Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. CANAL+, 12 octobre 2023

Résumé des faits

Des plaintes ont été déposées à la CNIL par des personnes rencontrant des difficultés dans l’exercice de leurs droits auprès de la société GROUPE CANAL+.

Après avoir effectué un contrôle, la CNIL a sanctionné la société GROUPE CANAL+ d’une amende publique de 600 000 euros pour plusieurs manquements, dont des manquements aux règles relatives aux droits des personnes concernées, à l’encadrement de la sous-traitance, et à la sécurité des données.

Motifs de la sanction / Manquements

  • Non-respect de l’art. 34-5 du Code des Postes et des Communications Électroniques et de l’art. 7 du RGPD

Consentement non valide pour l’envoi de communications commerciales aux personnes, les mesures prises pour garantir un consentement valable préalablement au démarchage étant insuffisantes.

  • Non-respect de l’art. 13 et 14 du RGPD

Absence d’une information conforme des personnes, les règles sur l’objet de l’information et la forme de sa présentation n’étant pas respectées.

  • Non-respect de l’art. 12 et 15 du RGPD

Absence d’une gestion effective des demandes de droit, la société ayant méconnu ses obligations en matière de traitement de ces demandes.

  • Non-respect de l’art. 28.3 du RGPD

Absence d’encadrement conforme de la relation de sous-traitance, les documents présentés par la société étant des versions de travail.

  • Non-respect de l’art. 32 du RGPD

Absence de mesures suffisantes de sécurisation des données, les mots de passe n’étant pas stockés de manière sécurisée.

  • Non-respect de l’art. 33 du RGPD

Absence de notification à la CNIL d’une violation de données, malgré l’existence d’un risque pour les personnes.

Que retenir de la décision ?

  • L’organisme réalisant des opérations de prospection commerciale par voie électronique à partir de données collectées par ses partenaires doit disposer d’un consentement collecté de manière conforme et être en mesure de prouver la collecte.
  • Dans le cas où ce consentement n’a pas été recueilli au moment de la collecte initiale pour le compte de l’organisme prospecteur, ce dernier doit l’obtenir préalablement à la réalisation des actes de prospection.
  • Les informations à transmettre aux personnes concernées doivent être mises à leur disposition au moment du recueil du consentement, directement sur le support de la collecte ou via un lien hypertexte pointant sur la liste des prospecteurs et sur les politiques de confidentialité des prestataires et fournisseurs.
  • Le consentement recueilli ne peut être considéré comme étant éclairé et donc valable dans le cas où les personnes concernées n’ont pas été informées de l’identité du prospecteur pour le compte duquel le consentement est collecté.
  • Même si les opérations de prospection commerciale sont réalisées par un sous- traitant, l’organisme prospecteur l’ayant mandaté reste responsable de la prospection commerciale.
  • Le responsable de traitement ne peut se contenter d’énoncer les durées de conservation de manière générique en précisant que les données seront conservées aussi longtemps que la finalité l’exige.
  • Lorsqu’un organisme collecte une donnée d’un tiers à des fins de prospection par voie téléphonique, il doit informer la personne prospectée, au plus tard au moment de l’appel téléphonique, du traitement de la donnée pour cette finalité.
  • L’information transmise par téléphone se limitant aux éléments clés, doit être complétée d’une information sur le moyen permettant d’obtenir les autres informations obligatoires, via par exemple le renvoi vers une page web ou l’activation d’une touche sur le téléphone.
  • Dans le cadre de l’exercice d’une demande de droit, le responsable de traitement doit en principe fournir aux personnes concernées des informations sur les mesures prises à la suite d’une demande dans un délai maximal d’un mois.
  • Une demande portant sur la transmission des éléments dont dispose la société dans les plus brefs délais est assez claire et porte sur une demande d’accès.
  • Des documents visant à encadrer la relation de sous-traitance non signés et constituant des versions de travail ne sont pas valides.
  • Le responsable de traitement est tenu de s’assurer que le traitement automatisé de données est suffisamment sécurisé. Le caractère suffisant des mesures de sécurité s’apprécie au regard des caractéristiques du traitement et des risques qu’il induit, et en tenant compte de l’état de connaissances et du coût des mesures.
  • La conservation des mots de passe de manière sécurisée constitue une précaution élémentaire en matière de protection des données Le mot de passe doit être stocké sous une forme transformée au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé.
  • Une violation de données impliquant un nombre non négligeable de personnes et pouvant engendrer des risques pour les personnes en raison de la divulgation de leur adresse postale et leur numéro de téléphone doit être notifiée à la CNIL.

Le + DLD

  • Lors du prononcé d’une amende, la CNIL tient compte notamment de la nature, de la gravité et de la durée de la violation, des mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, du degré de coopération avec l’autorité de contrôle, et des catégories de données à caractère personnel concernées par la violation.
  • Pour déterminer le montant de l’amende, la CNIL prend en compte notamment de l’activité de la société et de sa situation financière.
  • Pour décider de la publication ou pas de la sanction, la CNIL tient notamment compte de la gravité des manquements, de la portée du traitement, et du nombre de personnes concernées.

Délibération Complète de la CNIL

Consulter

À lire aussi