Prospection commerciale, droits des personnes et obligation de sécurité : le rappel de la CNIL: à propos de la sanction de 600.000 euros contre le Groupe Canal + rendue le du 12 octobre 2023

Entre novembre 2019 et janvier 2021, la CNIL a été saisie de diverses plaintes, portant notamment sur la prospection par voie téléphonique, la transmission de données bancaires et de l’exercice des droits.

La Commission restreinte va tout d’abord statuer sur le manquement à l’obligation de recueillir le consentement des personnes concernées pour la mise en œuvre de prospection commerciale par voie électronique, rappelant tout d’abord au visa des dispositions du code des postes et communications électroniques, qu’est interdite la prospection directe au moyen de système automatisé de communications électroniques utilisant les coordonnées d'une personne physique qui n'a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen.

C’était à nouveau l’occasion pour la CNIL de rappeler la notion de consentement, au visa du RGPD, à savoir toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Or il s’est avéré que pour plus de 500.000 personnes ayant fait l’objet de prospection par voie électronique au cours de l’année 2021, le GROUPE CANAL + n’était pas en mesure de fournir de pièces démontrant l’obtention d’un consentement valablement recueilli auprès des personnes, que ce soit par ses soins, ou par des organismes tiers.

En effet, si tant est que les personnes aient bien donné leur consentement à des sociétés tierces à recevoir de la prospection commerciale électronique en cochant les cases présentes à cet effet sur les formulaires en cause, elles n’ont pas valablement consenti à recevoir de la prospection de la part de la société GROUPE CANAL +, dans la mesure où elles n’ont pas été informées de l’identité de ce prospecteur pour le compte duquel le consentement serait collecté.

Ensuite la Commissions va statuer sur les manquements en lien avec l’obligation d’informer les personnes concernées du traitement de leurs données à caractère personnel.

La CNIL va relever que lors de la création d’un compte sur le service MyCanal, un lien situé sous le formulaire de collecte des données renvoie l’utilisateur vers une page intitulée “ Données personnelles et confidentialité ”. La CNIL va notamment considérer que la politique de confidentialité de la société ne développe pas de manière suffisamment précise les durées de conservation des données, énoncées de manière générique et n’étant donc pas suffisamment explicites.

En outre et s’agissant des informations fournies aux prospects lors des appels de démarchage téléphonique, la CNIL va relever que prestataire de la société en charge de la prospection téléphonique ne fournissait pas systématiquement toutes les informations exigées par le RGPD.

Enfin la CNIL va relever 4 autres manquements s’agissant

• • Des obligations relatives aux modalités d’exercice des droits des personnes : non-respect des délais de traitement des demandes de “ suppression ” ou demande d’opposition “ et non-respect de la réglementation en matière de droit d’accès des personnes concernées
• • en matière de sous traitance , s’agissant de contrats qui ne comportaient pas l’ensemble des mentions requises au titre de l’article 28, paragraphe 3, du RGPD
• • en matière de manquement à l’obligation de sécurité, la CNIL relevant que le stockage des mots de passe de collaborateurs au moment des contrôles, était obsolète et insuffisamment robuste pour assurer la confidentialité des mots de passe
• • en matière de manquement à l’obligation de notifier à la CNIL une violation de données à caractère personnel, la CNIL relevant que le 5 février 2020, une violation de données était intervenue, violation « non négligeable de 10 154 personnes », étant précisé que plusieurs personnes avaient indiqué à la société avoir eu effectivement accès aux données de tiers. Malgré le nombre de personnes concernées et le type de données rendues accessibles, la CNIL relève que la société n’a pas procédé à une notification de cette violation de données à la CNIL.

Mathieu MARTIN