Optimex Data vous présente les sanctions violation des données prononcées par la CNIL fin 2020. Exemples de sanctions violation des données lors de prospections commerciales.
Sanctions violation des données par la CNIL
La CNIL a souhaité rappeler les règles en matière de prospection commerciale en sanctionnant deux sociétés. La société PERFORMECLIC, très petite entreprise (TPE), emploie deux salariés et a pour activité principale la prospection commerciale par courrier électronique pour le compte d’annonceurs. Cette dernière a été sanctionnée d’une amende de 7.300 euros pour prospection commerciale sans preuve de consentement préalable des personnes et sans information satisfaisante.
La société NESTOR, spécialisée dans la préparation et la livraison de repas à destination d’employés de bureau a également été sanctionnée d’une amende de 20.000 euros pour prospection commerciale sans avoir préalablement recueilli le consentement des prospects et pour avoir manqué à plusieurs obligations du RGPD : information et droits des personnes.
Voici quelques manquements constatés par la CNIL :
→ Pour PERFORMECLIC et NESTOR : non-respect de l’obligation de recueillir le consentement des personnes avant l’envoi de courriels de prospection, conformément au Code des Postes et des Communications Electronique (CPCE) et d’en conserver la preuve ;
→ Pour PERFORMECLIC : non-respect du principe de minimisation puisque la société a collecté des données non-nécessaires à l’envoi de la prospection commerciale, comme par exemple le numéro de téléphone des prospects ;
→ Pour PERFORMECLIC : non-respect du principe de limitation de la conservation des données, dans la mesure les données de prospects étaient conservées de manière excessive, à savoir plus de trois (3) ans à compter de la simple ouverture de la prospection ;
→ Pour PERFORMECLIC et NESTOR : non-respect du principe d’information (politique de protection des données incomplète, générale et imprécise, absence de mention d’information sous le formulaire de collecte, aucune information relative au traitement de données, etc…) ;
→ Pour PERFORMECLIC et NESTOR : non-respect des droits puisque les personnes concernées n’avaient pas la possibilité de s’opposer à la prospection commerciale ou d’obtenir la copie des données personnelles détenues ;
→ Pour PERFORMECLIC : non-respect de l’obligation d’encadrer contractuellement les relations de sous-traitance. Le contrat entre PERFORMECLIC et son prestataire d’hébergement ne contenait aucune clause relative à la sous-traitance ;
→ Pour NESTOR : non-respect de l’obligation d’assurer la sécurité des données personnelles, dans la mesure où la robustesse du mot de passe n’était pas exigée lors de la création d’un compte.
En septembre 2020 …
Nous vous faisions part des nouvelles recommandations de la CNIL en matière de cookies et de traceurs pour donner suite à la délibération n°2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs » ainsi qu’à la délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices.
À la suite de ces deux nouveaux textes, la CNIL a laissé un délai de 6 mois aux entreprises pour se conformer, soit jusqu’en mars 2021.
Pour rappel, la CNIL exige désormais un bandeau de gestion des cookies permettant d’accepter, de refuser et/ou de personnaliser les cookies d’un site internet. La simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute dans la mesure où il faut un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil. Quant à l’information des personnes, elles doivent clairement être informées des finalités des traceurs avant de consentir, des conséquences de l’acceptation ou d’un refus de traceurs et de l’identité de tous les acteurs utilisant des traceurs soumis au consentement. Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.
Et les premières sanctions ne se sont pas faites attendre …
Le 10 décembre 2020, une sanction de 60 millions d’euros a été prononcée à l’encontre de GOOGLE LLC et 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante.
La CNIL a également sanctionné, le 10 décembre 2020, pour les mêmes faits que GOOGLE LLC et GOOGLE IRELAND LIMITED, AMAZON EUROPE CORE à une sanction de 35 millions d’euros.