Brico Priv full box: CNIL identificou erros em spam, cibersegurança, período de retenção, cookies …
PublicadosQuando a CNIL impõe sanções a uma empresa, suas deliberações geralmente apontam para um ou até dois erros. O e-merchant Brico Priv, especializado em vendas privadas de artesanato, decoração, jardinagem, etc., pode competir por um recorde, já que a autoridade de gestão independente identificou erros e deficiências durante três verificações entre 2018 e 2021. Quase todos os capítulos possíveis do regulamento foram invocados. No final, apesar da pequena dimensão da empresa (contas não publicadas), a multa é elevada: 500 mil euros. Além dessa penalidade financeira, a publicação não é sistemática e tem como objetivo aumentar ainda mais a penalidade, prejudicando a reputação da empresa. Por último, a empresa deve cumprir o regulamento no prazo de três meses com multa de 500 euros por cada dia de atraso. No entanto, a CNIL observa que alguns defeitos ou deficiências foram corrigidos parcial ou totalmente durante o procedimento. No âmbito da medida europeia estipulada pelo Regulamento Geral de Proteção de Dados (RGPD), uma vez que existem vítimas em vários países da UE, a CNIL foi convocada para cooperar com autoridades homólogas em Espanha, Portugal e Itália.
Capítulo um: Informações ao consumidor. Estas não podem ser comunicadas, nem mesmo através das condições gerais ou avisos legais do site, ao responsável pelo tratamento e pela sua política de retenção de dados pessoais. A CNIL reconheceu que este ponto foi corrigido. Les dites donnes, de plus, taient conserva sans limit de dure: 130.000 personnes disposant d’un compte ne s’tant plus conecta et 16.000 clientes n’ayant pas pass de commande depuis cinq ans au moins taient toujours dans les fichiers de Contratação. Mesmo em caso de reclamação, nenhuma exclusão: apenas a conta foi desativada. Esses pontos foram corrigidos apenas parcialmente durante os procedimentos.
Spam, cibersegurança e cookies: uma trilogia perdida
A cibersegurança também era fraca na empresa. Para os clientes, a senha não foi aplicada com força suficiente para garantir a segurança da conta. Pior ainda, em termos de uso interno, o acesso dos funcionários ao enorme banco de dados de clientes sofria de sérias falhas: armazenamento de senhas em um arquivo claro armazenado localmente, uma conta compartilhada de quatro funcionários, etc.
Por fim, a empresa também foi indiciada por sua prática empresarial, sendo parcialmente corrigida no processo. Em primeiro lugar, os cookies eram depositados automaticamente para todos os visitantes, sem qualquer aceitação prévia, incluindo os cookies comerciais. E, claro, a empresa vai procurar todos que criaram contas no site, mesmo sem fazer compras, e sem se preocupar em fazer o pré-ingresso.
Publicados
Artigo por
Bertrand Lemerre, editor-chefe do CIO
Siga o autor ligado emE a
