on utilise Google Analytics, car elle n’évoque à aucun moment la possibilité de paramétrer le compte pour activer les mécanismes d’anonymisation d’adresses IP – et les avocats-conseils de CARREFOUR non plus d’ailleurs.

S’agissant de ces trois cookies, dits Google analytics, la formation restreinte souligne qu’il ne fait pas débat que les données collectées par ces cookies peuvent être recoupées avec des données […] notamment pour mener à bien de la publicité personnalisée. […] Dès lors, ces cookies n’ont pas pour finalité exclusive de permettre ou de faciliter la communication par voie électronique et ne sont pas strictement nécessaires à la fourniture du service. Leur dépôt aurait donc dû obliger la société à recueillir préalablement le consentement des utilisateurs.

10/ Pour une violation de données, 4000 comptes, c’est beaucoup. Et puis c’est l’intention qui compte…

Le groupe CARREFFOUR a subi une attaque informatique ciblée sur l’une de ses applications mobiles. L’attaque n’a réussi « que » pour 4000 comptes, mais les logs prouvent que les comptes clients n’ont été « que » consultés  et « que » dans 275 cas sur 4000, sans conséquence directe pour les clients. Pour autant la CNIL estime que la société aurait dû prendre en considération les mauvaises pratiques  numériques très répandues chez les consommateurs – notamment celle d’avoir la même combinaison email et mot de passe partout – pour considérer qu’il y avait un vrai risque pour ces personnes au-delà de ce qui avait été fait ou non sur son application ; et aurait dû considérer que 4000 c’est un « grand nombre de personnes concernées » justifiant de notifier l’incident au régulateur.

La formation restreinte relève que les 4 000 comptes pour lesquels aucun accès effectif n’a été constaté mais qui ont fait l’objet d’une authentification réussie doivent être regardés comme participant à l’appréciation du risque. […] Il existait donc un risque sérieux [pour ces 4000 clients] que les attaquants ayant identifié un couple adresse électronique/mot de passe valide essaient de le réutiliser sur d’autres sites web (technique appelée credential stuffing).

La CNIL précise que « la gravité de la violation découle de l’origine à l’évidence malveillante de cette attaque » et « du grand nombre de personnes concernées ». Donc du moment que de nombreuses personnes sont concernées (et non impactées) et du moment que les intentions des attaques… sont mauvaises… il faut notifier à la CNIL!

Blague à part, il faut clairement différencier l’erreur ou le problème technique de l’attaque volontaire dans l’appréciation d’une violation de données à notifier, ou non, à la CNIL.

11/ En matière de sécurité, on ne remet pas à demain ce qu’on peut faire aujourd’hui

Pour terminer la société a été pointée du doigt pour avoir mal pris en charge une vulnérabilité connue de son site web. Lors d’un achat sur le site carrefour.fr, une facture est mise à disposition du client sur son espace personnel après la livraison de la commande ou le retrait en magasin. Cette facture était accessible par une adresse URL fixe par toute personne disposant de cette adresse, tombant dessus par hasard, ou la cherchant volontairement à l’aide d’un petit script bien senti ; sans qu’il soit nécessaire de s’authentifier et de se connecter à son espace client.

CARREFOUR a détecté la vulnérabilité, a envisagé une mesure permettant de corriger définitivement la question (rendre l’authentification obligatoire), mais a préféré remettre ces développements un peu plus lourds à plus tard et a simplement fait ajouter une chaîne de caractères aléatoires dans les URLs générées.

Or ce type de correction est de nature à fortement réduire le risque d’accès indu aux données, mais pas à le faire disparaitre.

En conséquence, la formation restreinte considère que l’absence de mise en place de l’authentification préalable obligatoire à la suite de la découverte de la vulnérabilité – alors que cette mesure avait été identifiée et qu’elle est la seule mesure permettant d’empêcher complètement le risque – constitue un manquement à l’article 32 du Règlement.

télétravail

Les 10 commandements du RGPD pour un télétravail sécurisé

La pratique du télétravail a considérablement augmenté ces dernières années et particulièrement sur ces derniers mois. Qu’il soit récurrent ou occasionnel le travail à distance présente de nombreux avantages : horaires flexibles, plus écologique, temps de transport réduit etc. 

Cependant, travailler à la maison ne veut pas dire « faire comme chez soi ». Dès que l’on sort de son environnement interne de travail, les données que nous traitons sont plus exposées, ce qui présente un risque pour le système d’information de votre entreprise.  

Pour préserver la sécurité de ce système d’information, les règles et bonnes pratiques de sécurité appliquées par votre entreprise (ex-Charte informatique, PSSI, etc.) continuent d’exister chez vous.

