Le 26 septembre 2024, la CNIL a infligé des sanctions aux entreprises COSMOSPACE et TELEMAQUE, toutes deux spécialisées dans la voyance à distance. La première offre ses services par téléphone, tandis que la seconde utilise des chats et SMS. Ces sanctions résultent de violations du RGPD et d’autres réglementations liées à la protection des données personnelles, telles que la collecte de données sensibles sans consentement valable et des pratiques de prospection non conformes. On vous explique le détail de ces affaires et comment éviter d’être le prochain sanctionné dans cet article !
Des contrôles révélateurs
Lors de contrôles menés en 2021, la CNIL a identifié plusieurs infractions :
- Collecte abusive de données sensibles : Des informations comme des données de santé ou l’orientation sexuelle des utilisateurs ont été recueillies sans consentement clair et explicite.
- Conservation excessive des données : Les deux entreprises conservaient les données clients au-delà de la durée nécessaire, sans justification valide.
- Prospection commerciale sans consentement : Des messages promotionnels ont été envoyés à des personnes n’ayant pas exprimé leur accord.
- Enregistrements d’appels non justifiés (pour COSMOSPACE) : Tous les appels téléphoniques étaient enregistrés de manière systématique, sans distinction.
Analyse des manquements reprochés
1. Non respect du principe de minimisation des données (article 5-1-c du RGPD)
COSMOSPACE enregistrait systématiquement tous les appels téléphoniques, et justifiait ces enregistrement par la nécessité de réaliser un contrôle qualité des enregistrements, qu’ils étaient bénéfiques aux formations, ainsi qu’en tant que preuve pour exécution du contrat. Ces enregistrements étaient également, selon la société, nécessaires à la sauvegarde la vie humaine.
La CNIL précise que seules certaines conversations, sélectionnées à des fins de formation ou de contrôle de qualité, auraient dû être enregistrées. Il est essentiel de limiter ces enregistrements à ce qui est strictement nécessaire. Une solution manuelle d’enregistrement en cas d’urgence (par exemple, en cas de détresse) aurait permis de respecter ce principe.
💡Conseil : Évaluez toujours si l’enregistrement ou la collecte de données est absolument nécessaire à l’objectif visé. Réduisez la portée des collectes en vous concentrant sur les informations essentielles, et mettez en place des mécanismes limitant l’enregistrement automatique et systématique, et favorisant l’enregistrement manuel en cas de situations d’urgence.
Cet article pourrait également vous intéresser : En 2024, les TPE/PME sont de plus en plus sanctionnées par la CNIL : on vous explique pourquoi.
2. Durée de conservation des données (article 5-1-e du RGPD)
OSMOSPACE conservait les données d’anciens clients pendant six ans, tandis que TELEMAQUE ne triait pas les informations et laissait l’accès ouvert à ces données.
La CNIL recommande une durée de conservation de trois ans pour des finalités commerciales. TELEMAQUE aurait dû archiver les données non nécessaires ou sensibles après une période définie et restreindre l’accès à celles-ci.
💡Conseil : Fixez des durées de conservation en lien avec vos finalités et mettez en place des processus d’archivage. Par exemple, si vous envoyez des messages promotionnels, veillez à ne conserver les informations que pour une période limitée (3 ans maximum), et déplacez ces données de la base active.
3. Consentement pour les données sensibles (article 9 du RGPD)
COSMOSPACE et TELEMAQUE recueillaient des informations sensibles (relatives à la santé ou à l’orientation sexuelle) des clients lors des consultations sans obtenir un consentement explicite.
Les sociétés auraient dû solliciter un consentement clair et explicite des clients avant de collecter ou traiter des informations sensibles. Informer clairement les clients sur l’utilisation de ces données aurait également été nécessaire.
💡Conseil : Si votre activité implique la collecte de données sensibles, assurez-vous de toujours obtenir un consentement explicite avant de les traiter. Expliquez en toute transparence aux utilisateurs pourquoi ces données sont collectées et comment elles seront utilisées.
4. Prospection commerciale et consentement (article L.34-5 du CPCE)
Les deux sociétés utilisaient une base de données commune pour leurs campagnes de prospection, sans informer les utilisateurs que leurs données pouvaient être partagées entre elles. De ce fait, le client consentait à de la prospection pour une société sans pour autant consentir à recevoir de la prospection de la part de l’autre, ce qui constitue un manquement.
La CNIL rappelle que le consentement pour la prospection doit être obtenu clairement et que les entreprises doivent informer les utilisateurs de la manière dont leurs données seront utilisées. La CNIL considère que l’apparence de ces formulaires ne permettait pas aux personnes concernées d’être clairement informées que leurs données pourraient être utilisées indifféremment par l’une ou l’autre de ces sociétés. Dès lors, la société COSMOSPACE ne pouvait se prévaloir du consentement recueilli par la société TELEMAQUE pour son compte, et inversement.
💡Conseil : Veillez à informer vos clients lors de la collecte de leurs données à des fins de prospection et assurez-vous qu’ils expriment leur consentement de manière explicite.
Une amende proportionnelle et justifiée selon la CNIL
La CNIL a imposé une amende de 250 000 euros à COSMOSPACE et de 150 000 euros à TELEMAQUE, en collaboration avec des autorités européennes, compte tenu de la nature transfrontalière de ces traitements. Le montant des sanctions a été fixé en fonction du nombre de personnes concernées (plus de 1,5 million), de la sensibilité des données et des violations constatées.
Cet article pourrait vous intéresser : CEGEDIM, éditeur de logiciels condamné à 800 000€ d’amende par la CNIL : on vous explique pourquoi.
Conclusion
Les sanctions infligées à COSMOSPACE et TELEMAQUE rappellent l’importance de respecter le RGPD. Pour les TPE/PME, il est essentiel de mettre en place des pratiques de gestion des données qui respectent ces principes fondamentaux : minimisation des collectes, consentement explicite pour les données sensibles, conservation des données pendant des durées appropriées et prospection commerciale en conformité. Une mise en conformité efficace permet non seulement d’éviter des sanctions, mais aussi de renforcer la confiance des clients et de garantir la sécurité des données personnelles traitées.