Brandalley sanctionnée par la Cnil pour de nombreux manquements à la loi Informatique et Libertés

Actualités Legalnews ©

Le 18 juillet 2016, la Commission nationale de l’informatique et des libertés (Cnil) a publiée sa décision du 7 juillet 2016 dans laquelle elle a sanctionné la société Brandalley d’une amende de 30.000 € pour de nombreux manquements à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Cette société a pour activité la vente en ligne, aux particuliers, de produits neufs ou d’occasion, dans le domaine du prêt-à-porter, de la beauté et de la maison. Elle a fait l’objet d’un contrôle par la Cnil en janvier 2015, dans le cadre de la thématique du programme annuel des contrôles intitulée « paiement en ligne au travers de la lutte contre la fraude », afin de vérifier les traitements qu’elle mettait en œuvre, en particulier ceux relatifs à la gestion des clients et des prospects. La Cnil lui a alors adressé une mise en demeure afin que la société prenne les mesures adéquates permettant de se conformer à la loi « Informatique et Libertés » suite aux nombreux manquements constatés. La société Brandalley a cependant adressé une réponse lacunaire à la Cnil.

De nouveaux contrôles ont été réalisés début 2016 afin de vérifier l’effectivité des mesures prises par la société.
Ces contrôles ont permis de constater la persistance de manquements à la loi, notamment que la société n’avait pas :
– procédé à une demande d’autorisation auprès de la Cnil pour la mise en œuvre d’un traitement ayant pour finalité la prévention de la fraude à la carte bancaire et ainsi susceptible d’exclure des personnes, ni pour le transfert des données vers des sous-traitants situés en dehors de l’Union européenne (le Maroc et la Tunisie) ;
–  fixé de durées de conservation des données des clients et des prospects, et ainsi n’avait pas procédé à la purge de sa base de données ;
– correctement informé les internautes des moyens de paramétrage des cookies afin notamment d’accepter ou refuser leur dépôt et lecture sur leur ordinateur ;
– mis en œuvre de moyens suffisants pour assurer la sécurité et la confidentialité des données personnelles des internautes.