Le 8 juin 2023, la formation restreinte de la Commission Nationale de l’Informatique et des Libertés (Cnil) a sanctionné la société KG COM qui proposait des consultations téléphoniques et en ligne de voyance à une amende administrative de 150 000 €. Les nombreux manquements caractérisés par la formation restreinte sont l’occasion de revenir sur les obligations essentielles que doivent respecter les responsables de traitement pour être en conformité avec la réglementation applicable.
La société KG COM proposait des consultations de voyance à ses clients, par chat ou par téléphone.
Le 1er octobre 2020, le site internet Numérama révèle une violation des données à caractère personnel conservées sur le serveur de KG COM. Sans mesures de sécurité particulières, une base de données contenant, notamment, des données de contact et d’identification était librement accessible sur internet jusqu’au 23 juillet 2020.
Le 21 janvier 2021, une délégation de contrôle de la Cnil procède à un contrôle sur pièces, et il est procédé le 15 avril 2021 à un contrôle en ligne.
Le 7 juillet 2022, la rapporteure de la Cnil faisait notifier à KG COM un rapport détaillant les manquements relevés aux dispositions du RGPD et de la loi Informatique et Libertés qu’elle estimait constitués, et proposait le prononcé d’une amende administrative et la publicité de la décision.
La formation restreinte de la Cnil s’est prononcée et a publié sa délibération le 8 juin 2023, dans laquelle elle caractérise les manquements présentés ci-après.
* *
*
1. Manquement au principe de minimisation des données traitées
Ce principe résulte de l’article 5, paragraphe 1, c, du RGPD : « Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».
Les données collectées doivent donc être limitées à ce qui est strictement nécessaire pour la finalité visée par le traitement. Les données ne permettant pas d’atteindre l’objectif visé par le traitement ne doivent donc pas être collectées.
En l’espèce, la rapporteure de la Cnil avait constaté que la société enregistrait de façon systématique l’intégralité des appels téléphoniques passés entre les téléconseillers et les prospects, et entre les voyants et les clients afin de contrôler la qualité du service, d’obtenir une preuve de la souscription du contrat, et afin d’anticiper d’éventuelles réquisitions judiciaires.
La société ne justifiait pas de la nécessité d’enregistrer systématiquement chaque conversation téléphonique alors qu’il lui appartenait, en tant que responsable du traitement, de s’assurer que ce traitement était nécessaire à ses besoins et aux finalités poursuivies.
A cet égard, la formation restreinte de la Cnil relève que ce dispositif était particulièrement intrusif pour les salariés, alors que la finalité tendant au contrôle de la qualité du service fourni par les téléconseillers pouvait être atteinte par un moyen moins intrusif (un enregistrement ponctuel et aléatoire par exemple).
La formation restreinte relève également que la preuve du contrat conclu à distance entre la société et les prospects pouvait être rapportée de manière moins intrusive par la confirmation écrite de l’offre, conformément aux dispositions du Code de la consommation qui prévoit que, dans le cadre d’une opération de démarchage téléphonique, le consommateur n’est engagé par l’offre reçue qu’après l’avoir signée et acceptée sur un support durable. Ce support durable peut donc permettre la preuve de l’existence du contrat conclu à distance, en lieu et place de l’enregistrement systématique des conversations téléphoniques.
En outre, la formation restreinte considère que la société n’avait pas à organiser à l’avance la collecte de données à caractère personnel afin de répondre à une réquisition judiciaire qui n’est que potentielle.
Elle relève ensuite que les enregistrements des conversations comprenaient également la partie de la conversation portant sur la collecte des données bancaires des clients, sans que l’enregistrement ne puisse être interrompu lorsque les clients fournissaient ces informations.
Bien que la société ait avancé l’importance du coût humain et financier que nécessiterait la mise en place d’une mesure permettant d’interrompre l’enregistrement lors de la collecte des données bancaires, la formation restreinte de la Cnil note la protection renforcée dont doivent bénéficier les données bancaires et relève que la collecte de ces dernières n’était pas pertinente au regard des finalités invoquées par la société : réservation de rendez-vous, simplification des règlements ultérieurs, paiement d’abonnements et lutte contre la fraude.
Le dispositif d’enregistrement systématique des appels passés est donc considéré comme excessif au regard de la finalité poursuivie, et un manquement à l’article 5, paragraphe 1, c, du RGPD est caractérisé.
2. Manquement à l’obligation de définir et de respecter une durée de conservation proportionnée à la finalité du traitement
L’article 5, paragraphe e, 1, du RGPD dispose que les données à caractère personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».
La société KG COM fixait à trois ans à compter de la fin de la relation commerciale la durée de conservation des données de ses clients.
