Paiement électronique : la CNIL inflige une amende de 105 000 euros à NS CARDS FRANCE
Le 29 décembre 2023, la CNIL a prononcé une sanction de 105 000 euros à l’encontre de la société NS CARDS FRANCE pour le non-respect des règles sur les cookies et traceurs ainsi que pour plusieurs manquements au RGPD, concernant la durée de conservation des données, l’information des personnes et la sécurité des données.
Le contexte
NS CARDS FRANCE est une entreprise qui édite le site neosurf.com et l’application mobile « Neosurf » permettant d’effectuer des paiements en ligne après inscription au service.
Fin 2021, la CNIL a procédé à deux contrôles de la société. Lors de ses investigations, elle a relevé des manquements concernant les durées de conservation des données de comptes utilisateurs, l’information des personnes, la sécurisation des données et les modalités de dépôt des cookies et traceurs sur le terminal des utilisateurs.
En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer des sanctions – a prononcé deux amendes à l’encontre de NS CARDS FRANCE :
- une amende au regard des manquements au règlement général sur la protection des données (RGPD). Cette amende a été prise en coopération avec 17 homologues européens de la CNIL dans le cadre du guichet unique, car le site web a des visiteurs dans plusieurs États membres de l’Union européenne ainsi qu’en Norvège.
- une amende concernant le manquement relatif à l’utilisation des cookies et traceurs (article 82 de la loi Informatique et Liberté). Dans ce cas, la CNIL est compétente pour agir seule.
Afin de déterminer le montant de la sanction, la CNIL a pris en compte la nature des manquements, la négligence dont a fait preuve la société, les catégories de données personnelles (incluant des données bancaires), le nombre de personnes concernées et la situation financière de la société.
Les manquements sanctionnés
La CNIL a retenu trois manquements au RGPD et un manquement à la loi Informatique et Libertés à l’encontre de la société NS CARDS FRANCE.
Un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e du RGPD)
La société avait défini une durée de conservation de dix ans à l’issue de laquelle les comptes utilisateurs étaient désactivés, mais non supprimés. Les données des comptes étaient donc conservées pour une durée indéterminée.
En outre, la durée de conservation de dix ans était appliquée à tous les comptes utilisateurs, sans tri entre les données à conserver, par exemple en application de certaines règles du code de la consommation.
Un manquement à l’obligation d’informer les personnes (articles 12 et 13 du RGPD)
Tant sur son site web que sur son application mobile, NS CARDS FRANCE informait les personnes via une politique de confidentialité incomplète et obsolète. En outre, cette information était fournie en anglais, alors que le public visé par la société est majoritairement francophone.
Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)
Les règles de complexité des mots de passe des comptes utilisateurs étaient insuffisamment robustes.
En outre, près de 50 000 mots de passe étaient conservés en clair dans la base de données et associés à l’adresse électronique et l’identifiant des utilisateurs.
Enfin, s’agissant des mots de passe qui étaient stockés sous une forme hachée et salée, la fonction de hachage utilisée était obsolète (SHA-1).
Ces défauts de sécurité exposaient les données de comptes à des risques d’attaques informatiques ou de fuite.
Un manquement aux obligations liées à l’utilisation des cookies et traceurs (article 82 de la loi Informatique et Libertés)
La CNIL a constaté le dépôt de cookies Google Analytics sur le terminal de l’utilisateur sans son accord. Or, dans la mesure où ces cookies peuvent comporter des fonctionnalités publicitaires et, en tout état de cause, permettent de collecter des données pouvant être utilisées pour maintenir et protéger le service Analytics, ils ne peuvent être déposés sur le terminal de l’utilisateur sans son accord.
En outre, la société avait recours à un mécanisme de reCAPTCHA, fourni par la société GOOGLE, lors de la création du compte et lors de la connexion sur le site web et l’application mobile. Ce mécanisme fonctionne avec une collecte d’informations matérielles et logicielles (telles que les données sur les appareils et les applications). Alors que les données collectées étaient transmises à GOOGLE pour analyse, la société ne fournissait aucune information à l'utilisateur et ne recueillait pas son accord préalable, que ce soit pour accéder aux informations stockées sur son équipement ou pour écrire des informations sur celui-ci.
L’absence de recueil d'accord au dépôt de cookies Google Analytics a concerné chaque visiteur du site web, soit plusieurs centaines de milliers de personnes. De même, l’absence de recueil d'accord à l’utilisation du reCAPTCHA a concerné potentiellement chacun des 700 000 titulaires de comptes à la date des contrôles.
Pour approfondir
- Les durées de conservation des données
- Informer les personnes
- Sécurité des données
- L’anonymisation de données personnelles
- Mots de passe : une nouvelle recommandation pour maîtriser sa sécurité
- Cookies et autres traceurs
- Cookies : les règles à respecter
- Les procédures de sanction
- [EN] Electronic payment: CNIL fined NS CARDS FRANCE €105,000
Les textes officiels
- Article 5 du règlement général sur la protection des données (RGPD) – Principes relatifs au traitement des données à personnelles
- Article 12 et 13 du RGPD – Information des personnes
- Article 32 du RGPD - Sécurité du traitement
- Article 82 de la loi Informatique et Libertés – Règles sur les cookies et autres traceurs