Dans deux délibérations des 7 et 8 décembre 2020, la CNIL a sanctionné deux sociétés pour avoir notamment envoyé, sans le consentement préalable des personnes concernées, des courriels de prospection commerciale.
Ces deux décisions donnent l’occasion à la CNIL de rappeler qu’il n’y a pas de prospection commerciale sans le consentement préalable des personnes concernées, sauf si le responsable de traitement a recueilli les coordonnées de la personne concernée directement auprès d’elle lors d’une vente ou d’une prestation de service, et que la prospection commerciale concerne des produits ou services analogues.
La société Performeclic est spécialisée dans l’envoi de campagne publicitaire pour le compte d’annonceurs et avait acquis sa base de données de prospects auprès d’une autre société.
La société Nestor a pour activité la préparation et la livraison de repas à destination d’employés de bureaux, commandés à partir d’un site web ou d’une application mobile et constituait sa base de données de prospects à partir de données accessibles en ligne sur le site d’un réseau social professionnel.
Ces deux sociétés ont respectivement été condamnées par la CNIL à une amende administrative de 7.300 et 20.000 euros, ainsi qu’à une injonction, sous astreinte, de se mettre en conformité avec les dispositions du RGPD et du code des postes et des communications électroniques (le CPCE).
Ces sanctions sont « proportionnées » pour la CNIL qui relève des manquements et une négligence grave aux droits et libertés fondamentaux des personnes concernées, mais aussi un nombre particulièrement important de prospects impliqués.
La CNIL reproche notamment à ces deux sociétés d’avoir manqué à leur obligation de recueil du consentement des personnes concernées avant toute opération de prospection commerciale (article L.34-5 alinéa 1 du CPCE). Le consentement de l’utilisateur doit se matérialiser par un acte positif univoque.
La société Nestor considérait que la base légale du traitement ayant pour finalité la prospection commerciale, était l’intérêt légitime du responsable de traitement l’exemptant de recueillir le consentement des personnes. La CNIL rappelle qu’en matière de prospection commerciale, l’unique base légale des traitements est le consentement des personnes concernées si le responsable de traitement n’a pas recueilli les données à caractère personnel directement auprès des personnes concernées comme c’était le cas dans ces deux affaires.
En revanche, c’est sur le terrain probatoire que la CNIL sanctionne la société Performeclic en indiquant que la société Performeclic n’apporte pas la preuve que le consentement aux opérations de prospection ait été recueilli à quelque moment que ce soit.
Ainsi, au-delà du recueil effectif du consentement des personnes concernées, les responsables de traitement doivent veiller à se constituer la preuve de celui-ci.
La CNIL retient en outre plusieurs autres manquements au RGPD par ces sociétés pour justifier sa condamnation, tels que la violation au principe de minimisation des données, l’ineffectivité du droit d’opposition ou du droit d’accès des personnes, ou encore le manquement relatif à l’obligation d’assurer la sécurité des données.
En ce qui concerne la société Performeclic, la CNIL précise de manière opportune la règle en matière de conservation des données relatives à une prospection commerciale. Par principe, la durée de conservation de ces données ne doit pas excéder trois ans à compter du dernier contact avec le prospect.
La CNIL indique que la simple ouverture d’un courriel par le prospect ne saurait matérialiser son intérêt pour les produits et services proposés et ainsi le point de départ de la durée de conservation de trois ans. Un acte positif, comme le fait de cliquer sur un lien dans le courriel, est ainsi nécessaire.
Enfin, la CNIL rappelle à ces deux sociétés l’obligation d’information à laquelle le responsable de traitement est tenu que ce soit au moment où il collecte des données à caractère personnel auprès d’une personne ou au moment de la première communication commerciale s’il ne collecte pas directement des données auprès d’une personne.
La CNIL se montre une nouvelle fois particulièrement attentive au respect de la réglementation en matière de protection des données à caractère personnel, et notamment dans le domaine de la prospection commerciale, où des traitements de données sont réalisés au quotidien.
L’équipe « Droit de la propriété intellectuelle et du numérique » du cabinet ARTLEX est à votre disposition pour vous accompagner dans la gestion de vos problématiques liées à la protection des données personnelles et votre mise en conformité au RGPD.
Carole Couson-Warlop, avocate associée ARTLEX, droit de la propriété intellectuelle et du numérique
Juliette BACHELARD, avocate collaboratrice ARTLEX
Alixia TRAINEAU, stagiaire élève avocate ARTLEX
Комментарии