CNIL – NS CARDS France – SAN-2023-023

Décision

🏷️ Nom:

NS CARDS France

🔢 Numéro:

SAN-2023-023

📅 Date:

29 décembre 2023

⚖️ Autorité:

CNIL ou équivalent

🌍 Pays:

France

🔗 Lien:

Contexte

La société NS CARDS FRANCE est un distributeur de monnaie électronique qui permet d’effectuer des paiements en ligne. Deux missions de contrôle ont eu lieu en application de la décision n° 2021-193C du 29 juin 2021 de la présidente de la CNIL afin de vérifier le respect de la réglementation par la société: Le 24 septembre 2021, les services de la CNIL ont effectué un contrôle en ligne à partir du site web "neosurf". Le 13 octobre 2021, les services de la CNIL ont procédé à un contrôle sur place dans les locaux de la société NS CARDS FRANCE, situés à Paris (75013).

Le contrôle en ligne du site web www.new.neosurf.com (devenu www.neosurf.com) avait principalement pour objet de vérifier les modalités d’information des personnes et la procédure de création d’un compte utilisateur. Il a permis de constater le dépôt de cookies et autres traceurs via ledit site web. Le contrôle sur place a plus spécifiquement porté sur la vérification de la documentation exigée par le RGPD, le processus de création de compte sur l’application mobile neosurf, les durées de conservation appliquées aux données des comptes utilisateurs ainsi que sur les mesures techniques et organisationnelles destinées à assurer la sécurité des données collectées au moyen du site web et de l’application mobile.

Le 3 juillet 2023, le rapporteur a fait notifier à la société un rapport détaillant les manquements aux articles 5-1-e), 12, 13 et 32 du RGPD ainsi qu’à l’article 82 de la loi Informatique et Libertés, qu’il estimait constitués en l’espèce.

Apport(s)
Exigence d’accessibilité de l’information - Politique de confidentialité disponible uniquement en anglais - Illicéité. Extrait(s) pertinent(s)32. La formation restreinte relève tout d’abord qu’il ressort des constats réalisés lors des contrôles que s’agissant du site web neosurf, une politique de confidentialité disponible en pied de page d’accueil du site était disponible uniquement en anglais. A cet égard, elle relève, à l’instar du rapporteur, que l’information fournie au moyen d’une politique de confidentialité disponible uniquement en anglais, relative à des traitements de données ciblant majoritairement un public francophone, ne permet pas aux personnes concernées d’apprécier à l’avance la portée et les conséquences des traitements et n’est par conséquent pas conforme aux exigences de transparence de l’information posées par l’article 12 du RGPD. La formation restreinte considère qu’il en va de même du renvoi opéré vers la politique de confidentialité uniquement en anglais depuis le formulaire de création de compte. Article(s) du RGPD Article 12 – Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée Article 13 – Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée Article 14 – Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne Thème(s)Transparence et information Format de l'information Fait référence à > CNIL – Infogreffe – SAN-2022-018 Autres informations
Caractère suffisant des mesures de sécurité - Fonction de hachage SHA-1 - Probable manquement à l'obligation de sécurité des données Extrait(s) pertinent(s)52. En troisième lieu, la formation restreinte rappelle que le recours à la fonction SHA-1 pour le hachage des mots de passe n’est plus considéré comme conforme à l’état de l’art, ainsi qu’il ressort en particulier du guide de sélection d'algorithmes cryptographiques édité par l’ANSSI, en date du 8 mars 2021, qui indique que celle-ci est "proscrite pour une utilisation générale". La formation restreinte relève en outre qu’en l’état actuel de la technique, la CNIL a établi des recommandations spécifiques dans son guide au profit des développeurs, en recommandant de stocker les mots de passe "sous forme de hachage (hash) au moyen d’une librairie éprouvée, comme Argon2, yescrypt, scrypt, balloon, bcrypt et, dans une moindre mesure, PBKDF2 "( https://lincnil.github.io/Guide-RGPD-du-developpeur/). Article(s) du RGPD Article 32 – Sécurité du traitement Thème(s)Robustesse des mesures Fait référence à Autres informations

Apport(s)

Exigence d’accessibilité de l’information - Politique de confidentialité disponible uniquement en anglais - Illicéité.

Extrait(s) pertinent(s)32. La formation restreinte relève tout d’abord qu’il ressort des constats réalisés lors des contrôles que s’agissant du site web neosurf, une politique de confidentialité disponible en pied de page d’accueil du site était disponible uniquement en anglais. A cet égard, elle relève, à l’instar du rapporteur, que l’information fournie au moyen d’une politique de confidentialité disponible uniquement en anglais, relative à des traitements de données ciblant majoritairement un public francophone, ne permet pas aux personnes concernées d’apprécier à l’avance la portée et les conséquences des traitements et n’est par conséquent pas conforme aux exigences de transparence de l’information posées par l’article 12 du RGPD. La formation restreinte considère qu’il en va de même du renvoi opéré vers la politique de confidentialité uniquement en anglais depuis le formulaire de création de compte.
Article(s) du RGPD Article 12 – Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée
Article 13 – Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
Article 14 – Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne
Thème(s)Transparence et information Format de l'information
Fait référence à > CNIL – Infogreffe – SAN-2022-018
Autres informations

Caractère suffisant des mesures de sécurité - Fonction de hachage SHA-1 - Probable manquement à l'obligation de sécurité des données

Extrait(s) pertinent(s)52. En troisième lieu, la formation restreinte rappelle que le recours à la fonction SHA-1 pour le hachage des mots de passe n’est plus considéré comme conforme à l’état de l’art, ainsi qu’il ressort en particulier du guide de sélection d'algorithmes cryptographiques édité par l’ANSSI, en date du 8 mars 2021, qui indique que celle-ci est "proscrite pour une utilisation générale". La formation restreinte relève en outre qu’en l’état actuel de la technique, la CNIL a établi des recommandations spécifiques dans son guide au profit des développeurs, en recommandant de stocker les mots de passe "sous forme de hachage (hash) au moyen d’une librairie éprouvée, comme Argon2, yescrypt, scrypt, balloon, bcrypt et, dans une moindre mesure, PBKDF2 "( https://lincnil.github.io/Guide-RGPD-du-developpeur/).
Article(s) du RGPD Article 32 – Sécurité du traitement
Thème(s)Robustesse des mesures
Fait référence à
Autres informations

Références

Cette décision cite...

> CNIL – Infogreffe – SAN-2022-018

8 septembre 2022

Cette décision est citée par...

Signaler une erreur / Faire une suggestion