Pourtant, elle conservait, dans sa base de données en base active (une base facilement accessible dans l’environnement de travail immédiat), les données de clients n’ayant pas eu de consultation avec un voyant depuis plus de trois ans.
La société avait avancé que la conservation en base active des données était nécessaire pour réidentifier un client qui n’aurait pas recouru à ses services de voyance durant une longue période.
La formation restreinte de la Cnil réfute cet argument et considère qu’il ne justifie pas une conservation en base active de ces données.
Un manquement à l’article 5, paragraphe e, 1, du RGPD est donc caractérisé.
3. Manquement à l’obligation de traiter licitement les données
L’article 6 du RGPD liste six conditions ou « bases juridiques » permettant de déterminer qu’un traitement de données à caractère personnel mis en œuvre est licite.
Ces « bases juridique » autorisent légalement la mise en œuvre d’un traitement lorsque :
- la personne concernée a consenti au traitement de ses données à caractère personnel ;
- l’exécution d’un contrat auquel la personne concernée est partie rend nécessaire le traitement ;
- le respect d’une obligation légale par le responsable de traitement nécessite le traitement ;
- la sauvegarde des intérêts vitaux de la personne concernée nécessite le traitement ;
- l’exécution d’une mission de service public dont est investi le responsable de traitement nécessite le traitement ;
- des intérêts légitimes poursuivis par le responsable de traitement ou un tiers nécessite le traitement, sauf si les libertés et droits fondamentaux de la personne concernée prévalent.
En l’espèce, la rapporteure de la Cnil avait relevé que les données bancaires des clients étaient conservées au-delà du temps strictement nécessaire à la transaction, et sans recueillir le consentement préalable des personnes concernées.
La société invoquait son intérêt légitime en tant que base du traitement des données bancaires des clients, et la formation restreinte de la Cnil confirme ce raisonnement pour la conservation des données afin de lutter contre la fraude.
En revanche, la formation restreinte de la Cnil rappelle que cette base ne peut être utilisée lorsque les données bancaires sont conservées afin de permettre au client d’acheter à nouveau une prestation ou de faciliter ses paiements ultérieurs car cette prestation supplémentaire va au-delà de l’exécution du contrat initialement conclu avec la société.
KG COM aurait donc dû obtenir le consentement préalable des personnes concernées pour de telles finalités.
Un manquement à l’article 6, paragraphe 1 du RGPD est donc caractérisé.
4. Manquement à l’obligation de recueillir le consentement préalable de la personne concernée à la collecte de catégories de données particulières
Par principe, l’article 9 du RGPD interdit le traitement des données suivantes : « données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ».
Toutefois, certaines conditions permettent de lever ce principe d’interdiction, au nombre desquelles le consentement explicite de la personne au traitement de ces données pour une ou plusieurs finalités spécifiques, à condition qu’il ressorte d’un acte positif clair ou d’une déclaration de la personne concernée (article 9, paragraphe 2 du RGPD). La personne doit également être informée sur le caractère particulier des données collectées, de ce qu’elles pourraient révéler et de l’usage qui en sera fait.
La rapporteure de la Cnil avait constaté que dans le cadre des consultations de voyance, les voyants pouvaient rédiger des commentaires sur les fiches des clients après une consultation. Ces fiches étaient conservées dans leur outil métier, et elle relevait que certains de ces commentaires portaient sur la santé ou l’orientation sexuelle des personnes.
Or, KG COM ne recueillait pas l’accord des personnes concernées sur l’utilisation de ces données et les données n’étaient pas anonymisées mais simplement pseudonymisées, leur association à l’identifiant du client et au commentaire permettant de réidentifier le client concerné.
La formation restreinte de la Cnil rappelle que le fait, pour la personne concernée, de communiquer spontanément des données sensibles dans le cadre d’une consultation de voyance ne constituait pas un consentement et n’exonérait pas la société de recueillir son consentement explicite à leur traitement.
La société aurait également dû fournir une information spécifique aux personnes concernées sur la collecte et le traitement de leurs données de santé et informations portant sur leur orientation sexuelle.
Un manquement à l’article 9 du RGPD est donc caractérisé.
5. Manquement à l’obligation de transparence
L’article 12, paragraphe 1 du RGPD dispose que « le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique ».
La rapporteure de la Cnil relevait que les informations visées à l’article 13 du RGPD n’étaient pas fournies aux personnes de manière suffisamment accessible lors de la collecte de leurs données à caractère personnel au moment de la création de leur compte utilisateur.
