Sanction de 500 000€ ordonnée par la CNIL contre Futura internationale

Par sa délibération du 21/11/19, prononçant une sanction à l’encontre de la société « Futura internationale », la formation restreinte de la CNIL invite les acteurs de la prospection par téléphone à réviser d’urgence leurs pratiques et mode opératoire pour respecter le RGPD : mode d’emploi

1)Propos Introductifs :

 La CNIL a par délibération N° SAN-2019-010 du 21/11/19 prononcé une sanction de 500 000 € à l’encontre de la société « Futura internationale » à raison de plusieurs manquements aux droits des personnes sollicitées dans le cadre d’une « opération commerciale de démarchage téléphonique ».

L’intérêt de l’étude cette décision va bien au-delà de la publicité liée au montant de la sanction, et se polarise autour de 2 points distincts proposés au lecteur dans le point I de la décision : « Faits et procédure :

• La Cnil y développe les 5 points par lesquels elle fera pendant la procédure d’instruction, et après le contrôle en entreprise, une injonction au responsable de traitement (RT) de rendre sur de nombreuses phases du traitement à « finalité de prospection téléphonique» celui-ci en conformité immédiate au RGPD.

Dans le point II de la décision : « Motifs de la décision » :

• La Cnil examinant la manière dont le RT avait, après l’injonction de mise en conformité réagit en adaptant ses pratiques, va considérer que les améliorations de conformité n’étaient pas qualitativement suffisantes pour protéger les droits des personnes prospectées ce qui justifiera le prononcé d’une sanction par la fixation d’une amende de 500 000 E, et l’organisation d’une publicité.

Cette décision constitue donc pour :

• Les RT par ailleurs « annonceurs de campagnes publicitaires de prospection téléphonique »,
• Le ou les sous-traitants (ST) fournisseurs de logiciels, et de toute autre prestation de services nécessaire à la prospection,

Un excellent cas pratique pour vérifier si les modalités de leurs campagnes de prospections téléphoniques sont conformes au RGPD mais aussi à d’autres normes comme par exemple les principes « d’Ethique by Design » des technologies employées.

2)Les faits : brève présentation du contexte :

2-1) La société Responsable de traitement :

La société « Futura Internationale » a pour activité l’installation d’équipements d’isolation, de pompes à chaleur et d’ouvrants.

Pour le développement de son activité elle avait l’habitude de recourir à des campagnes de prospection téléphonique exécutées par plusieurs centres d’appels (sous-traitants) pour la plupart domiciliés en Afrique du Nord.

Ce responsable de traitement, gérait et administrait son fichier clients, avec un logiciel fourni par une entreprise extérieure.

Tel que paramétré le logiciel ne faisait pas de distinctions entre les différentes catégories de « données personnelles » soit :

• Données personnelles clients, personnes prospectées, filleuls des parrainages, personnes opposantes à la prospection.

Les sous-traitants « téléopérateurs » bénéficiaient d’un accès au contenu de la base de données « fichier clientèle », moyen du traitement mis à leur disposition avec les instructions suivantes :

        En fonction des campagnes désignation du/ou des départements à cibler,

        Les personnes géographiquement concernées par le ciblage initial pouvant être appelées par le téléopérateur :

 Ou par référence à la base de données clients, 

Ou par consultation de l’annuaire universel,

 La collecte des données personnelles commençait au premier appel qui entraînait les conséquences suivantes :  

• Si manifestation d’intérêt pour le produit la personne appelée pouvait être mise directement en contact avec un salarié du responsable de traitement,
• Ou rappelée ultérieurement pour laisser au RT le temps de vérifier si la personne pouvait être admise au « certificat d’économie d’énergie / isolation à 1 euro»,
• Des appels de prospections pouvant également concerner sur le département ciblé des personnes désignées à l’occasion d’un « parrainage » par des clients de la société ayant indiqué leurs coordonnées.

Les téléopérateurs (ST) au fur et à mesure de l’exécution de la campagne de ciblage rendaient compte au RT par un accès à la base de données clients où il pouvait notamment enregistrer :

        Des commentaires sur les clients contactés à destination des salariés du RT.

Premier point fâcheux, la CNIL découvrira lors de son contrôle que certains commentaires étaient « injurieux » !

