Par Haas Avocats
Le 4 avril 2024, la société HUBSIDE STORE a été sanctionnée par la CNIL à hauteur de 525 000 euros, soit l’équivalent d’environ 2% de son chiffre d’affaires, pour n’avoir pas respecté la législation en matière de prospection commerciale[1].Cette sanction est un nouvel exemple édifiant des pratiques illicites de certaines entreprises en termes de prospection commerciale non consentie par les personnes concernées.
Plusieurs manquements ont été reprochés à HUBSIDE STORE par la CNIL. Outre l’absence de consentement des personnes concernées, aboutissant à un traitement de données personnelles illicite par la société, la CNIL a considéré que les obligations de transparence et d’information incombant au responsable de traitement n’étaient pas non plus respectées.
Mais surtout, cette affaire a permis à la CNIL de rappeler le cadre légal auquel sont soumises les opérations de prospection commerciale en matière de données personnelles.
Les Manquements de la société Hubside Store relevés par la CNIL
|
Manquements |
Précisions |
|
Recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (article. 34-5 du Code des postes et communications électronique (CPCE)) |
A cet égard, il est précisément indiqué par l’article que le consentement de la personne concernée doit être préalablement recueilli par le responsable de traitement.
La CNIL, pour définir le consentement, se réfère aux dispositions du RGPD, à savoir « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement »[2].
Pour s’assurer d’un tel consentement, le responsable de traitement doit notamment s’assurer que l’interface de recueil du choix de l’utilisateur n’intègre pas de design trompeur[3] aussi appelés dark patterns.
Or en l’espèce, le consentement des personnes concernées, recueilli par l’intermédiaire de formulaires de participation à des jeux-concours collectés par des courtiers en données, ne leur permettait pas « d’exprimer de manière valable un choix reflétant leurs préférences en matière de transmission de données à des fins de prospection commerciale »[4], étant donnée l’apparence trompeuse de ces formulaires[5].
Dans ce cadre, ces éléments ne permettaient pas de recueillir un consentement libre et univoque de la part de la personne concernée.
|
|
Disposer d’une base légale pour les traitements mis en œuvre (article 6 du RGPD) |
L’intérêt légitime du responsable de traitement peut être utilisé pour fonder un traitement de données personnelles à des fins de prospection commerciale.
Cependant, le responsable de traitement doit s’assurer que le traitement ne heurte pas les droits et intérêts des personnes concernées, et notamment qu’en l’espèce, elles s’attendent raisonnablement à recevoir des offres de prospection commerciale de sa part.
En effet, la CNIL précise « à la condition que les personnes concernées, au moment de la collecte de leurs données, soient informées qu’elles pourront recevoir des offres de prospection commerciale de la part de cette société. »
En outre, « la CNIL a constaté que les formulaires de jeux-concours à partir desquels les données des prospects étaient collectées ne mentionnaient pas systématiquement la société HUBSIDE.STORE dans la liste des partenaires susceptibles de démarcher les personnes concernées ».
|
|
Information des personnes concernées (article 12 à 14 du RGPD) |
Selon la CNIL, « les personnes démarchées par téléphone ne disposaient pas de toutes les informations nécessaires sur la collecte et l’utilisation de leurs données personnelles (par exemple, l’identité et les coordonnées de l’organisme, les objectifs d’utilisation des données, les durées de conservation, la source des données, leurs droits ou encore leur possibilité d’adresser une plainte à la CNIL) ». |
La responsabilité du responsable de traitement en matière de prospection commerciale
Une circonstance intéressante de l’affaire concernait la collecte indirecte des données par le responsable de traitement, via l’intermédiaire de courtiers en données.
La CNIL rappelle que si le consentement peut avoir été recueilli pour le compte de l’organisme qui prospecte, c’est tout de même ce dernier, responsable de traitement - la société HUBSIDE.STORE en l’occurrence – qui a la responsabilité de s’assurer de la légalité de la prospection commerciale.
En ce sens, un simple engagement contractuel d’un courtier à respecter le RGPD ne suffit pas à exonérer le destinataire des données collectées par les courtiers de sa responsabilité[6] au titre de la règlementation sur la protection des données.
Enfin, il faut préciser que pour fixer une telle sanction, la CNIL prend non seulement en compte la gravité du manquement, mais également la fréquence de telles opérations non consenties de prospection commerciale par le responsable de traitement. Plus la société aura multiplié ces opérations, plus l’amende sera élevée.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Délibération de la formation restreinte n°SAN-2024-004 du 4 avril 2024 concernant la société HUBSIDE.STORE
[2] Article 4§11 du RGPD
[3] Délibération n° 2020-092 du 17 septembre 2020
[4] Délibération de la formation restreinte n°SAN-2024-004 du 4 avril 2024 concernant la société HUBSIDE.STORE (point 57)
[5] Le bouton pour valider la transmission des données est disproportionné (par la couleur et la taille) par rapport aux liens permettant de participer aux jeux sans donner son consentement aux opérations de prospection
[6] CNIL, FR, 24 novembre 2022, Sanction, n°SAN-2022-021
