Par une délibération du 8 décembre 2020[1], la formation restreinte de la CNIL (Commission nationale de l’informatique et des libertés) a sanctionné la société NESTOR pour avoir adressé des courriels de prospection commerciale sans avoir préalablement recueilli le consentement des prospects et pour avoir manqué à plusieurs obligations du RGPD, notamment en matière d’information et de respect des droits des personnes.
1) Quelle société est sanctionnée ? Comment constituait-elle sa base prospect ?
La société sanctionnée est la société NESTOR, spécialisée dans la préparation et la livraison de repas à destination d’employés de bureaux, commandés à partir d’un site web et d’une application mobile.
Dans le cadre de ses opérations de prospection commerciale, la société NESTOR a recours à deux prestataires afin de constituer sa base de données. L’un des prestataires établit des listes de prospection contenant les noms et prénoms de prospects, associés à la dénomination de l’entreprise au sein de laquelle ils travaillent. Ces données sont collectées par le service « Sales Navigator ». Par la suite, la société NESTOR transfert le fichier établi par le prestataire évoqué à un autre prestataire, lequel procède à l’enrichissement de ce fichier, notamment en ajoutant l’adresse électronique professionnelle des personnes.
Ainsi, la société NESTOR peut, avec ces fichiers constitués, solliciter les personnes susceptibles d’être intéressées par ses services. Pour ce faire, il revient à un dernier prestataire de procéder aux envois à ces prospects de courriels d’information et de codes promotionnels pour le compte de cette dernière.
Depuis 2017, 635 033 prospects ont reçu de tels courriers électroniques de prospection.
2) Bref rappel procédural
En novembre 2018 et janvier 2019, la CNIL a été saisie de quatre plaintes déposées par des personnes non-clientes de la société NESTOR, lesquelles indiquaient avoir reçu des courriels de prospection de la part de cette dernière sans qu’elles aient fourni leur consentement préalable.
Ces courriels contenaient des informations relatives à des offres commerciales et aux menus proposés par la société. Certains plaignants informaient la CNIL que la société leur avait indiqué avoir reconstitué leur adresse électronique, afin de les contacter.
Les plaignants indiquaient notamment :
- Rencontrer des difficultés à s’opposer au traitement de leurs données personnelles par la société à des fins de prospection par courriel électronique ;
- Continuer de recevoir des messages de prospection commerciale par courriel électronique même après une désinscription de la newsletter ;
- Ne pas avoir accès, après avoir formulé diverses demandes à la société, à une copie des données à caractère personnel les concernant ainsi qu’aux informations relatives au traitement effectuée (finalité, destinataires des données, durées de conservation).
Le 3 mai 2019, en application d’une décision de la présidente de la CNIL[2], une délégation de la CNIL a procédé à une mission de contrôle en ligne, sur le site web et l’application mobile mis en œuvre par la société.
Le 14 mai 2019, une délégation de la CNIL a procédé, sur la base de la décision précitée, à une mission de contrôle dans les locaux de la société. Lors de ce contrôle, la société a indiqué à la délégation qu’elle entendait procéder à la refonte de son site afin de se conformer à la réglementation en vigueur en matière de protection de données personnelles, notamment en termes d’information des personnes et des moyens d’opposition à la réception de la lettre d’information. Par ailleurs, des vérifications s’agissant des droits d’accès et d’oppositions des personnes ont été réalisées.
En réponse à une demande du 21 juin 2019, la société a fourni à la délégation de contrôle de la CNIL, des informations relatives à la source des données à caractère personnel contenues dans sa base de prospects ainsi que des éléments relatifs à la base légale du traitement mis en œuvre à des fins de prospection commerciale, au droit d’opposition ainsi qu’aux durées de conservation des données des prospects et clients.
Le 20 février 2020, un nouveau contrôle du site et de l’application mobile de la société a été opéré par une délégation de la CNIL aux fins d’actualiser les constatations déjà effectuées.
Le 28 février 2020, suite à son instruction, le rapporteur désigné par la présidente de la Commission, a fait notifier à la société un rapport détaillant les manquements au RGPD qu’il estimait constitués.