2-2) La plainte son contexte :

Une personne excédée par un nouveau démarchage malgré une opposition à la prospection exprimée oralement auprès des opérateurs téléphoniques, et confirmée par un courrier adressé au siège du responsable de traitement déposera une plainte auprès de la CNIL en février 2018, donc avant la mise en application obligatoire du RGPD.

Le contrôle de la CNIL se déroulera avant le mois de mai 2018, mais nécessitera des demandes de « mise en conformité immédiate » mesures dont l’exécution et le contrôle porteront la finalisation de l’instruction de la plainte postérieurement au 25 mai 2018, puisque la CNIL va statuer en Novembre 2019.

 Ceci permet à la CNIL de rappeler comment se règlent les problématiques de l’application dans le temps du RGPD, pour des traitements en cours.

Pour mémoire les dates essentielles dans cette affaire :

1. Plainte initiale : 06/02/18,
2. Premier contrôle sur place par la CNIL : 20/03/18,
3. Mise en œuvre obligatoire du RGPD : 25 mai 2018,
4. Première mise en demeure pour 5 points à mettre en conformité immédiate au RGPD : 27/9/18
5. Décision de sanction: le 21/11/2019

3)La procédure de mise en demeure le 27/09/18 :

Sur les 5 points énumérés ci-dessous la CNIL après son contrôle sur place du 20/03/18 demandait une modification des processus de traitement avec un effet immédiat et une obligation de justifier de l’état des mises en conformité :

3-1) Demande de l’organisation du respect du principe de minimisation de la collecte des données prévues par l’article 5 § 1 © par la suppression de l’enregistrement direct dans la « base de données clients » des commentaires « injurieux » et « excessifs »,

3-2) Demande de la justification des raisons pour lesquelles le RT n’avait pas répondu complètement et/ou communiqué à la CNIL l’ensemble des documents demandés lors de l’enquête contradictoire plusieurs mois après celle-ci,

3-3) Demande d’un nouveau processus d’information à destination des personnes concernées par la collecte directe de leurs données conforme aux dispositions conjointes des articles 12,13 du RGPD.

3-4) Demande similaire au point 3-3 pour l’information des personnes concernées par une collecte indirecte de leurs données : (Cas des parrainages ; articles 12 et 14 du RGPD)

3-5) Demande pour rendre effectif le droit à l’opposition des personnes souhaitant s’opposer à la prospection commerciale dans les conditions de l’article 21-2 du RGPD.

4) Quels enseignements pour les acteurs de l’écosystème de la prospection téléphonique suite à la sanction du 21/11/2019 :

4-1) La notion de « manquement continu » critère de l’application de la Loi Informatique et Libertés complétée par le RGPD dans le temps :

Si effectivement le principe de non rétroactivité de la sanction pénale interdit de voir appliquer le RGPD pour sanctionner les manquements instantanés intervenus avant son entrée en vigueur, par contre les points de non-conformité des pratiques de prospection téléphonique initiées avant le 25 mai 2018 avaient perdurés dans leurs effets après l’entrée en vigueur du règlement, sur une certaine durée.

 La CNIL a donc caractérisé un « manquement continu », selon la définition de jurisprudence de la Cour Européenne des Droits de l’Homme (CEDH) soit :

Action ou une omission s’étendant sur une certaine durée : CEDH affaire Rohlena C/ Rep.Tchèque, req 59 552/08, § 28

Dans l’hypothèse de « manquements continus », s’applique la loi en cours lors du dernier manquement. (Décision CE 9/10, 5 nov. 2014, Sté UBS France SA, n° 371585, point 24)

Donc tous les manquements constatés avant la mise en œuvre du règlement, ayant perdurés après le 25 mai 2018 ; et jusqu’au jour de la clôture de l’instruction ; la CNIL ayant considéré que les améliorations effectuées sur injonction  pour les 5 phases du traitement visées ci-dessus n’étaient pas satisfactoires pour assurer une totale effectivité des droits et garanties des personnes concernées.

 Donc l’ensemble du litige pouvait être résolu par référence au RGPD.

4-2) Sur le manquement à l’obligation d’une minimisation des données collectées ne respectant pas le principe d’adéquation, de pertinence et de limitation du traitement (article 5-1-C du RGPD) :

4-2-a) L’occasion ratée de débattre contradictoirement avec la CNIL sur la définition de la « donnée de santé » :

Lors du contrôle sur place les représentants de la CNIL constatent que les comptes-rendus des téléopérateurs renseignaient des commentaires « injurieux » avec des mentions sur « l’état de santé des personnes prospectées », la CNIL les a considérés comme inadéquats et non pertinents par rapport à la finalité pour laquelle les données étaient traitées.

