Vie des affaires

Internet

20 000 € d'amende pour avoir prospecté plus de 650 000 internautes sans leur consentement

La CNIL a prononcé une amende de 20 000 € à l'encontre d'une société en lui reprochant principalement d'avoir prospecté plus de 650 000 personnes sans leur consentement. La CNIL a précisé que ce montant tenait compte de la situation financière de la société actuellement fragilisée par la crise sanitaire.

Au départ, des plaintes transmises à la CNIL

Saisie de plusieurs plaintes, la Commission nationale Informatique et libertés (CNIL) a effectué des contrôles auprès d'une société spécialisée dans la préparation et la livraison de repas à destination d’employés de bureaux. Ces contrôles se sont déroulés en mai 2019 et février 2020.

Lors de ces contrôles, la CNIL a constaté que la société avait effectivement manqué à plusieurs obligations prévues par le code des postes et des communications électroniques (CPCE) et le RGPD.

Manquement à l’obligation de recueillir le consentement des personnes prospectées par email

Depuis 2017, 653 033 prospects avaient reçu des messages électroniques de prospection de la part de la société, sans y avoir consenti. Il s’agissait de personnes ayant créé un compte sur le site ou l’application de la société sans avoir passé commande ou dont les données avaient été collectées sur Internet.

Or, dans ce cas, les actions de prospection commerciale menées sont soumises au consentement préalable des internaute (CPCE art. 34-5).

Au cours de la procédure, la société a mis en place des mesures pour procéder aux modifications nécessaires à sa mise en conformité avec le CPCE. La société a ainsi indiqué cesser de collecter des données sur Internet et mettre en place un système de recueil du consentement à l’envoi de courriels de prospection lors de la création d’un compte sur son site web et sur son application.

Toutefois, la CNIL a prononcé une injonction à l’encontre de la société afin qu’elle justifie de la suppression de l’ensemble des données personnelles collectées sans le consentement des prospects.

Autres manquements

Obligation d’information. - Le formulaire de collecte des données personnelles permettant de s’inscrire sur le site web de la société ne comportait pas l’ensemble des informations exigées par le RGPD et ne renvoyait pas non plus vers une page dédiée qui aurait contenu les informations manquantes.

À cet égard, la politique de confidentialité des données du site web était également incomplète, trop générale et imprécise.

Enfin, aucune information relative à la protection des données personnelles n’était fournie aux personnes créant un compte sur l’application mobile.

Il est à noter qu'au cours de la procédure, la société a mis en place des mesures pour procéder aux modifications nécessaires à sa mise en conformité avec les articles 12 et 13 du RGPD.

Droit d’accès des personnes. - La société a également manqué à son obligation de fournir une copie des données personnelles qu’elle détenait ainsi qu’une information relative à la source de ces données à deux personnes l’ayant sollicitée, en ne répondant que partiellement à leurs demandes.

La CNIL enjoint à la société de satisfaire pleinement aux demandes de ces personnes conformément à l'article 15 du RGPD.

Sécurité des données personnelles. - Enfin, la société n’imposait pas l’utilisation d’un mot de passe robuste lors de la création d’un compte sur son site web ou sur son application mobile.

La société a toutefois pris des mesures au cours de la procédure pour se mettre en conformité avec l'article 32 du RGPD.

La sanction prononcée par la CNIL

La CNIL a prononcé une amende de 20 000 € et décidé de rendre publique sa décision. Elle a également enjoint à la société de mettre ses traitements en conformité avec le CPCE et le RGPD et d’en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500 € par jour de retard.

Dans sa décision, la CNIL a pris en considération le nombre de manquements et leur gravité, notamment le fait qu’un grand nombre de prospects avaient reçu des messages électroniques de prospection sans y avoir consenti.

Elle précise avoir tenu compte des conséquences de la crise sanitaire actuelle sur la situation financière de la société.

Pour aller plus loin : « Ventes aux consommateurs », RF 2019-1, §§ 1230 à 1245

CNIL 8 décembre 2020, n° SAN-2020-018, décision publiée le 5 janvier 2021 sur le site www.cnil.fr