Par Haas Avocats
En sanctionnant le groupe Canal+ (ci-après : « CANAL+ ») dans sa délibération rendue le 12 octobre 2023, la CNIL a apporté un éclairage supplémentaire sur l’obligation d’information et de recueil du consentement qui incombe au responsable du traitement.L’enseignement majeur de cette sanction réside dans l’impossibilité pour le responsable du traitement de se défausser de ses obligations en externalisant l’ensemble des missions de prospection auprès de ses sous-traitants.
Au surplus, la sanction infligée à l’encontre de CANAL+ met en relief d’autres manquements commis par CANAL + concernant :
L’activité de démarchage nécessite le recueil du consentement des prospects conformément aux dispositions des articles L.34-1 du CPCE et des articles 7 et 4.11 du RGPD, celui-ci devant être libre, spécifique, éclairé sur la base des éléments d’information transmis et exempt de toute équivoque.
Dans le cas d’espèce, le formulaire de recueil du consentement élaboré et communiqué par les sous-traitants ne faisaient pas mention de l’identité du prospecteur (à savoir CANAL+) pour le compte duquel les missions de prospection sont menées.
L’absence d’un tel élément d’information nuit nécessairement à la qualité du consentement délivré par le prospect, celui-ci n’étant finalement pas suffisamment éclairé sur la liste des destinataires qui accéderont à ses données personnelles.
Nonobstant cette répartition des responsabilités opérée dans les contrats de sous-traitance, la CNIL a considéré que CANAL+ peut être tenue responsable du manquement commis par ses sous-traitants en matière de recueil du consentement des personnes concernées.
Ce raisonnement n’est pas inédit. Pour rappel, dans la délibération rendue par la CNIL le 15 juin 2023, la formation restreinte avait sanctionné CRITEO en raison des manquements commis par ses partenaires en matière de recueil du consentement des personnes concernées alors même que ces derniers étaient des responsables conjoints du traitement et non des sous-traitants.
Mais la particularité du cas d’espèce réside dans le fait que CANAL + :
En dépit de ces arguments, la CNIL a considéré :
La formation restreinte considère que CANAL+ a manqué à son obligation de transparence en (A) n’informant pas précisément les utilisateurs du service My canal des durées de conservation applicables au traitement de leurs données personnelles et (B) certains prospects de l’enregistrement de leur conversation téléphonique avec les téléprospecteurs.
Il ressort de la délibération de la CNIL que CANAL+ a également péché en précision dans la teneur des éléments d’information transmis aux personnes qui souscrivaient à un abonnement sur le service My Canal.
En outre, la société ne précisait pas suffisamment les durées de conservations applicables aux données des abonnés dans la mesure où la politique de confidentialité à laquelle renvoyait le formulaire de collecte des données se contentait d’indiquer que les :
« données personnelles sont conservées selon des durées déterminées au regard de nos finalités et des obligations légales, fiscales et comptables nous incombant. Les données liées à votre abonnement font l’objet d’un archivage électronique pendant toute la durée de souscription à l’abonnement et pendant les durées légales de prescription ».
Afin de réduire le parcours d’information de sa politique de confidentialité, CANAL+ s’est contentée de communiquer aux personnes concernées les critères permettant de fixer la durée de conservation de leurs données personnelles. Pourtant le degré de granularité de l’information devant être délivrée aux personnes concernées ne peut pas être laissé à la discrétion du responsable du traitement.
En effet, le RGPD rappelle qu’il doit s’efforcer d’être le plus précis possible en indiquant que le recours aux critères de détermination des durées de conservation n’est possible que de manière subsidiaire lorsqu’il n’est pas possible de chiffrer la durée de conservation.
Dans le cadre de ses investigations, la formation restreinte relève que lors des démarchages téléphoniques effectués par les téléprospecteurs agissant pour le copte de CANAL+, ceux-ci ne délivraient pas toujours les éléments d’information requis par le RGPD.
Un échantillonnage d’enregistrements téléphoniques transmis à la CNIL révélait tantôt l’absence d’information, tantôt son incomplétude.
Au surplus, les personnes démarchées lors des missions prospectives n’étaient pas toujours informées de l’enregistrement de l’échange téléphonique, ni de leur droit de s’y opposer.
La CNIL rappelle que ces éléments d’information devaient être systématiquement transmis au moment de la conversation téléphonique et plus particulièrement avant que le téléprospecteur n’entame son démarchage.
CANAL+ étant responsable de ses sous-traitants, il lui appartenait de s’assurer que ses téléprospecteurs s’acquittent de leurs obligations d’information.
En marge des violations commises en matière de démarchage téléphonique, la CNIL a considéré que CANAL+ ne répondait pas aux obligations qui lui incombe en matière de (A) gestion des droits des personnes concernées et de (B) sécurité.
A travers cette délibération, la CNIL met l’accent sur la nécessité d’adopter une politique interne de gestion des droits des personnes concernées. A ce titre, il est reproché à CANAL+ de n’avoir pas :
Malgré l’absence de manquement structurel en matière d’exercice de droit, la CNIL a considéré que CANAL+ a méconnu ses obligations en matière de gestion des droits des personnes concernées.
CANAL+ a manqué à son obligation de sécurité en appliquant une (i) fonction de hachage obsolète aux mots de passes stockés et (ii) en ne notifiant pas une violation de données personnelles à la CNIL.
L’usage d’une fonction de hachage désuèteAu titre de l’article 28 du RGPD, il incombe au responsable du traitement d’assurer la sécurité de tous les traitements de données qu’il opère. A ce titre, il doit protéger les traitements effectués contre le risque :
Une des mesures élémentaires en matière de sécurité consiste à veiller à ce que les mots de passe stockés ne soient pas divulgués à des tiers. Or, la formation restreinte relève que la fonction cryptographique utilisée par CANAL+ n’était plus conforme à l’état de l’art depuis 2014 compte tenu des recommandations de l’ANSSI.
Le défaut de notification à la CNIL des violations de données.Lorsque survient un incident de sécurité, il appartient au responsable du traitement de mettre en œuvre toutes les mesures nécessaires permettant de caractériser ou pas une violation des données à caractère personnel afin de pouvoir, le cas échéant, les notifier à la CNIL dans un délai de 72 heures.
Pourtant, à la lumière des investigations menées par la CNIL, il apparaît que CANAL+ n’a pas jugé nécessaire de notifier une violation de données ayant permis à 7 de ses abonnés d’avoir accès aux données de 10 154 abonnés pendant une durée de 5 heures 35 minutes.
La CNIL a valablement considéré que cet accès illégitime constitue inéluctablement une violation de données devant lui être notifiée dans les conditions prévues à l’article 33 du RGPD.
Subrepticement, cette délibération a le mérite de rappeler aux responsables de traitements la nécessité de s’assurer de la conformité de leurs sous-traitants au RGPD. Il ne suffit pas de déléguer des responsabilités pour s’exempter de toute obligation, cette délibération en est la parfaite illustration.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.