Avoir laissé sans surveillance une inscription de commentaire injurieux dans le fichier client ne pouvait qu’être reproché.

Par contre, on relève dans la décision la formulation suivante :

        « Le caractère excessif de ces données n’est pas remis en cause par la société. »

S’en découle a priori que le RT n’a pu donner aucune explication sur la collecte de données de santé, cela est dommage car effectivement la « donnée de santé » est visé par l’article 9 § 1 du RGPD qui soumet leur collecte et traitement à des conditions de légalité très strictes.

Or la « catégorie » de la donnée de santé n’est pas définie dans l’article 9 précité et même le Considérant 35 du RGPD reste finalement assez flou pour tenter une catégorisation puisque :

La donnée de santé se définit « à priori » sous le triple prisme suivant :

1. D’abord elle concerne une information médicale portant sur l’état de santé physique ou mental présent et futur de la personne concernée,
2. Ensuite le contexte de la collecte intervient pour la catégorisation de données de santé puisque c’est la « donnée » ou « information » inscrite pour bénéficier de « services de soins de santé », ou lors de la prestation de ces services de soins,
3. Enfin la « donnée de santé » doit provenir c’est-à-dire être détenue et/ou transmise par un médecin, ou autres professionnels de santé, en ce compris un hôpital ou un dispositif médical.

Dans ce contexte qu’elle est la différence avec une « donnée de bien-être » collectée en dehors du triple prisme énuméré ci-dessus, même si pourtant elle révèle une information sur la santé d’un individu (battement de cœur, poids, groupe sanguin, heures de sommeil etc.) lorsqu’elle est collectée notamment par un objet connecté de loisir (montre connectée ; smartphone !!).

Il est donc dommage que le responsable de traitement n’ait pas pu s’exprimer sur ce point, permettant à la CNIL de « discuter » sa position sur la « donnée de santé », car notamment s’agissant pour la société de vendre des produits touchant à la réhabilitation de l’habitat pour garantir chaleur et/ou ventilation ; par rapport à la finalité première de la prospection pour la vente, puisque ces produits tendaient à l’amélioration du confort de l’habitat :

• Aurait-il pu être concevable que la CNIL accepte la sous- finalité de l’amélioration du « bien-être » des personnes pour leur garantir de rester en bonne santé lors des hivers rigoureux et/ou de vérifier par exemple l’absence de risque allergique par rapport à la climatisation ?

Occasion remise pour une autre affaire pour sortir s’agissant de la frontière entre « données de santé » et « données de bien être » de ce « cluster de définition » réservant collecte et traitement au système et intervenant de santé au sens large !!!

4-2-b) La sanction à 2 niveaux par la CNIL de l’inscription de commentaires injurieux à l’occasion d’une collecte de données personnelles :

Premier niveau de reproche : L’absence d’un processus de purge automatisé du contenu de la base client dans la rubrique des commentaires :

Dans le cadre de son injonction de conformité, le RT avait été mis en demeure de supprimer « immédiatement » les informations injurieuses enregistrées dans le logiciel client.

Le responsable de traitement avait respecté ses obligations et en avait justifié auprès de la CNIL.

Pour autant celle-ci lui reprochera néanmoins le « manquement continu » à une collecte inadéquate pour ne pas avoir recherché comment éviter pour l’avenir que la situation ne se reproduise, la purge des « commentaires passés » n’étant pas suffisante.

Second  niveau de reproche :  L’absence de propositions innovantes pour sécuriser pour l’avenir l’impossibilité de pouvoir réinscrire des commentaires inadéquats et non pertinents au sens du principe de la collecte minimale de l’article 5§1 c du RGPD :

En effet pour la CNIL, la mise en conformité ne pouvait se limiter aux mesures urgentes imposées dans le cadre de l’injonction, et elle sanctionne le défaut de propositions innovantes par le « Responsable de Traitement ».

        Suggestions d’action par la CNIL :

• Une fonction automatique empêchant l’enregistrement de certains termes de la saisie,
• Que cette mesure préventive soit doublée d’un contrôle a posteriori par une revue automatisée au moins quotidienne des commentaires enregistrés.

