« Pognon de dingue » : la boutique de l’Elysée est sous le coup d’une enquête de la Cnil

La Cnil a ouvert, le 17 septembre dernier, une enquête qui vise la boutique officielle de l’Elysée. Plusieurs points montrent que la boutique ne serait pas en règle avec le nouveau RGPD et les données personnelles des utilisateurs en ligne ne seraient pas assez bien protégées. L’instruction déterminera si des sanctions doivent être prononcées.  

La boutique officielle de l’Elysée n’en finit plus de faire parler d’elle. D’abord parce que les chiffres de ventes en seulement trois jours sont tout bonnement exceptionnels. On parle de plus de 7 000 goodies vendus du vendredi 14 au dimanche 16 pour une somme de 347 000€. 

Mais plusieurs couacs sont venus perturber la tenue de cette boutique. D’abord avec l’histoire de la « fausse porcelaine« de Limoges dont étaient composées plusieurs objets alors même qu’ils portaient cette mention. De même, les opposants de LaREM parlent de culte de l’image avec la vente d’objets à l’effigie du Président de la République. 

Enfin, plus récemment, nous apprenons que la Cnil, la Commission nationale de l’informatique et des libertés, mènent actuellement une enquête sur la boutique. Cette dernière est accusée de ne pas respecter les obligations en vigueur nouvellement instaurées par le RGPD, le Règlement Général relatif à la Protection des Données personnelles.  

Une plainte « complexe«

Le 17 septembre dernier, le site NextImpact annonçait avoir saisi la Cnil après avoir « identifié différents problèmes susceptibles de se poser dans ce haut lieu de consommation made in France ». Une information que la Cnil elle-même nous a confirmé alors que nous la sollicitions. 

La structure en charge de faire respecter les règles en vigueur en matière de politique de sécurité numérique nous indique que « cette plainte porte sur la politique de cookie (consentement/droit d’opposition), le droit d’information, la newsletter, la durée de conservation [des informations] et le DPO [Délégué à la protection des données]. » 

Dans son article, nos confrères de NextImpact expliquent que le recueil du consentement des clients internet par le simple clic sur un bouton « accepter » pu « refuser » paraît bien léger au regard des cookies qui sont utilisés, à savoir « techniques, d’analyse statistique, relatifs aux préférences, et enfin de ciblage ou publicitaires. » En outre, il est impossible de différencier les types de cookies que l’on autorise. Soit on les refuse tous, soit on les autorise tous.  

Sur l’exploitation des données personnelles, on constate que l’Elysée ratisse très large. Le point 4 précise que l’utilisateur à la possibilité de s’inscrire à une newsletter (mais aussi de s’en désabonner). Une fois inscrit, il recevra régulièrement « des actualités de la Présidence et des offres proposées sur le site Web ». Seulement, le point 5 explique que la « Présidence de la République pourra utiliser vos Données Personnelles pour vous envoyer des informations concernant l’actualité de la Présidence. »  

Premier souci : par ce montage somme toute très imprécis, une personne qui ne serait pas inscrite ou qui se serait désabonnée pourrait recevoir l’actualité de la République. Deuxième souci : le terme donné personnelles concerne beaucoup d’éléments. La Présidence pourrait donc avoir, d’après ce terme générique, aux noms, prénoms, adresse, numéro de téléphone, email, données bancaires, login et mots de passe des utilisateurs. En clair, tout ce qui permet l’identification de l’utilisateur.  

Par ailleurs, le site de la boutique de l’Elysée ne précise pas combien de temps seraient conservées ces données. Le RGPD autorise l’absence de cette précision. Néanmoins, il faut que les critères définissant cette durée de détention soit indiquée, de même qu’elle soit en rapport avec un but légitime. But qui n’est jamais exprimé. 

Enfin, les utilisateurs vont devoir se montrer vigilant quant à la transmission de leurs données. Le RGPD indique que le DPO doit être indépendant. Sauf qu’en y regardant de plus près, l’adresse mail du DPO correspond à une adresse utilisée par le responsable de traitement. Or, il devrait y avoir une indépendance totale.  

En outre, la société qui utilise ce mail le communique aussi aux autres sociétés avec lesquelles elle collabore. On peut facilement imaginer que les données collectées puissent arriver entre les mains d’autres entreprises, qui n’auraient aucun lien avec la boutique de l’Elysée. 

La Cnil mène l’enquête !

