Le 4 avril 2024, la formation restreinte de la Cnil a sanctionné la société HUBSIDE.STORE, en prononçant une amende administrative de 525 000 € à son encontre, au titre de divers manquements au RGPD, dont notamment la négligence dont la société a fait preuve lors de la réutilisation de données à caractère personnel. En effet, la formation restreinte de la Cnil relève que la société a utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées.
Il est crucial de prendre des précautions spécifiques en cas de recours, pour l’achat de bases de données, à des courtiers en données (“data brokers”), en vue de leur réutilisation à des fins de prospection commerciale. Pour rappel, les règles à suivre dans ce domaine sont exposées ici sur le site de la Cnil. Il convient par ailleurs de souligner que la prospection commerciale, englobant de telles pratiques, avait été identifiée comme l’une des priorités de contrôle de la Cnil en 2022, et que cette thématique a déjà donné lieu à de nombreuses sanctions de la formation restreinte de la Cnil en 2023 mais également très récemment à l’encontre de la société FORIOU (pour en savoir plus, notre article sur ce sujet : Prospection commerciale : le recours à des courtiers en données n’exonère pas le démarcheur de sa responsabilité !)
Dans cette décision à l’encontre de la société HUBSIDE.STORE, la formation restreinte de la CNIL sanctionne directement l’organisme qui a recours à des courtiers en données puisqu’il n’a pas veillé en tant qu’utilisateur des données à ce que les personnes concernées manifestent leur accord pour transmettre leurs données à des fins de prospection par le biais d’un consentement éclairé et dénué d’ambiguïté.
* *
*
A/ Sur le manquement à l’obligation de recueillir le consentement des personnes concernées pour la mise en œuvre de prospection commerciale par voie électronique
La formation restreinte de la CNIL rappelle tout d’abord qu’en vertu de l’article L.34-5 du Code des postes et des communications électroniques (ou CPCE), “Est interdite la prospection directe au moyen de système automatisé de communications électroniques (…) d’un télécopieur ou de courriers électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen”.
En l’espèce, la société HUBSIDE.STORE procède à des opérations de prospection commerciale par SMS à partir de fichiers de prospects achetés auprès de courtiers en données. Ces derniers collectent des données de personnes concernées par l’intermédiaire de formulaires de participation à des jeux de concours en ligne dont la conception ne permet pas aux utilisateurs de manifester un consentement conforme aux exigences du RGPD.
La société HUBSIDE.STORE quant à elle soulève qu’elle ne peut être tenue responsable des agissements non conformes de son prestataire “fournisseur de données”, d’autant que celui-ci avait pris envers la société l’engagement contractuel de recueillir le consentement des personnes concernées.
La CNIL rappelle d’une part, que le consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant mais qu’à défaut il revient à l’organisme qui réalise les opérations de prospections de recueillir un tel consentement. D’autre part, elle considère qu’en sa qualité de responsable de traitement, la société HUBSIDE.STORE est tenue de vérifier elle-même que les conditions lui permettant de réaliser des opérations de prospections commerciales sont réunies. De ce fait, un simple engagement contractuel du prestataire, ne peut exonérer le responsable de traitement de sa responsabilité (voir également en ce sens la sanction rendue à l’encontre de la société EDF et Délibération SAN-2022-021 du 24 novembre 2022 – Légifrance (legifrance.gouv.fr).
S’agissant des formulaires mis en œuvre par le data broker, la formation restreinte considère qu’ils n’éclairent pas suffisamment les personnes concernées sur le fait qu’elles consentent à la transmission de leurs données à des fins de prospection commerciale.
Exemple de formulaire :
En effet, la formation restreinte relève que, sur ces formulaires, l’utilisateur peut soit cliquer sur un bouton permettant à la fois de valider sa participation au jeu et d’accepter que ses données soient utilisées pour lui envoyer les offres des partenaires du data broker à l’origine de la collecte des données, soit cliquer sur un lien de type « Cliquez ici » ou « Voir ici » lui permettant de continuer (c’est-à-dire de valider le formulaire) mais sans recevoir les offres des partenaires.
S’agissant de l’aperçu global des interfaces, la formation restreinte de la CNIL précise, s’agissant des boutons “JE VALIDE”, “VALIDER” ou encore “JE REPONDS AUX QUESTIONS POUR POSTULER”, que :
- Ces boutons se distinguent des autres informations délivrées par leur taille et leur couleur ;
- L’intitulé de ces boutons évoque davantage la conclusion du parcours plutôt qu’une transmission de données à des partenaires ;
- Leur emplacement donne l’impression qu’ils doivent obligatoirement être cliqués pour terminer l’inscription et participer au jeu-concours ;
- Le lien permettant de participer au jeu sans accepter la transmission de données et la réception d’offres de partenaires est présenté dans le corps du texte, d’une taille nettement inférieure et sans mise en valeur particulière.
