Lorsque la CNIL sanctionne une entreprise, sa délibération mentionne en général une faute, voire deux. L'e-commerçant Brico Privé, spécialisé dans les ventes privées en bricolage, décoration, jardinage, etc., pourrait, lui, concourir pour un record tant l'autorité administrative indépendante a relevé de fautes et de manquements au cours de trois contrôles entre 2018 et 2021. A peu près tous les chapitres possibles de la réglementation ont été invoqués. Au final, malgré la petite taille de l'entreprise (comptes non-publiés), l'amende est d'un montant conséquent : 500 000 euros. A cette sanction financière s'ajoute la publication, qui n'est pas systématique et vise encore à renforcer la sanction par l'atteinte à la réputation de l'entreprise. Enfin, la société doit se mettre en conformité avec la réglementation dans un délai de trois mois sous astreinte de 500 euros par jour de retard. La CNIL relève toutefois que certaines fautes ou manquements ont été partiellement ou totalement corrigés en cours de procédure. Dans le cadre de la procédure européenne prévue par le RGPD, les victimes se situant dans plusieurs pays de l'Union Européenne, la CNIL a été amenée à collaborer avec des autorités homologues en Espagne, au Portugal et en Italie.

Premier chapitre : l'information des consommateurs. Ceux-ci ne pouvaient pas s'informer, pas même via les conditions générales ou les mentions légales du site, du responsable du traitement et de sa politique de conservation des données personnelles. La CNIL a reconnu que ce point avait été corrigé. Les dites données, de plus, étaient conservées sans limitation de durée : 130 000 personnes disposant d'un compte ne s'étant plus connectés et 16 000 clients n'ayant pas passé de commande depuis cinq ans au moins étaient toujours dans les fichiers de l'entreprise. Même en cas de réclamation, la suppression n'avait pas lieu : seul le compte était désactivé. Ces points ont été seulement partiellement corrigés en cours de procédure.

Spamming, cybersécurité, cookies : un triplé perdant

La cybersécurité était également déficiente au sein de l'entreprise. Côté clients, le mot de passe n'était pas imposé avec une force suffisante pour garantir la sécurité du compte. Pire, côté usages internes, les accès à l'immense base de données des clients par les collaborateurs souffraient de manquements graves : stockage de mots de passe dans un fichier en clair stocké localement, compte commun à quatre salariés, etc.

Enfin, la société a aussi été condamnée pour ses pratiques commerciales, partiellement corrigées en cours de procédure. En premier lieu, le dépôts de cookies était automatique pour tous les visiteurs, sans aucune acceptation préalable, y compris des cookies à visées commerciales. Et, cela va de soi, l'entreprise prospectait toutes les personnes qui créaient des comptes sur le site, même sans procéder à des achats, et ne s'embarrassait pas de demander une acceptation préalable.