Explorez notre collection de documents PDF et enrichissez vos connaissances dès maintenant !
retour
Prospection commerciale et droits des personnes : sanction de 600 000 euros prononcée à l’encontre du GROUPE CANAL+
Article Droit de la propriété intellectuelle, média et art | 24/10/23 | 7 min. |
La CNIL a prononcé, le 12 octobre 2023, une amende administrative de 600 000 euros à l’encontre du GROUPE CANAL+ (soit 0.03% du chiffre d’affaires de la société en 2022).
QUELS MANQUEMENTS ONT ETE CONSTATES ?
Manquement à l’obligation de recueillir le consentement des personnes concernées pour la mise en œuvre de prospection commerciale par voie électronique (articles L. 34-5 du CPCE et 7 du RGPD)
- Comme l’indiquait déjà la CNIL dans sa fiche pratique sur la transmission des données à des partenaires à des fins de prospection, si l’organisme qui transmet des données choisit de recueillir le consentement des personnes pour les opérations de prospection réalisées par ses partenaires alors lesdits partenaires doivent être listés de manière exhaustive au moment du recueil du consentement pour que ce dernier soit considéré comme éclairé et valide. Le simple fait d’indiquer que les données seront transmises à des « partenaires », sans plus de détails, ne suffit donc pas.
- Même si les opérations de prospection sont réalisées par un prestataire sous-traitant qui reçoit directement les adresses email des personnes prospectées, c’est malgré tout l’identité de l’organisme prospecteur, pour le compte duquel le prestataire intervient, qui doit figurer dans la liste des partenaires auxquels les données sont transmises.
Manquements à l’obligation d’informer les personnes concernées du traitement de leurs données à caractère personnel (articles 13 et 14 du RGPD)
- La CNIL rappelle, comme elle l’avait déjà fait dans sa délibération SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR FRANCE, qu’une politique de confidentialité doit indiquer des durées de conservation précises et non génériques. Le fait par exemple d’indiquer que les données sont conservées conformément aux obligations légales applicables et sont archivées pendant la durée de prescription est trop imprécis.
- La rapporteure a reproché l’absence d’information, dans la politique de confidentialité, sur la possibilité pour les personnes concernées d’introduire une réclamation auprès de la CNIL (manquement à l’article 13 du RGPD). La formation restreinte de la CNIL a cependant considèré que cette information était bien disponible mais non aisément accessible (manquement à l’article 12 du RGPD). Néanmoins, dans la mesure où la rapporteure n’avait pas qualifié ce manquement dans son rapport, la CNIL a considéré qu’elle ne pouvait pas le retenir pour sanctionner la société.
- Sur le démarchage téléphonique, la CNIL rappelle, comme elle l’avait déjà fait dans sa délibération n°SAN-2022-011 du 23 juin 2022 concernant la société TOTALENERGIES ELECTRICITÉ ET GAZ France, que l’information fournie oralement aux personnes prospectées par téléphone peut se limiter aux éléments les plus importants (notamment, même si la CNIL ne le rappelle pas ici : existence de l’enregistrent, finalité et possibilité de s’y opposer) à condition d’indiquer un moyen pour recevoir une information plus complète (touche à activer sur le téléphone, courriel reçu par l’interlocuteur ou renvoi vers une page web).
Manquements aux obligations relatives aux modalités d’exercice des droits des personnes (articles 12 et 15 du RGPD)
- La CNIL rappelle une fois de plus l’importance de traiter les demandes reçues dans les délais impartis et décide de sanctionner la société pour ce motif alors même qu’elle n’hésite pas à préciser que ce manquement n’est pas structurel en matière d’exercice de droits.
- La CNIL décide également de sanctionner la société pour avoir mal qualifié une demande reçue (elle avait considéré que la demande visait à obtenir la preuve d’un contrat de souscription et ne relevait donc pas du RGPD alors que la CNIL a considéré qu’il s’agissait d’une demande d’accès puis d’effacement devant donc être traitée selon les délais et modalités imposées par le RGPD).
Manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte d’un responsable de traitement (article 28.3 du RGPD)
- La CNIL rappelle, comme elle l’avait déjà fait dans sa délibération n° SAN-2023-003 du 16 mars 2023 concernant la société CITYSCOOT, l’importance de s’assurer que les contrats conclus avec des sous-traitants contiennent bien l’ensemble des mentions prévues par l’article 28 du RGPD.
Manquement à l’obligation de sécurité (article 32 du RGPD)
- En matière d’authentification, la CNIL rappelle qu’il est nécessaire de veiller à ce qu’un mot de passe permettant aux salariés de s’authentifier sur un logiciel ne puisse pas être divulgué. Elle a cependant estimé que le stockage de tels mots de passe sous une forme hachée au moyen de l’algorithme MD4 n’était pas conforme à l’état de l’art – cela avait déjà été indiqué par la CNIL et l’ANSSI dans des recommandations précédentes. La CNIL considère en outre que la mise en place d’autres mesures de sécurité ne peuvent rectifier et compenser l’utilisation d’un algorithme de hachage de type MD4 qui est intrinsèquement fragile.
Manquement à l’obligation de notifier à la CNIL une violation de données à caractère personnel (article 33 du RGPD)
- À la suite d’une mise à jour de l’espace client CANAL+, des abonnés ont pu visualiser les informations relatives à d’autres abonnés (10 154 personnes) or la société n’a pas procédé à une notification de la violation auprès de la CNIL. Cette dernière considère que la société aurait dû notifier cette violation dès lors que (i) les adresses postales et les numéros de téléphone d’abonnés ont été divulgués ce qui est de nature à « porter atteinte au droit au respect de la vie privée des abonnés » et (ii) le nombre de personnes concernées « n’est pas négligeable ».