Pour aller plus loin et réfléchir :

La suggestion « alternative » par la CNIL de « mesures minimales » manquantes dans la situation examinée, n’exclut pas d’autres démarches complémentaires car :

• même si le logiciel de gestion de la base de données, peut-être paramétré par des mots-clés pour éradiquer certaines expressions , ici les avis injurieux et les données de santé, le responsable de traitement qui se livre à des campagnes de prospection téléphonique d’envergure pourra donc réfléchir à implémenter son logiciel d’un algorithme « apprenant » qui puisse détecter par une politique de score la probabilité des commentaires injurieux voir même « haineux » avec un baromètre indiquant le score de gravité des contenus non pertinents.

• Et ce scoring de contrôle de mots-clés non pertinents et non adéquats pourrait bien sûr être ouvert à l’éradication par des alertes spécifiques de toute donnée ne correspondant pas à la finalité.

Une veille juridique sur le contenu des contrats de fourniture de logiciel :

Si le § 1 de l’article 24 du RGPD confirme qu’il appartient au RT de s’assurer de sa propre responsabilité pour réfléchir à la conformité générale et contextuelle du traitement, il s’agit ici d’une « responsabilité première ».

Mais le RT doit pouvoir bénéficier de l’aide active du sous-traitant (ST) qui en application de l’article 28 du RGPD doit justifier dans la mise en œuvre de ses propres obligations qu’il a veillé à prendre et à préconiser les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse ainsi la protection des droits des personnes concernées.

Donc le fournisseur du logiciel, doit en fonction du contexte de l’utilisation « collaborer activement » à une adaptation au cas par cas en proposant si nécessaire des solutions que le RT peut en toute bonne foi ne pas avoir anticipé.

Car de fait à chacun les compétences de son métier, et s’agissant des obligations du « sous-traitant » fournisseur du logiciel, le Droit de la robotique s’applique aux traitements automatisés embarquant un logiciel, et cette « Technologie » doit répondre à des normes de fonctionnement précises parmi lesquelles des « normes éthiques ».

À ce titre le groupe de la Commission Européenne sur « l’Ethique dans les sciences et les nouvelles technologies » a publié le 09/03/18 les « Principes éthiques issus de la déclaration sur l’IA, la robotique et les systèmes autonomes » (EGE).

Ces principes déclinent différentes normes qui doivent être prises en compte dans les écritures des programmes (ici le programme logiciel de la base client), en respectant divers principes en ce compris la protection des données de la vie privée, interprétée très largement dans le contexte où dans ce corpus éthique figure notamment les principes de « bienfaisance » et de « non malfaisance » des technologies.

S’en déduit que les contentieux entre « Responsables de traitement » (RT) et « Sous-traitants » (ST) pour défaut d’adaptation des conditions contractuelles pour la mise à disposition et fournitures de technologies « Ethique By Design » et « compliantes RGPD » sont à venir.

Donc les RT doivent penser au contrôle de leur contrat de suite traitance concernant les fonctionnalités logicielles de l’écriture par exemple de leur base client, et d’une manière générale de toute base de données.

 4-3) Sur le manquement à l’obligation de procéder à l’information des personnes concernées par la prospection :

La non-conformité du traitement des données personnelles a été constatée par la CNIL sur 2 points importants.

4-3-a) Sur l’absence d’information sur des points essentiels tenant au contexte de la collecte :

De nombreux téléopérateurs étaient domiciliés en dehors de l’union européenne ; pays du Maghreb en l’occurrence ;

Lors de la prise de contact téléphonique le seul renseignement à valeur informative donné à la personne prospectée concernait la mention que l’appel téléphonique pouvait être enregistré.

La CNIL va considérer que les dispositions des articles 12 et 13 du RGPD pour la collecte directe :

 N’étaient pas respectées et va délivrer une injonction au responsable de traitement pour adapter « immédiatement » ses mentions d’information en fixant dans sa mise en demeure la granularité de l’information minimale à fournir d’urgence :

1. Identité du responsable de traitement,
2. Finalité poursuivie par le traitement,
3. Rappel du droit des personnes, spécifiquement au cas précis par l’indication expresse que le transfert de leurs données vers un État non membre de l’union européenne.

