Démarchage téléphonique illicite : la Cnil prononce une amende de 500 000 € !

Après avoir reçu une plainte d’une personne indiquant être démarchée très régulièrement par téléphone par la société Futura Internationale, alors même que cette personne avait indiqué au téléopérateur ne plus vouloir être appelée et qu’elle avait également exercé son droit d’opposition par courrier auprès de la société précitée, la Commission nationale de l’informatique et des libertés (ci-après la « Cnil ») a procédé à un contrôle auprès de ladite société.

Ce contrôle a permis de déceler divers manquements à la réglementation applicable en matière de protection des données à caractère personnel, lesquels ont été sanctionnés par la Cnil (cf. Cnil, Délibération de la formation restreinte n°SAN-2019-010 du 21 novembre 2019 concernant la société Futura Internationale).

 

Manquement 1 : le non-respect de l’obligation d’informer les personnes concernées et de tenir compte de leur droit d’opposition à la prospection téléphonique

Pour mémoire, aux termes des articles 13 et 14 Règlement général sur la protection des données dit « RGPD », un traitement de données à caractère personnel ne peut être mis en œuvre que si les personnes concernées sont informées de ce traitement, ainsi que des caractéristiques de celui-ci (finalités du traitement, destinataires des données, durées de conservation des données, existence de transferts de données hors Union européenne,…) mais également des droits qu’elle détiennent sur leurs données (droit d’accès, de rectification, d’effacement de leurs données, droit d’opposition au traitement,…).

Or, à l’occasion du contrôle de la Cnil au sein de la société Futura Internationale, il avait été relevé que les personnes faisant l’objet de sollicitations téléphoniques (i) soit n’étaient destinataires d’aucune information sur le traitement de leurs données à caractère personnel (cf. absence d’information), (ii) soit étaient uniquement informées de l’enregistrement de la conversation sans qu’aucune autre information ne leur soit communiquée quant au traitement de leurs données à caractère personnel (cf. information incomplète). En outre, pour rejeter l’argument de la société contrôlée selon lequel un courrier d’information était ensuite adressé aux personnes qui avaient été appelées, la Cnil souligne que l’envoi d’un courrier électronique postérieurement à l’appel téléphonique alors que les données sont collectées directement auprès de la personne concernée ne permet pas en tant que tel de satisfaire l’obligation d’informer la personne concernée au moment de la collecte de ses données. En effet, selon la Cnil, « une information, même sommaire, doit lui être communiquée par l’intermédiaire du service vocal ou du téléopérateur, en lui offrant la possibilité d’obtenir communication d’une information complète soit grâce à l’activation d’une touche sur son clavier téléphonique, soit par l’envoi d’un courriel par exemple ».

Par ailleurs, pour ce qui concerne les opérations de télémarketing, il est rappelé que la personne concernée doit être mise en mesure de s’opposer à l’utilisation de son numéro de téléphone à cette fin de manière simple et gratuite (cf. article 21 du RGPD).

Aussi, outre le non-respect de l’obligation d’informer les personnes concernées du traitement de leurs données à caractère personnel, la Cnil relève que la société Futura internationale aurait dû « être en mesure de s’assurer que l’opposition exprimée par les intéressés était respectée et que les personnes ayant faire part de leur opposition ne reçoivent plus d’appels de prospection de la part de ses sous-traitants ». Or, en l’espèce, aucune procédure de gestion des courriers et de traitement des demandes d’exercice des droits des personnes concernées n’avait été mise en place par la société Futura Internationale et aucune liste d’opposition efficace n’était tenue à jour, ce qui ne permettait pas de tenir compte de manière effective de l’exercice du droit d’opposition et d’en répercuter les conséquences dans les divers outils ou applications utilisés par la société et ses sous-traitants (cf. les centres d’appel).

 

Manquement 2 : des commentaires excessifs non conformes au principe de minimisation

La réglementation applicable en matière de protection des données à caractère personnel impose de ne traiter que des données à caractère personnel qui sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies (cf. principe de minimisation consacré à l’article 5, 1, c) du RGPD). Par ailleurs, l’article 9 du RGPD rappelle que le traitement de données dites “sensibles”, telles que par exemple les informations relatives à l’état de santé d’une personne, est interdit, sauf exceptions spécifiquement prévues par le texte.

Pour mémoire, ces principes s’appliquent quelles que soient les modalités de collecte, de saisie et de traitement des données dans les applications, fichiers, etc. utilisés. Les « champs de commentaires libres » ou « zones de saisie libre » (de type champs « commentaires », « observations », « remarques », « autres »,…) sont donc notamment concernés et doivent être utilisés avec prudence (minimisation et proportionnalité des données, objectivité des commentaires,…), conformément aux recommandations de la Cnil en la matière. Dans cette optique, il est notamment recommandé de sensibiliser les utilisateurs en charge de la saisie dans de telles zones aux règles à respecter dans ce cadre, d’insérer sur les écrans de saisie un message d’avertissement à l’attention des utilisateurs comportant des recommandations sur ce qu’il est possible ou non d’indiquer dans la zone de commentaires libres et de formaliser et déployer une politique interne de revue et de monitoring des zones de commentaires libres (ex : dictionnaire de mots interdits et blocages associés, vérifications régulières des zones de saisie libre par requêtes sur des « mots-clés »,…).

En l’espèce, des commentaires injurieux ainsi que des propos relatifs à l’état de santé des clients ont été constatés dans le logiciel de gestion de la clientèle utilisé par la société Futura Internationale et les centres d’appel, ce qui constitue un manquement aux principes précités. La Cnil rappelle opportunément que le responsable de traitement doit mettre en place un système contraignant lui permettant de s’assurer que les comportements constatés ne sont pas réitérés, soit en empêchant automatiquement l’enregistrement de certains termes dès la saisie, soit en effectuant une revue automatisée quotidienne des commentaires enregistrés.

