La Cnil a prononcé une sanction de 105.000 € à l’encontre de la société NS Cards France pour plusieurs manquements au RGPD concernant la durée de conservation des données, l’information des personnes et la sécurité des données ainsi que pour le non-respect des règles sur les cookies et traceurs.Fin 2021, la Commission nationale de l'informatique et des libertés (Cnil) a procédé à deux contrôles de la société NS Cards France, éditrice du site neosurf.com et de l’application mobile Neosurf, permettant d’effectuer des paiements en ligne.
Lors de ses investigations, elle a relevé plusieurs manquements :- un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché : la société avait défini une durée de conservation de dix ans à l’issue de laquelle les comptes utilisateurs étaient désactivés, mais non supprimés. Les données des comptes étaient donc conservées pour une durée indéterminée ;- un manquement à l’obligation d’informer les personnes : tant sur son site web que sur son application mobile, la société informait les personnes via une politique de confidentialité incomplète et obsolète, et en langue anglaise ;- un manquement à l’obligation d’assurer la sécurité des données personnelles : les règles de complexité des mots de passe des comptes utilisateurs étaient insuffisamment robustes et près de 50.000 mots de passe étaient conservés en clair dans la base de données et associés à l’adresse électronique et l’identifiant des utilisateurs ;- un manquement aux obligations liées à l’utilisation des cookies et traceurs, notamment en raison du dépôt de cookies Google Analytics sur le terminal de l’utilisateur sans son accord.
En conséquence, par une délibération n° SAN-2023-023 du 29 décembre 2023, rendue publique le 11 janvier 2024, la formation restreinte de la Cnil prononce une sanction de 105.000 € à l’encontre de la société NS Cards France.