3) Quels sont les manquements reprochés à la société ?
a) Un défaut de consentement préalable à la prospection commerciale par voie électronique
Les textes
Rappelons que, selon l’article 6 du RGPD[3], le traitement de données à caractère personnel doit reposer sur une base légale. En matière de marketing et de publicité, le principe est le consentement[4]. En effet, il est rare qu’une prospection commerciale puisse être adressée si la personne concernée n’y a pas consenti.
Le consentement s’entend comme toute manifestation de volonté libre, spécifique et informée. Ainsi, le prospect doit, par un acte positif, manifester son assentiment à l’utilisation de ses données à caractère personnel aux fins de prospection commerciale (opt-in).
Mais l’article L.34-5 du Code des Postes et Télécommunication électroniques prévoit une exception au consentement préalable à la prospection commerciale par voie électronique :
« la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies directement auprès de lui, dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, à l’occasion d’une vente ou d’une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l’utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque fois qu’un courrier électronique de prospection lui est adressé. »
Ainsi, la prospection commerciale est possible, envers les particuliers, sans un accord express de leur part s’ils sont déjà clients de l’entreprise et si la prospection concerne des produits ou services analogues à ceux déjà fournis par l’entreprise.
Toutefois, la personne doit, au moment de la collecte de son adresse de messagerie :
- être informée que son adresse électronique sera utilisée à des fins de prospection et
- être en mesure de s’opposer à cette utilisation de manière simple et gratuite.
Il convient également de souligner que dans le cadre de relations entre professionnels (« BtoB »), la CNIL[5] admet une exception au recueil du consentement lors de prospection directe, la communication commerciale est en rapport avec la profession de la personne démarchée. Dans pareil cas, le principe est celui d’une information préalable et d’un droit d’opposition offert aux professionnels lorsqu’un courriel prospectif leur est adressé.
En l’espèce, la société NESTOR faisait valoir que le consentement des prospects n’était pas nécessaire, dès lors que l’ emailing de prospection, dont la base légale était l’intérêt légitime de celle-ci intervenait « strictement dans le cadre professionnel que constituent les déjeuners en entreprise (adresse de courriel professionnelle, livraison dans les locaux professionnels, aux heures d’exercice de l’activité professionnelle du client, etc.) . ».
La formation restreinte de la CNIL a alors admis que le réseau professionnel à partir duquel les données sont collectées permet une mise en relation de ses membres :
« le réseau social professionnel […] permet à des personnes de s’inscrire afin d’entrer en relation avec des professionnels, dans le cadre d’une recherche d’emploi, ou encore de partager des informations avec leur réseau professionnel et d’étendre ce réseau professionnel.».
Cependant, la formation restreinte de la CNIL semble exclure la qualification de prospection commerciale à destination de professionnels (BtoB) dans le cas qui lui était soumis, les communications commerciales en question se rapportant peu avec l’activité professionnelle des prospects :
« La formation restreinte considère dès lors que les messages de prospection envoyés par la société pour la vente de repas sur le lieu de travail des personnes n’ont que peu de lien avec l’activité professionnelle des prospects. »
La formation restreinte considère également que les prospects démarchés n’ont pas eu connaissance de la collecte de leurs données à caractère personnel par la société et qu’elle a procédé à une prospection par courriels et SMS, sans avoir préalablement recueilli leur consentement.
Ainsi, la formation restreinte de la CNIL retient un manquement à l’article 34-5 du CPCE et demande à la société NESTOR d’apporter la preuve de la suppression des Emails.
Cependant, la suppression « des données des prospects qui sont aujourd’hui devenus des clients de la société n’est pas nécessaire. ».
b) Les autres manquements sanctionnés par la CNIL
Un manquement à l’obligation d’information des personnes concernées
Rappelons que l’article 12 alinéa premier du RGPD « Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples […] . ».[6]
L’article 13 du RGPD[7] exige du responsable de traitement qu’il fournisse, au moment où les données sont collectées certaines informations :
Les informations relatives à son identité et ses coordonnées, les finalités du traitement et sa base juridique, les destinataires ou les catégories de destinataires des données à caractère personnel, le cas échéant les transferts de données à caractère personnel, la durée de conservation des données à caractère personnel, les droits dont bénéficient les personnes ainsi que le droit d’introduire une réclamation auprès d’une autorité de contrôle.
