L’essentiel : La CNIL a constaté plusieurs manquements graves aux règles de protection des données par une société de prospection téléphonique. Malgré le principe de non-rétroactivité des sanctions, des manquements continus ont été relevés, justifiant l’application du RGPD. Les enregistrements d’appels ont montré que les prospects n’étaient pas informés de l’enregistrement ni des traitements de leurs données personnelles. De plus, des annotations illicites et un droit d’opposition inefficace ont été identifiés. Enfin, la société a échoué à coopérer avec la CNIL, démontrant un désintérêt flagrant pour la conformité aux exigences réglementaires. Une sanction de 500 000 euros a été imposée.

Sanction non-rétroactive mais manquement continu

Le principe de non-rétroactivité de la
sanction pénale interdit en principe de voir appliquer le Règlement pour
sanctionner les manquements instantanés intervenus avant son entrée en vigueur.
Toutefois, les manquements relevés dans la mise en demeure étaient des
manquements continus, lesquels se définissent par une action (ou une omission)
s’étendant sur une certaine durée, au sens dans la jurisprudence de la Cour
européenne des droits de l’homme (Cour européenne des droits de l’Homme, grande
ch., aff. Rohlena c/ Rép. Tchèque, req. 59552/08, paragraphe 28). Ces manquements
ont perduré au moins jusqu’à la notification du rapport de sanction, soit
postérieurement à l’entrée en application du RGPD, faute pour la société
d’avoir démontré une mise en conformité. Dans l’hypothèse de manquements
continus, il convient de tenir compte de la loi applicable lors du dernier état
du manquement (CE 9/10, 5 nov. 2014, Sté UBS France SA, n^o371585,
point 24). En conséquence, la CNIL a considéré que le RGPD était applicable aux
faits de l’espèce et que les manquements devaient donc être appréciés au regard
de ce texte.

Sous-traitance téléphonique au Maghreb

La prospection commerciale téléphonique de
la société était réalisée par plusieurs centres d’appels agissant en qualité de
sous-traitants et étant situés, pour la plupart d’entre eux, en Afrique du Nord.
Ayant obtenu copie d’enregistrements des conversations intervenues entre des
téléopérateurs et des prospects, la délégation a constaté que, dans un nombre
conséquent de conversations, les personnes n’étaient pas informées de
l’enregistrement de l’appel. Lorsque les personnes étaient averties de
l’enregistrement, aucune autre information relative à la protection des données
personnelles n’était communiquée.

Information sur la collecte de données

Il ressortait des enregistrements
téléphoniques que les personnes qui font l’objet de prospection téléphonique ne
sont soit destinataires d’aucune information relative à l’enregistrement de
l’appel soit sont simplement informées de l’enregistrement de la conversation
sans qu’aucune autre information ne leur soit communiquée quant au traitement
de leurs données à caractère personnel, telle que la finalité du traitement,
l’identité du responsable de traitement ou les droits dont elles disposent. Une
information, même sommaire, devait être communiquéeau consommateur par
l’intermédiaire du service vocal ou du téléopérateur, en lui offrant la
possibilité d’obtenir communication d’une information complète soit grâce à
l’activation d’une touche sur son clavier téléphonique, soit par l’envoi d’un
courriel par exemple.

Annotations illicites

Des termes injurieux et relatifs à l’état
de santé des personnes ont été relevés dans le logiciel de traitement des
appels de prospection. Par leur nature même, les commentaires injurieux sont
inadéquats au regard de la finalité pour laquelle les données sont traitées et rien
ne justifie la présence de données relatives à la santé des personnes dans le
logiciel de gestion des clients et prospects (manquement à l’article 5-1-c) du
RGPD). Le responsable de traitement doit mettre en place un système contraignant
lui permettant de s’assurer que les comportements constatés ne sont pas
réitérés par ses préposés, soit en empêchant automatiquement l’enregistrement
de certains termes dès la saisie, soit en effectuant une revue automatisée
quotidienne des commentaires enregistrés.

Droit d’opposition inefficient

Il revenait également à la société de
mettre en place un mécanisme permettant une prise en compte effective du droit
d’opposition exprimé par les personnes faisant l’objet de prospection
téléphonique. Elle devait, à ce titre, être en mesure de s’assurer que l’opposition
exprimée par les intéressés était respectée et que les personnes ayant faire
part de leur opposition ne reçoivent plus d’appels de prospection de la part de
ses sous-traitants. L’opposition exprimée par les personnes démarchées restait
vaine : lorsqu’elle était exprimée auprès du siège de l’entreprise, les
sous-traitants n’en étaient pas informés et poursuivaient les opérations de
prospection. Rien n’était mis en place pour automatiser le processus et en
assurer la fiabilité, par exemple en prévoyant que chaque numéro appelé par un
téléopérateur soit automatiquement et préalablement comparé à cette liste
d’opposition pour empêcher l’appel.

Transfert de données hors UE sans garanties adéquates

La société effectuait, au jour du
contrôle, un transfert de données vers des États considérés comme n’assurant
pas un niveau de protection adéquat au regard de l’article 45 du RGPD (Côte
d’Ivoire, Maroc, Tunisie) à travers son logiciel. Compte tenu de l’absence
d’adéquation, il appartenait à la société de prévoir des garanties appropriées,
conformément aux dispositions de l’article 46 du RGPD. Or, aucun contrat signé
prévoyant ces garanties n’a été conclu avec ses sous-traitants.

