La Cnil a dressé un constat sévère de l'irrespect de la loi Informatique et Libertés par le site de ventes privées Brandalley, spécialisé dans les grandes marques. Mais le site qui génère environ 300 millions d'euros de chiffre d'affaires n'a été condamné qu'à 30 000 euros d'amende.

Il y a parfois quelque chose d’affligeant à lire des décisions prises par la Cnil, très sévères dans leur constat des manquements à la protection des données personnelles des Français, et très peu dissuasives dans leurs sanctions. Il en va ainsi de la décision prise contre le site de vente en ligne de grandes marques Brandalley, rendue publique ce lundi par la Cnil.

L’autorité administrative y raconte qu’elle avait effectué un contrôle de la société en janvier 2015, pour vérifier la manière dont étaient traitées les données ďe « millions de comptes clients » et de prospects, dans le cadre d’un programme contre la fraude aux paiements en ligne. Elle avait alors constaté « de nombreux manquements » à la loi, ce qui avait provoqué une mise en demeure de la société de se mettre rapidement en conformité.

30 000 euros d’amende pour 300 millions d’euros de chiffre d’affaires

Or, Brandalley n’aurait eu qu’une «  une réponse lacunaire relative à la mise en demeure », ce qui a incité la Cnil, un an plus tard, à déclencher une série de contrôles complémentaires qui ont montré que rien ou presque n’avait changé. Ainsi elle a notamment constaté l’absence de demande d’autorisation auprès de la Cnil pour le traitement de données de paiement, pour le transfert des données vers le Maroc et la Tunisie, l’absence de procédure de purge des bases de données après un certain temps de conservation des données, ou encore l’absence de protection technique des échanges de données par le protocole HTTPS.

brandvalley

Donc, face au laxisme de Brandalley, la Cnil a déclenché une procédure de sanction qui a abouti à… 30 000 euros d’amende. «  Nous avons pour objectif de doubler notre chiffre d’affaires en dix-huit mois, pour atteindre 300 millions d’euros en 2016 », déclarait l’an dernier Cyril Andrino, le PDG de Brandalley. Autant dire que les 30 000 euros d’amende doivent doucement le faire rigoler, même si l’atteinte à la réputation du site aura un coût indirect difficile à chiffrer, mais certainement négligeable tant les consommateurs n’ont qu’un intérêt très relatif pour la protection de leurs données. Et encore faudrait-il qu’ils soient informés de la sanction, or la Cnil n’a pas usé du pouvoir qu’elle avait d’obliger Brandalley à informer ses clients de la décision.

Sans doute la Cnil a-t-elle voulu faire preuve de proportionnalité alors qu’elle n’a sanctionné Google qu’à 150 000 euros d’amende, le maximum prévu actuellement par la loi.

Le projet de loi numérique prévoit d’étendre cette sanction à 3 millions d’euros maximum, et l’entrée en vigueur du règlement européen sur les données personnelles (d’ici 2 ans) permettra d’aller jusqu’à 4 % du chiffre d’affaires dans les cas les plus graves.

Partager sur les réseaux sociaux

Articles liés