Les données à caractère personnel sont nécessairement utilisées dans le cadre des activités commerciales et marketing des entreprises. Pour éviter les plaintes et les amendes CNIL, il est crucial de les collecter et de les exploiter conformément aux exigences du RGPD. Une simple plainte individuelle auprès de la CNIL peut avoir des conséquences financières considérables pour les entreprises. La CNIL a ainsi prononcé une sanction de 500 000 euros à l’encontre de la société Futura internationale à la suite d’une plainte d’une personne expliquant être démarchée très régulièrement par cette société, alors qu’elle avait indiqué au téléopérateur ne plus vouloir être appelée et qu’elle avait également exercé son droit d’opposition par courrier.
Un contrôle de la CNIL a permis de constater 5 manquements majeurs de la part de Futura Internationale :
- L’absence de prise en compte du droit d’opposition des personnes
- La présence de données non pertinentes dans le fichier client de la société
- L’information insuffisante des personnes démarchées
- L’encadrement insuffisant des transferts de données personnelles vers des prestataires situés hors de l’Union européenne
- Le défaut de coopération avec la CNIL
Pour éviter les amendes de la CNIL, il convient pour les entreprises de respecter un certain nombre de bonnes pratiques dans le cadre de leur prospection téléphonique.
Respecter le droit d’opposition des personnes concernées
Constat : La CNIL a constaté que la société Futura Internationale avait reçu plusieurs courriers de personnes se plaignant de continuer à être démarchées malgré leur opposition. Aucune procédure ne permettait en effet de s’assurer efficacement que les personnes s’étant opposées au démarchage téléphonique ne soient plus appelées.
Références RGPD : La Cnil a ainsi sanctionné l’absence de prise en compte du droit d’opposition des personnes sur le fondement de l’article 21 du RGPD qui prévoit que lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant. En outre, l’article 12 du RGPD dispose que le responsable du traitement facilite l’exercice des droits conférés aux personne concernées.
Qu’est-ce que Futura Internationale aurait dû faire ?
Mettre en place une procédure de gestion du droit d’opposition
Futura Internationale doit permettre aux personnes concernées de s’opposer à la prospection téléphonique, en mettant en place une procédure de gestion du droit d’opposition qui permette de constituer un fichier des personnes ayant exprimé leur souhait de ne plus être démarchées et en formant son personnel à prendre en compte cette opposition.
Aider les responsables de traitement à s’assurer que les personnes concernées ne seront plus contactées en leur nom.
Futura Internationale doit transmettre le fichier des personnes ayant exprimé leur souhait de ne plus être démarchées à son responsable de traitement qui diffusera cette liste noire auprès de l’ensemble de ses sous-traitants.
En effet, lorsque la prospection se fait via des centres d’appels, les prestataires doivent fournir au responsable de traitement une liste attestant des personnes ne souhaitant plus être démarchée. Cette attestation doit notamment permettre d’identifier les personnes ayant exprimé leur refus d’être démarchée par téléphone. Ces informations doivent être suffisantes : mentionner le numéro de téléphone afin de permettre l’inscription de la personne sur une liste d’opposition à la prospection téléphonique et mentionner le prénom de la personne pour éviter le risque de confusion en cas d’homonymie du nom de famille lorsque ce dernier est particulièrement répandu.
L’adéquation, la pertinence et au caractère non excessif des données collectées
Constat : Des termes injurieux et relatifs à l’état de santé des personnes ont été relevés par la CNIL dans le logiciel permettant la gestion des clients de la société. Les fichiers de la société contenaient plusieurs commentaires excessifs concernant des clients, ou relatifs à leur état de santé. Par leur nature même, les commentaires injurieux sont inadéquats au regard de la finalité pour laquelle les données sont traitées et rien ne justifie, pour Futura Internationale, la présence de données relatives à la santé des personnes dans le logiciel de gestion des clients et prospects.
Références RGPD : L’article 5-1-c) statue que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Qu’est-ce que Futura Internationale aurait dû faire ?
Veiller à l’adéquation, à la pertinence et au caractère non excessif des données collectées.
La société aurait dû prendre les prenant les mesures nécessaires pour éviter que des commentaires excessifs ne soient enregistrés dans le logiciel de gestion des clients, par exemple, en mettant en place un système de détection automatique des mots inadéquats afin de les exclure des zones de commentaires, et en sensibilisant ses salariés à sur ces sujets.
