Prospection commerciale et droits des personnes : sanction de 600 000 euros à l’encontre du GROUPE CANAL+
Le 12 octobre 2023, la CNIL a sanctionné la société GROUPE CANAL+ d’une amende de 600 000 euros, notamment pour ne pas avoir respecté ses obligations en matière de prospection commerciale et de droits des personnes.
Le contexte
La CNIL a reçu plusieurs plaintes concernant les difficultés rencontrées par des personnes dans la prise en compte de leurs droits par la société GROUPE CANAL+, éditrice de chaînes et distributrice d’offres de télévision payante.
Sur la base des constatations effectuées lors des contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD) et le code des postes et des communications électroniques (CPCE). Elle a prononcé à l’encontre de la société GROUPE CANAL+ une amende de 600 000 euros rendue publique.
Le montant de cette amende a été décidé au regard des manquements retenus, ainsi qu’en tenant compte de la coopération de la société et de l’ensemble des mesures qu’elle a prises au cours de la procédure pour se mettre en conformité.
Les manquements sanctionnés
Un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (articles L. 34-5 du CPCE et 7 du RGPD)
GROUPE CANAL + réalise régulièrement des campagnes de prospection commerciale par voie électronique. Cependant, elle n’a pas été en mesure de fournir d’éléments démontrant qu’elle avait obtenu au préalable un consentement valable des personnes.
Lors des contrôles, la société a fourni à la CNIL deux exemples de formulaires types de collecte de données des prospects mis à sa disposition par ses partenaires commerciaux auprès desquels elle récupère les données.
L’analyse de ces formulaires montrent qu’ils ne comportent aucune information sur l’identité des destinataires auxquels les données sont transmises. Or, pour que le consentement soit éclairé et valable, la liste des partenaires destinataires des données doit être tenue à la disposition des personnes au moment de recueillir leur consentement.
Enfin, les mesures mises en place par la société GROUPE CANAL+ auprès de ses fournisseurs de données pour s’assurer que le consentement a été valablement donné par les personnes avant d’être démarchées étaient insuffisantes.
Des manquements à l’obligation d’information (articles 13 et 14 du RGPD) et au respect de l’exercice des droits (articles 12 et 15 du RGPD)
Les vérifications effectuées par la CNIL ont également permis de mettre en évidence d’autres manquements :
- Un manquement à l’obligation d’information des personnes lors de la création d’un compte MyCanal : la politique de confidentialité à laquelle renvoyait le formulaire de collecte lors de la création du compte était imprécise sur les durées de conservation (article 13 du RGPD).
- Un manquement à l’obligation d’information les personnes lors des appels de démarchage téléphonique : le prestataire de la société en charge de la prospection téléphonique ne fournissait pas systématiquement toutes les informations exigées par le RGPD.
- Un manquement aux obligations relatives aux modalités d’exercice des droits (article 12 du RGPD) : la société n’a notamment pas répondu à certains plaignants dans le délai d’un mois prévu par les textes.
- Un manquement à l’obligation de respecter le droit d’accès aux données (article 15 du RGPD). La société n’a pas fait suite à certaines demandes d’accès.
Un manquement à l’obligation d’encadrer les traitements effectués par un sous-traitant par un contrat (article 28.3 du RGPD)
Lors des contrôles, la CNIL a constaté qu’un contrat de sous-traitance ne comportait pas toutes les mentions requises par le RGPD.
Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)
La formation restreinte a également retenu un manquement à l’obligation d’assurer la sécurité des données personnelles car le stockage des mots de passe des employés de la société n’était pas suffisamment sécurisé.
Un manquement à l’obligation de notifier à la CNIL une violation de données (article 33 du RGPD)
Les vérifications de la CNIL ont permis de constater l’existence d’une violation de données, qui a rendu accessibles certaines données d’abonnés à d’autres abonnés pendant une durée de 5 heures, et qui n’a pas été notifiée à la CNIL.
Pour approfondir
Les textes de référence
- Article L. 34-5 du code des postes et des communications électroniques (prospection commerciale) - Légifrance
- Article 12 du RGPD (modalités de l'exercice des droits de la personne concernée) - Légifrance
- Article 13 du RGPD (obligation d’information des personnes concernées) - Légifrance
- Article 14 du RGPD (obligation d'information des personnes concernées) - Légifrance
- Article 15 du RGPD (droit d’accès de la personne concernée) - Légifrance
- Article 21 du RGPD (droit d’opposition de la personne concernée) - Légifrance
- Article 28 du RGPD (règles relatives aux sous-traitants) - Légifrance
- Article 32 du RGPD (obligation d’assurer la sécurité des données) - Légifrance
- Article 33 du RGPD (obligation de notifier une violation de données à l’autorité concernée) - Légifrance