Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. Performeclic, 7 décembre 2020

Résumé des faits

Après avoir été informée que la société PERFORMECLIC apparaît régulièrement en tête de classement des sociétés qui transmettent le plus de messages signalés comme « spam », la CNIL a effectué des contrôles auprès de la société et a constaté plusieurs manquements concernant les données des personnes prospectées.
La CNIL a ainsi sanctionné la société PERFORMECLIC d’une amende publique de 7 300 euros pour notamment avoir adressé des courriels de prospection commerciale sans preuve de consentement préalable et sans information adaptée.

Motifs de la sanction / Manquements

  • Non-respect de l’article L.34-5 du CPCE : absence de recueil du consentement préalablement à l’envoi de courriels de prospection.
  • Non-respect de l’article 5.1.c du RGPD : conservation de données non nécessaires à la prospection commerciale électronique.
  • Non-respect de l’article 5.1.e du RGPD : conservation de données pendant une durée excessive.
  • Non-respect de l’article 14 du RGPD : absence d’une information adaptée des personnes.
  • Non-respect de l’article 21 du RGPD : absence de possibilité pour les personnes concernées de s’opposer au traitement.
  • Non-respect de l’article 28 du RGPD : absence d’encadrement contractuel de la relation de sous-traitance.

Que retenir de la décision ?

  • En déterminant les finalités et les moyens essentiels du traitement lié à la gestion et à la mise à disposition de sa base de données personnelles, l’entreprise agit en tant que responsable des traitements de prospection commerciale.
  • L’engagement de la société vis-à-vis des contractants à disposer d’une base d’adresses électroniques de personnes ayant donné leur consentement ne suffit pas à attester le recueil effectif du consentement à recevoir de la prospection commerciale de la part de partenaires tiers en l’absence d’éléments matérialisant l’existence du consentement des personnes concernées.
  • Une donnée non pertinente dans le cadre de l’activité de prospection commerciale de l’entreprise ne doit pas être collectée.
  • La simple ouverture d’un courrier n’est pas suffisante pour matérialiser un intérêt effectif du prospect et ne peut être considérée comme un point de départ de la durée de conservation de trois ans applicable aux données des prospects dans le cadre des activités de prospection commerciale.

Les + de Data Legal Drive

  • La réalisation de campagnes de prospection massives sans collecte du consentement des personnes, en l’absence d’une information claire et complète et d’un mécanisme efficace d’opposition constitue une atteinte substantielle au droit au respect de la vie privée et à la protection des données des personnes.
  • Le nombre des personnes concernées et celui des adresses électroniques enregistrées dans la base de données constituent des éléments essentiels dans l’évaluation de la gravité des manquements.

Délibération complète de la CNIL

Consulter

À lire aussi