La conservation de données relatives à des prospects traitées à des fins de prospection commerciale pendant cinq ans est disproportionnée.

L’ouverture d’un courriel n’est pas susceptible de caractériser un dernier contact émanant des prospects car il peut être ouvert par inadvertance. Cette situation ne permet donc pas de démontrer l’intérêt du destinataire.

L’algorithme SHA-256 est considéré par la Commission nationale de l’informatique et des libertés (Cnil) et l’Agence nationale de sécurité des systèmes d’information (ANSSI) comme permettant d’assurer l’intégrité des données. En revanche, il ne permet pas d’anonymiser les données.

Tels sont les enseignements relatifs à la conservation des données issus de la délibération n°SAN-2020-003 du 28 juillet 2020 de la formation restreinte de la Cnil, prononçant une sanction pécuniaire de 250 000 euros et une injonction sous astreinte à l’encontre de la société SPARTOO.

Cette société est spécialisée dans le secteur de la vente à distance de chaussures. Elle édite 16 sites Internet accessibles dans 13 pays de l’Union européenne.

La Cnil a relevé plusieurs manquements,  dont la méconnaissance du principe de limitation de la durée de conservation prévu à l’article 5,1 e) du Règlement général sur la protection des données (RGPD) s’agissant des données relatives aux prospects traitées à des fins de prospection commerciale.

Quelle est la durée de conservation des données retenue par la formation restreinte ? Quels sont les éléments d’appréciation de la formation restreinte ? Quel est le point de départ de la durée de conservation des données ? Quelles sont les actions susceptibles de constituer un contact émanant des personnes ?

Détermination de la durée de conservation

Il résulte de la délibération commentée qu’en mai 2018, au cours du contrôle sur place réalisé, la délégation de la Cnil a été informée que la société n’avait pas défini de durées de conservation des données relatives aux clients et aux prospects. Elle a également été informée de l’absence d’archivage des données et d’effacement de celles-ci.

En juin 2019, lors d’une audition sur convocation du rapporteur désigné par la Présidente de la Cnil, la société a indiqué avoir fixé la durée de conservation des données en base active à cinq ans à compter de la date de dernière activité des clients et prospects. Elle a également donné des exemples de situation correspondant à une « dernière activité », à savoir une connexion au compte client, un clic dans une newsletter et l’ouverture d’une newsletter.

S’agissant des prospects, le point 49 de la délibération de la Cnil précise qu’elle était fixée à cinq ans à compter du dernier contact émanant de ceux-ci.

Pour remettre en cause la durée de conservation déterminée par la société, la formation restreinte de la Cnil a pris en compte les pratiques et les déclarations faites au cours des opérations de contrôle et d’instruction. Ainsi, la formation restreinte a-t-elle relevé que la société réalise des actions de prospection commerciale à l’égard de prospects pendant une durée de deux ans. Or, selon la délibération, la société n’a pas été en mesure de justifier le besoin de conservation des données pour trois années supplémentaires. A cet égard, l’argumentation développée par la société selon laquelle « certains prospects se connectent pour regarder les offres proposées après une période d’inactivité de quatre ans. » n’a pas prospéré devant la formation restreinte.

Dans ce contexte, la formation restreinte de la Cnil a énoncé « qu’en l’espèce, la durée de deux ans apparaît proportionnée au vu de la finalité du traitement ».

Se faisant, la formation restreinte de la Cnil rappelle que la durée de conservation définie doit correspondre à la durée pendant laquelle les données sont effectivement nécessaires à la finalité poursuivie.

Dans ce contexte, il convient d’attirer l’attention sur l’usage qui peut être fait des normes simplifiées publiées par la Cnil, lesquelles sont dépourvues de valeur juridique depuis l’entrée en application du RGPD.

En effet, dans le cadre de la norme simplifiée n°NS-048 relative aux fichiers clients-prospects et vente en ligne, la Cnil énonçait que les données à caractère personnel relatives aux prospects non clients pouvaient être conservées pour une durée de conservation de 3 ans.

Au regard de la délibération du 28 juillet 2020, il convient de souligner que la durée de conservation de trois ans, même si elle émane d’une ancienne norme de la Cnil, ne sera pas forcément retenue de manière automatique par la formation restreinte. Au terme d’une appréciation de la durée de conservation au regard des circonstances de l’espèce, en tenant compte de la situation opérationnelle de l’entité, la formation restreinte de la Cnil sera susceptible de retenir une durée inférieure.