Informer conformément les personnes démarchées
Constat : Les personnes n’étaient pas non plus correctement informées du traitement de leurs données personnelles, ni même souvent de l’enregistrement de la conversation. Le RGPD impose aux responsables de traitement d’informer les personnes démarchées de manière claire et univoque sur le traitement de leurs données personnels et les droits dont ils disposent sur elles, afin qu’il puisse consentir de manière éclairée.
Références RGPD : Le responsable de traitement doit explicitement informer les personnes concernées, notamment concernant l’identité et les coordonnées du responsable du traitement, les finalités du traitement, la durée de conservation des données, l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci et l’existence d’une prise de décision automatisée (articles 12, 13 et 14 du RGPD).
Qu’est-ce que Futura Internationale aurait dû faire ?
Procéder à l’information des personnes auprès desquelles des données à caractère personnel sont collectées directement ou indirectement
Notamment en fournissant, au moment où les données à caractère personnel sont collectées, une information relative à l’identité du responsable du traitement, à la finalité poursuivie par le traitement, aux droits des personnes et au transfert de données vers un État non-membre de l’Union européenne, et en fournissant, sur le site www.futura-internationale.fr, une notice d’information complète et les informations relatives aux transferts de données vers un État non-membre de l’Union européenne ainsi qu’aux durées de conservation des catégories de données traitées ou des critères utilisés permettant de déterminer ces durées.[WC1]
En pratique, Futura Internationale peut par exemple mentionner le responsable de traitement, la finalité et préciser qu’il y a des droits dont celui de s’opposer au démarchage. Pour que le message ne soit pas trop long, un sms complétant les informations manquantes et un lien vers la politique de confidentialité peut être envoyé à l’issue de cette déclaration. Futura Internationale peut aussi préciser que si la personne souhaite obtenir plus d’informations tout de suite, c’est possible.
Consultante Cybersécurité & Droit du numérique
Encadrer les transferts de données avec les prestataires
Constat : La formation restreinte relève que la société effectuait, au jour du contrôle, un transfert de données vers des États considérés comme n’assurant pas un niveau de protection adéquat selon le RGPD (Côte d’Ivoire, Maroc, Tunisie) à travers son logiciel de gestion des clients.
Références RGPD : Les articles 44 à 50 du RGPD imposent aux responsables de traitement de ne pas procéder à un transfert de données à caractère personnel vers un État n’assurant pas un niveau suffisant de protection de la vie privée et des libertés et droits fondamentaux.
A moins d’encadrer les contrats des sous-traitants avec des clauses contractuelles assurant un niveau de protection des données personnelles adéquates et conformes comme celles adoptées par la Commission européenne ou par une autorité de contrôle. Ces clauses doivent obéir à un certain nombre de conditions posées à l’article 46 du RGPD.
Qu’est-ce que Futura Internationale aurait dû faire ?
Futura Internationale doit obtenir l’autorisation auprès des responsables de traitement avant de sous-traiter les activités qui lui ont été confiées. Les contrats des sous-traitants doivent contenir des clauses concernant la protection des données personnelles, et idéalement, ils doivent être audités pour s’assurer que le niveau de sécurité est à la hauteur.
Coopérer avec la CNIL
Constat : Dans sa décision contre Futura Internationale, la CNIL explique avoir tenu compte de la « persistance et de la gravité » des manquements constatés pour déterminer le montant de sa sanction. Elle explique porter une attention particulière aux pratiques de démarchage téléphonique qui sont une « préoccupation du quotidien pour les personnes ».
Références RGPD : L’article 31 du RGPD prévoit que le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions. Le fait de coopérer avec la CNIL est une obligation qui, si elle n’est pas respectée, est sanctionnable.
Qu’est-ce que Futura Internationale aurait dû faire ?
Fournir les pièces nécessaires à l’exercices des missions de la CNIL
La CNIL relève dans sa décision ses nombreuses demandes auprès de Futura Internationale pour obtenir la communication des pièces nécessaires à l’exercice de leur mission, et les réponses « très partielles » de la société, « qui n’a communiqué qu’une très faible proportion des éléments demandés ». Pour la CNIL, ces éléments témoignent d’un « désintérêt flagrant ». C’est pour cela qu’il est fortement conseillé, pour les entreprises qui font l’objet de contrôle de coopérer au maximum et d’être réactifs dans la réponse aux sollicitations et demandes de la CNIL dans le cadre de son contrôle.
Consultante Cybersécurité & Droit du numérique