 Concernant le transfert des données personnelles hors de l’union européenne (Pays tiers) la CNIL va imposer que cette mention essentielle figure en termes clairs et explicites sur le site de l’entreprise.

        4.Mention pour les durées de conservation des catégories de données traitées, ou des critères utilisés permettant de déterminer ses durées.

Pour le manquement au respect de l’information à délivrer pour la collecte indirecte article 14 du RGPD :

Le contexte de la collecte indirecte visait ici la prospection des « filleuls ».

 Les mêmes informations que pour la collecte directe notamment sur le transfert des données personnelles en dehors de l’union européenne devait être fournie aux filleuls :

Au plus tard lors de la première communication, (1^Er mail et/ou appel de prise de contact) en renvoyant pour une information plus complète a consulter un notice dédiée sur le site de l’entreprise.

4-3-b) un « enseignement important » pour les acteurs de la prospection téléphonique : quel est le bon support d’une information conforme au RGPD ? 

Dans le cadre de sa mise en conformité en attente de la décision définitive de la CNIL, le RT avait fait le choix de l’envoi d’un courriel automatique à la personne après l’appel du téléopérateur.

La CNIL va considérer que la délivrance de l’information restait non conforme puisque :

L’article 13 § 1 du RGPD précise que sa délivrance doit intervenir « au moment de la collecte »., ce qui implique sa concomitance à la collecte :

La CNIL souligne, pour le regretter, dans la décision de sanction que la mise en conformité a minima aurait dû prévoir :

La délivrance d’une information de premier niveau au minimum :

• Ou par l’intermédiaire d’un service vocal,
• Ou par le téléopérateur directement,

Avec en complément une démarche qualité de 2^e niveau :

• Activation d’une touche téléphonique, pour une information plus complète
• L’envoi ensuite d’un courriel récapitulatif d’information étant recommandé

Pour aller plus loin et réfléchir :

Beaucoup de prospections téléphoniques sont déléguées à des sous-traitants domiciliés hors UE (pays tiers), il convient de ne jamais oublier de veiller à ce que ce pays tiers :

        Assure un niveau de protection adéquat, auquel cas le transfert ne nécessite pas d’autorisation spécifique (article 45 du RGPD)

        Par application de l’article 46 du RGPD, en l’absence de décision d’adéquation du pays tiers, le RT et/ou le ST ne peuvent transférer des données à caractère personnel que si :

• le responsable de traitement a prévu des garanties appropriées,
• et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

 Parmi ces garanties figurent notamment :

• Des règles d’entreprise contraignante conformément à l’article 47 (BCR),
• L’insertion de clauses type de protection des données adoptées par la commission et/ou une autorité de contrôle,
• Le respect d’un code de conduite approuvée selon une procédure spécifique

Toutes ces diligences doivent être contractualisées entre « responsable de traitement », « cotraitant », « sous-traitants » ,et le montant de la sanction prononcée à l’encontre de la société « Futura internationale » pour cette absence de précautions et vérification préalable doit amener les responsables de traitement à réfléchir aux risques encourus en l’absence de signature de clauses contractuelles préalables, précision faite qu’au sens du RGPD un traitement au sens de l’article 4 du RGPD recouvre de multiple variante de la « lecture » et peut donc recouvrir :

• Enregistrement,
• Organisation,
• Extraction,
• Consultation,

Donc beaucoup d’actes à priori « anodins » peuvent à l’occasion d’un « transfert de flux de données » « déborder » vers un pays tiers !!

 Tout ceci nécessite en tout état de cause une grande prudence, et donc une très grande attention à la rédaction des contrats avec un soin particulier à la relecture des clauses dite « RGPD » dont le lecteur voudra bien admettre que celles-ci doivent être rédigées et relues par un spécialiste du droit de la donnée !!!!, à adjoindre si nécessaire au rédacteur de l’acte.

Ou Il apparaît qu’un traitement de prospection commerciale téléphonique simple et banal en apparence se révèle devoir être appréhendé comme le navigateur face à un « Iceberg » : l’essentiel de l’obstacle est en dessous du niveau des glaces.

 Et donc l’on découvre qu’en « Prospection téléphonique » l’essentiel de « l’Iceberg » c’est le « Design » !!

