A la suite d’une procédure de contrôle dans les locaux de la société BRICO PRIVE ainsi que sur le site de vente de produits de bricolage édité par celle-ci, la CNIL a considéré que les traitements, opérés par cette société, des données à caractère personnel de ses clients et prospects, obtenues lors de leur connexion audit site, n’étaient pas conformes au RGPD et à la loi Informatique et libertés.
En particulier, la CNIL a considéré que la société avait manqué à ses obligations (1) de définir et de respecter des durées raisonnables de conservation des données personnelles, (2) d’informer les personnes concernées de ces durées de conservation, des leurs droits, des bases légales de traitements et des coordonnées du délégué à la protection des données, (3) de respecter les demandes d’effacement des données personnelles, (4) d’assurer la sécurité de ces données, (5) de recueillir le consentement préalable des internautes à l’utilisation de certains cookies et (6) de recueillir également leur consentement préalable à des opérations de prospection commerciale par courriers électroniques.
Compte tenu du nombre important de personnes concernées par les traitements en cause et de la négligence grave dont témoignent, selon la CNIL, les manquements de la société, celle-ci a été condamnée à 500.000 euros d’amende et s’est vue enjoindre sous astreinte de se mettre en conformité. La CNIL justifie le montant de l’amende au regard de l’activité de la société et de sa situation financière ; étant précisé qu’il s’agit d’un montant bien inférieur à celui qui était encouru par BRICO PRIVE, à savoir, entre 20 millions d’euros et 4% du chiffre d’affaires annuel mondial, selon le montant le plus élevé, pour les manquements au RGPD et 2% du chiffre d’affaires annuel mondial total pour les violations de la loi Informatique et Libertés.