 

Manquement 3 : l’absence d’encadrement des transferts de données en dehors de l’Union européenne

Aux termes des articles 44 et suivants du RGPD, un transfert de données à caractère personnel en dehors de l’Union européenne ne peut être licitement mis en œuvre que si le transfert a lieu vers un pays considéré par la Commission européenne comme assurant un niveau adéquat de protection des données (cf. pays ayant fait l’objet d’une décision d’adéquation) ou s’il est encadré de manière à ce que le niveau de protection des données ne soit pas compromis.

En l’espèce, l’utilisation du logiciel de gestion de la clientèle impliquait un tel transfert des données des clients vers la Côte d’Ivoire, le Maroc et la Tunisie (cf. pays de localisation des sous-traitants de la société contrôlée). En l’absence de décision d’adéquation de la Commission européenne concernant ces pays, de tels transferts auraient dû être encadrés par des garanties appropriées, conformément aux dispositions de l’article 46 du RGPD (par exemple, par la conclusion de clauses contractuelles types adoptées par la Commission européenne ou par l’autorité de contrôle et approuvée par la Commission européenne ou encore par la conclusion de clauses contractuelles ad hoc, sous réserve de l’autorisation de l’autorité de contrôle). Or, les transferts mis en œuvre par la société Futura Internationale vers ses sous-traitants hors Union européenne n’étaient pas conformes aux exigences précitées, ce dont il résulte un manquement à la réglementation applicable en la matière.

 

Manquement 4 : le non-respect de l’obligation de coopération avec la Cnil

L’article 31 du RGPD prévoit que, « le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions ».

Par ailleurs, le fait de s’opposer au contrôle, de refuser de communiquer des renseignement, documents, données, informations, … demandées par la Cnil et nécessaires à sa mission ou encore de communiquer des informations non conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible constitue un délit d’entrave au sens de l’article 226-22-2 du Code pénal, puni d’un an d’emprisonnement et de 15 000 euros d’amende (amende pouvant être portée au quintuple, soit 75 000 €, si la responsabilité pénale de la personne morale est retenue). Ce devoir de coopération des personnes interrogées dans le cadre d’un contrôle se manifeste en pratique par l’obligation de répondre aux questions et demandes des agents de la Cnil et l’interdiction de dissimuler des informations demandées expressément par les agents de la Cnil.

En l’espèce, à la suite du contrôle, la Cnil a effectué de nombreuses demandes à la société Futura Internationale pour obtenir communication des pièces nécessaires à l’exercice de sa mission et la société Futura Internationale n’a communiqué « qu’une très faible proportion des éléments demandés ». Par ailleurs, la Cnil souligne que la réponse à la mise en demeure qui avait été notifiée à la société Futura Internationale à la suite du contrôle n’était pas accompagnée des éléments justificatifs demandés par la Cnil. En outre, cette dernière relève qu’elle a systématiquement fait droit aux demandes de prorogation de délais formulées par la société Futura Internationale. Aussi, la Cnil considère que « l’absence de réponse aux demandes formulées par les services de la Cnil et à la mise en demeure adressée par la présidente de la Commission, comme l’absence de prise en compte de ces demandes avant la notification d’un rapport de sanction, suffisent à démontrer, sinon la volonté clairement exprimée de ne pas donner suite aux sollicitations de la Cnil à tout le moins un désintérêt flagrant pour ces sujets » et que la société Futura Internationale a en conséquence manqué à son obligation de coopération.

Des manquements donnant lieu à plusieurs sanctions de la Cnil

En cas de manquements à la réglementation applicable en matière de protection des données à caractère personnel, la Cnil peut prononcer différentes mesures à l’encontre de l’organisme contrôlé dont elle apprécie l’opportunité (cf. article 20 de la Loi Informatique et libertés).

En l’espèce, la Cnil a prononcé les sanctions suivantes à l’égard de la société Futura Internationale en raison des manquements précités :

  • une injonction de mettre en conformité le traitement de données à caractère personnel mis en œuvre à des fins de prospection par téléphone avec la réglementation applicable, en déployant certaines mesures spécifiques (information des personnes concernées, mise en œuvre d’un dispositif garantissant l’effectivité du droit d’opposition,…), étant précisé que cette injonction est assortie d’une astreinte de 500 euros par jour de retard à l’issue d’un délai d’un mois suivant la notification de la délibération de la Cnil, les justificatifs de la mise en conformité devant être adressés à la cette dernière dans ce délai ;
  • une amende administrative d’un montant de 500 000 euros.

 

*             *

*

 

Ainsi que nous le relevions dans un précédent article, les mesures à mettre en place à la suite d’un contrôle de la Cnil ne doivent pas être négligées, notamment dans la mesure où la réactivité de l’organisme est un des critères pris en compte par la Cnil pour déterminer la nature et le montant des sanctions qu’elle prononce.

En tout état de cause, la décision de la Cnil à l’encontre de la société Futura Internationale constitue une nouvelle occasion de rappeler qu’il appartient à tout organisme traitant des données à caractère personnel de déployer des actions structurantes en vue de la mise et du maintien en conformité de ses traitements au regard de la règlementation applicable (cartographie des traitements, formalisation de procédures et process internes, stratégie de contract management, …).

 

Par AGIL’ITPôle IT & Data protection

Laure LANDES-GRONOWSKI, Avocate associée

Marie MILIOTIS, Avocate