La formation restreinte en conclut donc que les formulaires ne permettent pas aux personnes concernées d’exprimer de manière valable un choix reflétant leurs préférences en matière de transmission de données à des fins de prospection commerciale par voie électronique (notamment par SMS). Elle considère ainsi que le consentement n’est pas valable au sens des articles L.34-5 du CPCE et 4 du RGPD.
B/ Sur le manquement à l’obligation de traiter les données de manière licite
S’agissant des actions de prospection commerciale par appel téléphonique, la formation restreinte de la CNIL rappelle qu’en vertu de l’article 6 du RGPD, elles ne peuvent être réalisées que sur la base légale de l’intérêt légitime de la société ou sur celle du consentement.
En l’espèce, la société HUBSIDE.STORE n’a pas été en mesure d’indiquer précisément sur quelle base légale elle se fonde pour procéder à ce type de traitement. La formation restreinte de la CNIL a donc analysé successivement les deux types de base légale susceptibles d’être applicables.
1) L’intérêt légitime
La formation restreinte de la CNIL considère que HUBSIDE.STORE ne peut se prévaloir de la base légale de l’intérêt légitime puisque la société n’est pas systématiquement mentionnée dans la liste des partenaires susceptibles de démarcher les personnes concernées et qu’ainsi ces dernières ne peuvent légitimement s’attendre à recevoir des offres commerciales de la société.
De plus, si certains formulaires renvoient à une liste nominative dans laquelle la société HUBSIDE.STORE n’apparait pas, d’autres formulaires ne contiennent même pas la liste des partenaires auxquels les données sont transmises.
La formation restreinte de la CNIL estime donc que dans ces conditions, la protection des intérêts, libertés et droits fondamentaux des personnes concernées prime sur les intérêts légitime de la société et que dès lors elle ne peut se prévaloir de la base légale de l’intérêt légitime.
2) Le consentement
Comme vu précédemment au sujet des sms, les formulaires ne permettent pas de recueillir un consentement valide des personnes concernées, et la formation restreinte de la CNIL adopte le même raisonnement pour les appels téléphoniques.
Toutefois, la société HUBSIDE.STORE soutenait que si ces manquements existaient, ils ne sont pas représentatifs ni d’une volonté de méconnaitre ses obligations, ni de pratiques généralisées. La formation restreinte rappelle alors à ce titre que si le caractère intentionnel de la violation doit être pris en compte pour prononcer une amende et décider de son montant, il est sans incidence sur la caractérisation du manquement, ce dernier pouvant résulter d’une négligence.
Les formulaires ne permettant pas de recueillir un consentement conforme aux exigences du RGPD, la société ne peut donc se prévaloir de la base légale du consentement.
Dès lors, en l’absence de base légale permettant à la société HUBSIDE.STORE de fonder ses opérations commerciales par téléphone, la formation restreinte considère qu’un manquement à l’article 6 du RGPD est constitué.
C/ Sur le manquement à l’obligation de transparence et d’information des personnes
La formation restreinte de la CNIL rappelle que l’article 14 du RGPD dresse la liste de toutes les informations devant être communiquées par le responsable de traitement aux personnes concernées lorsque leurs données n’ont pas été collectées auprès d’elle. S’agissant des informations à fournir, l’article cite à ce titre notamment les finalités du traitement, la base juridique du traitement, ainsi que les informations nécessaires pour garantir un traitement équitable et transparent à l’égard des personnes concernées telles que les durées de conservation.
La CNIL indique que si les personnes démarchées sont tenues au courant de l’enregistrement de l’appel ainsi que de leur possibilité de s’opposer à l’enregistrement, l’ensemble des autres informations ne leur sont pas communiquées. De plus, les personnes concernées ne disposent d’aucune possibilité d’obtenir une information plus complète. De ce fait, un manquement à l’article 14 est donc caractérisé.
* *
*
Malgré le caractère non intentionnel de la violation du RGPD de la société HUBSIDE.STORE, la sanction prononcée par la formation restreinte de la CNIL dans cette affaire n’est pas négligeable et représente environ 2% du chiffre d’affaires de la société, soit 525 000€. Pour déterminer le montant de cette sanction, la formation restreinte de la CNIL a notamment pris en compte la gravité des manquements retenus, la responsabilité endossée par l’organisme utilisateurs de données et le recours massif à la prospection commerciale.
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.
* *
*
AGIL’IT se tient à votre disposition pour vous accompagner dans le cadre de la mise et/ou du maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel ou encore en matière de prospection (ex: revue et négociation des documents contractuels à conclure avec vos partenaires, analyse de conformité des traitements de données à caractère personnel ayant vocation à être mis en œuvre, audit des formulaires de collecte et du process de transmission des données le cas échéant,…).
Par AGIL’IT – Pôle IT, Data & Cyber
Laure LANDES-GRONOWSKI, Avocate associée