En l’espèce, le formulaire de collecte des données personnelles permettant de s’inscrire sur le site web de la société ne comportait pas l’ensemble des informations exigées par l’article 13 du RGPD et ne renvoyait pas non plus vers une page dédiée qui aurait contenu les informations manquantes.
Par ailleurs, la politique de confidentialité des données du site web de la société NESTOR était incomplète, trop générale et imprécise.
Enfin, aucune information relative à la protection des données personnelles n’était fournie aux personnes créant un compte sur l’application mobile.
Ainsi, la formation restreinte a considéré que le manquement aux articles 12 et 13 du RGPD est constitué. Toutefois, elle relève que la société NESTOR a mis en place des mesures pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD au cours de la procédure.
Un manquement à l’obligation de respecter le droit d’accès des personnes concernées
Rappelons que l’article 15, alinéa 1, du RGPD[8] prévoit que le droit pour une personne d’obtenir du responsable du traitement l’accès aux données à caractère personnel la concernant et notamment lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, tout information disponible quant à leur source .
Il est également prévu que le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement[9], et réitère les informations sur les caractéristiques du traitement visées aux articles 13 et 14 du RGPD, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande.
En l’espèce, la société NESTOR a manqué à son obligation de fournir une copie des données personnelles qu’elle détenait dans sa base de données ainsi qu’une information relative à la source de ces données aux deux plaignants l’ayant sollicitée, en répondant partiellement à leurs demandes.
La société NESTOR s’étant contentée d’avoir précisé aux plaignants « avoir reconstitué son adresse électronique sur la base d’une autre adresse électronique sans lui indiquer pour autant que cette autre adresse électronique avait été obtenue via le réseau social professionnel […]. Ainsi la société a seulement énuméré le type de données qu’elle traitait. »
Ainsi, la formation restreinte a considéré que le manquement à l’article 15 du RGPD était constitué.
Un manquement à l’obligation d’assurer la sécurité des données personnelles
Rappelons que l’article 32 du RGPD[10] exige que le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
En l’espèce, la société NESTOR n’imposait pas l’utilisation d’un mot de passe robuste lors de la création d’un compte sur son site web ou sur son application mobile. A ce titre, la formation restreinte de la CNIL a pu rappeler certaines exigences en termes de robustesse des mots de passe telles qu’énoncées dans sa délibération du 19 janvier 2017[11].
Ainsi, la formation restreinte a considéré que le manquement à l’article 32 du RGPD était constitué, toutefois n’ordonne pas d’injonction, même si la société a justifié avoir modifié les mesures relatives à la gestion des mots de passe de connexion aux comptes des utilisateurs en cours de procédure.
4) La sanction prononcée à l’encontre de la société par la formation restreinte de la CNIL
La formation restreinte a prononcé une amende de 20 000 euros à l’encontre de la société NESTOR et décidé de rendre publique sa décision. Elle a également enjoint à la société de mettre ses traitements en conformité avec le RGPD et d’en justifier sous un délai de trois mois à compter de la notification de la délibération, sous astreinte de 500 euros par jour de retard.
Nous soulignerons que pour prononcer cette sanction pécuniaire, la formation restreinte prend en compte le nombre de manquement ainsi que leur gravité.
A ce titre, elle souligne notamment le nombre important des personnes concernées par la prospection directe, lesquelles n’étaient pas des clients et n’avaient pas donné leur consentement et le dépôt de nombreuses plaintes auprès de la CNIL.
Charlotte GALICHET
Amelle SALKA
[1] Délibération SAN-2020-018 du 8 décembre 2020
[2] Décision n° 2019-082C
[3] Article 6 du RGPD.
[4] Article L34-5 du Code des postes et des communications électroniques.
[5] Communication de la CNIL du 28 décembre 2018 « la prospection commerciale par courrier électronique ».
[6] Article 12 du RGPD
[7] Article 13 du RGPD
[8] Article 15 alinéa 1 du RGPD
[9] Article 15 alinéa 3 du RGPD
[10] Article 32 du RGPD
[11] Délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe.