Tribune par Alexis Chauveau Maulini, Avocat certifié CIPP/E (DS Avocats)
La 1ère sanction RGPD de la CNIL concernant la prospection commerciale
Le 21 novembre 2019 la CNIL a prononcé une sanction de 500.000 € à l’encontre de la société Futura Internationale pour non-respect des droits des personnes démarchées dans le cadre d’opérations de prospection commerciale.
Il s’agit de la 1ère sanction prononcée par la CNIL postérieurement à l’entrée en application du RGPD concernant le traitement de données à caractère personnel avec comme finalités la prospection commerciale. Les motifs développés par l’autorité de contrôle et le montant de la sanction prononcée témoignent de l’intérêt du sujet.
La société Futura Internationale commercialise des équipements d’isolation thermique et a recours notamment à des centrales d’appels situés en dehors de l’Union Européenne pour réaliser des opérations de prospection commerciale.
Saisie le 6 février 2018 par un particulier qui se plaignait d’être régulièrement démarché par la société Futura Internationale, alors qu’il n’avait jamais donné son consentement et avait même au contraire manifesté son opposition à ce démarchage, oralement auprès des opérateurs de téléphonie et par courrier au siège de la société, la CNIL a procédé à un contrôle sur place le 20 mars 2018.
A la suite de ce contrôle la présidente de la CNIL a mis la société Futura Internationale en demeure de se mettre en conformité au Règlement Général sur la Protection des Données (RGPD). Cette mise en demeure n’ayant pas été prise au sérieux et les mesures adéquates n’ayant pas été prises, une procédure de sanction a été engagée à l’encontre de la société pour manquements aux articles 5-1-c), 12, 13, 14, 21 et 44 du RGPD.
Retrouvez la sanction au sein de la carte interactive des sanctions de DATA LEGAL DRIVE
Les manquements observés
L’affaire a été évoquée lors de la séance de la formation restreinte du 19 septembre 2019 et a donné lieu à une sanction de la société au terme d’une délibération n°SAN-2019-010 du 21 novembre 2019.
Tout d’abord la CNIL a pris soin de justifier l’application des dispositions du RGPD aux faits constatés lors du contrôle du 20 mars 2018, en rappelant que les manquements reprochés étaient continus dans le temps et avaient perduré à une date postérieure à l’entrée en application du RGPD.
1. Données collectées et traitées non adéquates, pertinentes, et limitées
A travers le manquement à l’obligation de traiter des données adéquates, pertinentes et limitées (art. 5-1-c du RGPD), la CNIL a sanctionné la présence de commentaires injurieux et/ou relatifs à l’état de santé des personnes concernées – en l’occurrence les personnes démarchées – dans le logiciel de gestion des clients et prospects de la société.
Ce manquement était constitué à l’expiration du délai imparti par la mise en demeure précitée, la société ayant purgé les commentaires litigieux seulement en cours de procédure de sanction.
On notera que la CNIL a donné son appréciation sur les mesures correctrices adoptées par la société, considérant qu’une simple mention d’information à destination des utilisateurs du logiciel de gestion des clients et prospects était insuffisante en l’espèce – eu égard aux commentaires relevés – à garantir le respect des dispositions de l’article 5-1-c).
La CNIL a précisé que la société se devait de mettre en place un mécanisme automatisé contraignant permettant de s’assurer que les comportements fautifs ne seraient pas réitérés.
2. Manquement au devoir d’information
Le manquement à l’obligation de procéder à l’information des personnes tenait au mode opératoire des campagnes de prospection. Concrètement, les personnes étaient contactées par téléphone – par et/ou pour le compte de la société Futura Internationale – et n’étaient pas informées de l’enregistrement de la conversation, ou bien étaient simplement informées de cet enregistrement sans aucune autre information relative au traitement de leurs données à caractère personnel et sur leurs droits et libertés.
Là encore, le manquement était constitué à l’expiration du délai imparti par la mise en demeure.
La société a fait valoir en cours de procédure qu’elle communiquait désormais une information complète, par courriel, aux personnes démarchées.
Cependant la CNIL a observé que la société ne produisait aucun document justificatif de cette mesure correctrice.
En outre, s’agissant des personnes dont les données étaient collectées directement, l’obligation de fournir l’information au moment de la collecte (article 13 du RGPD) ne pouvait être satisfaite par l’envoi d’un courriel, par hypothèse postérieur à la conversation téléphonique.