Manque de coopération avec la CNIL

La CNIL a enfin retenu le manquement relatif à l’absence de coopération avec ses services.  Au-delà d’une simple méconnaissance des règles relatives à la protection des données, l’absence de réponse aux demandes formulées par les services de la CNIL et à la mise en demeure adressée, comme l’absence de prise en compte de ces demandes avant la notification d’un rapport de sanction, suffisaient à démontrer, sinon la volonté clairement exprimée de ne pas donner suite aux sollicitations de la CNIL, à tout le moins un désintérêt flagrant pour ces sujets. Téléchargez la décision

Q/R juridiques soulevées :

Quel est le principe de non-rétroactivité de la sanction pénale ?

Le principe de non-rétroactivité de la sanction pénale stipule qu’une loi ou un règlement ne peut pas être appliqué pour sanctionner des actes ou des manquements qui ont eu lieu avant son entrée en vigueur. Cela signifie que les personnes ne peuvent pas être punies pour des actions qui étaient légales au moment où elles ont été commises.

Cependant, ce principe a des exceptions, notamment en ce qui concerne les manquements continus. Ces manquements se caractérisent par des actions ou des omissions qui s’étendent sur une période de temps. La jurisprudence de la Cour européenne des droits de l’homme a établi que, dans le cas de manquements continus, il est pertinent de considérer la loi applicable au moment où le manquement a été constaté.

Ainsi, si un manquement persiste après l’entrée en vigueur d’un nouveau règlement, comme le RGPD, ce dernier peut être appliqué pour sanctionner ces manquements, même s’ils ont commencé avant son adoption.

Quelles sont les obligations de la société concernant la prospection téléphonique ?

La société qui réalise de la prospection téléphonique a des obligations spécifiques en matière de protection des données personnelles. Lors de ces appels, il est impératif que les personnes contactées soient informées de l’enregistrement de la conversation.

Les enregistrements des conversations ont révélé que, dans de nombreux cas, les prospects n’étaient pas informés de l’enregistrement, ou si cela était fait, aucune information complémentaire sur la protection des données n’était fournie. Cela inclut des détails essentiels tels que la finalité du traitement des données, l’identité du responsable de traitement, et les droits des personnes concernées.

Il est donc crucial que les entreprises mettent en place des mécanismes pour garantir que les consommateurs reçoivent une information adéquate, même sommaire, sur le traitement de leurs données. Cela pourrait se faire par le biais d’un service vocal ou d’un téléopérateur, offrant la possibilité d’obtenir des informations complètes.

Quels types de données sont considérés comme illicites dans le cadre de la prospection ?

Dans le cadre de la prospection téléphonique, certaines données sont considérées comme illicites, notamment les annotations injurieuses et celles relatives à l’état de santé des personnes. Ces types de données sont inappropriés et ne respectent pas la finalité pour laquelle les données sont traitées.

Le RGPD stipule que les données personnelles doivent être traitées de manière légale, loyale et transparente. Les commentaires injurieux, par leur nature même, ne respectent pas ces principes. De plus, la présence de données relatives à la santé dans un logiciel de gestion des clients et prospects constitue un manquement à l’article 5-1-c) du RGPD.

Pour éviter de tels manquements, le responsable de traitement doit mettre en place des systèmes de contrôle efficaces. Cela peut inclure des mécanismes pour empêcher l’enregistrement de termes inappropriés ou des revues automatisées des commentaires enregistrés.

Comment la société doit-elle gérer le droit d’opposition des consommateurs ?

La société a l’obligation de mettre en place un mécanisme efficace pour respecter le droit d’opposition des personnes contactées lors de la prospection téléphonique. Cela signifie qu’elle doit s’assurer que les oppositions exprimées par les consommateurs sont prises en compte et respectées.

Il a été constaté que, dans certains cas, lorsque les personnes exprimaient leur opposition, cette information n’était pas transmise aux sous-traitants, qui continuaient à effectuer des appels de prospection. Cela montre un manque de coordination et de communication au sein de l’entreprise.

Pour garantir le respect du droit d’opposition, il est essentiel d’automatiser le processus. Par exemple, chaque numéro appelé par un téléopérateur devrait être comparé automatiquement à une liste d’opposition pour éviter que des personnes ayant exprimé leur refus ne soient à nouveau contactées.

Quels sont les risques liés au transfert de données hors de l’UE ?

Le transfert de données personnelles vers des pays en dehors de l’Union européenne peut poser des risques importants, surtout si ces pays ne garantissent pas un niveau de protection adéquat, conformément à l’article 45 du RGPD.

Dans le cas de la société mentionnée, des transferts de données vers des pays comme la Côte d’Ivoire, le Maroc et la Tunisie ont été effectués sans que des garanties appropriées soient mises en place. Selon l’article 46 du RGPD, il est impératif de prévoir des mesures de protection adéquates pour assurer la sécurité des données transférées.

L’absence de contrats signés avec les sous-traitants, stipulant ces garanties, expose la société à des risques de non-conformité et à des sanctions potentielles. Cela souligne l’importance d’une gestion rigoureuse des transferts de données et de la nécessité de respecter les exigences du RGPD.

Quelles sont les conséquences d’un manque de coopération avec la CNIL ?

Le manque de coopération avec la CNIL peut avoir des conséquences graves pour une entreprise. Dans le cas étudié, l’absence de réponse aux demandes de la CNIL et à la mise en demeure a été considérée comme un manquement significatif.

Cette situation peut être interprétée comme un désintérêt pour les questions de protection des données, ce qui peut aggraver la situation de l’entreprise lors d’une enquête. La CNIL attend des entreprises qu’elles collaborent pleinement et qu’elles prennent au sérieux les préoccupations relatives à la protection des données.

Un manque de coopération peut également entraîner des sanctions plus sévères, car il démontre une volonté de ne pas se conformer aux réglementations en vigueur. Cela souligne l’importance pour les entreprises de maintenir une communication ouverte et proactive avec les autorités de régulation.