CNIL РBrico priv̩ РSAN-2021-008

Faisant suite à une mission de contrôle,le 2 octobre 2020, la rapporteure a fait notifier à la société Brico privé un rapport détaillant les manquements au RGPD qu’elle estimait constitués. >e rapport proposait à la formation restreinte de la Commission de prononcer une injonction de mettre en conformité le traitement avec les dispositions des articles L. 34-5 du code des postes et des communications électroniques (ci-après le " CPCE "), 82 de la loi Informatique et Libertés et 5-1-e), 13, 17 et 32 du RGPD

S'agissant de l'article 32 du RGPD, la société ne conteste pas les faits reprochés (notamment le fait que l'authenfication à la création d'un compte reposait sur le mot de passe "123456"), mais soutient que l’obligation de sécurité résultant de l’article 32 du RGPD était une obligation de moyen et non de résultat, de sorte que l’obligation de sécurité du responsable du traitement consiste à mettre en œuvre les mesures permettant de réduire les risques à un niveau acceptable, sans qu’il soit obligatoire, ni même possible, d’obtenir un niveau de sécurité les rendant nuls. La société a également souligné qu’elle n’a jamais subi de violation de données à caractère personnel.