De Franse privacytoezichthouder CNIL heeft een niet nader genoemd bedrijf een boete van 3,5 miljoen euro opgelegd wegens het gebruik van het SHA-256 hashing-algoritme, het zonder toestemming plaatsen van trackingcookies, het toestaan van zwakke wachtwoorden en het delen van klantgegevens met een socialmediaplatform. Het bedrijf in kwestie heeft een loyaliteitsprogramma met ruim tien miljoen leden in Frankrijk, meer dan tweehonderd duizend in België en ook duizenden leden in andere Europese landen.

Volgens CNIL heeft het bedrijf op meerdere punten de AVG overtreden. Wanneer deelnemers aan het loyaliteitsprogramma lieten weten dat ze reclame via e-mail of sms wilden ontvangen werden hun persoonlijke gegevens gedeeld met een socialmediaplatform. Het bedrijf liet deze gegevens gebruiken voor gerichte advertenties op het platform. Klanten werden echter niet ingelicht over de datadoorgifte of het doel hiervan, wat wel had gemoeten, aldus de toezichthouder. Daarnaast had het bedrijf geen data protection impact assessment (DPIA) voor deze gegevensverwerking uitgevoerd.

Het bedrijf ging ook de fout in met de regels voor de sterkte voor wachtwoorden. Die waren volgens CNIL niet robuust genoeg, waardoor gebruikers zwakke wachtwoorden konden maken. Daarnaast gebruikte het bedrijf het SHA-256-hashing-algoritme in combinatie met een salt voor de opslag van wachtwoorden. Iets dat geen veilige methode voor de opslag van wachtwoorden is, aldus de Franse toezichthouder. Inmiddels maakt het bedrijf gebruik van het Argon2-algoritme voor het hashen van wachtwoorden.

Het laatste kritiekpunt betreft het plaatsen van trackingcookies. Bij alleen het bezoeken van de website van het bedrijf werden al elf trackingcookies geplaatst, nog voordat het cookievenster met de toestemmingsvraag hiervoor was verschenen. Wanneer gebruikers trackingcookies weigerden werden de elf al geplaatste cookies niet verwijderd. Het bedrijf bleef deze cookies in strijd met wetgeving ook nog gewoon uitlezen.