La nouvelle année a commencé avec deux décisions de la CNIL par lesquelles elle rappelle quelques fondamentaux concernant la conformité RGPD et prospection commerciale ; elle nous donne par la même occasion quelques éléments sur la façon dont elle détermine ses sanctions.
Le consentement, socle de la prospection commerciale
Les deux décisions reposent sur l’exigence de recueil du consentement en matière de prospection commerciale. Hormis la dérogation du « soft opt-in » visée à l’article 34-5 du Code des postes et des communications électroniques (la publicité pour des produits similaires ou analogues à ceux déjà acquis par un client auprès du professionnel qui le démarche), celui-ci doit être libre, spécifique, éclairé, univoque et il faut pouvoir en apporter la preuve.
Plus surprenant peut-être, la CNIL précise qu’en l’absence d’élément matérialisant l’existence du consentement des personnes concernées et permettant de le démontrer, par exemple par des vérifications qui auraient été opérées préalablement auprès des partenaires, l’acquisition des données auprès d’un tiers garantissant contractuellement disposer du consentement des personnes concernées ne constitue pas une preuve suffisante de l’existence et de la validité de ce consentement.
Outre la validité du consentement, la CNIL relève d’autres écarts de conformité :
– L’incapacité de justifier de la nécessité de la collecte de certaines données précises, en violation du principe de minimisation ;
– L’insuffisance des informations à fournir à la personne concernée tel que le prévoient les articles 12, 13 et 14 du RGPD ;
– La sécurisation insuffisante des accès protégés par mot de passe ;
– Une durée de conservation excessive, car dépassant trois années après l’ouverture d’un email sans autre action de la part des personnes concernées ;
– Un encadrement contractuel des sous-traitants ne reprenant pas l’intégralité des exigences de l’article 28 du RGPD ;
– Le défaut de réponse complète aux demandes d’exercice des droits d’accès ou d’opposition.
Des sanctions effectives, proportionnées et dissuasives:
Dans les deux décisions, la formation restreinte a pris en compte le contexte des entreprises, le résultat net, le contexte sanitaire pour prononcer des amendes administratives à l’équilibre entre la gravité des manquements et la capacité de l’entreprise. Il faut donc que la sanction ait un montant non négligeable au regard des capacités de l’entreprise tout en demeurant soutenable sans pour autant mettre en danger son existence.
La formation restreinte relève également le degré de coopération et de prise en compte des non-conformités et relève si l’entreprise s’était ou non mise en conformité à la date de la clôture de l’instruction.
Ainsi, la formation restreinte a pris en compte les résultats nets des exercices 2018 et 2019 pour prononcer des amendes de respectivement 20 000 et 7300 euros, cette dernière étant très proche du résultat net de l’entreprise concernée.
Si les deux sociétés écopent d’une injonction de mise en conformité, la société ayant mis en place des mesures correctives en cours d’instruction, voit son obligation assortie d’une astreinte de 500 euros par jours de retard. SI l’autre société a été condamnée à une somme moindre, le montant de l’astreinte se monte en revanche à 1000 euros par jours de retard.
On le voit, la mise en place de mesures correctives a donc un impact sur les montants de l’amende administrative et de l’astreinte prononcés par la CNIL.
Références :
– Délibération de la formation restreinte no SAN-2020-016 du 7 décembre 2020 concernant la société PERFORMECLIC. Plus d’info ici
– Délibération de la formation restreinte n°SAN-2020-018 du 8 décembre 2020 concernant la société NESTOR SAS. Plus d’info ici