Blog Données personnelles

Prospection commerciale et droits des personnes : sanction d’un million d’euros pour TotalEnergies

Le 15 février dernier, la CNIL publiait sur son site internet son plan de contrôle pour l’année 2022. Parmi les thématiques de contrôle prioritaires figurait la prospection commerciale, sujet qui est à l’origine de nombreuses plaintes déposées auprès de la CNIL.

Ainsi, entre octobre 2019 et juillet 2020, les services de la Commission ont reçu vingt-sept plaintes à l’encontre de TotalEnergies, dont 18 furent finalement examinées. Ces plaintes faisaient état de difficultés rencontrées dans l’exercice des droits d’accès et d’opposition. Dès lors, la CNIL décidait de mener un contrôle en ligne sur le site total.direct-energie.com, lors duquel elle a relevé plusieurs manquements.

Le non-respect du droit d’opposition à la prospection commerciale par voie électronique

Sur le site de TotalEnergies, les personnes accédant au parcours de souscription avaient la faculté de renseigner leurs données personnelles et étaient informées au sein d’un formulaire que ces informations étaient susceptibles d’être utilisées aux fins de la réalisation d’opérations de relance.

La formation restreinte, au vu des éléments rapportés, relève que les personnes ne se voyaient pas proposer la faculté d’exprimer une opposition à ces traitements. En effet, si l’article L. 34-5 du Code des postes et des communications électroniques permet de prospecter les personnes dont les données ont été recueillies au cour d’un parcours de souscription au travers de l’exception dite « des produits et services analogues », ces personnes doivent avoir la possibilité de s’opposer à cette prospection au moment de la collecte de leurs données ainsi que lors de chaque nouvelle prise de contact.

Un manquement à l’obligation d’informer les personnes conformément à l’article 14 du RGPD

Au cours de la procédure de contrôle, les services de la CNIL ont eu à connaître de nombreux enregistrements d’appels de prospection réalisés auprès de personnes dont les coordonnées furent acquises par TotalEnergies auprès de ses partenaires.

Cet échantillon d’enregistrement démontrait, selon la formation restreinte de la CNIL, le non-respect de l’obligation d’information applicable à la collecte indirecte de données personnelles, puisque certains appels étaient notamment réalisés sans qu’aucune des mentions requises ne soit effectivement présente.

Le non-respect des obligations relatives aux modalités de traitement des demandes d’exercice de droits

Au titre de l’article 12 du RGPD, TotalEnergies en qualité de responsable de traitement, se devait de traiter les demandes d’exercices de droits, telles que celles relatives à l’accès, la rectification ou l’opposition et d’y répondre dans un délai d’un mois.

En l’espèce, la formation restreinte de la Commission relève que certaines demandes sont restées sans réponse pendant de longs mois, tandis que certaines personnes n’étaient pas informées du traitement effectif de leur demande.

Les manquements aux obligations de respecter l’exercice du droit d’accès et du droit d’opposition

Certaines plaintes traitées par les services de la CNIL dans le cadre du contrôle ayant visé TotalEnergies portaient sur l’ineffectivité du droit d’opposition aux opérations de prospection commerciale. La Commission relève notamment, que la circonstance qu’une personne concernée n’ait pas adressé sa demande d’opposition au service compétent, dès lors qu’elle parvient jusqu’au service en charge du traitement des demandes, n’est aucunement de nature à libérer le responsable de traitement de ses obligations.

Constituait également un manquement au sens de l’article 12 du RGPD, la défaillance des services de TotalEnergies qui conduisait à l’absence de traitement effectif d’une demande d’opposition, quand bien même celle-ci aurait fait l’objet d’une réponse positive.

Par ailleurs, la CNIL relève que de tels disfonctionnements internes ont également empêché TotalEnergies d’apporter des réponses satisfaisantes aux demandes d’exercice de droits d’accès.

Une sanction proportionnée au nombre de plaintes réceptionnées

La formation restreinte de la CNIL, lors du prononcé d’une sanction administrative, doit s’assurer que cette dernière est effective, dissuasive et proportionnée. Au vu du nombre de manquements constatés, du volume des traitements concernés ainsi qu’au regard du chiffre d’affaire de TotalEnergies, une sanction d’un million d’euros peut sembler faible.

Néanmoins, la formation restreinte fait état des efforts déjà engagés par TotalEnergies afin de remédier aux manquements constatés et note que le nombre de plaintes est extrêmement faible au regard de l’étendue des opérations de TotalEnergies.