Lille / Paris / Nice

La CNIL sanctionne la société NESTOR pour des manquements aux règles de gestion de la prospection commerciale

Par la délibération SAN-2020-018 du 08 Décembre 2020, la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé à l’encontre de la société NESTOR une sanction administrative d’un montant de 20 000 (vingt mille) euros et a émis à son encontre une injonction de mettre en conformité les traitements concernés par les manquements relevés au RGPD.

NESTOR : sanction de 20 000 euros pour des manquements relatifs à la prospection commerciale

Rappel des faits

La CNIL a été initialement saisi par plusieurs plaintes de personnes non clientes de la société NESTOR. L’objet des plaintes portait sur la réception non désirée de courriels de prospection commerciale sans que les personnes n’aient préalablement consenti à de telles sollicitations de la part de la société NESTOR. La collecte des données des plaignants avait été effectuée par la société NESTOR à partir des données diffusées sur leur réseau social professionnel. Certains plaignants arguaient également que le mécanisme d’opposition à la prospection commerciale de la société NESTOR ne fonctionnait pas. En l’espèce, le lien de désinscription était inefficace : les plaignants continuaient de recevoir des sollicitations commerciales de la société.

La CNIL a procédé le 3 Mai 2019 à un contrôle en ligne sur le site web et l’application mobile de la société NESTOR. Les agents de la CNIL se sont particulièrement concentrés sur l’analyse du parcours utilisateur afin de déterminer si l’information délivrée aux personnes et si les modalités d’opposition aux sollicitations de la société étaient fonctionnelles. A la suite de ce contrôle en ligne, la CNIL a opéré un contrôle sur place dans les locaux de la société NESTOR le 14 Mai 2019. La société NESTOR a expliqué aux agents de la Commission que leur site web était en cours de refonte dans le cadre de leur mise en conformité réglementaire au RGPD. Des interactions entre la CNIL et la société NESTOR se sont poursuivies postérieurement à ce contrôle sur place, la société mettant notamment à disposition des agents de la Commission certaines informations relatives à la base légale de leurs traitements de données personnelles, au droit d’opposition et aux durées de conservation des données de leurs clients et prospects.

Un nouveau contrôle en ligne du site internet de la société a été effectué par la CNIL le 20 Février 2020. Relevant que des manquements à la réglementation étaient toujours constatés, la CNIL s’est prononcée lors d’une séance en formation restreinte du 05 Novembre 2020 après rédaction du rapport du Rapporteur et réception des observations de la société NESTOR.


Les manquements constatés

L’absence de recueil préalable du consentement pour la réception de sollicitations commerciales

La prospection commerciale est régie par l’article L.34-5 du Code des Postes et Communications Electroniques (CPCE). Cet article dispose notamment que :

Est interdite la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen.

La règle juridique posée par défaut est l’interdiction de l’émission de prospection directe. Le recueil du consentement préalable des personnes est donc obligatoire dans le respect des dispositions posées par l’article 4 11) du RGPD :

toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

Cependant, l’article L.34-5 du CPCE pose certaines conditions permettant de ne pas tomber sous le joug de l’interdiction par défaut de la prospection commerciale directe :

la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies directement auprès de lui, dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, à l’occasion d’une vente ou d’une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l’utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque fois qu’un courrier électronique de prospection lui est adressé.

La CNIL avait également émis une synthèse des règles juridiques applicables en matière de gestion du consentement concernant les opérations de prospection commerciale et disponible sur son site internet.

En l’espèce, la société NESTOR invoquait que le traitement des données à caractère personnel étaient collectées sur un réseau social professionnel. Ce réseau social permettait aux personnes inscrites de rentrer en relation avec des professionnels dans le cadre d’une recherche d’emplois ou, de façon générale, de constituer un réseau de professionnels. La société NESTOR avait recours aux services de trois sociétés tierces chargées respectivement de constituer des bases de prospects en collectant leurs noms et prénoms associés à la dénomination sociale de leur entreprise, d’enrichir ce fichier avec l’adresse électronique professionnelle des personnes concernées et d’envoyer les sollicitations commerciales une fois que les bases de données définitives étaient constituées.

Dans ses observations, la société NESTOR s’appuyait sur son intérêt légitime qui constituait, selon elle, la base légale de son traitement de gestion des bases de prospects. La formation restreinte de la CNIL a néanmoins invalidé ces arguments pour plusieurs motifs :

  • La CNIL considère que l’objet sociétal de la société NESTOR est la vente de repas sur le lieu de travail des personnes. En conséquence, la collecte de données personnelles effectuée sur un réseau social ayant pour finalités la création d’un réseau professionnel ou l’échange entre professionnels dans le cadre de recherches d’emplois n’était pas justifiée par le rapport entre l’objet de la sollicitation commerciale et la profession de la personne démarchée.

