La Cnil a ouvert, le 17 septembre dernier, une enquête qui vise la boutique officielle de l’Elysée. Plusieurs points montrent que la boutique ne serait pas en règle avec le nouveau RGPD et les données personnelles des utilisateurs en ligne ne seraient pas assez bien protégées. L’instruction déterminera si des sanctions doivent être prononcées.
La boutique officielle de l’Elysée n’en finit plus de faire parler d’elle. D’abord parce que les chiffres de ventes en seulement trois jours sont tout bonnement exceptionnels. On parle de plus de 7 000 goodies vendus du vendredi 14 au dimanche 16 pour une somme de 347 000€.
Mais plusieurs couacs sont venus perturber la tenue de cette boutique. D’abord avec l’histoire de la « fausse porcelaine« de Limoges dont étaient composées plusieurs objets alors même qu’ils portaient cette mention. De même, les opposants de LaREM parlent de culte de l’image avec la vente d’objets à l’effigie du Président de la République.
Enfin, plus récemment, nous apprenons que la Cnil, la Commission nationale de l’informatique et des libertés, mènent actuellement une enquête sur la boutique. Cette dernière est accusée de ne pas respecter les obligations en vigueur nouvellement instaurées par le RGPD, le Règlement Général relatif à la Protection des Données personnelles.
Une plainte « complexe«
Le 17 septembre dernier, le site NextImpact annonçait avoir saisi la Cnil après avoir « identifié différents problèmes susceptibles de se poser dans ce haut lieu de consommation made in France ». Une information que la Cnil elle-même nous a confirmé alors que nous la sollicitions.
La structure en charge de faire respecter les règles en vigueur en matière de politique de sécurité numérique nous indique que « cette plainte porte sur la politique de cookie (consentement/droit d’opposition), le droit d’information, la newsletter, la durée de conservation [des informations] et le DPO [Délégué à la protection des données]. »
Dans son article, nos confrères de NextImpact expliquent que le recueil du consentement des clients internet par le simple clic sur un bouton « accepter » pu « refuser » paraît bien léger au regard des cookies qui sont utilisés, à savoir « techniques, d’analyse statistique, relatifs aux préférences, et enfin de ciblage ou publicitaires. » En outre, il est impossible de différencier les types de cookies que l’on autorise. Soit on les refuse tous, soit on les autorise tous.
Sur l’exploitation des données personnelles, on constate que l’Elysée ratisse très large. Le point 4 précise que l’utilisateur à la possibilité de s’inscrire à une newsletter (mais aussi de s’en désabonner). Une fois inscrit, il recevra régulièrement « des actualités de la Présidence et des offres proposées sur le site Web ». Seulement, le point 5 explique que la « Présidence de la République pourra utiliser vos Données Personnelles pour vous envoyer des informations concernant l’actualité de la Présidence. »
Premier souci : par ce montage somme toute très imprécis, une personne qui ne serait pas inscrite ou qui se serait désabonnée pourrait recevoir l’actualité de la République. Deuxième souci : le terme donné personnelles concerne beaucoup d’éléments. La Présidence pourrait donc avoir, d’après ce terme générique, aux noms, prénoms, adresse, numéro de téléphone, email, données bancaires, login et mots de passe des utilisateurs. En clair, tout ce qui permet l’identification de l’utilisateur.
Par ailleurs, le site de la boutique de l’Elysée ne précise pas combien de temps seraient conservées ces données. Le RGPD autorise l’absence de cette précision. Néanmoins, il faut que les critères définissant cette durée de détention soit indiquée, de même qu’elle soit en rapport avec un but légitime. But qui n’est jamais exprimé.
Enfin, les utilisateurs vont devoir se montrer vigilant quant à la transmission de leurs données. Le RGPD indique que le DPO doit être indépendant. Sauf qu’en y regardant de plus près, l’adresse mail du DPO correspond à une adresse utilisée par le responsable de traitement. Or, il devrait y avoir une indépendance totale.
En outre, la société qui utilise ce mail le communique aussi aux autres sociétés avec lesquelles elle collabore. On peut facilement imaginer que les données collectées puissent arriver entre les mains d’autres entreprises, qui n’auraient aucun lien avec la boutique de l’Elysée.
La Cnil mène l’enquête !
Joint par nos services, la Cnil a immédiatement répondu à nos questions. Cette dernière confirme bien qu’une plainte a été déposée et qu’elle porte sur les griefs mentionnés ci-dessus. Par ailleurs, la structure nous informe qu’une enquête est en cours. Mais elle n’a pas souhaité nous communiquer une date de fin d’instruction. Elle précise juste que « les délais de traitement varient de manière très significative en fonction de la complexité de la plainte. » Au vu de la complexité de cette dernière, il se pourrait qu’elle dure quelques temps.
Pour autant, impossible de savoir si la Cnil dispose déjà d’éléments qui incrimineraient la boutique de l’Elysée. « La Cnil ne communique pas sur l’instruction des plaintes en cours ». Si l’enquête montre qu’effectivement l’Elysée a manqué à ses obligations, la Cnil dispose de tout un arsenal de sanctions.
Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :
- Prononcer un rappel à l’ordre ;
- Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
- Prononcer une amende administrative.
Avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.
