Le 31 janvier 2024, la CNIL a sanctionné la société Foriou à une amende de 310.000 euros pour avoir manqué à son obligation de traiter les données de manière licite et à son obligation d’assurer la sécurité des données.
La société Foriou a pour activité la commercialisation et la gestion de programmes de fidélité. Elle a acheté des fichiers de prospects auprès de courtiers en données, qui ont eux-mêmes collecté les données de prospects par l’intermédiaire de formulaires de jeux-concours en ligne.
C’est à partir de ces fichiers de prospects que la société Foriou a procédé à des campagnes de démarchage par téléphone afin de promouvoir ses programmes de fidélité.
S’agissant du premier manquement, la CNIL a considéré que le consentement des personnes concernées n’avait pas été manifesté par un acte clair et dénué d’ambiguïté puisque l’apparence des formulaires de collecte des courtiers en données était trompeuse.
A cet égard, la CNIL relève d’une part que :
S’agissant des formulaires du premier courtier, les interfaces mettent en valeur, par leur taille, leur couleur et leur emplacement, les boutons permettant de participer au jeu-concours en consentant à la transmission des données à des fins de prospection commerciale alors que le lien hypertexte permettant de participer en la refusant est en petits caractère dans le corps du texte, sans mise en valeur particulière, de telle sorte qu’il n’apparaît pas intuitif pour l’utilisateur qu’il puisse participer sans transmettre ses données ;
S’agissant des formulaires du second courtier, l’existence de deux cases à cocher (la première pour la lecture et l’acceptation du règlement du jeu et la seconde pour la lecture de la politique de confidentialité et l’acceptation de la transmission des données personnelles à des fins de prospection) pousse l’utilisateur à les cocher indistinctement, ces deux documents étant présentés comme étant des mentions légales à lire obligatoirement pour participer au jeu-concours.
Cette délibération de la CNIL montre une fois de plus l’importance du design et de la formulation des formulaires de collecte des données des personnes concernées. Ces formulaires ne doivent pas intégrer de design, de formulation ou de présentation potentiellement trompeuses laissant penser l’utilisateur que son consentement est obligatoire pour réaliser l’opération souhaitée, en l’espèce, participer au jeu-concours.
D’autre part, la CNIL constate que la liste nominative des partenaires accessible depuis le site internet de l’un des courtiers en données auxquels les données sont susceptibles d’être transmises ne mentionnait pas la société Foriou, l’autre courtier ne mettant à la disposition de l’utilisateur aucune information s’agissant de la liste des partenaires ou des catégories de partenaires.
En défense, la société Foriou faisait valoir qu’elle ne serait être tenue pour responsable des manquements de son prestataire vis-à-vis de la réglementation en matière de données à caractère personnel.
La CNIL rappelle alors qu’en tant que responsable de traitement, la société Foriou ne peut s’exonérer de sa responsabilité du fait d’engagements contractuels imposés aux courtiers en données. Elle doit en effet s’assurer que les personnes concernées avaient valablement consenti à recevoir de la prospection commerciale, quant bien même les données aient été collectées initialement par son cocontractant.
Ainsi, la prospection commerciale faite par la société Foriou par téléphone ne repose sur aucune base légale.
S’agissant du second manquement, la CNIL rappelle que les données doivent être, dans un premier temps, conservées en « base active » et être accessibles à l’ensemble des services chargés de la mise en œuvre du traitement. Une fois l’objectif fixé atteint, elles doivent ensuite, lorsqu’elles doivent être conservées pour répondre à une obligation légale ou lorsqu’elles présentent un intérêt administratif, faire l’objet d’un archivage intermédiaire, ce qui signifie que les données peuvent être uniquement consultées de manière ponctuelle et motivée par des personnes qui ont besoin d’en connaître. Or, la société Foriou n’a mis en place aucun archivage intermédiaire.
Carole COUSON-WARLOP, avocate associée, spécialiste en droit de la propriété intellectuelle
Fanny VIGIER, avocate collaboratrice
Comments