A retenir : la CNIL rappelle au travers de cette délibération que l’exemption au consentement pour la prospection commerciale par e-mail à destination de professionnels (B to B) est considérée comme valable uniquement lorsque (i) l’objet de la sollicitation est en rapport avec la profession de la personne démarchée, (ii) que les personnes furent informées et (iii) qu’elles sont en mesure de s’opposer à l’utilisation de leurs coordonnées.

A ce titre, il convient de rappeler que si les données concernées ne permettent pas l’identification de personnes physiques (exemple : coordonnées génériques de contacts de personnes morales non identifiantes), les règles afférentes au recueil préalable du consentement ne sont pas applicables.

  • La CNIL rappelle que le processus de sollicitation commerciale de la société NESTOR ne lui permettait pas de fonder son traitement de données personnelles sur son intérêt légitime. La Commission relève que la prospection commerciale réalisée rentre dans le champ d’application de l’alinéa 1 de l’article L.34-5 du CPCE, fondant ainsi le traitement de données sur le recueil préalable du consentement. En conséquence, les personnes contactées n’avaient pas consenti préalablement à la réception des sollicitations commerciales litigieuses;
  • La CNIL relève que les personnes concernées par les sollicitations commerciales n’étaient pas informées que leurs données personnelles étaient collectées pour les finalités de démarchage de la société NESTOR.

De plus, dans le cadre des contrôles en ligne initiés par la CNIL, cette dernière a constaté qu’aucun mécanisme de recueil préalable du consentement n’avait été mis en place par la société NESTOR pour la réception de prospections commerciales. Cette non-conformité a néanmoins été corrigée par la société NESTOR qui a, préalablement à la tenue de la formation restreinte de la Commission, mis en place un mécanisme d’opt-ins permettant désormais de gérer le recueil préalable du consentement des personnes sur son site internet.

L’ABSENCE D’INFORMATION DÉLIVRÉE AUX PERSONNES

Dans un premier temps, la CNIL rappelle le principe posée par l’alinéa 1 de l’article 12 du RGPD concernant les modalités d’information à délivrer aux personnes concernées par le traitement de leurs données personnelles :

Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

En sus de ce principe de transparence et d’accessibilité de l’information délivrée aux personnes, cette information doit respecter un cadre défini par l’article 13 du RGPD lors d’une collecte directe de données personnelles.

En l’espèce, la CNIL a constaté que l’information délivrée aux personnes ne répondait ni au critère de transparence posé par l’article 12 du RGPD, et ne revêtait pas un caractère complet tel qu’exigé par l’article 13 du RGPD, et ce pour les raisons suivantes:

  • Dans un premier temps, la CNIL rappelle l’interprétation qui doit être faite pour déterminer le moment où l’information doit être délivrée aux personnes concernées. A ce sujet, elle invoque les lignes directrices WP 260 du G29 sur la transparence : ces lignes directrices expliquent qu’une personne concernée doit pouvoir sur demande accéder directement à l’information concernant le traitement de ses données personnelles, et non effectuer des recherches sur un site internet pour en obtenir un accès ultérieur;
  • De plus, la CNIL considère que l’information délivrée par la société NESTOR au moment des contrôles effectués n’était pas complète au sens de l’application de l’article 13 du RGPD. En effet, l’information rédigée dans la politique de confidentialité de la société ne faisait pas état des bases juridiques des traitements de données personnelles, des durées de conservation ainsi que des catégories de destinataires potentiellement récipiendaires des informations nominatives des internautes. 

Enfin, la CNIL a relevé que l’application mobile ne délivrait aucune information à destination des personnes concernées.

A retenir : l’information des personnes doit obligatoirement, pour être conforme, obéir à ce critère cumulatif de (i) transparence et de (ii) complétude. Ainsi, le fait de “noyer” une mention d’information dans des conditions générales d’utilisation d’un site internet pourrait s’avérer insuffisamment transparent, surtout si plusieurs traitements de données personnelles sont concernées.

Si possible, il est hautement recommandé de délivrer l’information réglementaire à une personne au moment où ses données personnelles sont collectées par votre entité (par exemple, sous un formulaire de collecte). Cette information peut être à deux niveaux, le premier étant principalement rattaché à cette temporalité de l’information pour indiquer à un utilisateur que ses informations nominatives seront prochainement collectées et traitées, tandis que le second niveau a pour vocation de donner une information complète à l’utilisateur.

La gestion insuffisante du droit d’accès demandé par certaines personnes

La CNIL avait initialement fait l’objet de plusieurs réclamations de personnes. Deux de ces réclamations portaient sur des demandes de mise à disposition de l’ensemble des données personnelles traitées par la société NESTOR en application de l’article 15 du RGPD. Plusieurs éléments sont relevés par la CNIL pour justifier les manquements reprochés à la société NESTOR sur ce fondement :

  • Dans un premier temps, la société n’a pas respecté le délai légal de réponse de 30 jours imposé par l’article 12 4) du RGPD;
  • La CNIL relève également que sur la première plainte, la société NESTOR a rédigé une réponse lacunaire puisqu’elle ne faisait qu’énumérer la typologie des données personnelles collectées et traitées. En l’absence de toute mise à disposition des données personnelles traitées en base par la société NESTOR, sous quelque format que ce soit, la réponse apportée à la demande d’accès du requérant est insuffisante.