La CNIL a ainsi rappelé que dans le cadre d’une prospection téléphonique, une information même sommaire doit être communiquée immédiatement par téléphone, avec possibilité d’obtenir une information plus complète par d’autres moyens, faisant référence au passage aux Lignes directrices sur la transparence au sens du règlement UE 2016/679 de l’ancien G29 qui évoquent la possibilité d’une information à plusieurs niveaux.
3. Droit d’opposition des personnes non respecté
S’agissant de prospection commerciale réalisée par appel téléphonique, il était également reproché à la société Futura Internationale un manquement à l’obligation de respecter le droit d’opposition.
Sur ce point la CNIL a rappelé qu’aux termes des articles 12 et 21 du RGPD combinés, la société avait l’obligation de mettre en place un mécanisme permettant la prise en compte effective du droit d’opposition exprimé par les personnes démarchées par téléphone, tant auprès des personnels de la société (responsable du traitement) que de ses sous-traitants.
Pour la CNIL il n’est pas possible de garantir efficacement l’opposition exprimée par les personnes concernées autrement que par un mécanisme automatisé, et cette exigence lui parait absolument justifiée en l’espèce au regard des intérêts économiques générés par la prospection commerciale, du volume d’appels passés, et du nombre de personnes concernées.
4. Défaut de coopération avec la CNIL
S’agissant du manquement à l’obligation de coopérer avec l’autorité de contrôle (article 31 du RGPD), il a donné l’occasion à la CNIL de préciser deux choses.
- Le fait qu’il incombait à la société, en sa qualité de responsable de traitement, de répondre aux demandes qui lui étaient adressées et de rendre compte du respect du RGPD, sans pouvoir imputer ses manquements aux conseils chargés de la défense de ses intérêts.
- Le fait que le manquement relatif au défaut de coopération n’était pas incompatible avec la possibilité de se mettre en conformité à la suite d’une mise en demeure.
En l’espèce le manquement reproché était bel et bien constitué à l’expiration du délai imparti par la mise en demeure et de surcroît la décision prononcée a vocation à sanctionner un comportement passé.
5. Transferts hors UE de données insuffisamment encadrés
Enfin, il était reproché à la société Futura Internationale un manquement à l’obligation d’encadrer des transferts de données vers des pays situés en dehors de l’Union Européenne n’assurant pas un niveau de protection adéquat. Plus précisément les clauses contractuelles conclues entre la société et ses sous-traitants ne répondaient pas aux exigences posées par les articles 44 et suivants du RGPD.
En conclusion
La CNIL a rappelé que les manquements reprochés portaient sur des obligations déjà présentes dans les dispositions de la Loi Informatique et Libertés, que certains manquements concernaient les droits des personnes, ou bien encore que les données faisaient l’objet de flux transfrontières en dehors tout cadre juridique protecteur.
Elle a également pris en compte d’autres critères aggravants, en l’occurrence la pluralité des manquements, la persistance et leur gravité, mais aussi le fait que la procédure trouvait son origine dans une plainte déposée par une personne physique.
S’agissant du montant de la sanction, la CNIL a précisé son approche, à savoir que l’amende prononcée doit être juste, proportionnée, mais dissuasive. Or, en l’espèce, eu égard aux manquements reprochés et au comportement de l’entreprise, elle a estimé qu’une sanction de 2,5% du Chiffre d’Affaire annuel ne présentait pas un caractère excessif, d’autant plus que des traitements de données sensibles n’étaient pas impliqués.
Les sanctions du RGPD
Découvrez les différents type de sanctions applicables par le RGPD
Ainsi, la CNIL a rappelé que les manquements reprochés portaient sur des obligations déjà présentes dans les dispositions de la Loi Informatique et Libertés, que certains manquements concernaient les droits des personnes, ou bien encore que les données faisaient l’objet de flux transfrontières en dehors tout cadre juridique protecteur. Elle a également pris en compte d’autres critères aggravants, en l’occurrence la pluralité des manquements, la persistance et leur gravité, mais aussi le fait que la procédure trouvait son origine dans une plainte déposée par une personne.
S’agissant du montant de la sanction, la CNIL a précisé son approche, à savoir que l’amende prononcée doit être juste, proportionnée, mais dissuasive. Or, en l’espèce, eu égard aux manquements reprochés et au comportement de l’entreprise, elle a estimé qu’une sanction de 2,5% du Chiffre d’Affaire annuel ne présentait pas un caractère excessif.