Par Haas Avocats
La société FORIOU, spécialisée dans le démarchage téléphonique, a écopé le 31 janvier 2024, d’une amende de 310 000 euros infligée par la CNIL, soit l’équivalent d’environ 1% de son chiffre d’affaires.
Cette sanction est un exemple édifiant des pratiques illicites de certaines entreprises en termes de démarchage non consenti par les personnes concernées.
En effet, les données dont disposait la société pour effectuer son démarchage étaient obtenues de manière illicite selon la CNIL, puisqu’elles étaient achetées auprès de courtiers en données.
Les courtiers en données : simples fournisseurs de données ou responsables de traitement ?
On connaissait les courtiers en assurance ou en immobilier, désormais ce sont les courtiers en données qui semblent avoir trouvés l’El Dorado.
La donnée, nouvel or noir du XXI ème siècle représente en effet une valeur économique stratégique qui attire nécessairement l’attention du marché.
Dans le cas des courtiers de la société FORIOU, la collecte des données s’effectuait sur la base de formulaires de participation à des jeux-concours ou à des tests de produits en ligne sur lesquels la société FORIOU n’avait aucun contrôle.
Les courtiers à l’origine de la collecte n’étaient donc que de simples fournisseurs de données. Si la société FORIOU figurait parmi les partenaires mentionnés sur les formulaires, cette mention n’était ni systématique, ni suffisante.
De la même manière, la CNIL considère qu’un simple engagement contractuel d’un courtier à respecter le RGPD ne suffit pas à exonérer le destinataire des données collectées par les courtiers de sa responsabilité[1] au titre de la règlementation sur la protection des données.
En réalité, c’est la société FORIOU, responsable du traitement de ces données, qui aurait dû s’assurer de la régularité de la collecte des données et du démarchage qui s’en est suivi.
Le traitement illicite des données à l’origine du démarchage
La CNIL a ainsi considéré que les personnes concernées n’avaient pas explicitement consenti à ce traitement de données par la société FORIOU. Dépourvu de base légale, le traitement devenait ainsi illicite[2].
Dans cette affaire, non seulement la société ne pouvait faire valoir le consentement des personnes concernées, mais de surcroit elle ne disposait d’aucun intérêt légitime susceptible d’être mis en avant pour fonder ses opérations de prospection commerciale par téléphone.
En effet, lors de l’appréciation de l’intérêt légitime, le responsable de traitement doit s’assurer que la personne concernée peut raisonnablement s’attendre au traitement effectué dans une finalité particulière[3].
Plus précisément, en termes de prospection commerciale, les personnes concernées doivent être informées de l’utilisation de leurs données à des fins de démarchage pour être en mesure de s’y opposer.
En somme, toute entreprise amenée à traiter des données personnelles doit impérativement vérifier si elle endosse le rôle de responsable de traitement, et par conséquent, l’ensemble des responsabilités qui l’accompagnent. Notamment, le responsable de traitement doit s’assurer de la légalité du traitement des données, sous peine de se voir sanctionner par le gendarme des données personnelles.
***
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] CNIL, FR, 24 novembre 2022, Sanction, n° D-SAN-2022-021, publié
[2] Article 6 du RGPD
[3] Article 47 du RGPD