Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. HUBSIDE.STORE, 04 avril 2024

Résumé des faits

Après avoir effectué plusieurs contrôles auprès de la société HUBSIDE.STORE concernant ses campagnes de démarchage par téléphone et par SMS réalisées sur des données fournies par des courtiers en données, la CNIL a constaté des manquements aux obligations du RGPD.

Elle a ainsi sanctionné la société par une amende publique de 525 000 euros décidée en coopération avec les autorités de contrôle européennes concernées, équivalent à 2% de son chiffre d’affaires, pour non-respect des règles concernant la base légale du traitement, le consentement et l’information des personnes.

Motifs de la sanction / Manquements

  • Non-respect de l’art. L.34-5 du CPCE : Consentement non valide
  • Non-respect de l’art. 6 du RGPD : Traitement illicite des données
  • Non-respect de l’art. 14 du RGPD : Informations non exhaustives

Que retenir de la décision ?

  • Le responsable de traitement a l’obligation de s’assurer lui-même que les conditions nécessaires à la réalisation d’opérations de prospection commerciale sont remplies. Un simple engagement contractuel de son courtier en données à respecter le RGPD et les règles de prospection commerciale en vigueur ne suffit pas.
  • Dans le cas où les données des prospects n’ont pas été collectées directement auprès d’eux par l’organisme qui prospecte, le consentement peut avoir été obtenu lors de la collecte initiale des données par le primo-collectant, agissant pour le compte de l’organisme qui effectuera les opérations de prospection ultérieures. En l’absence de ce consentement, il incombe à l’organisme qui prospecte de recueillir un tel consentement avant d’entreprendre des actions de prospection. Si le consentement initial est obtenu par un courtier, le formulaire de collecte doit préciser les partenaires ou catégories de partenaires auxquels les données peuvent être transmises.
  • Les obligations contractuelles imposées aux fournisseurs ne peuvent exonérer la société de sa responsabilité en tant que responsable de traitement, même si une responsabilité incombe aux fournisseurs.
  • Un consentement valide, conforme aux exigences du RGPD, ne peut résulter que d’un consentement exprès de l’utilisateur, donné en toute connaissance de cause après une information adéquate sur l’utilisation qui sera faite de ses données personnelles. Cela nécessite de s’assurer que les personnes concernées ont donné un consentement univoque, spécifique, libre et éclairé lors de la collecte de leurs données personnelles.
  • Le caractère libre du consentement implique un réel choix et un contrôle pour les personnes concernées. Si une personne n’est pas réellement en mesure de faire un choix, se sent contrainte de consentir, ou subira des conséquences négatives importantes en cas de refus, le consentement n’est pas considéré comme valide.
  • En ce qui concerne la prospection commerciale non électronique basée sur l’intérêt légitime, le responsable de traitement doit s’assurer que le traitement respecte les droits et intérêts des individus concernés, en tenant compte de leurs attentes raisonnables.
  • Si le recueil du consentement est effectué par les courtiers en données, l’organisme doit garantir sa collecte effective en contrôlant les formulaires de recueil utilisés et en auditant les partenaires.
  • Les organismes responsables de la collecte du consentement doivent veiller à ce que les utilisateurs comprennent pleinement les options qui s’offrent à eux. Cela implique de choisir un design approprié et la fourniture d’informations claires afin de ne pas tromper les utilisateurs. Il est essentiel d’éviter toute pratique de design susceptible de donner l’impression aux utilisateurs que leur consentement est obligatoire ou de mettre visuellement en avant un choix par rapport à un autre. Il est recommandé d’utiliser des boutons et une police d’écriture de taille égale, offrant une facilité de lecture similaire et mis en évidence de manière identique.

Le + DLD

  • La CNIL prend en compte lors du prononcé d’une amende, de la nature, de la gravité et de la durée de la violation, du caractère délibéré ou non de la violation, des mesures prises pour atténuer le dommage subi par les personnes concernées, et du degré de coopération avec l’autorité de contrôle.
  • Pour décider de la publication ou non de la sanction, la CNIL tient compte de la gravité des manquements, de la position de la société sur le marché, de la portée du traitement et du nombre de personnes concernées.

Délibération Complète de la CNIL

Consulter

À lire aussi