La CNIL a prononcé une sanction de 105 000 euros à l’encontre de la société NS Cards France, une entreprise qui édite le site neosurf.com et l’application mobile « Neosurf » permettant d’effectuer des paiements en ligne, pour le non-respect des règles sur les cookies et traceurs ainsi que pour plusieurs manquements au RGPD.
Lors de ses investigations fin 2021, la CNIL a relevé des manquements concernant les durées de conservation des données de comptes utilisateurs, l’information des personnes, la sécurisation des données et les modalités de dépôt des cookies et traceurs sur le terminal des utilisateurs. Ce qui a entraîné deux sanctions.
A commencer par une amende au regard des manquements au règlement général sur la protection des données (RGPD). « La société avait défini une durée de conservation de dix ans à l’issue de laquelle les comptes utilisateurs étaient désactivés, mais non supprimés. Les données des comptes étaient donc conservées pour une durée indéterminée. En outre, la durée de conservation de dix ans était appliquée à tous les comptes utilisateurs, sans tri entre les données à conserver, par exemple en application de certaines règles du code de la consommation », indique la CNIL. Ensuite, concernant la politique d’information, la Cnil relève que « NS Cards France informait les personnes via une politique de confidentialité incomplète et obsolète. En outre, cette information était fournie en anglais, alors que le public visé par la société est majoritairement francophone. »
Des défauts de sécurité exposant à des risques d’attaques informatiques ou de fuite
Sur la sécurité des données personnelles, la Cnil relève des règles de complexité des mots de passe des comptes utilisateurs insuffisamment robustes, la conservation en clair dans la base de données de près de 50 000 mots de passe, en outre associés à l’adresse électronique et l’identifiant des utilisateurs. Par ailleurs, les mots de passe qui étaient stockés sous une forme chiffrée ne l’étaient qu’avec la fonction de hachage cryptographique SHA-1, aujourd’hui obsolète.
Cette amende a été prise en coopération avec 17 homologues européens de la CNIL dans le cadre du guichet unique, car le site web a des visiteurs dans plusieurs États membres de l’Union européenne ainsi qu’en Norvège.
Une seconde amende concerne le manquement relatif à l’utilisation des cookies et traceurs (article 82 de la loi Informatique et Liberté). Dans ce cas, la CNIL est compétente pour agir seule.
