Données personnelles

RGDP : nouvelle sanction CNIL de 500 000 euros | 6 février 2020

Sanction non-rétroactive mais manquement continu  

Le principe de non-rétroactivité de la sanction pénale interdit en principe de voir appliquer le Règlement pour sanctionner les manquements instantanés intervenus avant son entrée en vigueur. Toutefois, les manquements relevés dans la mise en demeure étaient des manquements continus, lesquels se définissent par une action (ou une omission) s’étendant sur une certaine durée, au sens dans la jurisprudence de la Cour européenne des droits de l’homme (Cour européenne des droits de l’Homme, grande ch., aff. Rohlena c/ Rép. Tchèque, req. 59552/08, paragraphe 28). Ces manquements ont perduré au moins jusqu’à la notification du rapport de sanction, soit postérieurement à l’entrée en application du RGPD, faute pour la société d’avoir démontré une mise en conformité. Dans l’hypothèse de manquements continus, il convient de tenir compte de la loi applicable lors du dernier état du manquement (CE 9/10, 5 nov. 2014, Sté UBS France SA, no 371585, point 24). En conséquence, la CNIL a considéré que le RGPD était applicable aux faits de l’espèce et que les manquements devaient donc être appréciés au regard de ce texte.

Sous-traitance téléphonique au Maghreb

La prospection commerciale téléphonique de la société était réalisée par plusieurs centres d’appels agissant en qualité de sous-traitants et étant situés, pour la plupart d’entre eux, en Afrique du Nord. Ayant obtenu copie d’enregistrements des conversations intervenues entre des téléopérateurs et des prospects, la délégation a constaté que, dans un nombre conséquent de conversations, les personnes n’étaient pas informées de l’enregistrement de l’appel. Lorsque les personnes étaient averties de l’enregistrement, aucune autre information relative à la protection des données personnelles n’était communiquée.

Information sur la collecte de données   

Il ressortait des enregistrements téléphoniques que les personnes qui font l’objet de prospection téléphonique ne sont soit destinataires d’aucune information relative à l’enregistrement de l’appel soit sont simplement informées de l’enregistrement de la conversation sans qu’aucune autre information ne leur soit communiquée quant au traitement de leurs données à caractère personnel, telle que la finalité du traitement, l’identité du responsable de traitement ou les droits dont elles disposent. Une information, même sommaire, devait être communiquée au consommateur par l’intermédiaire du service vocal ou du téléopérateur, en lui offrant la possibilité d’obtenir communication d’une information complète soit grâce à l’activation d’une touche sur son clavier téléphonique, soit par l’envoi d’un courriel par exemple.

Annotations illicites  

Des termes injurieux et relatifs à l’état de santé des personnes ont été relevés dans le logiciel de traitement des appels de prospection. Par leur nature même, les commentaires injurieux sont inadéquats au regard de la finalité pour laquelle les données sont traitées et rien ne justifie la présence de données relatives à la santé des personnes dans le logiciel de gestion des clients et prospects (manquement à l’article 5-1-c) du RGPD). Le responsable de traitement doit mettre en place un système contraignant lui permettant de s’assurer que les comportements constatés ne sont pas réitérés par ses préposés, soit en empêchant automatiquement l’enregistrement de certains termes dès la saisie, soit en effectuant une revue automatisée quotidienne des commentaires enregistrés.

Droit d’opposition inefficient

Il revenait également à la société de mettre en place un mécanisme permettant une prise en compte effective du droit d’opposition exprimé par les personnes faisant l’objet de prospection téléphonique. Elle devait, à ce titre, être en mesure de s’assurer que l’opposition exprimée par les intéressés était respectée et que les personnes ayant faire part de leur opposition ne reçoivent plus d’appels de prospection de la part de ses sous-traitants. L’opposition exprimée par les personnes démarchées restait vaine : lorsqu’elle était exprimée auprès du siège de l’entreprise, les sous-traitants n’en étaient pas informés et poursuivaient les opérations de prospection. Rien n’était mis en place pour automatiser le processus et en assurer la fiabilité, par exemple en prévoyant que chaque numéro appelé par un téléopérateur soit automatiquement et préalablement comparé à cette liste d’opposition pour empêcher l’appel.

Transfert de données hors UE sans garanties adéquates

La société effectuait, au jour du contrôle, un transfert de données vers des États considérés comme n’assurant pas un niveau de protection adéquat au regard de l’article 45 du RGPD (Côte d’Ivoire, Maroc, Tunisie) à travers son logiciel. Compte tenu de l’absence d’adéquation, il appartenait à la société de prévoir des garanties appropriées, conformément aux dispositions de l’article 46 du RGPD. Or, aucun contrat signé prévoyant ces garanties n’a été conclu avec ses sous-traitants.

Manque de coopération avec la CNIL

La CNIL a enfin retenu le manquement relatif à l’absence de coopération avec ses services.  Au-delà d’une simple méconnaissance des règles relatives à la protection des données, l’absence de réponse aux demandes formulées par les services de la CNIL et à la mise en demeure adressée, comme l’absence de prise en compte de ces demandes avant la notification d’un rapport de sanction, suffisaient à démontrer, sinon la volonté clairement exprimée de ne pas donner suite aux sollicitations de la CNIL, à tout le moins un désintérêt flagrant pour ces sujets. Téléchargez la décision

Incoming search terms:

  • nouvelle sanction cnil rgpd
Haut
error: Content is protected !!