Commentaires injurieux : Boulanger cherche à contrôler le dérapage

CRMLégislationMarketingPublicitéRégulations
boulanger-cnil
3 1

Mis en demeure par la CNIL sur l’exploitation des cookies publicitaires et la gestion de son fichier clients, Boulanger fait amende honorable.

Boulanger fait profil bas après sa mise en demeure par la CNIL.

L’enseigne de distribution française a présenté, ce samedi, ses excuses pour les faits qui lui sont reprochés. Non seulement sur l’exploitation de cookies publicitaires, mais aussi et surtout sur la présence, dans ses bases de données, de plusieurs milliers de « commentaires excessifs » à propos de clients.

La CNIL s’était saisie de l’affaire en début d’année, après réception d’une plainte. Le 10 février 2015, une délégation avait procédé à une mission de contrôle auprès du magasin Boulanger d’Annemasse (Haute-Savoie), d’où émanait la plainte en question. Des constatations supplémentaires avaient été effectuées en ligne le 23 avril, sur boulanger.com.

Cette démarche en deux temps visait à examiner la conformité des traitements de données à caractère personnel mis en oeuvre par la société, ou pour son compte, aux mesures de la loi no 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).

Des commentaires déplacés

Un premier manquement a été relevé dans l’outil qui permet aux salariés du groupe de gérer les profils des clients pour lesquels une facture a été éditée. Ces informations, qui permettent notamment au SAV de suivre les réparations, peuvent être complétées par des commentaires dans une zone réservée à cet effet.

Le recours à ces zones libres n’est pas interdit, mais les informations doivent être « objectives et en relation avec la prestation commerciale ». Elles ne doivent en outre « pas porter atteinte à l’image de la personne ».

C’est plus particulièrement sur ce dernier point que le bât blesse, à en juger les commentaires ajoutés sur certains clients : « n’a pas de cerveau », « fort accent africain », « de confession juive », « casse couille » [sic], « alcoolique », « avec problème cardiaque », « me passe son mari atteint de Parkinson »…

Autant de propos que la CNIL qualifie de « non pertinents » et contraires aux obligations prévue dans l’article 6 de la loi no 78-17. Lequel dispose que les données à caractère personnel collectées doivent être « adéquates […] et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ».

Cookies : la température monte

Sur le volet des cookies, le CNIL relève un « manquement à l’obligation d’informer et d’obtenir l’accord des personnes concernées avant d’inscrire des informations (cookies) sur leur équipement terminal de communications électroniques ou d’accéder à celle-ci (lecture des cookies) ».

Ces dispositions inscrites à l’article 32-II de la loi Informatique et Libertés n’englobent que certains types de traceurs. Ainsi ceux qui ont pour fonction exclusive de permettre ou de faciliter la communication par voie électronique ne sont-ils pas concernés ; tout comme ceux qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Mais dans le cas de Boulanger, il s’agit essentiellement de cookies à caractère publicitaire : 90 sur les 108 relevés par la CNIL lors de sa connexion au site Web de l’enseigne (qui le lui a confirmé par e-mail).

Les internautes sont bien informés du dépôt de cookies par un bandeau avec un lien hypertexte « cliquez ici ». Ce dernier renvoie vers la rubrique « Utilisation des cookies » de la page « Mentions légales », pour informer l’utilisateur de la possibilité de refuser les cookies en paramétrant son navigateur.

Problème : le dépôt des cookies s’opère dès la connexion au site, donc avant toute action de la part des internautes… y compris tout consentement.

Ce qui, selon la CNIL, s’oppose aux articles 131-41 et R. 235-10 du code pénal combinés : le fait pour la personne morale responsable d’un traitement de ne pas informer les personnes concernées et obtenir leur accord avant d’accéder à ou d’inscrire des infos dans leur équipement terminal de communications électroniques est puni d’une peine d’amende pouvant atteindre 7 500 euros.

Conservation longue durée

Autre grief : les données enregistrées dans certains cookies restent accessibles jusqu’à 15 ans. Une durée « excessive par rapport aux finalités poursuivies », d’après la CNIL, qui fait référence aux 13 mois inscrits dans sa délibération no 2013-378 du 5 décembre 2013.

Boulanger a trois mois à compter du 23 juillet 2015 pour se mettre en conformité. Notamment en prenant les mesures nécessaires pour éviter que des commentaires excessifs soient enregistrés dans sa base de données.

Tout en assurant que le dossier sera clos au plus tard le 15 octobre, Étienne Hurez, directeur général de Boulanger, a confié, par communiqué : « J’ai été tout d’abord choqué et surpris des informations communiquées par la CNIL. Nous ne devons pas nous défausser devant ce manquement grave ».

Un audit interne a été mis en place pour recherche l’origine des actes pointés du doigt.

Crédit photo : wavebreakmedia – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur