Un décision probablement “marquante” vient d’être rendue par la CNIL à l’encontre du groupe Canal+. Outre l’amende infligée de 600 000 euros, il faut lire les griefs retenus. Toutes les entreprises réalisant des prospections commerciales par voie électronique sont invitées à prendre connaissance de cette décision, et cela fait beaucoup d'entreprises, pour s’assurer avoir mis en place les bonnes pratiques !
La formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD) et le code des postes et des communications électronique (CPCE). Les principaux manquements sanctionnés sont relatifs à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (article L. 34-5 du CPCE et 7 du RGPD), à l’obligation d’information (article 13 et 14 du RGPD) ainsi qu’au respect de l’exercice des droits (article 12 et 15 du RGPD).
A lire le résumé, toujours très pédagogique fait par la CNIL - et pour les plus experts la décision ! - on relève que la CNIL adopte une approche exigeante du consentement valable des personnes nécessaire aux campagnes de prospection commerciale, ainsi que des principales obligations découlant du RGPD.
L’un des apports principaux de la décision est que la CNIL y précise ce qu’il faut entendre par consentement constituant une « manifestation de volonté, libre, spécifique et univoque » (article 4, par. 11 du RGPD). Selon la CNIL, pour que le consentement soit éclairé « les personnes doivent notamment être clairement informées de l’identité du prospecteur pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées. Pour ce faire, en cas de consentement recueilli par le primo-collectant pour le compte des prospecteurs, une liste exhaustive et mise à jour est tenue à la disposition des personnes au moment du recueil de leur consentement » (par. 27 de la décision).
En l’espèce, aucune information sur l’identité des partenaires concernés n’était disponible sur le formulaire de collecte ou via un lien hypertexte cliquable. Le groupe Canal + ne disposait donc pas d’un consentement valable des personnes pour ses opérations de prospection commerciale par voie électronique. Le fait que les données des prospects n’étaient pas directement transmises à Canal+ mais à des prestataires ne fait rien à l’affaire, dès lors que ceux-ci agissent pour son compte.
La décision permet également de clarifier les dispositions de l’article 13, paragraphe 2, du RGPD qui prévoit que, lorsque cela apparaît nécessaire pour garantir un traitement équitable et transparent des données, le responsable de traitement doit fournir à la personne « la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée » et l’information relative au « droit d'introduire une réclamation auprès d'une autorité de contrôle ».
Selon la CNIL, un document tel que celui produit par la société Canal+ qui se limiterait à affirmer que la durée de conservation des données est liée à la poursuite de certaines finalités (respect d’obligation légales, comptables, fiscales) ou à la durée de l’abonnement, sans indiquer les durées précises applicables ne saurait être conforme aux exigences du RGPD (par. 43 de la décision). En effet, les durées de conservation doivent être énoncées de manière spécifique et suffisamment explicite.
La société Canal + a aussi manqué à l’obligation d’information des personnes – des finalités de traitement ou encore l’existence de différents droits - lors des appels de démarchage téléphonique telles que spécifiée par l’article 14 RGPD. La formation restreinte a rappelé qu’il résulte de cet article que, lorsqu’un prospecteur récupère un numéro de téléphone d’un tiers à des fins de prospection par voie téléphonique, il doit informer la personne prospectée du traitement de ces données pour cette finalité, au plus tard lors de l’appel téléphonique.
En outre, il convient de relever que Canal + a manqué aux modalités d’exercice des droits (article 12 du RGPD) en ne répondant à certains plaignants dans le délai d’un mois prévu par les textes et au droit d’accès aux données (article 15 du RGPD) en ne faisant pas droit à certaines demandes d’accès. Enfin, la CNIL a relevé un manquement à l’obligation d’encadrer les traitements effectués par un sous-traitant par un contrat (article 28.3 du RGPD), un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD) ainsi qu’un manquement à l’obligation de notifier à la CNIL une violation de données (article 33 du RGPD).
Eu égard à l’ensemble des manquements relevés, il peut sembler que le montant de l’amende est raisonnable dès lors que la CNIL a le pouvoir d’infliger des amendes ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu (dans certaines circonstances ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires).
La relative clémence de la CNIL s’explique par le fait que le montant a été déterminé en tenant compte de la coopération de la société et de l’ensemble des mesures qu’elle a prises au cours de la procédure pour se mettre en conformité.
Vous souhaitez bénéficier d'une démonstration de la plateforme Livv.eu ?
Dans vos bureaux ou en visio, nos équipes s'adaptent à vos besoins.
Accédez à toute l'intelligence du droit des affaires
Inscrivez-vous gratuitement sur Livv et bénéficiez de notre expertise en droit des affaires.
Inscrivez-vous à la newsletter Livv
et recevez chaque semaine des informations exclusives en droit des affaires
