Par une délibération du 29 décembre 2023, la CNIL a prononcé une amende de 105.000 euros à l’encontre de la société NS CARDS FRANCE en raison de la violation des règles sur les cookies et autres traceurs, et de plusieurs manquements au RGPD, concernant notamment l’information des personnes concernées, la durée de conservation des données, et la sécurité des données.
La société NS CARDS FRANCE est une entreprise qui édite le site Internet « neosurf.com » et l’application mobile « NEOSURF », permettant d’effectuer des paiements en ligne sur des sites Internet partenaires.
Dans le cadre d’un contrôle en ligne sur le site Internet « neosurf », puis d’un contrôle sur place, la CNIL a pointé plusieurs manquements de la société NS CARDS FRANCE.
Tout d’abord, la CNIL a constaté que des cookies de mesure d’audience de Google Analytics étaient déposés sur le terminal des internautes lors de leur arrivée sur le site Internet « neosurf.com », sans recueillir préalablement leur consentement.
La CNIL a également relevé que la société avait recours au module Google « reCAPTCHA » afin de bloquer les robots sur la page d’inscription et de connexion au site Internet et à l’application mobile « neosurf ». Or, ce module repose sur la collecte de données notamment à des fins d’analyse de la société GOOGLE. Selon la CNIL, la société NS CARDS FRANCE aurait dû non seulement informer les internautes mais également recueillir leur consentement à l’utilisation du module « reCAPTACHA », ce qui n’était pas le cas en l’espèce
La CNIL considère ainsi que la société NS CARDS FRANCE a violé les dispositions de l’article 82 de la loi « Informatique et Libertés ».
En outre, la CNIL a constaté que l’information fournie par la société NS CARDS FRANCE sur son site Internet « neosurf.com » et sur son application mobile via la politique de confidentialité était incomplète (la durée de conservation des données ou encore l’ensemble des droits des personnes n’étaient pas mentionnés), non à jour, et uniquement en anglais, alors qu’elle s’adressait essentiellement à un public francophone.
La CNIL considère que cette politique de confidentialité ne permet pas aux personnes concernées d’apprécier à l’avance la portée et les conséquences des traitements de leurs données et n’est ainsi pas conforme aux exigences de transparence de l’information prévues à l’article 12 du RGPD.
Par ailleurs, si la société NS CARDS FRANCE avait défini une durée de conservation des données de ses clients de 10 ans à compter de la dernière opération réalisée sur leur compte, la CNIL a observé qu’en pratique, les comptes étaient uniquement désactivés à l’issue de cette durée. Les données des clients étaient donc conservées, sans tri, en base active, pour une durée indéterminée.
La CNIL considère ainsi que la société NS CARDS FRANCE a commis un manquement à l’article 5-1-e) du RGPD qui précise que les données doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
Enfin, la CNIL a relevé que les règles de choix de mots de passe des comptes des utilisateurs n’étaient pas suffisamment robustes pour garantir la sécurité des données et empêcher que des tiers non autorisés y aient accès.
La CNIL a pareillement constaté que la conservation en clair des mots de passe des utilisateurs, associés à leurs identifiants et à leur adresse électronique, ne permettait pas de garantir leur sécurité.
De même, la fonction de hachage des mots de passe utilisée par la société NS CARDS FRANCE était obsolète.
Selon la CNIL, la société NS CARDS FRANCE a donc manqué à son obligation de sécurité des données prévue à l’article 32 du RGPD.
Cette décision de la CNIL rappelle, une nouvelle fois, l’importance de se conformer à la réglementation applicable à la protection des données à caractère personnel, et notamment, du respect des obligations qui incombent à tout responsable de traitement.