07.01.21

Texte

Après les sanctions de la CNIL visant des PME et TPE en 2019, 2020 semblait inverser la tendance et avait vu des amendes de plusieurs dizaines de millions d’euros pleuvoir sur Carrefour, Google ou encore Amazon. Les petites entreprises auraient pu se croire à l’abri et que la CNIL ne les contrôlerait plus.

C’était sans compter sur les derniers jours de 2020, année décidément à nulle autre pareille. Le 7 décembre dernier, la CNIL a ainsi sanctionné une TPE de deux salariés réalisant 182 672 € de chiffres d’affaires (sur 2019) à une amende d’un montant de 4% de son chiffre d’affaires, soit 7300 euros, ainsi qu’une astreinte de 1 000 € par jour de retard à l’issue d’un délai de deux mois.

Texte

La société condamnée est une agence marketing chargée, pour le compte d’annonceurs, de l’envoi de leurs campagnes publicitaires à des prospects. À ce titre, elle détient notamment une base de données de 20 millions de courriels de prospects, qu’elle indique avoir constituée à partir d’achats effectués auprès d’une autre société en 2014 et 2015, avant la liquidation de cette dernière en 2017.

En 2019, l’association Signal SPAM avait adressé un signalement à la CNIL en lui indiquant que cette agence apparaissait régulièrement en tête du classement des sociétés émettant le plus de messages signalés comme spam par les internautes français. 163 126 personnes s’étaient ainsi plaintes auprès de l’association en seulement 5 mois et 11 jours !

Un contrôle sur place a donc été diligenté par la CNIL.

Texte

Picto ampouleCe qu’il faut retenir de cette décision en pratique : 

Texte
  • Faites très attention aux contrats conclus avec vos data brokers pour la fourniture de leurs bases de données d’emails « opt-in » (avec consentement des personnes concernées).
  • N’hésitez pas à demander des « tests » pour vous enquérir des retours négatifs éventuels des prospects et à vous intéresser aux garanties financières offertes par les data brokers en cas de violation de la réglementation en matière de données personnelles.
  • Gardez toujours une traçabilité des consentements obtenus et, au minimum, des procédures de collecte de consentements qui vous serviront de preuves.
  • Pensez toujours les modalités techniques de vos bases de données « privacy by design » : en cas de gestion par « silo » de vos bases de données de prospection électronique, l’opposition à la prospection faite sur un silo doit nécessairement s’appliquer à tous vos autres silos.
Texte

Quels sont les enseignements marquants de cette décision pour la mise en conformité des entreprises ?

1. La CNIL est compétente même quand les activités opérationnelles sont menées depuis le Maroc

Le gérant indiquait que les activités opérationnelles de la société étaient mises en œuvre depuis le Maroc, mais que « seule la France avait été visée pour [s]es campagnes et qu’elle a acheté une base de données de prospects français aux fins de réaliser des campagnes françaises ». La question de l’applicabilité du RGPD (ciblage d’une population sur le territoire de l’UE) et des marges de manœuvre de la Loi Informatique et Libertés (population résidant en France) ne se posait donc pas.

Quant à la compétence de la CNIL, elle considère que le traitement a lieu en France en raison de l’immatriculation de la société en France, de ses seuls locaux en France et du ciblage du seul public français par ses messages de prospection.

2. Les locaux sont contrôlés même lorsqu’ils sont situés au domicile privé du gérant

Rien que de très classique, mais les locaux de la société étant situés au domicile privé du gérant, la CNIL a pu contrôler en y accédant, moyennant une ordonnance du 11 septembre 2019 du juge des libertés et de la détention du Tribunal de Grande Instance.

3. L’agence marketing est un responsable de traitement

La CNIL considère que la société doit être considérée comme responsable de traitement pour plusieurs raisons. D’abord, la société l’a explicitement revendiqué lors du contrôle. Dans ses contrats avec les annonceurs, la société s’engage d’ailleurs à disposer d’adresses électroniques d’internautes ayant donné leur consentement à recevoir des messages publicitaires de la part de tiers.

Ces annonceurs et son agence web ne fournissent en effet pas les données des prospects à contacter et n’y ont pas accès. La société utilise exclusivement sa propre base de données de prospects, dont elle a défini les données personnelles qu’elle contient, les durées de conservation et les éventuelles mises à jour devant être opérées.

En synthèse, la société détermine les moyens essentiels du traitement.

4. La sanction de manquements propres à la prospection électronique

Les manquements reprochés sont divers, mais tout à fait attendus, étant relativement classiques à ce genre de cas et liés aux principes les plus essentiels du RGPD : conservation des données trop longue, collecte et traitement de données non pertinentes (numéro de téléphone, etc.), absence des stipulations obligatoires dans le contrat sous-traitant (article 28 du RGPD), manquement à l’obligation d’information des personnes du fait de mentions trop restreintes sur les emails.

Toutefois, deux manquements supplémentaires plus spécifiques à la prospection électronique sont relevés et cette sanction devrait impacter la pratique tant de certains « data brokers » que de sociétés de prospection.

