Au mois de février 2018, un particulier avait saisi la CNIL d’une plainte à l’encontre de la société FUTURA International, faisant état d’un démarchage téléphonique persistant, malgré une opposition exprimée oralement et par courrier. La CNIL, relevant de nombreux manquements et un défaut de coopération de la société, prononce une sanction à son encontre s’élevant à 2,5% du montant de son chiffre d’affaires (Délibération du 21 novembre 2019 n° SAN-2019-010).
Au mois de mars 2018, la CNIL a procédé à une mission de contrôle dans les locaux de la société. Cette mission avait pour objet non seulement d’instruire la plainte introduite mais également de vérifier plus généralement la conformité des traitements mis en œuvre par ou pour le compte de la société. Le contrôle a révélé de sérieux manquements, une mise en demeure a alors été adressée à la société de se mettre en conformité au règlement général sur la protection des données (« RGPD ») dans un délai de deux mois. Tout au long de la procédure la CNIL a constaté le manque de coopération de la société, jusqu’à l’envoi de la proposition de sanction formulée par le rapporteur.
La décision de sanction de la CNIL rappelle que bien que le manquement ait été originellement constaté en février 2018, soit avant l’entrée en vigueur du RGPD, le fait qu’il se soit poursuivi postérieurement à l’entrée en vigueur du RGPD permet l’application de ce texte. La CNIL soutient en effet que lorsque les manquements poursuivis sont des manquements continus, il convient de faire application de la loi en vigueur lors du dernier état du manquement.
La Commission relève à l’encontre de la société les manquements suivants :
- manquement à l’obligation de traiter des données adéquates, pertinentes et limitées : la CNIL ayant constaté que des termes injurieux et relatifs à l’état de santé des personnes avaient été relevés dans le logiciel de gestion des clients, elle conclut que ces commentaires sont inadéquats au regard des finalités du traitement ;
- manquement à l’obligation d’information des personnes : la commission relève que les personnes dont les appels étaient enregistrés n’étaient pas ou étaient insuffisamment informées puisqu’elles ne disposaient d’aucune précision quant à la finalité du traitement, l’identité du responsable de traitement ou leurs droits. La CNIL relève que la société, bien qu’indiquant communiquer désormais une information complète sous la forme d’un courriel à toute personne faisant l’objet de prospection téléphonique ainsi qu’aux personnes dont les données sont collectées de manière indirecte, par le bais d’un parrainage, ne justifie pas de cette information, par exemple en produisant lesdits courriels ;
- manquement à l’obligation de se conformer au droit d’opposition : la CNIL relève qu’aucune procédure efficace de gestion du droit d’opposition des personnes n’a été mise en place, les oppositions formulées auprès du siège de la société n’étant pas transmises aux sous-traitants ;
- manquement à l’obligation de coopération avec l’autorité de contrôle ainsi qu’un manquement à l’obligation d’encadrer les transferts de données personnelles en dehors de l’Union européenne.
Au résultat, la CNIL prononce une injonction de mettre en conformité le traitement sous astreinte de 500 euros par jour de retard à l’issue d’un délai de 15 jours suivant la notification de la délibération, ainsi qu’une amende administrative d‘un montant de 500 000 euros et une publication de la décision. Elle justifie le montant de l’amende, correspondant à 2,5 % du chiffre d’affaires de la société (soit une année de résultat), par l’absence de coopération constatée.
Avec cette décision, elle rappelle que le comportement de la société au cours de la procédure de contrôle et d’instruction doit être pris en compte pour venir aggraver (ou, le cas échéant, minorer) la sanction encourue conformément à l’art 83, paragraphe 2, b) du RGPD.
Article paru dans Option Finance le 9 décembre 2019
La Protection des données personnelles au sein de notre cabinet d'avocats :
Que vous soyez un éditeur de plates-formes électroniques, de logiciels, de jeux en ligne ou de sites Internet, une entreprise nationale ou multinationale, nos avocats spécialistes du droit des données personnelles sont à même d’intervenir sur l’ensemble de vos problématiques liées à la protection, la collecte et la gestion des données personnelles.
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.