Joint par nos services, la Cnil a immédiatement répondu à nos questions. Cette dernière confirme bien qu’une plainte a été déposée et qu’elle porte sur les griefs mentionnés ci-dessus. Par ailleurs, la structure nous informe qu’une enquête est en cours. Mais elle n’a pas souhaité nous communiquer une date de fin d’instruction. Elle précise juste que « les délais de traitement varient de manière très significative en fonction de la complexité de la plainte. » Au vu de la complexité de cette dernière, il se pourrait qu’elle dure quelques temps. 

Pour autant, impossible de savoir si la Cnil dispose déjà d’éléments qui incrimineraient la boutique de l’Elysée. « La Cnil ne communique pas sur l’instruction des plaintes en cours ». Si l’enquête montre qu’effectivement l’Elysée a manqué à ses obligations, la Cnil dispose de tout un arsenal de sanctions. 

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut : 

  • Prononcer un rappel à l’ordre ;
  • Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
  • Prononcer une amende administrative.

Avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques. 

Commission nationale de l’informatique et des libertés 

 

En 2016, la Cnil avait enregistré 7 703 plaintes. Le record date de 2015 avec 7 900 plaintes. Gageons que celle-ci ne tombe pas dans les oubliettes.  

La boutique officielle de l’Elysée n’en finit plus de faire parler d’elle. D’abord parce que les chiffres de ventes en seulement trois jours sont tout bonnement exceptionnels. On parle de plus de 7 000 goodies vendus du vendredi 14 au dimanche 16 pour une somme de 347 000€. 

Mais plusieurs couacs sont venus perturber la tenue de cette boutique. D’abord avec l’histoire de la « fausse porcelaine« de Limoges dont étaient composées plusieurs objets alors même qu’ils portaient cette mention. De même, les opposants de LaREM parlent de culte de l’image avec la vente d’objets à l’effigie du Président de la République. 

Enfin, plus récemment, nous apprenons que la Cnil, la Commission nationale de l’informatique et des libertés, mènent actuellement une enquête sur la boutique. Cette dernière est accusée de ne pas respecter les obligations en vigueur nouvellement instaurées par le RGPD, le Règlement Général relatif à la Protection des Données personnelles.  

Une plainte « complexe«

Le 17 septembre dernier, le site NextImpact annonçait avoir saisi la Cnil après avoir « identifié différents problèmes susceptibles de se poser dans ce haut lieu de consommation made in France ». Une information que la Cnil elle-même nous a confirmé alors que nous la sollicitions. 

La structure en charge de faire respecter les règles en vigueur en matière de politique de sécurité numérique nous indique que « cette plainte porte sur la politique de cookie (consentement/droit d’opposition), le droit d’information, la newsletter, la durée de conservation [des informations] et le DPO [Délégué à la protection des données]. » 

Dans son article, nos confrères de NextImpact expliquent que le recueil du consentement des clients internet par le simple clic sur un bouton « accepter » pu « refuser » paraît bien léger au regard des cookies qui sont utilisés, à savoir « techniques, d’analyse statistique, relatifs aux préférences, et enfin de ciblage ou publicitaires. » En outre, il est impossible de différencier les types de cookies que l’on autorise. Soit on les refuse tous, soit on les autorise tous.  

Sur l’exploitation des données personnelles, on constate que l’Elysée ratisse très large. Le point 4 précise que l’utilisateur à la possibilité de s’inscrire à une newsletter (mais aussi de s’en désabonner). Une fois inscrit, il recevra régulièrement « des actualités de la Présidence et des offres proposées sur le site Web ». Seulement, le point 5 explique que la « Présidence de la République pourra utiliser vos Données Personnelles pour vous envoyer des informations concernant l’actualité de la Présidence. »  

Premier souci : par ce montage somme toute très imprécis, une personne qui ne serait pas inscrite ou qui se serait désabonnée pourrait recevoir l’actualité de la République. Deuxième souci : le terme donné personnelles concerne beaucoup d’éléments. La Présidence pourrait donc avoir, d’après ce terme générique, aux noms, prénoms, adresse, numéro de téléphone, email, données bancaires, login et mots de passe des utilisateurs. En clair, tout ce qui permet l’identification de l’utilisateur.  

Par ailleurs, le site de la boutique de l’Elysée ne précise pas combien de temps seraient conservées ces données. Le RGPD autorise l’absence de cette précision. Néanmoins, il faut que les critères définissant cette durée de détention soit indiquée, de même qu’elle soit en rapport avec un but légitime. But qui n’est jamais exprimé. 

