Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. FORIOU, 31 janvier 2024

Résumé des faits

Après avoir effectué plusieurs contrôles auprès de la société Foriou concernant ses campagnes de démarchage téléphonique réalisées sur des données fournies par des courtiers en données, la CNIL a constaté des manquements aux obligations du RGPD.

Elle a ainsi sanctionné la société par une amende publique de 310 000 euros, équivalent à 1% de son chiffre d’affaires, pour non-respect des règles concernant la base légale du traitement et au consentement.

Motifs de la sanction / Manquements

  • Non-respect de l’art. 6 du RGPD : Traitement illicite des données

Que retenir de la décision ?

  • Les appels téléphoniques effectués à des fins de prospection commerciale peuvent reposer sur l’intérêt légitime ou le consentement.
  • En ce qui concerne la prospection commerciale non électronique basée sur l’intérêt légitime, le responsable de traitement doit s’assurer que le traitement respecte les droits et intérêts des individus concernés, en tenant compte de leurs attentes raisonnables.
  • Lorsque les données sont collectées auprès de courtiers, il revient au responsable de traitement de vérifier si les conditions permettant la réalisation d’opérations de prospection commerciale sont remplies.Si le recueil du consentement est effectué par les courtiers en données, l’organisme doit garantir sa collecte effective en contrôlant les formulaires de recueil utilisés et en auditant les partenaires.
  • Un simple engagement contractuel du courtier en données à respecter le RGPD et les règles relatives à la prospection commerciale ne constitue pas une mesure suffisante.
  • Les obligations contractuelles imposées aux fournisseurs ne peuvent exonérer la société de sa responsabilité en tant que responsable de traitement, même si une responsabilité incombe aux fournisseurs.
  • Pour une prospection commerciale où les données des prospects ne sont pas directement obtenues auprès d’eux, le consentement peut avoir été recueilli lors de la première collecte par un tiers agissant pour le compte de l’organisme prospecteur. En l’absence de cela, l’organisme doit obtenir le consentement avant d’entreprendre des actions de prospection. Si le consentement initial est obtenu par un courtier, le formulaire de collecte doit préciser les partenaires ou catégories de partenaires auxquels les données peuvent être transmises.
  • Un consentement valide, conforme aux exigences du RGPD, ne peut résulter que d’un consentement exprès de l’utilisateur, donné en toute connaissance de cause après

Le + DLD

  • Si le caractère intentionnel de la violation doit être pris en compte pour décider du prononcé d’une amende et de son montant, cela n’a pas d’incidence sur la caractérisation du manquement, pouvant résulter d’une négligence.
  • CNIL prend en compte lors du prononcé d’une amende, non seulement la nature, la gravité, la durée de la violation, le caractère délibéré ou non de la violation, les mesures prises pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle, mais également la situation financière de la société.
  • Pour décider de la publication ou non de la sanction, la CNIL tient compte de la gravité des manquements, de la position de la société sur le marché, de la portée du traitement et du nombre de personnes concernées.

Délibération Complète de la CNIL

Consulter

À lire aussi