Ce n’est pas la dernière sanction en date, mais c’est une qui a retenu notre attention. Pourquoi ? Des manquements hors normes ? Une violation de données horrible ? Non.
C’est l’entité sanctionnée qui nous a surpris ! Un organisme de voyance en ligne : le premier pour la CNIL ! On ne peut pas s’empêcher de penser qu’ils ne l’avaient pas vu venir celle-là.
Côté manquements principaux, peu de nouveautés. Il s’agit pour la majorité de manquements que la CNIL sanctionne régulièrement.
Un manquement relatif aux cookies
Le manquement concernait ici le défaut de consentement nécessaire pour le dépôt de certains cookies, doublé d’une absence de bandeau d’information relatif à ces derniers. Le défaut a été corrigé au cours de la procédure de contrôle de la CNIL en mettant en place les éléments nécessaires.
Le défaut du respect du principe minimisation sur plusieurs fronts
La CNIL a relevé que la société enregistrait systématiquement l’intégralité de ces appels (prospects comme clients) pour des finalités liées à la qualité du service, à la collecte de preuves de souscription du contrat et dans la perspective de réquisition.
Pour rappel, la CNIL s’est déjà prononcée sur les dispositifs d’enregistrement des appels (sur le lieu de travail et également pour établir la preuve de la formation d’un contrat) ; ce qu’il en ressort est que l’enregistrement doit rester ponctuel et limité au cas où il répondrait effectivement aux nécessités précitées. Un enregistrement systématique de l’intégralité des appels est très vite disproportionné et peut générer une collecte interdite de données hautement personnelles ou de données sensibles.
Le défaut de base légale
Du côté des données hautement personnelles et données sensibles, l’organisme de voyance a fait un carton plein. La CNIL reproche à l’organisme de conserver des informations bancaires ainsi que des données sensibles sans base légale adéquate.
Pour les données bancaires qui sont conservées pour faciliter l’achat de nouvelles consultations, le consentement est nécessaire. Il en va de même pour la collecte des données sensibles, fournies lors des consultations de voyance par les clients. On vous l’avait déjà dit et la CNIL le rappelle ici, ce n’est pas parce qu’une personne vous fournit des informations à l’oral qu’elle a consenti à leur traitement.
La CNIL fournit des indications sur la manière de recueillir un consentement conforme au RGPD ici.
Le défaut du respect de principe de sécurité et un manquement à l’obligation de notification de violation de données
Les défauts de sécurité sont fréquents dans de nombreux organismes ; certains plus faciles à éviter que d’autres. Les reproches de la CNIL visaient ici la sécurité du site internet et la sécurité des données bancaires. Si l’organisme avait pris connaissance du Guide sécurité de la CNIL, les deux défauts auraient probablement pu être évités.
Les violations de données à caractère personnel sont quant à elles parfois difficiles à prédire… mais quand on les découvre, il faut agir ! Il est rare de voir le défaut de notification comme un manquement sanctionné par la CNIL mais dans cette affaire, il est bien présent.
En résumé, l’organisme a été informé d’une violation de données le concernant par un journaliste et n’a pas notifié la CNIL, considérant qu’il n’était pas capable de constater la violation et que la violation provenait d’un sous-traitant.
La CNIL rappelle ici que l’obligation de notification de violation de données repose bien sur le responsable du traitement et non pas sur le sous-traitant. Elle rappelle également que lorsque l’organisme a été informé de la violation par le journaliste, il avait les éléments nécessaires pour constater la violation.
On aimerait vous rappeler, de notre côté, que notifier la CNIL ce n’est pas comme tirer une sonnette d’alarme pour lui dire « venez me contrôler ! ». Vous ne nous croyez pas ? Le webinaire de la CNIL sur les violations est là pour démystifier le sujet !
Pour l’ensemble de ces défauts, l’organisme écope d’une sanction de 150 000€ dans le cadre du guichet unique : pour éviter de reproduire ces mêmes défauts chez vous, on vous encourage à consulter les ressources de la CNIL ! Et si vous n’y trouvez pas ce que vous voulez, contactez-nous !