La formation restreinte de la Cnil rappelle qu’une information « aisément accessible » est une information qui est fournie à l’utilisateur sans qu’il ait besoin de la rechercher activement. Or, le formulaire de création de compte ne comportait pas d’information relative aux traitements de données mis en œuvre par KG COM, ni de lien renvoyant vers ces informations. L’utilisateur devait alors cliquer sur les conditions générales de vente de la société de voyance situées au bas de la page d’accueil du site et y rechercher activement les informations portant sur la protection des données à caractère personnel.
L’information n’était donc pas aisément accessible, d’autant plus que le document contenait à la fois les conditions générales de vente de la société, les conditions d’utilisation du site et des informations sur les traitements de données mis en œuvre par la société.
L’information aurait dû être donnée dans un document relatif à la protection des données à caractère personnel pour être aisément accessible.
Un manquement à l’article 12 du RGPD est donc caractérisé.
6. Manquement à l’obligation d’information des personnes concernées
L’article 13 du RGPD impose de fournir différentes informations aux personnes concernées lorsque leurs données à caractère personnel sont directement collectées auprès d’elles :
- l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
- le cas échéant, les coordonnées du délégué à la protection des données ;
- les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
- les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (si l’intérêt légitime fonde le traitement) ;
- les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ;
- le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation ou les garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;
- la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
- l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;
- l’existence du droit de retirer son consentement à tout moment ;
- le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
- des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
- l’existence d’une prise de décision automatisée, y compris un profilage et des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
La rapporteure avait relevé que certaines informations devant être fournies à la personne concernée au titre de l’article 13 ne lui étaient pas communiquées sur le site de la société de voyance (durée de conservation des données, droit à la portabilité, droit d’introduire une réclamation auprès d’une autorité de contrôle,…).
Elle constatait également que les prospects n’étaient pas informés du fait que la conversation pouvait être enregistrée lors des appels téléphoniques, ni que ces données seraient traitées par la société.
Bien que la société soit en cours de mise en conformité concernant les informations manquantes dans sa politique de confidentialité et ai cessé de proposer des consultations de voyance par téléphone, la formation restreinte de la Cnil caractérise un manquement à l’article 13 du RGPD.
7. Manquement à l’obligation d’encadrer la relation entre le responsable du traitement et le sous-traitant
L’article 28, paragraphe 3 du RGPD prévoit que le traitement effectué par un sous-traitant pour un responsable de traitement est régi par un contrat qui, entre autres, doit définir l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel, les catégories de personnes concernées, ainsi que les obligations et les droits du responsable de traitement, et comporter un certain nombre stipulations imposées qui prévoient des obligations spécifiques à la charge du sous-traitant.
La société KG COM avait communiqué à la Cnil ses contrats et annexes de sous-traitance, mais deux d’entre eux n’étaient pas signés par les prestataires, et d’autres ne comportaient pas l’intégralité des stipulations obligatoires.
La formation restreinte de la Cnil considère que ces contrats ne permettaient donc pas une protection efficace des données traitées par les sous-traitants de la société de voyance.
Un manquement à l’article 28 du RGPD est donc caractérisé.
8. Manquement à l’obligation d’assurer la sécurité des données
L’article 32 du RGPD impose au responsable de traitement de mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque », et liste différentes mesures permettant d’atteindre ce niveau de sécurité souhaité, parmi lesquelles la pseudonymisation et le chiffrement des données à caractère personnel et des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.
En l’espèce, la rapporteure de la Cnil avait relevé que les mots de passe des comptes créés par les utilisateurs sur le site de la société pouvaient ne contenir qu’un seul caractère. La robustesse des mots de passe était donc loin d’être assurée.
La connexion à l’outil CRM de la société s’effectuait, quant à elle, soit :
- grâce à un identifiant et à un mot de passe créé par le président de la société et le salarié, sans règles particulières concernant leur complexité ou modification automatique du mot de passe lors de la première connexion ;
- par un administrateur au moyen d’un générateur de mot de passe permettant de créer des mots de passe composés de neuf à douze caractères alphanumériques et spéciaux, qui le transmettait ensuite au président de la société pour communication au salarié.
La formation restreinte de la Cnil relève que l’utilisation de mots de passe insuffisamment robustes peuvent conduire à des attaques par des tiers non autorisés, ce qui induit un risque de compromission des comptes et des données à caractère personnel qu’ils contiennent. La nécessité d’un mot de passe fort est, par ailleurs, une recommandation de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), et de la Cnil elle-même dans sa délibération n° 2022-100 du 21 juillet 2022.
En outre, la procédure de création des mots de passe ne permet pas d’assurer la confidentialité des données puisque le président de la société a connaissance de l’intégralité des mots de passe permettant à ses salariés d’accéder à l’outil CRM, et l’administrateur d’un grand nombre de ces derniers.