Enfin, les utilisateurs vont devoir se montrer vigilant quant à la transmission de leurs données. Le RGPD indique que le DPO doit être indépendant. Sauf qu’en y regardant de plus près, l’adresse mail du DPO correspond à une adresse utilisée par le responsable de traitement. Or, il devrait y avoir une indépendance totale.  

En outre, la société qui utilise ce mail le communique aussi aux autres sociétés avec lesquelles elle collabore. On peut facilement imaginer que les données collectées puissent arriver entre les mains d’autres entreprises, qui n’auraient aucun lien avec la boutique de l’Elysée. 

La Cnil mène l’enquête !

Joint par nos services, la Cnil a immédiatement répondu à nos questions. Cette dernière confirme bien qu’une plainte a été déposée et qu’elle porte sur les griefs mentionnés ci-dessus. Par ailleurs, la structure nous informe qu’une enquête est en cours. Mais elle n’a pas souhaité nous communiquer une date de fin d’instruction. Elle précise juste que « les délais de traitement varient de manière très significative en fonction de la complexité de la plainte. » Au vu de la complexité de cette dernière, il se pourrait qu’elle dure quelques temps. 

Pour autant, impossible de savoir si la Cnil dispose déjà d’éléments qui incrimineraient la boutique de l’Elysée. « La Cnil ne communique pas sur l’instruction des plaintes en cours ». Si l’enquête montre qu’effectivement l’Elysée a manqué à ses obligations, la Cnil dispose de tout un arsenal de sanctions. 

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut : 

  • Prononcer un rappel à l’ordre ;
  • Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
  • Prononcer une amende administrative.

Avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques. 

Commission nationale de l’informatique et des libertés 

 

En 2016, la Cnil avait enregistré 7 703 plaintes. Le record date de 2015 avec 7 900 plaintes. Gageons que celle-ci ne tombe pas dans les oubliettes.  

Ajouter aux articles favoris
Please login to bookmarkClose
0 Shares:
Vous pourriez aussi aimer

Retraites : décision en juillet pour l’abattement fiscal des retraités

Alors que les dirigeants de l'Etat sont à la recherche d'une quarantaine de milliards d'euros pour établir le budget de l'an prochain et qu'en parallèle - et non sans lien - le débat public sur l'avenir des retraites continue de donner lieu à des positionnements divers et variés, le ministre de l'Economie et des Finances Eric Lombard vient de donner quelques précisions quant au calendrier de la décision qui doit être prise au sujet, relatif à ces deux enjeux publics majeurs, du sort de l'abattement fiscal des...
Lire plus

5 avenants santé-prévoyance attendus sont finalement publiés au BOCC

Cinq textes parus cette semaine au Bulletin officiel des conventions collectives (BOCC) ont, pour la plupart, déjà été diffusés en avant-première dans nos colonnes. Deux concernent les régimes frais de santé de la convention collective nationale (CCN) Syntec et de la CCN des laboratoires de biologie médicale. Trois autres textes, signé dans la coopération maritime et dans les Etarf, révisent les catégories objectives des CCN, plusieurs mois après la date limite de conformité. ...

La production agricole et CUMA révisent sa grille des salaires

L’avenant n°9 du 12 mars 2025 à la convention collective nationale (CCN) de la production agricole et des coopératives d’utilisation de matériel agricole (CUMA) (IDCC 7024) actualise les salaires minima applicables au sein de la CCN. Ce texte prend en compte l’évolution du SMIC intervenue au 1er novembre 2024. Le texte entrera en vigueur le premier...

Les caves coopératives vinicoles actualisent leur grille salariale

L’avenant n°98 du 12 février 2025 à la convention collective nationale des caves coopératives vinicoles (IDCC 7005) actualise la grille des salaires minima conventionnels. Ce texte remplace l’avenant n°97 du 17 janvier 2024. Le texte s'applique depuis le 1er janvier 2025. Il n'a pas encore reçu d'avis d'extension. ...

Nouvelle présidence pour le conseil d’administration de l’Agence de la biomédecine

Un décret du 28 avril 2025, publié au Journal officiel du 30 avril, pris par le Président de la République sur proposition du Premier ministre et de la ministre du travail, de la santé, des solidarités et des familles, désigne le nouveau président du conseil d’administration de l’Agence de la biomédecine. Il s’agit de Jacques-Olivier Bay, dont la nomination intervient après son audition devant les commissions des affaires sociales du Sénat et de...