Données personnelles 30 000 € d’amende pour BrandAlley.fr

Données personnelles

30 000 € d’amende pour BrandAlley.fr

Publié le : 20/07/2016 

Installation de mouchards sur l’ordinateur de ses clients sans accord préalable, échange de données personnelles non sécurisé, non-respect des règles de transfert de ces données hors de l’Union européenne… La société BrandAlley.fr prend ses aises avec la loi Informatique et libertés de 1978. Faute d’avoir corrigé de nombreux  manquements manifestes, la société vient d’écoper d’une amende de 30 000 € de la part de la Cnil (Commission nationale de l’informatique et des libertés).

 

BrandAlley.fr investit trop d’énergie dans la recherche de bons plans pour ses clients, et pas assez dans la gestion de leurs données personnelles. Le site de vente de produits mode et d’articles de maison dégriffés, qui promet jusqu’à 70 % de réduction sur les prix d’origine, vient de se faire tacler par la Cnil (Commission nationale de l’informatique et des libertés) pour de nombreux manquements à la loi. « Les faits [sont] d’une particulière gravité au regard du volume de personnes concernées », estime la Commission, qui a choisi de marquer les esprits en infligeant à la société une amende de 30 000 €. Difficile de connaître précisément le nombre de clients concernés, mais nul doute qu’ils sont plusieurs millions : BrandAlley.fr revendique la 15e place dans le classement des sites marchands français.

Trop gourmand en cookies… et en données bancaires

Avant de sanctionner l’entreprise, la Cnil l’avait pourtant mise en garde. En janvier 2015, un contrôle dans les locaux avait révélé une gestion laconique des comptes clients. Quelques mois plus tard, BrandAlley recevait une mise en demeure de se conformer à la loi dans les 3 mois. La liste des points à rectifier était longue comme le bras : déposer une demande d’autorisation auprès de la Cnil pour encadrer le traitement relatif à la prévention des fraudes, mettre en œuvre une durée de conservation des données des clients, recueillir leur consentement à la conservation de leurs données bancaires, informer et obtenir l’accord préalable des clients au dépôt de cookies sur leur ordinateur, assurer la sécurité et la confidentialité des données collectées, cesser de transmettre des données à caractère personnel vers le Maroc et la Tunisie (ces États n’assurant pas un niveau suffisant de protection de la vie privée, une notion qui demeure fondamentale dans la réglementation européenne)… Le cahier des charges était si étoffé que BrandAlley a obtenu un délai supplémentaire de 3 mois pour le remplir.    

En janvier 2016, la société indiquait qu’elle était rentrée dans les clous. Mais son courrier, trop lacunaire aux yeux de la Cnil, a donné lieu à de nouveaux contrôles, qui ont montré que… Rien n’avait vraiment changé. BrandAlley a 2 mois pour contester la sanction devant le Conseil d’État. 

Mise à jour du 20 juillet 2016

Bien que contactée avant la publication de notre article, BrandAlley.fr a réagi après en avoir pris connaissance. Ce matin, elle précise par la voix de son avocate qu’elle ne déposera pas de recours devant le Conseil d’État, comme la procédure l’y autorise. « Les faits sont têtus », explique Me Nathalie Boyer-Haouzi, qui concède que lors du second contrôle de la Cnil en février 2016 « il restait quelques cookies et certains bugs, et c’est pourquoi nous avons été sanctionnés. Mais en six mois, entre la refonte du site Internet et la rédaction des nouvelles conditions générales de vente, nous avons abattu un travail titanesque pour nous conformer à la loi. » BrandAlley.fr assure qu’aujourd’hui, la totalité des manquements constatés par la Cnil ont été corrigés.