La mise en place de mesures de sécurité insuffisantes au regard de l’état de l’art

L’article 32 1) du RGPD dispose que :

1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

a) la pseudonymisation et le chiffrement des données à caractère personnel;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Lors des contrôles en ligne opérés par la CNIL, il ressort que l’inscription sur le site internet de la société NESTOR requérait la création d’un mot de passe composé de six caractères, et que l’inscription sur l’application mobile de la société requérait la création d’un mot de passe composé d’un seul caractère.

Sur ce seul fondement, la CNIL considère, notamment au prisme de sa délibération n° 2017-012 du 19 janvier 2017, que les règles de construction des mots de passe imposés aux utilisateurs étaient lacunaires et ne permettaient pas une sécurisation suffisante des données personnelles traitées par le site internet et l’application mobile de la société NESTOR. A ce sujet, la CNIL rappelle que l’état de l’art actuel en matière de construction logique d’un mot de passe prévoit que :

  • Le mot de passe présente, par défaut, un minimum de 12 (douze) caractères contenant a minima une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial;
  • Le mot de passe présente 8 caractères contenant a minima une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial. De plus, ce mot de passe doit être accompagné d’une mesure complémentaire de sécurité (par exemple, le blocage temporaire des accès en cas de connexions infructueuses successives).

Synthèse et conclusion

Au regard de l’ensemble des éléments précités, la CNIL a publiquement sanctionné la société NESTOR d’une amende administrative de 20 000 €. Cette sanction s’inscrit dans la lignée d’une jurisprudence constante de la Commission portant sur l’ensemble des thématiques évoquées.

Pour rappel, la CNIL prend en considération plusieurs éléments lorsqu’elle est amenée à prononcer une sanction à l’égard d’une entité. Parmi ces éléments, le degré de coopération du responsable de traitements lors de la procédure de contrôle, le chiffre d’affaires annuel réalisé par l’entité ainsi que la gravité des manquements reprochés, en fonction notamment du volume et de la sensibilité des données concernées, sont étudiées par les agents de la Commission pour apprécier, au cas par cas, le montant le plus adéquat de la sanction administrative. Cependant, en sus du montant administratif de la sanction, la CNIL s’appuie également volontiers sur la publicité d’une sanction. A la lueur de ces considérations, et au regard de la structure de la société NESTOR, le montant de cette sanction semble proportionnelle à l’approche de la CNIL, qui s’appuie davantage sur la publicité de cette sanction pour sensibiliser les autres responsables de traitements aux conséquences des pratiques litigieuses d’espèce.

Concernant la gestion du consentement de personnes concernées par des sollicitations commerciales, cette délibération rappelle l’interprétation stricte effectuée par la CNIL sur les critères de recueil préalable du consentement, et le cas échéant sur l’appréciation des critères permettant d’obtenir une éventuelle exonération du recueil du consentement, notamment lors d’opérations de prospection commerciale B to B dont l’objet de la sollicitation est directement liée avec la profession occupée par le prospect. Cette délibération met également en exergue le risque, sans documentation efficace sur la gestion d’un processus de prospection commerciale, à faire appel à des “data brokers” ou professions équivalentes ne présentant pas des garanties suffisantes pour les opérations de traitements de données qui seront mises en œuvre dans le cadre de la constitution d’une base de prospects.

De plus, cette délibération rappelle que chaque responsable de traitements est susceptible de prendre des risques considérables si des actions de conformité ayant une visibilité particulière, telle que l’information délivrée aux personnes ou l’inefficacité de processus de désinscriptions à des sollicitations commerciales, ne sont pas conformes à la réglementation. La conséquence directe et illustrée par cette sanction est le risque d’escalade vers une réclamation directement portée à l’attention des agents de la CNIL, pouvant ainsi ouvrir les portes à des contrôles. En outre, la CNIL a rappelé, dans une publication portant sur sa stratégie de contrôle en 2020, que les plaintes et réclamations qui lui sont adressées permettent de façon assez récurrente la mise en place de contrôles.

Enfin, si les critères relatifs à la sécurisation d’un site web et d’une application mobile demeurent l’un des manquements récurrents ayant souvent fait office de critères justifiant la délivrance de sanctions de la CNIL, la Commission semble actuellement rappeler à tous les responsables de traitements que chaque disposition du RGPD, en sus des considérations afférentes à la sécurité, sont d’interprétation stricte. En conséquence, qu’il s’agisse de la nature de l’information délivrée aux personnes concernées par des traitements de données personnelles, de la gestion de leurs demandes d’exercices de droits ou des modalités, notamment dans un parcours utilisateur, de gestion du recueil et du retrait de consentements, l’ensemble des critères de conformité au RGPD doit faire l’objet d’une attention soutenue.

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.