La prospection commerciale B to C et spécialement l’achat de fichiers clients auprès de courtiers en données reste dans le viseur de la CNIL.
Après la condamnation de TAGAMEDIA en décembre 2023 et de FORIOU en janvier 2024, voici une nouvelle condamnation. Le 4 avril 2024 la CNIL a condamné la société française HUBSIDE STORE à une amende de 525 000 € soit environ 2% de leur chiffre d’affaires, mais également la perte de nombreux fichiers clients.
Cette décision fait suite à une enquête portant sur les pratiques de la société en matière d’achat et d’utilisation des données personnelles de prospects.
Contexte
HUBSIDE.STORE est une entreprise spécialisée dans le démarchage téléphonique et par SMS pour la promotion de produits tels que les téléphones portables et les ordinateurs. Pour alimenter ses campagnes de prospection commerciale, elle achète des données de prospects auprès de courtiers en données, notamment ceux opérant dans le cadre de jeux-concours en ligne et de tests de produits.
Raisons de la sanction
L’enquête menée par la CNIL a révélé que les pratiques de collecte et d’utilisation des données de HUBSIDE.STORE étaient non conformes aux exigences du Règlement Général sur la Protection des Données (RGPD) ainsi qu’au Code des Postes et Communications Électroniques (CPCE).
Manquement à l’obligation de recueillir le consentement pour la prospection commerciale
La société achetait de nombreux fichiers clients auprès de courtiers en données. Problème : ces fichiers clients ne sont pas conformes aux exigences du RGPD ! En effet, les personnes n’étaient pas en mesure de consentir librement à l’utilisation de leurs données pour de la prospection commerciale. Donc la prospection réalisée est considérée non valide !
Défaut de base légale
La CNIL a constaté un manquement à l’obligation de disposer d’une base légale pour les traitements de données, selon l’article 6 du RGPD. Pour la prospection commerciale par appels téléphoniques, la société doit informer les personnes concernées qu’elles peuvent recevoir des offres commerciales pour se fonder sur l’intérêt légitime. Cependant, les formulaires de jeux-concours utilisés pour collecter les données des prospects ne mentionnaient pas systématiquement la société HUBSIDE.STORE parmi les partenaires autorisés à démarcher, privant ainsi la prospection de base légale.
Manquement à l’obligation d’information
Un autre manquement a été relevé à l’obligation d’information, en vertu de l’article 14 du RGPD. Les personnes démarchées par téléphone n’ont pas été suffisamment informées sur la collecte et l’utilisation de leurs données personnelles, y compris sur l’identité de l’organisme, les objectifs de l’utilisation des données et leurs droits. La formation restreinte a souligné l’importance de cette information pour permettre aux personnes concernées d’exercer leurs droits de manière simple et gratuite, tels que celui d’accéder à leurs données ou de s’opposer à des sollicitations ultérieures.
Des formulaires de consentement non conformes
Les formulaires utilisés par les courtiers en données pour collecter les informations des participants aux jeux-concours étaient jugés trompeurs, ne permettant pas un consentement valide des personnes concernées. De plus, les personnes démarchées par téléphone n’étaient pas suffisamment informées sur l’utilisation de leurs données personnelles, en violation de l’article 14 du RGPD.
Les boutons qui permettent d’accepter de recevoir des publicités étaient faits de sorte à attirer l’attention de l’internaute: taille différente, colorés et mis en avant. En revanche, les liens qui permettent de refuser de recevoir des publicités sont plus petits et se fondent dans le texte, donc moins visibles. Cela pousse les gens à cliquer sur le bouton pour accepter sans trop réfléchir.
Il revenait à Hubside Store, en tant que société utilisatrice des données collectées, de veiller à ce que les personnes concernées aient réellement donné leur consentement pour que leurs données soient utilisées. Mais malgré l’établissement de règles strictes, aucune vérification effective n’était effectuée auprès des courtiers fournisseurs de données pour garantir leur conformité.
C’est ainsi que la CNIL a constaté un nombre important de fichiers de prospects non conformes.
Double peine pour HUBSIDE.STORE
En conséquence de ces manquements, la CNIL a infligé à HUBSIDE.STORE une amende de 525 000 euros. Cette sanction représente environ 2% du chiffre d’affaires de l’entreprise, ce qui souligne l’ampleur des conséquences financières d’une non-conformité aux règles de protection des données. De plus, l’entreprise risque également de perdre l’accès à nombre de ses fichiers clients, ce qui pourrait avoir un impact significatif sur son activité commerciale future.
La CNIL a justifié le montant de cette amende pour diverses raisons : d’une part, elle a pris en considération la gravité des manquements constatés, notamment le défaut de consentement valide et l’absence d’informations adéquates fournies aux personnes concernées. D’autre part, la responsabilité de HUBSIDE.STORE dans l’utilisation des données collectées a été également prise en compte. En outre, la CNIL a souligné le fait que l’entreprise avait massivement recours à la prospection commerciale, ce qui amplifie l’impact de ses pratiques.
Cette amende est le fruit d’une coalition entre les différentes autorités de contrôle concernées : l’autorité française, belge, italienne, portugaise et espagnole, car la société opérait dans ces pays et les mêmes manquements ont été identifiés par ces différentes autorités.
Soyez vigilant lors de l’achat de fichiers clients auprès de courtiers
Si l’achat de fichiers clients auprès de courtiers est autorisé par le RGPD, les conditions pour que cet achat et l’utilisation des données obtenues soient conformes sont très strictes.
En effet, le consentement de l’internaute ne doit pas être biaisé, et refuser doit être aussi simple qu’accepter.
Récemment, deux sociétés ont été lourdement condamnées pour des faits similaires. On en parle ici :
- TAGADAMEDIA sanctionnée par la CNIL : 75 000 euros d’amende pour des pratiques de collecte de données non conformes – Mon Expert RGPD
- 310 000€ d’amende pour prospection commerciale et défaut de consentement – Mon Expert RGPD – Conformité externalisée
Nos conseils lors de l’achat de fichiers clients
- Examinez attentivement les conditions de collecte des données : Assurez-vous que les données ont été collectées conformément aux dispositions du RGPD. Vérifiez que les méthodes de collecte respectent les principes de consentement libre et éclairé et de transparence vis-à-vis des personnes concernées.
- Demandez des garanties contractuelles : Avant de finaliser l’achat, demandez au courtier en données de vous fournir des garanties contractuelles concernant la validité du consentement des personnes incluses dans les fichiers clients. Assurez-vous que ces garanties incluent des clauses de conformité aux réglementations en matière de protection des données.
- Mettez en place des mécanismes de contrôle : Vérifiez effectivement et régulièrement que les formulaires n’ont pas été modifiés et sont encore conformes.
Cette décision de la CNIL met en lumière l’importance cruciale pour votre entreprise de respecter les réglementations en matière de protection des données. En plus d’être une obligation légale, c’est la survie de votre entreprise qui est en jeu.