En revanche, la formation restreinte de la Cnil ne se prononce pas sur la durée de conservation des données en base intermédiaire.

L’article 21 du RGPD consacre un droit d’opposition discrétionnaire au profit des personnes concernées. En outre, l’article 226-18-1 du Code pénal prévoit que le fait de traiter les données à caractère personnel d’une personne physique « malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. ». La peine s’élève à 1 500 000€ lorsque l’infraction est commise par une personne morale (Code pénal, articles 226-24 et 131-38). Enfin, le délai de prescription des délits est de 6 ans en vertu de l’article 8 du Code de procédure pénale.

Dès lors, dans le cadre des réflexions sur l’archivage des données traitées à des fins de prospection commerciale et la gestion des conséquences du droit d’opposition des personnes concernées, ne serait-il pas justifié d’archiver les données pendant 6 ans en base intermédiaire pour une finalité de gestion des contentieux ou de précontentieux ?

Point de départ de la durée de conservation

Concernant le point de départ de la durée de conservation des données des prospects, la société avait indiqué considéré que l’ouverture d’un courriel comme un dernier contact émanant des personnes concernées.

Toutefois, la formation restreinte de la Cnil a énoncé que :

« 55. La formation restreinte note que les données des prospects permettent à un responsable de traitement d’adresser des messages, par exemple par courrier électronique, à des personnes qui montrent un intérêt pour ses produits ou services. La Commission considère à cet égard que lorsque le point de départ du délai de conservation des données est le dernier contact émanant du prospect, il doit s’agir d’un évènement permettant de démontrer l’intérêt de la personne pour le message reçu, tel qu’un clic sur un lien hypertexte contenu dans un courriel. Cependant, la seule ouverture d’un courriel ne peut être considérée comme un contact émanant du prospect, dans la mesure où celui-ci peut être ouvert involontairement du fait des modalités de fonctionnement du logiciel de messagerie utilisé ou par erreur. »

Se faisant, la formation restreinte de la Cnil entérine une position prise par la Cnil dans la norme simplifiée précitée, qui n’avait plus de valeur juridique depuis le 25 mai dernier.

Par ailleurs, il est également possible de s’interroger sur la pertinence de la distinction entre l’action d’ouvrir un courriel et celle de cliquer sur un lien hypertexte pour caractériser l’intention ou l’intérêt des personnes concernées.

En effet, plusieurs logiciels de messagerie couramment utilisés permettent de supprimer des courriels sans même avoir à les ouvrir en cliquant sur une icône (icône symbolisant une poubelle par exemple). En conséquence, le destinataire non intéressé par un email reçu n’a-t-il pas ainsi une faculté de démontrer son désintérêt sans même ouvrir l’email ? A contrario, la personne concernée qui ouvre la communication, alors qu’elle dispose d’une fonctionnalité de suppression sans ouverture, ne peut-elle pas être considérée comme manifestant un intérêt ? En poussant la réflexion un peu plus loin, pourquoi considérer qu’un email peut être ouvert par erreur et qu’un clic dans un email ne pourrait pas lui aussi intervenir par erreur ? Il pourrait être intéressant que ces différentes situations soient illustrées avec l’aide des équipes informatiques.

Sort des données à l’issue de la durée de conservation

La formation restreinte de la Cnil a relevé un manquement au principe de limitation de la conservation concernant les données des clients de la société.

Le rapporteur soutenait que la société conservait certaines données relatives aux clients (adresses électroniques et mots de passe) de manière pseudonymisée à l’issue de la durée de conservation.

La société soutenait que les données étaient anonymisées grâce à la technologie SHA-256, laquelle permettait de rendre les données « indécryptables et donc anonymes ». Elle justifiait cette mesure par le fait de permettre aux anciens clients de se reconnecter à leur compte en ligne en utilisant l’identifiant et le mot de passe choisis lors de la création dudit compte.

La formation restreinte rappelle que l’algorithme SHA-256 est une fonction de hachage qui ne peut pas être inversée. Ainsi, permet-elle d’assurer l’intégrité des données. Toutefois, contrairement à ce que soutenait la société, il ne s’agit pas d’une technique d’anonymisation. Par conséquent, l’utilisation dudit algorithme ne justifiait pas selon la Cnil la conservation des données des anciens clients de manière indéfinie « pour une hypothétique utilisation future ».