Option Droit & Affaires , 29 mai 2024 – Interview de notre associée, Laure LANDES-GRONOWSKI (pôle IT & Data & Cyber), par Charles Ansabère, journaliste pour Option Droit & Affaires, sur le thème de la réutilisation des données par un organisme à des fins de prospection commerciale.
* *
*
Dans plusieurs décisions de sanction, la formation restreinte de la Cnil a rappelé qu’obtenir le consentement des particuliers est indispensable avant toute prospection commerciale par courrier électronique, mais également qu’il appartient à tout organisme qui souhaite réutiliser des données à cette fin de s’assurer du recueil d’un tel consentement et de la validité dudit consentement, même lorsqu’il n’est pas à l’origine du recueil des données, par exemple lorsque les données ont été collectées par un courtier en données (ou data broker) et “achetées” auprès de ce dernier.
A titre d’exemple, dans une délibération rendue le 24 novembre 2022, la formation restreinte de la Cnil a condamné EDF à une amende administrative de 600 000 € au titre de divers manquements à la règlementation en matière de protection des données personnelles et de prospection, notamment pour avoir procédé à des opérations de prospection commerciale par voie électronique sans pouvoir démontrer le recueil préalable du consentement des personnes concernées. Dans cette décision, la formation restreinte de la Cnil a rappelé que tout organisme souhaitant réutiliser des données collectées par des tiers (en l’espèce des courtiers en données) pour de telles finalités doit mettre en place des mesures et process dédiés pour s’assurer que le consentement des personnes concernées a effectivement été obtenu, conformément aux exigences applicables (notamment au moyen d’audits réalisés auprès du collecteur des données s’agissant des modalités de recueil du consentement), et pouvoir le démontrer, ce qui n’était pas le cas en l’espèce.
Pour en savoir plus, voir notre article à ce sujet.
Pour une autre illustration, le 4 avril 2024, la formation restreinte de la Cnil a sanctionné la société HUBSIDE.STORE, en prononçant une amende administrative de 525 000 € à son encontre, au titre de divers manquements au RGPD, dont notamment la négligence dont la société a fait preuve lors de la réutilisation de données à caractère personnel à des fins de prospection commerciale. En effet, la formation restreinte de la Cnil relève que la société a utilisé à cette fin des données fournies par des courtiers en données (ou data brokers), sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées. Dans cette décision à l’encontre de la société HUBSIDE.STORE, la formation restreinte de la CNIL sanctionne directement l’organisme qui a recours à des courtiers en données puisqu’il n’a pas veillé en tant qu’utilisateur des données à ce que les personnes concernées manifestent leur accord pour transmettre leurs données à des fins de prospection par le biais d’un consentement éclairé et dénué d’ambiguïté.
Pour en savoir plus, voir notre article à ce sujet.
[Extrait de l’article d’Option Droits & Affaires]
« Après avoir rappelé à plusieurs reprises que l’organisme collecteur des données devait démontrer avoir agi conformément à la législation, la CNIL formule plus avant ses exigences : elle attend du donneur d’ordre final qu’il prouve avoir effectué des audits sur les modalités du recueil des consentements par l’organisme collecteur et qu’il puisse démontrer la validité de ces consentements. Elle ne se contente donc plus de s’assurer de l’existence de contrats de prestation, mais elle examine de plus en plus le détail de ces contrats en affirmant que l’existence de garanties contractuelles ne suffit pas », décrypte Laure Landes-Gronowski, associée-cofondatrice du cabinet Agil’IT.
Pour accéder à l’article dans son intégralité (réservé aux abonnés), cliquez ici.
* *
*
AGIL’IT se tient à votre disposition pour vous accompagner dans le cadre de la mise et/ou du maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel ou encore en matière de prospection (ex: revue et négociation des documents contractuels à conclure avec vos partenaires, analyse de conformité des traitements de données à caractère personnel ayant vocation à être mis en œuvre, audit des formulaires de collecte et du process de transmission des données le cas échéant,…).
Par AGIL’IT – Pôle IT, Data & Cyber
Laure LANDES-GRONOWSKI, Avocate associée