La CNIL a infligé une amende de 20 000 euros à la société NESTOR pour prospection commerciale non conforme. En effet, NESTOR a envoyé 653 033 emails sans obtenir le consentement préalable des destinataires, violant ainsi le principe de l’opt-in. De plus, la société a manqué à ses obligations d’information et de sécurité des données, ne fournissant pas les informations requises par le RGPD lors de la collecte des données. La CNIL a également exigé la suppression des données collectées sans consentement, soulignant l’importance du respect des droits des personnes dans le cadre de la prospection par email.. Consulter la source documentaire.

Quelle sanction a été prononcée contre la société NESTOR par la CNIL ?

La CNIL a prononcé une sanction de 20 000 euros à l’encontre de la société NESTOR, qui est spécialisée dans la préparation et la livraison de repas pour les employés de bureaux. Cette sanction fait suite à des manquements aux obligations du RGPD, notamment en matière de prospection commerciale par email.

Cette décision de la CNIL souligne l’importance du respect des règles de protection des données personnelles, en particulier le principe de l’opt-in, qui exige le consentement préalable des personnes avant toute opération de prospection. La société NESTOR a été reconnue coupable d’avoir envoyé des emails non sollicités à un grand nombre de prospects sans leur consentement.

Quels manquements ont été relevés concernant la collecte de données par NESTOR ?

NESTOR a manqué à son obligation de recueillir le consentement des personnes avant d’envoyer des courriels de prospection. Depuis 2017, 653 033 prospects ont reçu des messages électroniques sans avoir donné leur accord. Ces personnes avaient créé un compte sur le site ou l’application de NESTOR sans avoir passé commande, ou leurs données avaient été collectées sur Internet.

Selon l’article L. 34-5 du Code des postes et des communications électroniques, les opérations de prospection commerciale nécessitent le consentement préalable des personnes concernées. En l’absence de ce consentement, NESTOR a enfreint ses obligations légales, ce qui a conduit à l’injonction de la CNIL pour justifier la suppression de toutes les données personnelles collectées sans consentement.

Quelles obligations d’information NESTOR n’a-t-elle pas respectées ?

NESTOR a également manqué à son obligation d’informer les personnes sur la collecte de leurs données personnelles, comme l’exige le RGPD dans ses articles 12 et 13. Le formulaire de collecte des données sur le site web de la société ne contenait pas toutes les informations requises par la réglementation.

De plus, il ne renvoyait pas vers une page dédiée contenant les informations manquantes. La politique de confidentialité des données sur le site était jugée incomplète, trop générale et imprécise. Aucune information sur la protection des données personnelles n’était fournie aux utilisateurs créant un compte sur l’application mobile, ce qui constitue une violation supplémentaire des droits des personnes.

Comment NESTOR a-t-elle manqué à l’obligation de droit d’accès des personnes ?

La société NESTOR a également failli à son obligation de fournir une copie des données personnelles qu’elle détenait, comme le stipule l’article 15 du RGPD. Deux personnes ayant sollicité cette information n’ont reçu qu’une réponse partielle à leurs demandes, ce qui constitue un manquement grave aux droits des individus.

Le droit d’accès est un droit fondamental pour les personnes concernées, leur permettant de savoir quelles données les concernent et comment elles sont utilisées. En ne respectant pas cette obligation, NESTOR a non seulement enfreint la loi, mais a également compromis la confiance des utilisateurs envers sa gestion des données personnelles.

Quelles mesures de sécurité NESTOR n’a-t-elle pas mises en place ?

NESTOR a également été critiquée pour ne pas avoir assuré la sécurité des données personnelles, en violation de l’article 32 du RGPD. En particulier, la société n’imposait pas l’utilisation d’un mot de passe robuste lors de la création d’un compte sur son site web ou son application mobile.

L’absence de mesures de sécurité adéquates expose les données personnelles à des risques de violation et de piratage. La mise en place de mots de passe robustes est une mesure essentielle pour protéger les informations sensibles des utilisateurs et garantir la conformité avec les exigences de sécurité des données.