  • L’absence de consentement préalable à la réception de courriels de prospection

Le consentement préalable à la réception de courriels de prospection est une obligation issue de la loi française (art. 34-5 du CPCE) transposant la directive « vie privée et communications électroniques ».

Or, l’agence marketing n’a pas été en mesure de prouver qu’elle avait obtenu de tels consentements concernant les 20 millions d’adresses électroniques présentes dans la base. La société qui les lui avait vendues (aujourd’hui en liquidation) avait seulement laissé une mention sur une facture – à ce titre, sans aucune valeur.

En l’absence de telles preuves de consentement des prospects, c’est donc la base de données des 20 millions d’adresses électroniques qui ne peut plus être utilisée telle que pour adresser des prospections électroniques. La sanction porte sur l’intégralité de ces adresses, et non sur les seules 163 126 qui avaient fait l’objet de plaintes auprès de l’association Signal SPAM !

Rappelons que, selon la jurisprudence de la Cour de cassation, une base de données contenant des données personnelles constituée sans respecter le droit applicable la met « hors commerce » : elle perd de facto toute valeur, ne pouvant être vendue.

  • Un droit d’opposition rendu difficile par le découpage technique de la base de données

Pour résumer, les données personnelles des prospects contenues dans la base de données étaient répliquées au sein de silos différents, et chaque compartiment était associé à deux noms de domaines différents. Ce découpage permettait de répartir les envois en les adressant sur différents domaines, évitant ainsi le blocage de l’émetteur du message par les fournisseurs d’accès des prospects.

Or, le désabonnement à un courriel ne permettait que le désabonnement au silo correspondant et pas à l’ensemble des envois, ce qui rendait l’opposition « ineffective » pour la CNIL. Rappelons que le RGPD impose au contraire de faciliter l’exercice des droits.

5. Le prononcé d’une injonction équivalente à 0,5% du CA par jour de retard

Sur le prononcé d’une injonction, la formation restreinte de la CNIL relève que, s’agissant de l’ensemble des manquements, la société n’avait apporté aucun élément depuis le début de la procédure qui permettrait de considérer qu’elle s’était mise en conformité avec les dispositions du RGPD, admettant au contraire en séance avoir besoin d’encore un mois et demi pour se mettre en conformité.

La CNIL prononce donc une injonction de mise en conformité sous 2 mois assortie d’une astreinte de 1 000 € par jour de retard à l’issue d’un délai de 2 mois suivants la notification de la délibération, soit environ 0,5% du CA par jour de retard ! La CNIL ayant accordé 15 jours de plus que ce que la société jugeait utile, gageons qu’elle sera sans pitié si le délai pour la mise en conformité n’est pas respecté…

Enfin, notons que la CNIL a visiblement décidé de ne pas s’arrêter là concernant les fichiers de prospection et l’envoi d’emails non sollicités.

Ainsi, le 8 décembre 2020, soit dès le lendemain, elle a prononcé contre la société Nestor une amende de 20 000 euros pour des manquements proches (pas de consentement à l’envoi d’emails, d’information des personnes, etc.). Une décision riche, intéressante à plusieurs points de vue et qui fera donc l’objet d’un article spécifique à lire prochainement !

Texte

 

François Coupez

François Coupez, Avocat à la cour, Associé, spécialiste en droit des nouvelles technologies

Parmi ses domaines d’expertises : droit de l’innovation, cybersécurité, droit de l’internet, contrats informatiques, protection des données personnelles, propriété intellectuelle

Me François Coupez est avocat à la Cour, associé en charge de la practice Droit du numérique/Data. Titulaire des certifications « nouvelles technologies » délivré par le CNB et certifié DPO (agrément CNIL), François met sa double compétence en droit et technologies de l’information au service de nombreuses grandes entreprises depuis près de 20 ans afin de les conseiller et de les assister face à leurs contraintes réglementaires.

Vice-président du club R2GS, il est également Senior Advisor du Cybercercle et membre de l’ANJB, de Cyberlex, ou encore de l’AFCDP. Il est l’auteur de nombreux articles de doctrine, conférencier et formateur (en Master II à Paris II, au CELSA, à Dauphine, au CNAM, etc.).

 

Jocelyn Pitet

Jocelyn Pitet, Avocat à la Cour

Parmi ses domaines d’expertises : contrats informatiques, cybersécurité, contentieux, propriété intellectuelle, droit commercial

 Titulaire du Master 2 Droit du numérique de l’Université́ Paris I, Jocelyn intervient, en droit des technologies de l’information, en droit des contrats informatiques, en droit commercial et en e- commerce, tant en anglais qu’en français.

Il est plus particulièrement en charge de la rédaction et de la négociation des contrats informatiques complexes.  Il est également certifié DPO (agrément CNIL),

Avant de rejoindre implid Legal, Jocelyn a exercé en entreprise et en cabinet d’avocats, accompagnant tout type de sociétés, des PME aux groupes internationaux, dans des environnements à forte dominante bancaire et dans le secteur de la défense et du renseignement.

Il a également effectué une expérience de 6 mois en droit pénal dans un cabinet d’avocats aux États-Unis.