Une société éditrice de magazines périodiques et de sites internet a été contrôlée par les agents de la CNIL postérieurement à une mise en demeure. Ce contrôle sur place avait pour objet de vérifier que le responsable de traitement avait effectivement exécuté son engagement de mise en conformité à loi « Informatique et Libertés » dans le cadre de la gestion de son fichier clients et prospects.
A l’issue de ce contrôle et sur la base du rapport d’instruction, la section contentieuse de la CNIL a constaté la persistance de différents manquements à la loi, ce qui lui donne l’occasion de préciser le contenu des règles applicables aux opérations de prospection commerciale par courrier électronique.
Dans sa délibération du 13 octobre 2014, la CNIL constate en premier lieu que les mentions d’opt-in figurant sur les formulaires d’inscription pour recueillir le consentement des personnes à recevoir les newsletters des différentes marques détenues par le responsable de traitement n’étaient pas suffisamment claires et complètes. Rappelons à ce titre que l’article L.34-5 du Code des postes et communications électroniques interdit la prospection commerciale par email auprès des utilisateurs ou abonnés n’ayant pas exprimé préalablement leur consentement à recevoir des prospections directes par ce moyen. Cet article définit le consentement comme « toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe ».
La délégation de contrôle de la CNIL avait constaté que les formulaires proposés sur les sites internet de certaines marques de la société éditrice ne permettaient pas aux internautes de choisir les lettres d’information auxquelles ils souhaitaient souscrire dès lors qu’ils comportaient uniquement la mention suivante « oui, je souhaite recevoir les newsletters du groupe ». Selon la CNIL « cette formulation a pour effet de rendre incomplète l’information de la personne quant à la portée de son consentement, celle-ci ne sachant pas spécifiquement à combien et à quelles lettres d’information elle s’inscrit. Il en résulte que la personne concernée par la collecte de données à caractère personnel n’est pas en mesure de manifester une « volonté libre, spécifique et informée » ».
De surcroît, elle relève que les mentions d’information relatives à l’identité du responsable de traitement, à la finalité du traitement et aux droits dont disposent les personnes concernées à cet égard, telles qu’elles doivent figurer sur les formulaires de collecte de données personnelles en application de la loi « Informatique et Libertés », étaient inexistantes ou partielles.
S’agissant de la durée de conservation des données relatives aux prospects, la CNIL a constaté que l’anonymisation des données relatives aux personnes ayant consenti à recevoir des courriers ou des lettres d’information intervenait à l’expiration d’un délai de 760 jours d’inactivité, le point de départ de ce délai débutant à l’ouverture d’un courriel ou au clic effectué par l’internaute sur un lien proposé dans le courriel. Or, en référence à la Norme Simplifiée n°48 concernant les traitements relatifs à la gestion des clients et prospects, la CNIL rappelle que « les données des prospects ne peuvent être conservées que pendant un délai de trois ans à compter de leur collecte par le responsable du traitement ou du dernier contact émanant du prospect (demande de document par exemple) ».
Sur la base de cette règle, la CNIL estime en l’espèce que « l’ouverture d’un courriel ou le clic sur un lien proposé dans un courriel par le prospect n’est pas de nature à constituer un contact au sens de la norme simplifiée n°48, qui suppose une interaction avec la société ». Elle conclut donc que la période de conservation de ces données par le responsable de traitement est excessive.
Il est de plus relevé que les personnes s’étant désabonnées en ligne de toutes sollicitations commerciales de la société ou ayant exercé par écrit leur droit d’opposition en envoyant un courriel au Correspondant Informatique et Libertés de la société, continuaient néanmoins à recevoir des emails marketing. La CNIL rappelle à ce titre qu’une société peut être pénalement sanctionnée d’une amende de 1.500.000 euros lorsqu’elle procède au traitement des données personnelles d’un individu malgré l’opposition de ce dernier (article 226-18-1 du code pénal).
La CNIL retient enfin des défaillances en matière de sécurité et rappelle qu’il incombe au responsable de traitement, d’une part, de stipuler dans le contrat le liant à ses prestataires une clause spécifique précisant les obligations de ce dernier en matière de confidentialité et, d’autre part, de s’assurer de la mise en œuvre effective en interne d’un protocole sécurisé d’échange de données.
Cette délibération présente l’intérêt d’énumérer dans le détail les écueils à éviter par les responsables de traitement lorsqu’ils collectent des données personnelles à des fins de prospection commerciale et rappelle la nécessité de fournir systématiquement aux personnes concernées une information suffisante et complète sur le traitement mis en œuvre.
Compte tenu de la taille de l’organisme en cause dans cette procédure et du nombre de personnes concernées par ces traitements, la CNIL a décidé de rendre publique sa mise en demeure. Cette publication a pour double objectif d’informer largement les personnes des droits dont elles disposent en vertu de la loi « Informatique et Libertés » et de sensibiliser l’ensemble des responsables de traitement à la nécessité de respecter leurs obligations légales, notamment en matière de recueil du consentement et de droit d’opposition. La société dispose d’un délai d’un mois pour se mettre en conformité.
Sabine DELOGES
Téléchargez cet article au format .pdf
Confirmation en appel du statut d’éditeur d’un site de vente aux enchères et de parking de noms de domaine