L’essentiel : La CNIL a infligé une amende de 20 000 euros à la société NESTOR pour prospection commerciale non conforme. En effet, NESTOR a envoyé 653 033 emails sans obtenir le consentement préalable des destinataires, violant ainsi le principe de l’opt-in. De plus, la société a manqué à ses obligations d’information et de sécurité des données, ne fournissant pas les informations requises par le RGPD lors de la collecte des données. La CNIL a également exigé la suppression des données collectées sans consentement, soulignant l’importance du respect des droits des personnes dans le cadre de la prospection par email.

Attention à votre prospection commerciale, les emails non sollicités sont aussi sous surveillance de la CNIL qui vient de prononcer une sanction de 20 000 euros à l’encontre de la société NESTOR (spécialisée dans la préparation et la livraison de repas à destination d’employés de bureaux). Indépendamment du RGDP le principe de l’opt-in est toujours applicable dans le domaine de la prospection par email.

Inédit jusqu’alors, la CNIL a tenu compte des conséquences de la crise sanitaire de la COVID-19 sur la situation financière de la société NESTOR.

Affaire Nestor

La société a adressé des courriels de prospection sans avoir préalablement recueilli le consentement des prospects et pour avoir manqué à plusieurs obligations du RGPD, notamment en matière d’information et de respect des droits des personnes.

Manquement à l’obligation de recueillir le consentement des personnes

Depuis 2017, 653 033 prospects ont reçu des messages électroniques de prospection de la part de la société, sans y avoir consenti. Il s’agissait de personnes ayant créé un compte sur le site ou l’application de la société sans avoir passé commande ou dont les données avaient été collectées sur Internet.

Or, dans ce cas, les actions de prospection commerciale menées par la société étaient concernées par l’article L. 34-5 du Code des postes et des communications électroniques (CPCE), qui prévoit que de telles opérations sont soumises au consentement préalable des personnes concernées. En l’absence d’un tel consentement, la société méconnaissait ses obligations et l’ensemble des données ainsi collectées a dû être supprimé.

La CNIL a prononcé une injonction à l’encontre de la société afin qu’elle justifie de la suppression de l’ensemble des données personnelles collectées sans le consentement des prospects.

Obligation d’information des personnes

Un manquement à l’obligation d’information des personnes (articles 12 et 13 du RGPD) a également été relevé. Le formulaire de collecte des données personnelles permettant de s’inscrire sur le site web de la société ne comportait pas l’ensemble des informations exigées par le RGPD et ne renvoyait pas non plus vers une page dédiée qui aurait contenu les informations manquantes. À cet égard, la politique de confidentialité des données du site web était également incomplète, trop générale et imprécise.

Enfin, aucune information relative à la protection des données personnelles n’était fournie aux personnes créant un compte sur l’application mobile.

Manquement à l’obligation de respecter le droit d’accès des personnes

La société a aussi manqué à son obligation de fournir une copie des données personnelles qu’elle détenait dans sa base de données (article 15 du RGPD) ainsi qu’une information relative à la source de ces données à deux personnes l’ayant sollicitée, en répondant partiellement à leurs demandes.

Manquement à l’obligation d’assurer la sécurité des données personnelles

Par ailleurs, en violation de l’article 32 du RGPD, la société n’imposait pas l’utilisation d’un mot de passe robuste lors de la création d’un compte sur son site web ou sur son application mobile.

Q/R juridiques soulevées :

Quelle sanction a été prononcée contre la société NESTOR par la CNIL ?

La CNIL a prononcé une sanction de 20 000 euros à l’encontre de la société NESTOR, qui est spécialisée dans la préparation et la livraison de repas pour les employés de bureaux. Cette sanction fait suite à des manquements aux obligations du RGPD, notamment en matière de prospection commerciale par email. Cette décision de la CNIL souligne l’importance du respect des règles de protection des données personnelles, en particulier le principe de l’opt-in, qui exige le consentement préalable des personnes avant toute opération de prospection. La société NESTOR a été reconnue coupable d’avoir envoyé des emails non sollicités à un grand nombre de prospects sans leur consentement.

Quels manquements ont été relevés concernant la collecte de données par NESTOR ?

NESTOR a manqué à son obligation de recueillir le consentement des personnes avant d’envoyer des courriels de prospection. Depuis 2017, 653 033 prospects ont reçu des messages électroniques sans avoir donné leur accord. Ces personnes avaient créé un compte sur le site ou l’application de NESTOR sans avoir passé commande, ou leurs données avaient été collectées sur Internet. Selon l’article L. 34-5 du Code des postes et des communications électroniques, les opérations de prospection commerciale nécessitent le consentement préalable des personnes concernées. En l’absence de ce consentement, NESTOR a enfreint ses obligations légales, ce qui a conduit à l’injonction de la CNIL pour justifier la suppression de toutes les données personnelles collectées sans consentement.

Quelles obligations d’information NESTOR n’a-t-elle pas respectées ?

NESTOR a également manqué à son obligation d’informer les personnes sur la collecte de leurs données personnelles, comme l’exige le RGPD dans ses articles 12 et 13. Le formulaire de collecte des données sur le site web de la société ne contenait pas toutes les informations requises par la réglementation. De plus, il ne renvoyait pas vers une page dédiée contenant les informations manquantes. La politique de confidentialité des données sur le site était jugée incomplète, trop générale et imprécise. Aucune information sur la protection des données personnelles n’était fournie aux utilisateurs créant un compte sur l’application mobile, ce qui constitue une violation supplémentaire des droits des personnes.

Comment NESTOR a-t-elle manqué à l’obligation de droit d’accès des personnes ?

La société NESTOR a également failli à son obligation de fournir une copie des données personnelles qu’elle détenait, comme le stipule l’article 15 du RGPD. Deux personnes ayant sollicité cette information n’ont reçu qu’une réponse partielle à leurs demandes, ce qui constitue un manquement grave aux droits des individus. Le droit d’accès est un droit fondamental pour les personnes concernées, leur permettant de savoir quelles données les concernent et comment elles sont utilisées. En ne respectant pas cette obligation, NESTOR a non seulement enfreint la loi, mais a également compromis la confiance des utilisateurs envers sa gestion des données personnelles.

Quelles mesures de sécurité NESTOR n’a-t-elle pas mises en place ?

NESTOR a également été critiquée pour ne pas avoir assuré la sécurité des données personnelles, en violation de l’article 32 du RGPD. En particulier, la société n’imposait pas l’utilisation d’un mot de passe robuste lors de la création d’un compte sur son site web ou son application mobile. L’absence de mesures de sécurité adéquates expose les données personnelles à des risques de violation et de piratage. La mise en place de mots de passe robustes est une mesure essentielle pour protéger les informations sensibles des utilisateurs et garantir la conformité avec les exigences de sécurité des données.