Résumé des faits
Après avoir effectué un contrôle auprès de la société TAGADAMEDIA qui exploite principalement des sites en ligne de jeux-concours et de tests de produits, à travers lesquels elle collecte des données de prospects, la CNIL a identifié plusieurs manquements au RGPD.
La CNIL a ainsi décidé de sanctionner la société d’une amende publique de 75 000 euros (représentant environ 1,6% du CA) pour notamment non-respect du principe de licéité et pour ne pas avoir mis en place un registre des traitements valide. Elle a également adopté à l’encontre de la société une injonction de mettre en œuvre sur les sites qu’elle édite un formulaire de collecte des données de prospects permettant de recueillir un consentement libre, spécifique, éclairée et univoque quant à la transmission de leurs données personnelles à des partenaires à des fins de prospection. Cette injonction est assortie d’une astreinte d’un montant de 1000 euros par jour de retard, liquidable à l’issue d’un délai d’un mois.
Motifs de la sanction / Manquements
- Non-respect de l’art. 6 du RGPD
Collecte et traitement de données sans base légale valide.
- Non-respect de l’art. 30 du RGPD
Registre des traitements non exhaustif.
Que retenir de la décision ?
- Le caractère libre du consentement implique un choix et un contrôle réel pour les personnes concernées.
- Le consentement spécifique tel qu’imposé par le RGPD ne peut résulter que d’un consentement explicite de l’utilisateur, recueilli en connaissance de cause après avoir reçu une information adéquate sur l’utilisation qui sera faite de ses données.
- Le consentement ne peut être considéré comme valable lorsque la personne concernée n’est pas véritablement en mesure d’exercer un choix, lorsqu’elle se sent contrainte de consentir ou qu’elle subira des conséquences négatives importantes si elle ne donne pas son consentement.
- Un formulaire ne permet pas aux personnes concernées d’exprimer de manière valable le choix reflétant leurs préférences en matière de transmission de données à des fins de prospection commerciale, dans le cas où la forme de présentation met en avant le bouton relatif à l’acceptation par sa taille et sa couleur, le distinguant des autres informations fournies, ou encore lorsque son emplacement et les termes utilisés donnent l’impression que cliquer sur le bouton est obligatoire pour terminer l’inscription.
- Lorsque le lien hypertexte permettant de participer au jeu sans accepter la transmission de ses données est présenté en caractères d’une taille nettement plus petite que celle utilisée pour les boutons et sans aucune mise en valeur particulière, de telle sorte qu’il n’apparait pas de manière évidente qu’il est possible de participer sans cliquer sur le bouton d’acceptation et donc sans transmettre ses données à des tiers à des fins de prospection, le consentement ne peut être considéré comme avoir été recueilli de manière univoque et libre.
- L’absence de recueil d’un consentement valide prive de base légale la transmission des données de prospects à des partenaires, rendant ainsi cette transmission illicite.
- Un registre des traitements qui ne permet pas d’identifier clairement la société agissant en qualité de responsable ne peut être considéré comme exhaustif, ni conforme à la règlementation.
Le + DLD
- Pour décider du prononcé d’une amende, plusieurs critères sont pris en compte, tels que la nature, la gravité et la durée de la violation, les mesures prises par le responsable de traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données personnelles concernées par la violation.
- Pour décider de la publication ou pas de la sanction, la CNIL tient notamment compte de la gravité des manquements, de la portée du traitement et du nombre de personnes concernées.