Lire la suite

Arrêt du Réseau Téléphonique Commuté (RTC)

Depuis le 15 novembre 2018 c’est la fin « officielle » du réseau RTC. Les opérateurs ne traitent depuis plus aucune commande de ligne analogique ou de lignes T0 (PABX). Cela concerne également les déménagements ou l’ajout de SDA et autres options sur ce type de support.

Dans cette phase de transition, SRC Solution vous accompagne dans vos projets de migration ToiP.

Lire la suite

Adaptive authentication

Le SSO, entre expérience utilisateur et sécurité

La mise en œuvre de l’authentification unique, ou single sign-on (SSO), est une opportunité d’amélioration de l’expérience utilisateur. Il s’agit en effet de lui permettre d’accéder à l’ensemble de ses applications à l’aide d’une seule authentification initiale. Cela limite en effet le nombre de mots de passe à retenir, à saisir et à renouveler.

Mais sa mise œuvre est aussi très intéressante d’un point de vue sécurité. Elle permet la centralisation des authentifications et donc l’application et le contrôle plus simple des politiques de sécurité. Si le SSO est correctement mis en œuvre via l’utilisation de mécanismes de contrôle avancés (accès conditionnel, authentification multi facteurs ou MFA entre autres), il permet d’améliorer la sécurité globale du SI grâce à un contrôle précis et adaptatif des authentifications.

 

Lire la suite

SRC Solution, retenu sur le nouveau marché AMO SSI de la CAIH

La Centrale d’Achat de l’Informatique Hospitalière (CAIH) a retenu SRC Solution et Advens sur le lot A du nouveau marché AMO SSI, pour proposer des services d’accompagnement, de conseil et d’audit afin d’optimiser la sécurité des systèmes d’information (SSI).

Les adhérents de la CAIH peuvent ainsi bénéficier d’une large expertise de services, prestations intellectuelles, sensibilisation et formation autour de la gouvernance de la sureté de fonctionnement des systèmes d’information.

Lire la suite

Réussir le déploiement d’un SOC (Security Operation Center)

Face à l’exposition croissante aux menaces informatiques, et à l’arrivée de nouvelles contraintes réglementaires comme le Règlement Général sur la Protection des Données (RGPD) qui renforce la protection des données personnelles, toute organisation se doit d’améliorer la maîtrise de la sécurité de ses systèmes d’information.

Le Security Operation Center (SOC) est constitué d’une équipe d’experts qui jouent le rôle de « Tour de Contrôle » pour la surveillance de la sécurité globale des Systèmes d’information, pendant que les équipes de supervision s’occupent de la surveillance du bon fonctionnement des SI.

Lire la suite

Quand la CJUE frappe de nouveau sur les transferts de données hors UE…

En bref :

Ce jeudi 16 juillet 2020, la CJUE a invalidé le Privacy Shield, connu également sous le nom de Bouclier de Protection des Données.

Pour rappel, le Privacy Shield était un mécanisme d’auto-certification reconnu par la Commission européenne comme offrant un niveau adéquat de protection des données personnelles transférées par une entité européenne vers une entité américaine. En somme, ce mécanisme présentait des garanties juridiques suffisantes pour de tels transferts.

Lire la suite

Pilot Telecom, l’outil GFT (Gestion Financière des Télécoms) de SRC Solution

Spécialisé dans les systèmes d’informations depuis près de 20 ans, le cabinet de conseil SRC Solution est historiquement présent sur le domaine des télécoms notamment via son outil de GFT (Gestion Financière des Télécoms), Pilot Telecom. Si les coûts de télécommunications varient évidemment en fonction du secteur d’activité, ils représentent en moyenne plus de 2500€/an et par salarié[1]. De plus, près de 80% des factures de télécommunications ne sont aujourd’hui pas vérifiées. Cela signifie donc que ce budget conséquent, souvent géré par la Direction des Systèmes d’information peut souvent faire l’objet d’une optimisation.

Lire la suite

Logo StopCovid

StopCovid France : installation/pas installation ?

StopCovid France : installation/pas installation ?

Ces derniers jours, l’Internet français est en ébullition concernant l’application StopCovid France. Entre théories du complot, peurs irrationnelles, articles approximatifs techniquement et tentatives malheureuses de vulgarisation, l’avis majoritaire est globalement négatif quant à cette solution de lutte contre le SARS-CoV-2. Aussi, il nous semblait intéressant de présenter notre vision de spécialistes de la sécurité des systèmes d’information et de la protection des données à caractère personnel, en toute honnêteté intellectuelle, et sans prétention aucune.

Lire la suite

Cookies et traceurs : quelle est la bonne recette ?

Les cookies et traceurs sont omniprésents dans l’univers numérique. Alors même qu’ils demeurent souvent invisibles et inconnus pour l’utilisateur voire pour l’éditeur d’un service électronique, ils peuvent porter gravement atteinte aux droits des internautes et font, à ce titre, l’objet d’une réglementation exigeante.

Lire la suite