Les fournisseurs de design doivent réfléchir et conseiller le responsable de traitement pour que le traitement réalisé grâce à leur technologie au cas d’espèce par l’interactionentre matériel de télécommunication et enregistrement dans le fichier client de la traçabilité de l’information loyale complète et concomitante à la collecte de la personne concernée.

D’où l’utilité de la part du RT de rédiger avec soin et attention un « brief annonceur ou brief agence », document par lequel il transmettra à sa régie publicitaire les éléments clés de sa campagne de ciblage téléphonique avec la désignation des moyens choisis notamment en « Design ».

Ainsi régie publicitaire, et sous-traitant, en ce compris les fournisseurs de logiciel devront lui prodiguer leurs conseils pour vérifier ensemble la conformité du traitement et que notamment  l’emploi des technologies proposées respectera le RGPD !!!!

(Utilisation de la définition de brief annonceur et brief agence par courte citation issue du site : « Définition marketing.com » rubrique : définition marketing annonceur.)

4-4) Sur la sanction pour le manquement à l’obligation de respecter le droit d’opposition de l’article 21 du RGPD au profit de la personne prospectée :

4-2-a ) le contexte du manquement :

L’article 12 du RGPD dispose que :

        « Le RT facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. »

On rappelle que parmi ces droits figure celui pour la personne de :

« S’opposer à ce que ces données soient traitées à des fins de prospection : article 21 § 2 du RGPD. »

Donc, le RT aurait dû prévoir des mécanismes permettant :

1. Une prise en compte effective du droit d’opposition par les personnes prospectée,
2. En se réservant par ailleurs de pouvoir surveiller que l’opposition exprimée par les intéressés soit respectée avec la garantie de ne plus recevoir d’appel,

Or, l’enquête démontrait qu’aucune démarche n’avait été réalisée en ce sens par le responsable de traitement :

• Directement à son siège par le suivi de sa base client/prospect,

Et/ou

• Par instructions documentées auprès des sous-traitants téléopérateurs.

Ceci rendait donc le « droit d’opposition » ineffectif, d’où d’ailleurs la plainte initiale à l’origine du contrôle.

Le manquement à l’effectivité des droits des personnes se situait donc à 2 niveaux :

Premier niveau de non-conformité :

D’abord, le principe de la mise en œuvre d’une condition effective du droit d’opposition n’avait pas été pensé.

Ensuite la mesure primaire prise par le RT en raison de la procédure d’injonction soit :

Diffuser auprès des centres d’appel de la liste des personnes souhaitant plus être démarchées.

Sera considérée comme insuffisante car :

        1) l’ensemble des sous-traitants téléopérateurs n’avaient pas reçu cette liste,

        2 )Ensuite parce que les renseignements portés sur la liste :

1. Nom,
2. Prénom,
3. Adresse,

 ne permettaient pas une identification suffisante et sans risque d’erreur notamment par rapport aux biais d’homonymie pour  les personnes ayant exprimé leur refus d’être démarchées par téléphone pour leur garantir d’être respectées dans leurs préférences.

3 ) l’élaboration de la « liste des opposants à la prospection » n’avait pas été conçue pour interférer efficacement avec le fonctionnement du logiciel gérant la base donnée clients pour une mise à jour automatisée et pleinement efficace pour faciliter le travail des téléopérateurs, notamment en automatisant :

• La vérification avant chaque appel téléphonique de ce que le numéro ne figurait pas sur la liste d’opposition, avec par ailleurs le paramétrage une fonction permettant d’empêcher l’appel s’il y avait lieu.

La CNIL va donc sanctionner le responsable de traitement, au regard des manquements restant non conforme pour la non protection du droit d’opposition, et fera à nouveau œuvre pédagogique en formulant des recommandations « Ethique by design » pour établir l’automatisation d’un traitement d’opposition pertinent savoir :

1. Organiser la présentation de la liste dans une table avec les attributs spécifiques comportant les noms prénom et numéro de téléphone sans finalité autre notamment d’adresse. (La finalité de la prospection postale n’était pas envisagée dans le traitement autre illustration du principe de la minimisation de la collecte de données)
2. Justification d’un processus de purge automatique du fichier prospection téléphonique d’une personne identifiée comme opposante.

