Blog Données personnelles
Prospection commerciale : la CNIL réaffirme la responsabilité des sociétés dans la conformité de leurs partenaires / Sanction de 310 000 euros à l’encontre de la société FORIOU
Au travers de sa délibération n°SAN-2024-003 en date du 31 janvier 2024, la Commission Nationale de l’Informatique et des Libertés (ci-après désignée « CNIL ») a infligé une amende de 310 000 euros à la société de démarchage téléphonique française FORIOU pour avoir utilisé à des fins de prospection commerciale des données personnelles fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées.
La société FORIOU réalise des campagnes de démarchage téléphonique pour promouvoir les programmes et cartes de fidélité qu’elle commercialise. Pour ce faire, elle se fournit en données personnelles de personnes préalablement démarchées auprès de courtiers en données, éditeurs de jeux-concours et de tests de produits. A l’issue d’une série de contrôles des processus de démarchages mis en œuvre par la société FORIOU, la CNIL a finalement constaté plusieurs manquements importants à la réglementation en vigueur en matière de protection des données personnelles.
Une absence de consentement libre et univoque et une information insuffisante des personnes
Pour rappel, l’article L.34-5 du Code des postes et des communications électroniques soumet la réalisation de prospection commerciale à deux conditions. D’une part, les personnes concernées doivent en être informées et, d’autre part, elles doivent préalablement y consentir, s’il s’agit de particuliers, ou pouvoir s’y opposer, s’il s’agit de professionnels.
La CNIL a considéré que l’apparence trompeuse des formulaires de collecte mis en œuvre par les entreprises à l’origine de la collecte des données personnelles ne permettait pas de recueillir un consentement libre et univoque des personnes concernées, conforme aux exigences des articles 4.11 et 7 du RGPD. En effet, la mise en forme de ces formulaires orientait fortement les utilisateurs à accepter la transmission de leurs données personnelles à des fins de prospection commerciale, sans que cela ne soit une condition obligatoire pour participer aux jeux proposés.
Par conséquent, la société FORIOU ne pouvait pas se prévaloir du consentement des personnes concernées et ne disposait donc d’aucune base légale lui permettant d’utiliser ces données à des fins de prospection commerciale, violant ainsi le principe de licéité du traitement consacré par les dispositions de l’article 6 du RGPD. La CNIL rappelle à cet effet qu’il appartient à la société FORIOU, en tant qu’utilisatrice des données recueillies, de s’assurer que les personnes concernées ont exprimé un consentement valide. Par ailleurs, bien que la société FORIOU ait imposé certaines exigences contractuelles à ses fournisseurs de données en amont, la CNIL souligne qu’elle n’opérait aucun contrôle effectif de ces exigences en aval, fermant ainsi les yeux sur de nombreux fichiers de prospect non conformes.
Par ailleurs, la CNIL relève également que de nombreux formulaires de jeux-concours à partir desquels les données personnelles de prospect étaient collectées ne mentionnaient pas la société FORIOU dans la liste des partenaires susceptibles d’avoir accès aux données et de démarcher les personnes concernées.
Un manquement à l’obligation de sécurité des données
Alors que la société FORIOU a déclaré conserver les données personnelles de ses clients en base active pendant une durée de cinq ans à compter de la date de clôture du contrat, la CNIL a constaté qu’aucun mécanisme d’archivage intermédiaire des données n’était mis en œuvre. Elle a donc considéré que ces modalités de conservation des données ne permettent pas de limiter l’accès aux données aux seuls utilisateurs ayant besoin d’en connaitre, dans la mesure où toutes les personnes ayant intérêt à avoir accès à ces données pendant la durée du contrat continuent, même après la clôture de ce dernier, à pouvoir y accéder sans restriction pendant une durée de cinq ans, alors même que leurs fonctions ne leur imposent plus nécessairement d’en connaître. Ainsi, selon la CNIL, la société FORIOU n’est pas en mesure de respecter les dispositions de l’article 32 du RGPD lui imposant, en sa qualité de responsable de traitement, de mettre en place des mesures appropriées pour assurer la confidentialité des données et éviter que ces dernières soient traitées de façon illicite par des personnes qui n’ont pas besoin d’en connaître.
En raison de ces manquements, la CNIL a donc sanctionné la société FORIOU d’une amende de 310 000 euros, représentant environ 1% du chiffre d’affaires de la société. L’importance de cette sanction a été décidée notamment au regard de la gravité des manquements retenus et de la responsabilité endossée par l’organisme utilisant les données collectées. Par cette décision, la CNIL réaffirme sa fermeté sur le sujet de la prospection commerciale et confirme la position déjà affirmée en mars 2023 au travers de sa décision à l’encontre de la société CRITEO (sanctionnée d’une amende de 40 millions d’euros pour avoir traité des données personnelles récoltées illégalement à des fins de prospection commerciale).
Jeanne BOSSI MALAFOSSE, associée, et Grégoire PETYT, stagiaire