L’essentiel : Une société de voyance en ligne a été condamnée à une amende de 120 000 euros par la CNIL pour plusieurs violations du RGPD. Parmi les manquements, on note l’enregistrement systématique des appels sans justification, la conservation des données bancaires sans consentement, et la collecte de données sensibles sans autorisation préalable. De plus, la société n’a pas sécurisé correctement les données, exposant ainsi les informations à des risques de fuite. Enfin, elle a omis de notifier une violation de données, malgré une alerte d’un journaliste, et a initialement négligé les obligations liées aux cookies.

Une société de voyance en ligne a été sanctionnée par la CNIL : une amende de 120 000 euros pour plusieurs manquements au RGDP et notamment concernant l’enregistrement systématique des appels téléphoniques, la collecte de données de santé et d’informations relatives à l’orientation sexuelle, la conservation des données bancaires sans le consentement de la personne, l’obligation de notifier une violation de données. Elle a également relevé des manquements aux règles relatives aux cookies.

Un manquement à l’obligation de minimiser les données collectées

La société enregistrait systématiquement l’intégralité des appels téléphoniques passés entre les téléopérateurs et les prospects, ainsi qu’entre les voyants et les clients, à des fins de contrôle de la qualité du service, de preuve de la souscription du contrat et dans la perspective de réquisitions judiciaires.

Si la société a désormais arrêté les consultations de voyance par téléphone, et donc les enregistrements téléphoniques, elle n’a cependant pas donné de justification, pour le passé, concernant la nécessité d’enregistrer systématiquement l’intégralité des conversations pour ces objectifs.

Un manquement à l’obligation de disposer d’une base légale pour l’utilisation des données bancaires

La société conserve les données bancaires de ses clients, au-delà du temps strictement nécessaire à la réalisation de la transaction, à des fins de lutte contre la fraude et pour faciliter l’achat de nouvelles consultations de voyance par les clients.

Si la base légale pour la conservation des données bancaires à des fins de lutte contre la fraude est l’intérêt légitime, cela ne s’applique pas à la conservation en vue d’achats ultérieurs, pour lesquels la société aurait dû recueillir le consentement des personnes.

Un manquement à l’obligation de recueillir le consentement préalable à la collecte de catégories particulières de données

Lors des consultations, les clients peuvent communiquer des données relatives à leur état de santé et à leur orientation sexuelle, qui sont notées sur des fiches conservées par les voyants.

La société aurait dû recueillir un consentement préalable et explicite des clients au traitement de leurs données sensibles. La simple volonté de recevoir des prestations de voyance et de livrer spontanément des informations sensibles ne peut être considérée comme un consentement explicite. La société aurait dû également fournir une information spécifique sur la collecte de leurs données sensibles.

Un manquement à l’obligation d’assurer la sécurité des données

La société a mis en place des mots de passe insuffisamment robustes pour les comptes utilisateurs et n’a pas sécurisé l’accès au site web www.voyance-en-direct.tv en utilisant le protocole HTTP au lieu du protocole HTTPS, qui exposait alors les données à des risques d’attaques informatiques ou de fuite de données.

Elle a en outre utilisé un mécanisme de chiffrement des données bancaires qui présentait des vulnérabilités.

Un manquement à l’obligation de notifier les violations de données à la CNIL

La société a été informée le 29 septembre 2020 être l’objet d’une fuite de données par un journaliste qui lui a communiqué un échantillon de sa base de données. La société n’a pourtant pas notifié à la CNIL la violation de données. Elle a estimé ne pas pouvoir constater la violation en raison de la fermeture de son serveur et de l’absence de conservation des journaux de connexion (logs) au serveur par son sous-traitant.

Toutefois, la société pouvait identifier la violation de données en comparant l’échantillon de données communiqué par le journaliste à sa base de données. La société, en sa qualité de responsable du traitement, avait l’obligation de notifier la violation de données même si celle-ci avait pour origine une erreur de la part du sous-traitant.

Un manquement aux obligations liées à l’utilisation des cookies

La CNIL a constaté dans un premier temps l’absence de bandeau d’information relatif aux cookies et le dépôt de trois cookies sur le terminal de l’utilisateur sans son consentement et dès son arrivée sur le site. La société a ensuite mis en place un bandeau d’information, mais qui ne permettait pas de refuser le dépôt de cookies aussi facilement que de les accepter.

Au cours de la procédure, la société a mis en place un bandeau d’information conforme aux exigences de la CNIL et a cessé de déposer des cookies soumis à consentement sans avoir recueilli le consentement des utilisateurs.

Q/R juridiques soulevées :

Quels sont les manquements de la société de voyance en ligne selon la CNIL ?