La formation restreinte considère donc que les mesures déployées pour garantir la sécurité des données sont insuffisantes au regard, notamment, de la sensibilité de certaines des données traitées par la société (ex : données bancaires, données relatives à l’orientation sexuelle ou à la santé d’une personne).
Enfin, le chiffrement des données bancaires mis en place par la société KG COM présentait des vulnérabilités, et le protocole de sécurité utilisé pour accéder au site internet de la société (HTTP) n’était pas sécurisé.
Au regard des données à caractère personnel faisant l’objet du traitement, la formation restreinte de la Cnil caractérise un manquement à l’article 32 du RGPD.
9. Manquement à l’obligation de notifier les violations de données à l’autorité compétente
L’article 33 du RGPD impose au responsable de traitement de notifier une violation de données à l’autorité de contrôle compétente (en France, il s’agit de la Cnil) « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».
La société KG COM avait subi une violation de données dont elle a pris connaissance le 29 septembre 2020.
Bien que la société ait mené une enquête interne suite à la notification de la violation de données par un journaliste et consigné l’incident dans son registre des violations, elle n’a pas procédé à une notification auprès de la Cnil alors qu’elle avait un degré de certitude raisonnable de l’existence d’une violation de données engendrant un risque pour les droits et libertés des personnes concernées, notamment compte tenu de la durée de la violation (deux mois et quatre jours) et du nombre potentiel de personnes concernées.
Un manquement à l’article 33 du RGPD est donc caractérisé.
10. Manquements aux obligations liées à l’utilisation de cookies
L’article 82 de la loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) dispose que « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s’y opposer […] ».
La rapporteure relevait que le site internet de la société ne comportait pas de bandeau ou de modules cookies permettant d’informer la personne concernée sur l’utilisation de cookies sur le site, et de recueillir son consentement à un tel dépôt. Or, des cookies étaient bien déposés sur les terminaux des utilisateurs visitant le site.
Un bandeau d’information avait ensuite été implémentée par la société KG COM, mais l’information délivrée n’était pas satisfaisante : elle ne fournissait, notamment, aucune information relative à la manière de refuser les cookies, sur les conséquences de ce refus ou sur le droit de retirer son consentement.
La société a ensuite indiqué avoir implémenté un bandeau d’information conforme sur son site internet. Toutefois, ce bandeau ne permettait pas de refuser les cookies aussi facilement que de les accepter et contraignait l’utilisateur a effectué cinq actions pour pouvoir refuser le dépôt de cookies sur son terminal.
La société KG COM a, depuis les contrôles, intégré à son bandeau cookies un bouton « Tout refuser » permettant à l’utilisateur de refuser facilement les cookies.
La formation restreinte de la Cnil considère, cependant, que les faits relevés constituent un manquement à l’article 82 de la loi Informatiques et Libertés au jour des contrôles et avant l’insertion du bouton « Tout refuser » sur le bandeau cookies.
* *
*
La formation restreinte relève le nombre particulièrement élevé de manquements concernant une vaste partie des règles relatives à la protection des données à caractère personnel, dont certaines portent sur les obligations fondamentales du responsable du traitement. Elle ajoute que certains dispositifs à l’origine des manquements relevés sont particulièrement intrusifs pour les personnes concernées. Il est également rappelé que les mises en conformité réalisées par la société au cours de la procédure ne l’exonèrent pas des manquements passés.
La formation restreinte de la Cnil prononce donc une amende administrative s’élevant à 120 000 euros pour les manquements au RGPD, et à 30 000 euros pour le manquement à la loi Informatique et Libertés sur les aspects « cookies ».
Cette décision apporte un éclairage pertinent à tous les organismes traitant des données à caractère personnel et/ou utilisant des cookies, en précisant notamment l’appréciation faite par la Cnil s’agissant de l’application pratique des principes consacrés par la règlementation applicable en matière de protection des données à caractère personnel et en matière de cookies (et autres traceurs ou technologies similaires).
Eu égard à l’étendue des manquements sanctionnés par la formation restreinte de la Cnil, cette décision permet également un rappel des obligations fondamentales devant être respectées par tout responsable du traitement.
Le pôle « IT, Data protection & Cybercriminalité » d’AGIL’IT se tient à votre disposition pour vous accompagner dans le cadre de la mise et/ou du maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel.
Par AGIL’IT – Pôle IT, Data & Sécurité
Laure LANDES-GRONOWSKI, Avocate associée
Kassandra BERTRAND-BOURDON, Avocate
