NS CARDS FRANCE, éditrice du site neosurf.com et de l’application mobile « Neosurf » ne conclut pas l’année 2023 de la meilleure des manières. En effet, le 29 décembre dernier, la société fut condamnée par la CNIL à une amende de 105 000€. En fin d’année 2021, la Commission nationale de l’informatique et des libertés (CNIL) a conduit deux enquêtes révélant des manquements inquiétants liés à la protection des données et à l’information des utilisateurs.

Les sanctions imposées

La formation restreinte de la CNIL, chargée des sanctions, a pris des mesures sévères, infligeant deux amendes significatives à NS CARDS FRANCE. La première concerne des manquements au Règlement général sur la protection des données (RGPD), avec une coopération européenne, tandis que la seconde amende découle du non-respect des règles sur les cookies et traceurs, relevant de l’article 82 de la loi Informatique et Liberté, où la CNIL a agi indépendamment.

Les motifs des sanctions

1. Manquement à l’obligation de conservation limitée des données (Article 5.1.e du RGPD)

NS CARDS FRANCE a contrevenu à l’obligation de limiter la conservation des données en maintenant indéfiniment les comptes utilisateurs au lieu de les désactiver après dix ans. Cette durée uniforme ne tenait pas compte des distinctions nécessaires selon les règles du code de la consommation.

2. Manquement à l’obligation d’informer les personnes (Articles 12 et 13 du RGPD)

La société a omis de fournir des informations adéquates aux utilisateurs, utilisant une politique de confidentialité incomplète et obsolète, rédigée en anglais pour un public majoritairement francophone.

Un manquement qui avait déjà été sanctionné par la CNIL dans sa condamnation du groupe Canal + ! Pour en savoir plus, consultez notre article : Prospection commerciale et droits des personnes : 600 000€ d’amende pour le groupe CANAL+.

3. Manquement à l’obligation d’assurer la sécurité des données personnelles (Article 32 du RGPD)

La sécurité des données personnelles a été sérieusement compromise. Les règles de complexité des mots de passe étaient insuffisantes, et près de 50 000 mots de passe étaient stockés en clair dans la base de données. Même les mots de passe hachés utilisaient une fonction obsolète, exposant les données à des risques considérables d’attaques ou de fuites.

4. Manquement aux obligations liées à l’utilisation des cookies et traceurs (Article 82 de la loi Informatique et Libertés)

NS CARDS FRANCE a été épinglée pour le dépôt de cookies Google Analytics sans le consentement des utilisateurs, enfreignant les obligations énoncées dans la loi Informatique et Libertés. De plus, l’utilisation du reCAPTCHA de Google, sans information ni consentement préalables, a touché potentiellement des centaines de milliers d’utilisateurs.

Ces sanctions soulignent l’importance cruciale de la conformité aux normes de protection des données et de transparence, particulièrement dans un environnement numérique où la sécurité des informations personnelles est une priorité absolue.

Cet article pourrait également vous intéresser : Top 10 des erreurs les plus fréquentes en entreprise concernant la protection des données.