La CNIL a sanctionné la société de voyance en ligne pour plusieurs manquements au Règlement Général sur la Protection des Données (RGPD). Parmi ces manquements, on trouve l’enregistrement systématique des appels téléphoniques, la collecte de données sensibles telles que celles relatives à la santé et à l’orientation sexuelle, ainsi que la conservation des données bancaires sans consentement préalable. De plus, la société n’a pas respecté l’obligation de notifier les violations de données à la CNIL et a enfreint les règles concernant l’utilisation des cookies. Ces infractions ont conduit à une amende de 120 000 euros, soulignant l’importance de la conformité au RGPD pour toutes les entreprises traitant des données personnelles.

Pourquoi la société a-t-elle enregistré systématiquement les appels téléphoniques ?

La société a justifié l’enregistrement systématique des appels téléphoniques par des raisons de contrôle de la qualité du service, de preuve de la souscription des contrats, et pour se préparer à d’éventuelles réquisitions judiciaires. Cependant, la CNIL a noté qu’il n’y avait pas de justification suffisante pour cette pratique, surtout en ce qui concerne la nécessité d’enregistrer l’intégralité des conversations. Bien que la société ait cessé ces enregistrements, elle n’a pas fourni d’explications concernant la nécessité de cette pratique dans le passé. Cela soulève des questions sur la minimisation des données, qui est un principe fondamental du RGPD, stipulant que seules les données nécessaires à un objectif spécifique doivent être collectées.

Quel est le problème lié à la conservation des données bancaires ?

La société a conservé les données bancaires de ses clients au-delà du temps nécessaire pour réaliser les transactions, en invoquant des raisons de lutte contre la fraude et de facilitation des achats futurs de consultations. Cependant, la CNIL a souligné que la base légale pour la conservation des données à des fins de lutte contre la fraude ne s’applique pas à la conservation pour des achats ultérieurs. Pour cette dernière utilisation, la société aurait dû obtenir le consentement explicite des clients. Cela met en lumière l’importance de respecter les principes de base du RGPD, notamment le consentement éclairé et la limitation de la durée de conservation des données.

Comment la société a-t-elle manqué à l’obligation de recueillir le consentement pour les données sensibles ?

Lors des consultations, les clients pouvaient partager des informations sensibles concernant leur état de santé et leur orientation sexuelle. La CNIL a noté que la société n’avait pas recueilli le consentement préalable et explicite des clients pour le traitement de ces données sensibles. La simple volonté des clients de recevoir des prestations de voyance et de partager des informations personnelles ne constitue pas un consentement explicite. La société aurait également dû fournir des informations claires et spécifiques sur la collecte et le traitement de ces données sensibles, ce qui est essentiel pour garantir la transparence et le respect des droits des individus.

Quelles mesures de sécurité la société a-t-elle négligées ?

La société a été critiquée pour avoir mis en place des mots de passe insuffisamment robustes pour les comptes utilisateurs et pour ne pas avoir sécurisé son site web en utilisant le protocole HTTPS, ce qui expose les données à des risques d’attaques informatiques. De plus, le mécanisme de chiffrement utilisé pour protéger les données bancaires présentait des vulnérabilités. Ces manquements à l’obligation de sécurité des données sont préoccupants, car ils compromettent la protection des informations personnelles des clients et vont à l’encontre des exigences du RGPD en matière de sécurité des données.

Pourquoi la société n’a-t-elle pas notifié la violation de données à la CNIL ?

La société a été informée d’une fuite de données par un journaliste, mais elle n’a pas notifié cette violation à la CNIL. Elle a justifié son inaction en affirmant qu’elle ne pouvait pas constater la violation en raison de la fermeture de son serveur et de l’absence de conservation des journaux de connexion par son sous-traitant. Cependant, la CNIL a souligné que la société aurait pu identifier la violation en comparant l’échantillon de données fourni par le journaliste à sa propre base de données. En tant que responsable du traitement, la société avait l’obligation de notifier toute violation de données, même si celle-ci était due à une erreur de son sous-traitant.

Quels manquements ont été constatés concernant l’utilisation des cookies ?

La CNIL a constaté que la société ne respectait pas les règles relatives aux cookies, notamment l’absence d’un bandeau d’information sur leur utilisation. De plus, trois cookies ont été déposés sur le terminal des utilisateurs sans leur consentement dès leur arrivée sur le site. Bien que la société ait par la suite mis en place un bandeau d’information, celui-ci ne permettait pas de refuser le dépôt de cookies aussi facilement que de les accepter. Ce manquement souligne l’importance de respecter les droits des utilisateurs en matière de consentement et d’information, conformément aux exigences du RGPD.