Délibération SAN-2023-015 du 12 octobre 2023
À la suite de la réception de 31 plaintes entre les mois de novembre 2019 et janvier 2021, portant notamment sur la prospection par voie téléphonique, la transmission de données bancaires et l’exercice des droits, la CNIL a ouvert une procédure de contrôle à l’encontre d’un éditeur majeur de services de médias audiovisuels. Les vérifications opérées par les agents de la CNIL et la rapporteure ont permis d’identifier plusieurs manquements sur des sujets divers, ce qui a mené la formation restreinte à prononcer une amende administrative.
- Absence de consentement valide pour la prospection commerciale par email.
L’article L. 34-5 du Code des postes et communications électroniques impose de recueillir le consentement des personnes avant de leur envoyer des messages de prospection commerciale par voie électronique (email, SMS, etc.). La validité de ce consentement est appréciée à l’aune des critères posés par le RGPD : le consentement doit être libre, univoque, spécifique et éclairé.
En l’espèce, l’éditeur de services de médias audiovisuels envoyait des messages de prospection commerciale à des millions de prospects dont les informations de contacts, et le consentement, avaient été recueillis indirectement via des partenaires.
Or, la société n’était pas en mesure d’apporter la preuve des consentements donnés. En outre, les formulaires utilisés par les partenaires ne comportaient pas d’information quant à l’identité des sociétés (dont l’éditeur) auxquelles les données des prospects pouvaient être transmises si ces derniers y consentaient. En conséquence, la formation restreinte de la CNIL a considéré que, si tant est que des consentements aient été donnés, ceux-ci n’étaient en tout état de cause pas « éclairés » (au sens du RGPD) puisque les prospects ne savaient pas que leurs données seraient utilisées par l’éditeur. Les critères de validité du consentement définis par le RGPD n’étaient donc pas remplis.
La société a tenté d’arguer que la responsabilité d’obtenir des consentements valides pesait sur les partenaires. La formation restreinte a cependant rejeté cet argument, rappelant que l’article L. 34-5 du CPCE fait peser l’obligation d’obtenir un consentement – et donc d’en apporter la preuve – sur l’entité faisant réaliser les opérations de prospection commerciale, peu important que les données aient été recueillies de manière indirecte. Il appartenait donc à l’éditeur de mettre en place des mesures permettant de s’assurer auprès des partenaires que les consentements étaient valablement recueillis, ce qu’il n’a pas fait.
- Manquements à l’obligation d’informer les personnes concernées sur le traitement de leurs données.
Deux types de manquements ont été relevés sur ce thème :
– La politique de confidentialité accessible sur le site internet de la société ne fournissait pas une information suffisamment précise sur les durées de conservation, et n’incluait pas la mention du droit de former une réclamation auprès de la CNIL.
S’agissant des durées de conservation, la politique ne faisait qu’indiquer de manière générique le fait que les données étaient conservées pour des durées liées à la poursuite de certaines finalités, mais sans indiquer les durées précises applicables (ou les critères permettant de déterminer ces durées). Le manquement à l’article 13 du RGPD était donc constitué. La formation restreinte a toutefois tenu compte du fait que la société a, dans le cadre de la procédure, modifié sa politique de confidentialité qui est désormais conforme sur ce point.
S’agissant du manquement relatif au droit de former une réclamation auprès de la CNIL, il n’a finalement pas été retenu par la formation restreinte qui a constaté que ce droit était mentionné dans d’autres documents (conditions générales d’utilisation, conditions générales d’abonnement, etc.) et que la société avait finalement modifié sa politique de confidentialité pour y inclure cette information.
– Certaines personnes concernées n’avaient reçu aucune information sur la protection des données à l’occasion d’appels téléphonique de démarchage. En effet, sur soixante-seize enregistrements produits par la société contrôlée, l’information fournie à treize interlocuteurs était soit incomplète, soit absente.
Pour se défendre, l’éditeur a notamment argué que certains appels étaient très courts, de sorte que l’opérateur n’aurait pas eu le temps de fournir les informations. Cependant, la formation restreinte relève que les appels duraient au moins trente secondes, ce qui aurait pu a minima laisser le temps à l’opérateur de renvoyer les interlocuteurs vers la politique de confidentialité de la société.
- Manquements relatifs à l’exercice de leurs droits par les personnes concernées.
La CNIL a constaté que plusieurs demandes d’exercice de leurs droits par les personnes concernées (droit d’effacement, d’opposition, d’accès, etc.) n’avaient pas été correctement traitées par l’éditeur.
Certaines demandes n’avaient pas été correctement qualifiées par la société alors qu’elles étaient pourtant formulées suffisamment clairement selon la formation restreinte. Une demande avait manifestement été égarée, et une autre traitée en dehors des délais fixés par le RGPD. Par ailleurs, certaines demandes avaient bien été traitées par l’éditeur, mais sans que les personnes concernées en soi informées, alors qu’il s’agit d’une obligation pour le responsable du traitement en vertu de l’article 12 du Règlement.
- Manquement à l’obligation d’encadrer les relations avec un sous-traitant de données.
La formation restreinte de la CNIL a également constaté qu’un contrat, conclu avec un prestataire de service d’hébergement, ne comportait pas l’ensemble des mentions imposées par l’article 28 du RGPD en cas de sous-traitance de données personnelles. La décision ne contient cependant pas la description des mentions manquantes.
- Défaut de sécurisation des mots de passe des employés de la société
Selon la rapporteure et la formation restreinte, ce manquement était constitué par l’utilisation d’un algorithme de hachage des mots de passe dont la vulnérabilité était connue depuis plusieurs années. L’éditeur a tenté de démontrer que le niveau de sécurité global au sein de la société était également assuré par d’autres mesures, complétant les mots de passe. Ces arguments n’ont toutefois pas été accueillis par la formation restreinte.
- Défaut de notification d’une violation de données
Enfin, la formation restreinte de la CNIL a reproché à l’éditeur de n’avoir pas notifié un incident ayant permis aux abonnés d’accéder aux données d’autres abonnés. Seules sept personnes ont expressément notifié avoir effectivement eu cet accès, mais au total plusieurs centaines de personnes auraient potentiellement pu avoir un tel accès selon la société. Ces personnes pouvaient théoriquement accéder aux données d’autres abonnés, qui sont plusieurs milliers. En conséquence, il était nécessaire pour l’éditeur de notifier la violation à la CNIL.
Pour l’ensemble de ces violations, la société se voit donc imposer une amende administrative de 600 000 euros ainsi que la publicité de la décision. Il est toutefois à noter que la proposition initiale d’amende de la rapporteure était de 750 000 euros. Dans la décision, la formation restreinte indique avoir tenu compte des efforts de remédiation déployés par la société, mais également du fait que certains manquements (notamment ceux relatifs à l’information préalable lors du démarchage téléphonique et à l’exercice des droits) étaient isolés et/ou le résultat d’erreurs humaines, et ne révélaient donc pas de problèmes de conformité structurels.
