La Commission nationale de l’informatique et des libertés (CNIL) a prononcé une sanction de 310 000 euros à l’encontre de la société FORIOU pour des pratiques de prospection commerciale illégales. Cette décision intervient suite à des constatations faites lors de contrôles, révélant une absence de consentement libre et univoque ainsi qu’une information insuffisante des personnes concernées.

FORIOU, spécialisée dans la promotion de programmes et cartes de fidélité, a été sanctionnée pour avoir utilisé des données fournies par des courtiers en données sans s’assurer que les personnes
concernées avaient valablement consenti à être démarchées. Ces données étaient collectées via des formulaires de participation à des jeux-concours ou à des tests de produits en ligne sur différents sites web.

La formation restreinte de la CNIL a relevé que l’apparence trompeuse de ces formulaires ne permettait pas de recueillir un consentement valide, conforme aux exigences du règlement général sur la protection des données (RGPD).

En effet, la mise en valeur des boutons incitant à la transmission des données à des fins de prospection commerciale orientait fortement les utilisateurs à accepter, tandis que les liens hypertextes permettant de participer au jeu sans accepter cette transmission étaient moins visibles et tout à fait différents des boutons. La CNIL a également souligné le manque de contrôle effectif des exigences contractuelles imposées par FORIOU à ses fournisseurs de données. De plus, les formulaires de jeux-concours ne mentionnaient pas systématiquement la société FORIOU dans la liste des partenaires susceptibles de démarcher les personnes concernées.

FORIOU avait donc la possibilité d’utiliser la base légale du consentement ou celle de l‘intérêt légitime (à justifier). Dans son cas, elle se fonde sur le consentement des personnes concernées à recevoir son démarchage, consentement recueilli par le courtier de données auprès duquel elle a obtenu les données. Ainsi, si le consentement recueilli par le courtier dans ses formulaires n’est pas valable, alors le traitement de FORIOU qui s’en suit n’est plus licite.

Cette amende, d’un montant représentant environ 1 % du chiffre d’affaires de la société, a été décidée au regard de la gravité du manquement et de la responsabilité endossée par FORIOU.

Cette décision rappelle que la responsabilité de la conformité d’un traitement aux exigences du RGPD pèse bien sur le responsable du traitement, c’était donc à la société FORIOU de s’assurer que le consentement, sur lequel elle se fonde pour démarcher ses prospects, était bien valable au-delà des mesures contractuelles intégrées au contrat avec le courtier de données.

Consultez ici l’intégralité du document : Délibération 2024-003 du 31 janvier 2024

Les mois de janvier-février ont été brûlants en matière de sanctions de la CNIL.

Outre la sanction de Yahoo, plusieurs entités se sont vues condamnées pour divers manquements au RGPD, dont notamment :

• La société TAGADAMÉDIA, courtier en données exploitant principalement des sites en ligne de jeux-concours et de tests de produits par lesquels elle collecte des données de prospects, s’est vue condamnée à une amende de 75 000 €, ainsi qu’à une mise en conformité de ses formulaires de collecte dans le délai d’un mois sous peine de 1 000 € par jour de retard.
  Le défaut :
  – De base légale pour les traitements mis en œuvre lui est notamment reproché – violation de l’article 6 du RGPD ;
  – De registre des activités de traitement des données – violation de l’article 30 du RGPD.
• La société AMAZON France logistique, a quant à elle été condamnée à une amende de 32 M€, pour avoir mis en œuvre une procédure intrusive de surveillance de l’activité et des performances de ses salariés. Les manquements relevés concernent :
  – La violation de l’article 5.1.c du RGPD relatif au principe de minimisation des données ;
  – La violation de l’article 6 du RGPD inhérent à la licéité du traitement ;
  – La violation des articles 12 et 13 du RGPD concernant l’obligation d’information et de transparence tant sur son personnel intérimaire (défaut de remise de la politique de confidentialité antérieure à la collecte de leurs données personnelles) que sur ses salariés et visiteurs extérieurs (défaut d’information de l’existence d’un système de vidéosurveillance ;
  – La violation de l’article 32 du RGPD relatif à l’obligation de sécurité du système de vidéosurveillance.
• Enfin, le 31 janvier 2024, la société PAP (de Particulier à Particulier) a été sanctionnée d’une amende de 100 000 € pour ne pas avoir respecter ses obligations relatives à la durée de
  conservation des données et de sécurisation de ces dernières.
  Focus sur les manquements relevés :
  – Violation de l’article 5.1.e du RGPD concernant l’obligation de conserver les données pour une durée limitée à l’objectif recherché → En l’espèce, la durée de conservation certaines données était fixée à dix ans, sans que cette durée ne soit justifiée par les dispositions du code de la consommation auquel elle se référait, pour les autres
  données, le délai de conservation était fixé à cinq ans sans que des purges ne soient effectuées, ayant pour conséquence une durée plus longue.
  – Violation de l’article 13 du RGPD relatif à l’obligation d’information des personnes, laquelle était incomplète et imprécise ;- Violation de l’article 28 du RGPD visant l’obligation d’encadrer par un acte juridique les traitements effectués pour le compte du responsable de traitement → en effet,
  le contrat conclu entre la société et un sous-traitant ne comportait pas les clauses requises par le RGPD (données à caractère personnel) ;
  – Violation de l’article 32 du RGPD concernant la sécurité des données personnelles justifiée par des règles de complexité des mots de passe insuffisamment robustes et un manquement à la sécurisation (conservation en clair des mots de passe).
  Ces défauts de sécurité exposent les données à des risques d’attaques informatiques et de fuite.
  
  → Dans le contexte actuel de cyberattaque dont ont été victimes Viamédis et Almérys, notamment quant à la liste des adhérents radiés figurant dans les fichiers compromis, cette décision sanctionnant des délais de conservation trop longs doit retenir toute votre attention et vous inciter à prévoir un meilleur contrôle de vos prestataires quant aux purges, relevant de vos obligations de responsable de traitement.
  Par ailleurs, une revue de vos contrats de sous-traitance s’avère également indispensable (clause inhérente aux données personnelles, audits du sous-traitant).→ De surcroît, la CNIL a annoncé l’ouverture d’une enquête sur cette violation de données et a rappelés aux assurés les précautions à prendre et quelques conseils à appliquer. Rappelons que 33 millions de personnes sont concernées. La CNIL s’assurera que chaque complémentaire santé faisant appel à Viamédis et Almérys a informé, dans les plus brefs délais, individuellement et directement l’ensemble des personnes concernées comme les y oblige le RGPD.
  Devant l’ampleur de la violation, la présidente de la CNIL a décidé de mener très rapidement des investigations afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du RGPD.

Consultez ici l’intégralité du document : Délibération de la formation restreinte n° SAN-2023-025 du 29 décembre 2023 concernant la société TAGADAMEDIA (CNIL, Légifrance, 30 janv. 2024) ; Délibération de la formation restreinte n° SAN-2023-021 du 27 décembre 2023 concernant la Société AMAZON France LOGISTIQUE (CNIL, Légifrance, 23 janv. 2024) ; Délibération de la formation restreinte n° SAN-2024-002 du 31 janvier 2024 concernant la société PAP – éditions NERESSIS (CNIL, Légifrance, 13 févr. 2024)