Une société de voyance en ligne a été condamnée à une amende de 120 000 euros par la CNIL pour plusieurs violations du RGPD. Parmi les manquements, on note l’enregistrement systématique des appels sans justification, la conservation des données bancaires sans consentement, et la collecte de données sensibles sans autorisation préalable. De plus, la société n’a pas sécurisé correctement les données, exposant ainsi les informations à des risques de fuite. Enfin, elle a omis de notifier une violation de données, malgré une alerte d’un journaliste, et a initialement négligé les obligations liées aux cookies.. Consulter la source documentaire.

Quels sont les manquements de la société de voyance en ligne selon la CNIL ?

La CNIL a sanctionné la société de voyance en ligne pour plusieurs manquements au Règlement Général sur la Protection des Données (RGPD). Parmi ces manquements, on trouve l’enregistrement systématique des appels téléphoniques, la collecte de données sensibles telles que celles relatives à la santé et à l’orientation sexuelle, ainsi que la conservation des données bancaires sans consentement préalable.

De plus, la société n’a pas respecté l’obligation de notifier les violations de données à la CNIL et a enfreint les règles concernant l’utilisation des cookies. Ces infractions ont conduit à une amende de 120 000 euros, soulignant l’importance de la conformité au RGPD pour toutes les entreprises traitant des données personnelles.

Pourquoi la société a-t-elle enregistré systématiquement les appels téléphoniques ?

La société a justifié l’enregistrement systématique des appels téléphoniques par des raisons de contrôle de la qualité du service, de preuve de la souscription des contrats, et pour se préparer à d’éventuelles réquisitions judiciaires. Cependant, la CNIL a noté qu’il n’y avait pas de justification suffisante pour cette pratique, surtout en ce qui concerne la nécessité d’enregistrer l’intégralité des conversations.

Bien que la société ait cessé ces enregistrements, elle n’a pas fourni d’explications concernant la nécessité de cette pratique dans le passé. Cela soulève des questions sur la minimisation des données, qui est un principe fondamental du RGPD, stipulant que seules les données nécessaires à un objectif spécifique doivent être collectées.

Quel est le problème lié à la conservation des données bancaires ?

La société a conservé les données bancaires de ses clients au-delà du temps nécessaire pour réaliser les transactions, en invoquant des raisons de lutte contre la fraude et de facilitation des achats futurs de consultations. Cependant, la CNIL a souligné que la base légale pour la conservation des données à des fins de lutte contre la fraude ne s’applique pas à la conservation pour des achats ultérieurs.

Pour cette dernière utilisation, la société aurait dû obtenir le consentement explicite des clients. Cela met en lumière l’importance de respecter les principes de base du RGPD, notamment le consentement éclairé et la limitation de la durée de conservation des données.

Comment la société a-t-elle manqué à l’obligation de recueillir le consentement pour les données sensibles ?

Lors des consultations, les clients pouvaient partager des informations sensibles concernant leur état de santé et leur orientation sexuelle. La CNIL a noté que la société n’avait pas recueilli le consentement préalable et explicite des clients pour le traitement de ces données sensibles.

La simple volonté des clients de recevoir des prestations de voyance et de partager des informations personnelles ne constitue pas un consentement explicite. La société aurait également dû fournir des informations claires et spécifiques sur la collecte et le traitement de ces données sensibles, ce qui est essentiel pour garantir la transparence et le respect des droits des individus.

Quelles mesures de sécurité la société a-t-elle négligées ?

La société a été critiquée pour avoir mis en place des mots de passe insuffisamment robustes pour les comptes utilisateurs et pour ne pas avoir sécurisé son site web en utilisant le protocole HTTPS, ce qui expose les données à des risques d’attaques informatiques.

De plus, le mécanisme de chiffrement utilisé pour protéger les données bancaires présentait des vulnérabilités. Ces manquements à l’obligation de sécurité des données sont préoccupants, car ils compromettent la protection des informations personnelles des clients et vont à l’encontre des exigences du RGPD en matière de sécurité des données.

Pourquoi la société n’a-t-elle pas notifié la violation de données à la CNIL ?

La société a été informée d’une fuite de données par un journaliste, mais elle n’a pas notifié cette violation à la CNIL. Elle a justifié son inaction en affirmant qu’elle ne pouvait pas constater la violation en raison de la fermeture de son serveur et de l’absence de conservation des journaux de connexion par son sous-traitant.

Cependant, la CNIL a souligné que la société aurait pu identifier la violation en comparant l’échantillon de données fourni par le journaliste à sa propre base de données. En tant que responsable du traitement, la société avait l’obligation de notifier toute violation de données, même si celle-ci était due à une erreur de son sous-traitant.

Quels manquements ont été constatés concernant l’utilisation des cookies ?

La CNIL a constaté que la société ne respectait pas les règles relatives aux cookies, notamment l’absence d’un bandeau d’information sur leur utilisation. De plus, trois cookies ont été déposés sur le terminal des utilisateurs sans leur consentement dès leur arrivée sur le site.

Bien que la société ait par la suite mis en place un bandeau d’information, celui-ci ne permettait pas de refuser le dépôt de cookies aussi facilement que de les accepter. Ce manquement souligne l’importance de respecter les droits des utilisateurs en matière de consentement et d’information, conformément aux exigences du RGPD.