4-4) Propos de conclusion :

L’examen de cette décision révèle qu’un grand désordre a eu lieu a priori dans l’organisation interne du responsable de traitement à l’occasion de ses relations « post-contrôle » avec la CNIL puisque pour la présentation de sa défense lors de l’audience du 21/11/2019 il tentera de minimiser sa responsabilité en faisant état d’un changement de conseil pendant la procédure de mise en conformité alliée à des difficultés pour comprendre une nouvelle législation « récente » !

 Par sa décision précitée du 21/11/219 la réponse de la formation restreinte mérite d’être « méditée » et RT et ST pourront l’inscrire sur un post-it leur tenant lieu de viatique à coller sur leur ordinateur :

        « Est inopérant l’argument que la société tire de la difficulté à appliquer dans un temps très court un cadre juridique nouveau ! »

Enfin pour statuer sur la sanction, notamment le montant de l’amende, la formation restreinte fait un « contrôle de proportionnalité » qui tient compte :

• De la volonté de coopération néanmoins manifestée par le responsable de traitement,
• De sa situation prenant en compte sa « qualité» de PME,

Mais même si ces critères sont pris en compte pour réduire les amendes par rapport au plafond légal, la faute de conformité étant établie et « continue » comme explicité ci-avant, la CNIL confirme par rapport à ses jurisprudences antérieures et notamment les décisions prononcées postérieurement à la mise en œuvre du RGPD que la sanction doit intervenir au regard de la prise en compte de 3 paramètres :

• La situation du responsable de traitement car même s’agissant d’une PME, c’était un acteur majeur dans son secteur, ou elle avait recours de manière institutionnelle à la prospection téléphonique,
• Le secteur économique concerné par l’importance de la problématique examinée, ici la prospection téléphonique, pour attirer l’attention des acteurs de l’écosystème sur une réflexion prospective à avoir pour réviser et adapter les principes fondamentaux applicables au démarchage téléphonique à la lumière de la mise en œuvre du RGPD.
• Et l’ampleur du désagrément pour les personnes concernées d’être systématiquement démarché alors qu’elles ont fait opposition.

Cette décision est donc riche d’enseignements, et le fin mot de l’histoire revient à n’en pas douter au « code » Juridique et/ou Informatique !!!

Ce pour « emprunter » à Lawrence Lessig la célèbre formule « Code is Law» pour souligner que  tout responsable de traitement doit avoir le réflexe de se faire assister par une équipe aux spécialités transversales pour toute activité qui nécessite un traitement de données personnelles parmi lesquels le « Juriste- Design » qui peut aussi être un DPO, voire un DPO externe !

Rédigé à Marseille le :

Véronique RONDEAU Abouly

Avocat au barreau de Marseille et DPO externe.

La rédaction de cet article a été conçue et organisée pour vous soumettre des informations utiles, des axes de réflexion pour une utilisation personnelle ou à visée professionnelle.

Il est mis à jour régulièrement mais dans un contexte réglementaire et jurisprudentiel évoluant, nous soulignons que nous ne pouvons être responsable de toute péremption du contenu, ou de toute erreur juridique et/ou inexactitude qui pourrait se révéler en fonction de l’évolution,  le lecteur voudra bien considérer qu’en tout état de cause pour une application personnalisée chaque cas est unique et que bien sûr le cabinet reste à votre disposition si vous avez une question précise à poser en lien avec cet article, nous nous ferons un plaisir de collaborer avec vous, n’hésitez pas à prendre contact ou à nous téléphoner.    

Pour illustrer cet article : Image libre de droits : Pete Linforth chez Pixabay

Mots-clefs : prospection commerciale-donnée de santé–données inadéquates et non pertinentes–droit d’opposition–transfert de données personnelles vers un pays tiers–responsable de traitement–sous-traitant–CNIL–collecte directe–collecte indirecte–information pertinente-manquement continu–sanction–amende

Correspondance entre les articles du RGPD et la codification de la loi informatique et libertés (Lil) :

RGPD article 5 Lil : article 4 ;

RGPD article 9 Lil : articles 6 ;8-1-2© ;31à36 ;44 ;64à67 ;

RGPD article 12 Lil : article 48 ;

RGPD article 13 Lil : article 48 ;

RGPD article 14 Lil : article 48 et 79 ;

RGPD article 21 Lil : article 56 ;

RGPD article 24 Lil : article 57 ;

RGPD article 45 Lil : article 39 ;

RGPD article 46 Lil : article 39 ;

Retour