Par Haas Avocats
On pourrait croire qu'elles auraient vu cela dans leurs prédictions. Les sociétés COSMOSPACE et TELEMAQUE, spécialistes de la voyance en ligne, ont écopé respectivement de 250 000 et 150 000 euros d’amende pour divers manquements relatifs au traitement des données.
Il s’agira de traiter des manquements permettant de comprendre l’ampleur de ces sanctions.
La société COSMOSPACE propose des consultations de voyance en ligne réalisées par le biais d’appels téléphoniques. Cependant, cette dernière enregistrait systématiquement les appels téléphoniques ; lors de ces « consultations » les clients divulguaient des informations extrêmement sensibles concernant leur vie privée.
En principe, le traitement des données personnelles doit être « adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées »[1]. Dès lors, en enregistrant systématiquement les appels pour évaluer la qualité du service, les finalités du traitement ne justifiaient pas d’enregistrer l’entièreté des appels.
De plus, comme exposé ci-avant, une partie des données traitées était particulièrement sensible. En effet, en se confiant lors des consultations, les clients pouvaient être amenés à communiquer des données relatives à leur orientation sexuelle ou encore à leurs états de santé. Ces données, en principe, ne peuvent être traitées qu’en implication du strict principe prévu par le RGPD[2] et le simple fait de vouloir évaluer la qualité des appels ne pouvait justifier le traitement de ces données.
Les sociétés ont manqué à leurs obligations tant elles auraient dû minimiser les données traitées et fournir une information spécifique permettant aux clients de savoir que leurs données allaient être enregistrées et traitées.
La durée de conservation est une prérogative très importante au sein du RGPD. Le traitement doit avoir une durée adaptée à sa finalité[3]. En l’espèce, la société conservait les données pendant une durée de 6 ans, selon la CNIL, il suffisait seulement de 3 ans. La durée de conservation était manifestement excessive, d’autant que la finalité était seulement l’envoi des messages de prospection commerciale.
Très souvent les entreprises ont tendance à jouer sur le caractère flou du régime des durées de conservation des données selon les traitements. Cependant, la prospection commerciale est particulièrement encadrée par un régime prenant en compte la durée en fonction des différents canaux (téléphoniques, postaux, électroniques).
Les sociétés COSMOSPACE et TELEMAQUE recueillaient le consentement à des fins de prospection commerciale via des formulaires. Cependant, selon la formation restreinte de la CNIL, la présentation de ces formulaires ne permettait pas aux utilisateurs d’être correctement informés[4]. Chacune des sociétés utilisait les données collectées par l’autre dans le cadre de ses propres activités de prospection commerciale. Or, les clients n’étaient pas informés que leurs données seraient exploitées par les deux entreprises, et non uniquement par celle à laquelle ils avaient initialement consenti.
Les amendes infligées à COSMOSPACE et TELEMAQUE par la CNIL rappellent que la protection des données personnelles est une exigence incontournable à tous les niveaux d’entreprise et pour toutes les activités, y compris pour les entreprises opérant dans des secteurs aussi spécifiques que la voyance. Plus qu’un simple rappel à l’ordre, ces sanctions soulignent la nécessité d’une vigilance accrue face aux pratiques abusives qui compromettent la confidentialité et les droits des personnes concernées. Si ces entreprises n’ont pas su prédire l’ampleur des conséquences, espérons qu’elles sauront, à l’avenir, mieux anticiper leurs responsabilités légales.
Comme quoi, même les voyants n’échappent pas au RGPD…
***
Si vous souhaitez bénéficier d’un accompagnement personnalisé : le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1]Article 5-1-c du RGPD
[2] Article 9 du RGPD
[3] Article 5 du RGPD
[4] Articles 12 à 14 du RGPD