Commission nationale de l’informatique et des libertés
En 2016, la Cnil avait enregistré 7 703 plaintes. Le record date de 2015 avec 7 900 plaintes. Gageons que celle-ci ne tombe pas dans les oubliettes.
La boutique officielle de l’Elysée n’en finit plus de faire parler d’elle. D’abord parce que les chiffres de ventes en seulement trois jours sont tout bonnement exceptionnels. On parle de plus de 7 000 goodies vendus du vendredi 14 au dimanche 16 pour une somme de 347 000€.
Mais plusieurs couacs sont venus perturber la tenue de cette boutique. D’abord avec l’histoire de la « fausse porcelaine« de Limoges dont étaient composées plusieurs objets alors même qu’ils portaient cette mention. De même, les opposants de LaREM parlent de culte de l’image avec la vente d’objets à l’effigie du Président de la République.
Enfin, plus récemment, nous apprenons que la Cnil, la Commission nationale de l’informatique et des libertés, mènent actuellement une enquête sur la boutique. Cette dernière est accusée de ne pas respecter les obligations en vigueur nouvellement instaurées par le RGPD, le Règlement Général relatif à la Protection des Données personnelles.
Une plainte « complexe«
Le 17 septembre dernier, le site NextImpact annonçait avoir saisi la Cnil après avoir « identifié différents problèmes susceptibles de se poser dans ce haut lieu de consommation made in France ». Une information que la Cnil elle-même nous a confirmé alors que nous la sollicitions.
La structure en charge de faire respecter les règles en vigueur en matière de politique de sécurité numérique nous indique que « cette plainte porte sur la politique de cookie (consentement/droit d’opposition), le droit d’information, la newsletter, la durée de conservation [des informations] et le DPO [Délégué à la protection des données]. »
Dans son article, nos confrères de NextImpact expliquent que le recueil du consentement des clients internet par le simple clic sur un bouton « accepter » pu « refuser » paraît bien léger au regard des cookies qui sont utilisés, à savoir « techniques, d’analyse statistique, relatifs aux préférences, et enfin de ciblage ou publicitaires. » En outre, il est impossible de différencier les types de cookies que l’on autorise. Soit on les refuse tous, soit on les autorise tous.
Sur l’exploitation des données personnelles, on constate que l’Elysée ratisse très large. Le point 4 précise que l’utilisateur à la possibilité de s’inscrire à une newsletter (mais aussi de s’en désabonner). Une fois inscrit, il recevra régulièrement « des actualités de la Présidence et des offres proposées sur le site Web ». Seulement, le point 5 explique que la « Présidence de la République pourra utiliser vos Données Personnelles pour vous envoyer des informations concernant l’actualité de la Présidence. »
Premier souci : par ce montage somme toute très imprécis, une personne qui ne serait pas inscrite ou qui se serait désabonnée pourrait recevoir l’actualité de la République. Deuxième souci : le terme donné personnelles concerne beaucoup d’éléments. La Présidence pourrait donc avoir, d’après ce terme générique, aux noms, prénoms, adresse, numéro de téléphone, email, données bancaires, login et mots de passe des utilisateurs. En clair, tout ce qui permet l’identification de l’utilisateur.
Par ailleurs, le site de la boutique de l’Elysée ne précise pas combien de temps seraient conservées ces données. Le RGPD autorise l’absence de cette précision. Néanmoins, il faut que les critères définissant cette durée de détention soit indiquée, de même qu’elle soit en rapport avec un but légitime. But qui n’est jamais exprimé.
Enfin, les utilisateurs vont devoir se montrer vigilant quant à la transmission de leurs données. Le RGPD indique que le DPO doit être indépendant. Sauf qu’en y regardant de plus près, l’adresse mail du DPO correspond à une adresse utilisée par le responsable de traitement. Or, il devrait y avoir une indépendance totale.
En outre, la société qui utilise ce mail le communique aussi aux autres sociétés avec lesquelles elle collabore. On peut facilement imaginer que les données collectées puissent arriver entre les mains d’autres entreprises, qui n’auraient aucun lien avec la boutique de l’Elysée.
La Cnil mène l’enquête !
Joint par nos services, la Cnil a immédiatement répondu à nos questions. Cette dernière confirme bien qu’une plainte a été déposée et qu’elle porte sur les griefs mentionnés ci-dessus. Par ailleurs, la structure nous informe qu’une enquête est en cours. Mais elle n’a pas souhaité nous communiquer une date de fin d’instruction. Elle précise juste que « les délais de traitement varient de manière très significative en fonction de la complexité de la plainte. » Au vu de la complexité de cette dernière, il se pourrait qu’elle dure quelques temps.
Pour autant, impossible de savoir si la Cnil dispose déjà d’éléments qui incrimineraient la boutique de l’Elysée. « La Cnil ne communique pas sur l’instruction des plaintes en cours ». Si l’enquête montre qu’effectivement l’Elysée a manqué à ses obligations, la Cnil dispose de tout un arsenal de sanctions.
Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :
- Prononcer un rappel à l’ordre ;
- Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
- Prononcer une amende administrative.
Avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.
Commission nationale de l’informatique et des libertés
En 2016, la Cnil avait enregistré 7 703 plaintes. Le record date de 2015 avec 7 900 plaintes. Gageons que celle-ci ne tombe pas dans les oubliettes.
