La prospection commerciale en ligne et l’atteinte aux droits des personnes : analyse des récentes décisions de la CNIL

Auteurs : Marine Vanhoucke, associée et Michela Navarra

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), nombreuses sont les personnes concernées ayant pris conscience de leurs droits relatifs aux traitements de leurs données personnelles. Celles-ci n’hésitent plus à se plaindre de potentielles atteintes directement auprès de la CNIL. 

On observe d’ailleurs une hausse de 4% du nombre de plaintes en 2022 par rapport à l’année précédente et surtout une nette augmentation de celles relatives aux demandes de droit d’accès. En parallèle, la CNIL a incontestablement intensifié ses contrôles et imposé des sanctions administratives de plus en plus lourdes. 

Face à ces nombreuses demandes d’accès des personnes concernées par les traitements de données personnelles, les entreprises n’ont d’autre choix que de s’adapter afin d’éviter d’être sanctionnées. Cependant, la mise en conformité demeure un processus assez complexe, chronophage et semblant parfois inaccessible. Les grands acteurs du marché, pourtant a priori mieux à même d’être en conformité, font également l’objet de sanctions publiques et exemplaires. Les récentes décisions de la CNIL à l’encontre d’EDF ou de FREE MOBILE illustrent ce phénomène.

Décision à l’encontre d’EDF

L’enquête de la CNIL faisait suite à plusieurs plaintes d’utilisateurs et a révélé des manquements au RGPD notamment en matière de prospection commerciale, de droits d’accès et de sécurisation des mots de passe. Le 24 novembre 2022, la CNIL a prononcé à l’encontre d’EDF une amende administrative d’un montant de 600 000 euros.

Sur le manquement à l’obligation de recueillir le consentement des personnes à la prospection commerciale par voie électronique (articles L. 34-5 du CPCE et 7 du RGPD)

Lors des contrôles, EDF n’a pas démontré à la CNIL avoir obtenu l’autorisation des personnes visées par sa campagne de prospection commerciale par voie électronique ayant eu lieu entre 2020 et 2021. EDF a reconnu avoir utilisé une base client achetée à un courtier en données personnelles et ne pas avoir effectué de vérification des formulaires de recueil de consentement ;

Sur le manquement à l’obligation d’information (art. 13 et 14 du RGPD) et au respect de l’exercice des droits (art. 12, 15 et 21 du RGPD)

La CNIL indique qu’EDF n’a pas rempli son obligation d’information des personnes concernées. En effet, la charte de protection des données personnelles figurant sur le site internet ne précisait pas la base légale correspondant à chaque cas d’usage des données et était imprécise sur les durées de conservation ;

Sur le manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)

La CNIL a estimé qu’EDF ne respectait pas son obligation en matière de sécurité des données personnelles. En effet, les mots de passe d’accès à l’espace client du portail “prime énergie” de plus de 25 000 comptes étaient conservés de manière non sécurisée jusqu’à juillet 2022.

Décision à l’encontre de FREE MOBILE

Après avoir reçu plusieurs plaintes concernant l’absence de prise en compte par FREE MOBILE de demandes d’accès et d’opposition à recevoir des messages de prospection commerciale, la CNIL a enquêté et a prononcé le 30 novembre 2022 une sanction de 300 000 euros à l’encontre de FREE MOBILE.

Sur le manquement au droit d’accès (art. 15 du RGPD) :  

La CNIL a constaté un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant, FREE MOBILE n’ayant pas donné suite dans un délai de 30 jours aux demandes d’accès formulées par les personnes concernées ; 

Sur le manquement au droit d’opposition (art. 21 du RGPD) :  

Par ailleurs, FREE n’a pas respecté le droit d’opposition des personnes concernées (art. 12 et 21 du RGPD), puisqu’elle n’a pas fait droit aux demandes explicites de mettre fin à la prospection commerciale ;

Sur le manquement à l’obligation de « privacy by design » (art. 25 du RGPD) :  

La CNIL a également estimé qu’il y avait manquement à l’obligation de protéger les données dès la conception (art. 25 du RGPD), FREE MOBILE ayant continué d’envoyer des factures concernant des lignes téléphoniques dont l’abonnement avait pourtant été résilié ;

Sur le manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD) :

La CNIL a enfin constaté un manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD). En effet, FREE MOBILE transmettait par courriel, en clair, les mots de passe des utilisateurs sans que ces derniers ne soient temporaires ou qu’il soit imposé de les changer.

Marine-Vanhoucke1-jpg

Marine Vanhoucke

Associée

Marine Vanhoucke conseille les entreprises en matière de Propriété Intellectuelle et les accompagne sur leurs sujets de Conformité.

Responsable du bureau de Hong Kong, elle assiste les sociétés françaises dans leur implantation et croissance en Asie et a construit une expertise des questions juridiques de droit international, mêlant notamment des intérêts français et asiatiques.