Type de juridiction : Cour d’Appel

Juridiction : Cour d’Appel de Colmar

Thématique : RGDP : nouvelle sanction CNIL de 500 000 euros

Sanction non-rétroactive mais manquement continu

Le principe de non-rétroactivité de la
sanction pénale interdit en principe de voir appliquer le Règlement pour
sanctionner les manquements instantanés intervenus avant son entrée en vigueur.
Toutefois, les manquements relevés dans la mise en demeure étaient des
manquements continus, lesquels se définissent par une action (ou une omission)
s’étendant sur une certaine durée, au sens dans la jurisprudence de la Cour
européenne des droits de l’homme (Cour européenne des droits de l’Homme, grande
ch., aff. Rohlena c/ Rép. Tchèque, req. 59552/08, paragraphe 28). Ces manquements
ont perduré au moins jusqu’à la notification du rapport de sanction, soit
postérieurement à l’entrée en application du RGPD, faute pour la société
d’avoir démontré une mise en conformité. Dans l’hypothèse de manquements
continus, il convient de tenir compte de la loi applicable lors du dernier état
du manquement (CE 9/10, 5 nov. 2014, Sté UBS France SA, n^o371585,
point 24). En conséquence, la CNIL a considéré que le RGPD était applicable aux
faits de l’espèce et que les manquements devaient donc être appréciés au regard
de ce texte.

Sous-traitance téléphonique au Maghreb

La prospection commerciale téléphonique de
la société était réalisée par plusieurs centres d’appels agissant en qualité de
sous-traitants et étant situés, pour la plupart d’entre eux, en Afrique du Nord.
Ayant obtenu copie d’enregistrements des conversations intervenues entre des
téléopérateurs et des prospects, la délégation a constaté que, dans un nombre
conséquent de conversations, les personnes n’étaient pas informées de
l’enregistrement de l’appel. Lorsque les personnes étaient averties de
l’enregistrement, aucune autre information relative à la protection des données
personnelles n’était communiquée.

Information sur la collecte de données

Il ressortait des enregistrements
téléphoniques que les personnes qui font l’objet de prospection téléphonique ne
sont soit destinataires d’aucune information relative à l’enregistrement de
l’appel soit sont simplement informées de l’enregistrement de la conversation
sans qu’aucune autre information ne leur soit communiquée quant au traitement
de leurs données à caractère personnel, telle que la finalité du traitement,
l’identité du responsable de traitement ou les droits dont elles disposent. Une
information, même sommaire, devait être communiquéeau consommateur par
l’intermédiaire du service vocal ou du téléopérateur, en lui offrant la
possibilité d’obtenir communication d’une information complète soit grâce à
l’activation d’une touche sur son clavier téléphonique, soit par l’envoi d’un
courriel par exemple.

Annotations illicites

Des termes injurieux et relatifs à l’état
de santé des personnes ont été relevés dans le logiciel de traitement des
appels de prospection. Par leur nature même, les commentaires injurieux sont
inadéquats au regard de la finalité pour laquelle les données sont traitées et rien
ne justifie la présence de données relatives à la santé des personnes dans le
logiciel de gestion des clients et prospects (manquement à l’article 5-1-c) du
RGPD). Le responsable de traitement doit mettre en place un système contraignant
lui permettant de s’assurer que les comportements constatés ne sont pas
réitérés par ses préposés, soit en empêchant automatiquement l’enregistrement
de certains termes dès la saisie, soit en effectuant une revue automatisée
quotidienne des commentaires enregistrés.

Droit d’opposition inefficient

Il revenait également à la société de
mettre en place un mécanisme permettant une prise en compte effective du droit
d’opposition exprimé par les personnes faisant l’objet de prospection
téléphonique. Elle devait, à ce titre, être en mesure de s’assurer que l’opposition
exprimée par les intéressés était respectée et que les personnes ayant faire
part de leur opposition ne reçoivent plus d’appels de prospection de la part de
ses sous-traitants. L’opposition exprimée par les personnes démarchées restait
vaine : lorsqu’elle était exprimée auprès du siège de l’entreprise, les
sous-traitants n’en étaient pas informés et poursuivaient les opérations de
prospection. Rien n’était mis en place pour automatiser le processus et en
assurer la fiabilité, par exemple en prévoyant que chaque numéro appelé par un
téléopérateur soit automatiquement et préalablement comparé à cette liste
d’opposition pour empêcher l’appel.

Transfert de données hors UE sans garanties adéquates

La société effectuait, au jour du
contrôle, un transfert de données vers des États considérés comme n’assurant
pas un niveau de protection adéquat au regard de l’article 45 du RGPD (Côte
d’Ivoire, Maroc, Tunisie) à travers son logiciel. Compte tenu de l’absence
d’adéquation, il appartenait à la société de prévoir des garanties appropriées,
conformément aux dispositions de l’article 46 du RGPD. Or, aucun contrat signé
prévoyant ces garanties n’a été conclu avec ses sous-traitants.

Manque de coopération avec la CNIL

La CNIL a enfin retenu le manquement relatif à l’absence de coopération avec ses services.  Au-delà d’une simple méconnaissance des règles relatives à la protection des données, l’absence de réponse aux demandes formulées par les services de la CNIL et à la mise en demeure adressée, comme l’absence de prise en compte de ces demandes avant la notification d’un rapport de sanction, suffisaient à démontrer, sinon la volonté clairement exprimée de ne pas donner suite aux sollicitations de la CNIL, à tout le moins un désintérêt flagrant pour ces sujets. Téléchargez la décision