La Cnil veille au respect du RGPD comme le lait sur le feu. NS Cards France, spécialisé dans les paiements en ligne, vient d'en faire les frais. Le 29 décembre 2023, le régulateur a prononcé une sanction de 105 000 € à son encontre pour trois manquements au règlement général sur la protection des données personnelles et un autre relatif à la loi Informatique et Libertés. Cette action fait suite à deux contrôles menés par la Commission fin 2021. « Lors de ses investigations, elle a relevé des manquements concernant les durées de conservation des données de comptes utilisateurs, l’information des personnes, la sécurisation des données et les modalités de dépôt des cookies et traceurs sur le terminal des utilisateurs », explique la Cnil.
Les trois manquements au RGPD ont été relatifs à l'obligation de conserver les données pour une durée limitée à l'objectif recherché, d'informer les personnes et d'assurer la sécurité des données personnelles. En substance, la Cnil reproche à NS Cards France d'avoir conservé des données de comptes utilisateurs à durée indéterminée, d'avoir une politique de confidentialité incomplète et obsolète et aussi d'avoir conservé en clair près de 50 000 mots de passe associés aux mails et identifiants des utilisateurs. L'amende pour ses trois griefs s'élève à 90 000 €.
L’absence de recueil d'accord au dépôt de cookies Google Analytics sanctionnée
Concernant le manquement à la Loi Informatique et Libertés, la Cnil a constaté le dépôt de cookies Google Analytics sur le terminal de l'utilisateur sans son accord. « En outre, la société avait recours à un mécanisme de reCAPTCHA, fourni par la société Google, lors de la création du compte et lors de la connexion sur le site web et l’application mobile [...] Alors que les données collectées étaient transmises à Google pour analyse, la société ne fournissait aucune information à l'utilisateur et ne recueillait pas son accord préalable, que ce soit pour accéder aux informations stockées sur son équipement ou pour écrire des informations sur celui-ci », fait savoir la commission. « L’absence de recueil d'accord au dépôt de cookies Google Analytics a concerné chaque visiteur du site web, soit plusieurs centaines de milliers de personnes. De même, l’absence de recueil d'accord à l’utilisation du reCAPTCHA a concerné potentiellement chacun des 700 000 titulaires de comptes à la date des contrôles ». L'amende de la Cnil atteint pour ce grief 15 000 €.