La CNIL a annoncé avoir infligé une amende de 105 000 euros à la société spécialisée dans les paiements en ligne, NS Cards France, suite à plusieurs manquements au RGPD et un manquement à la loi Informatique et Libertés.
L’éditeur du site neosurf.com et de l’application mobile éponyme, permettant d’effectuer des paiements en ligne, entame plutôt mal la nouvelle année. L’entreprise s’est vue sanctionnée à hauteur de 105 000 euros par la CNIL suite à des investigations menées fin 2021.
« Lors de ses investigations, la Cnil a relevé des manquements concernant les durées de conservation des données des comptes utilisateurs, l’information des personnes, la sécurisation des données et les modalités de dépôt des cookies et traceurs sur le terminal des utilisateurs », explique la CNIL dans son communiqué.
Des mots de passe conservés en clair
Le régulateur a retenu trois manquements au RGPD. Le premier concerne l’obligation de conserver les données pour une durée limitée à l’objectif recherché. Pour résumer, NS Cards France avait fixé une durée de conservation de dix ans avant de désactiver les comptes utilisateurs, sans les supprimer. « Les données des comptes étaient donc conservées pour une durée indéterminée », fait remarquer la CNIL.
C’est également la politique de confidentialité de l’entreprise qui a été jugée « incomplète et obsolète », que ce soit sur le site internet ou sur l’application mobile. « En outre, cette information était fournie en anglais, alors que le public visé par la société est majoritairement francophone », fait remarquer la CNIL.
Plus problématique encore, il est reproché à NS Cards France d’avoir conservé 50 000 mots de passe en clair dans sa base de données associés à l’adresse électronique et l’identifiant des utilisateurs. « Enfin, s’agissant des mots de passe qui étaient stockés sous une forme hachée et salée, la fonction de hachage utilisée était obsolète (SHA-1). Ces défauts de sécurité exposaient les données des comptes à des risques d’attaques informatiques ou de fuite », explique la CNIL.
Dépôt de cookies sans l’accord des utilisateurs
Le dernier manquement concerne l’article 82 de la loi Informatique et Libertés cette fois. La CNIL a sanctionné l’entreprise après avoir constaté le dépôt de cookies Google Analytics sans l’accord des utilisateurs. « Or, dans la mesure où ces cookies peuvent comporter des fonctionnalités publicitaires et, en tout état de cause, permettent de collecter des données pouvant être utilisées pour maintenir et protéger le service Analytics, ils ne peuvent être déposés sur le terminal de l’utilisateur sans son accord », justifie l’autorité.
Et ça ne s’arrête pas là. NS Cards France a également utilisé un mécanisme de reCAPTCHA de Google lors de la création du compte et de la connexion sur le site web et l’application mobile. Un mécanisme qui fonctionne avec une collecte d’informations matérielles et logicielles, transmises à Google, là encore, sans le consentement des 700 000 utilisateurs potentiellement concernés.