Nouvelle sanction CNIL contre le groupe CANAL+
Quand la CNIL sanctionne des organismes connus du grand public, elle ne manque pas de rendre ces sanctions publiques. C’est le cas d’une de ses récentes sanctions contre le groupe CANAL+ ; une société audiovisuelle spécialisée dans la commercialisation, la distribution et l’édition de chaînes de télévision payante bien connues du public français.
Il s’agit d’ailleurs d’une première sanction pour le secteur, ce qui montre bien les centres d’intérêts divers de la CNIL. Avec une sanction à 600 000 €, le groupe CANAL+ se hisse sur le podium des sanctions de la CNIL pour 2023 (la médaille d’or revenant toujours pour le moment à la société CRITEO, affaire que nous avions d’ailleurs décortiquée dans un article plus tôt cette année.)
Mais que s’est-il passé pour que le groupe CANAL+ se retrouve face à la CNIL ?
Comme pour beaucoup d’organismes qui attirent l’attention de la CNIL, ce sont les réclamations de personnes physiques qui ont interpellé cette dernière : trente et une (31) pour être exact, que la CNIL reçoit entre novembre 2019 et janvier 2021. Les plaintes concernent notamment un démarchage téléphonique peu vertueux, la transmission de données bancaires et le non-respect de l’exercice des droits des personnes.
En janvier 2021, la CNIL commence donc ses opérations de contrôle. D’abord un contrôle en ligne, suivi d’un contrôle sur pièces, avant de procéder à de nombreux échanges lors d’une formation restreinte pour finalement aboutir à une sanction en 2023.
Découvrons ensemble les éléments qui ont permis à la CNIL de sanctionner le groupe CANAL+.
Une affaire de prospection en BtoC
Il ressort des faits que les activités de prospection mises en œuvre par la société reposent sur des données provenant de « fournisseurs ». Pour le groupe, c’est à ces derniers d’obtenir le consentement des personnes physiques avant de les lui transmettre et pour qu’il puisse les utiliser pour réaliser ces opérations de démarchage. Seul hic : la CNIL considère que le consentement obtenu n’est pas valable.
Pour rappel, un consentement valable répond à quatre critères : il est donné librement, il est informé, il est spécifique et il est univoque. En l’espèce, la CNIL considère que le critère qui n’a pas été respecté est celui d’information.
Il s’agit ici d’un éclairage de taille quant à la cession de données à caractère personnel dans le cadre d’opération de prospection. La CNIL indique ici que les « prospects, en cochant la case prévue sur les formulaires de collecte pour donner leur consentement à recevoir de la prospection commerciale par voie électronique, n’ont pas valablement consenti à recevoir de la prospection de la part de la société GROUPE CANAL+, dans la mesure où ils n’ont pas été informés de l’identité de ce prospecteur pour le compte duquel le consentement serait collecté, l’information n’étant pas disponible sur les formulaires de collecte ou via un lien URL cliquable. »
Pour beaucoup, ce qui était considéré jusqu’à présent comme une bonne pratique (le fait de rendre accessible une liste de « partenaires commerciaux ») devient donc une obligation afin de respecter le critère de consentement informé !
Le groupe tente d’ailleurs de défendre sa cause : l’obligation en matière de recueil de consentement n’est pas aussi précise que ce que la CNIL avance. L’autorité de contrôle n’en démordra cependant pas : le recueil du consentement doit être assorti d’une information précise quant aux destinataires des données. L’interprétation de la CNIL s’appuie ici sur le CPCE (codes des postes et des communications électroniques), le RGPD et les lignes directrices du comité européen de la protection des données sur le consentement.
Côté information, la CNIL ne s’arrête pas là.
Une affaire d’information
Autres défauts sanctionnés par l’autorité de contrôle française : des manquements liés à l’information fournie aux personnes concernées.
Dans un premier temps, cette dernière critique le contenu d’une page « Données personnelles et confidentialité » utilisée par le groupe pour informer les utilisateurs lors de la création d’un compte pour le service MyCanal. Selon elle, le contenu était imprécis (sur les durées de conservation par exemple), incomplet (il ne mentionnait pas le droit de réclamation auprès de la CNIL) et difficilement accessible, puisque pour avoir accès à une information complète, l’utilisateur devait compiler de nombreuses informations. Ces défauts ont été corrigés par le groupe mais un point noir subsistait.
Lors des opérations de démarchage téléphonique, la CNIL a pu constater un défaut d’information fréquent pour certains interlocuteurs. Le démarchage étant réalisé par un sous-traitant, une mention d’information répondant aux exigences de l’information liée à la collecte indirecte de données (article 14 du RGPD) aurait dû être prévue. Bien entendu, ce n’était pas le cas pour tout le monde. Si certains prospects bénéficiaient d’une information (parfois incomplète), d’autres n’y accédaient pas.
Ici, aucun doute sur l’existence du défaut : les enregistrements des appels ont permis à la CNIL de vérifier l’absence d’information des personnes.
Une affaire de droits
Pour couronner le tout, la CNIL pointe du doigt des défauts relatifs aux traitements des demandes de personnes concernées. Ici, le groupe se défend bien.
S’il ne parvient pas à démontrer qu’il répond aux demandes d’information des personnes ou au respect de leur droit d’accès, il parvient à justifier qu’il a bien su traiter toutes les autres demandes reçues. Ce qui fait défaut, c’est qu’il ne prévient pas toujours la personne du traitement effectif de sa demande.
Il s’agit d’un cas assez classique : un organisme reçoit une demande de suppression ou de rectification, la traite mais oublie de le signaler. L’individu à l’origine de la demande considérant que sa demande n’a pas été traitée peut alors déposer une plainte à la CNIL et, si le cas est suffisamment intéressant, la CNIL décide de réaliser un contrôle…
Enfin la CNIL se prononce également sur des défauts de sécurité, des défauts contractuels et sur des défauts de gestion de violations de données à caractère personnel, et plus précisément sur un défaut de notification alors qu’elle peut constater par voie de faits qu’il y a bien violation.
Ces défauts s’empilent et alourdissent la sanction prononcée par la CNIL, ce qui nous permet de tirer plusieurs enseignements :
- Le respect des droits des personnes est fondamental pour la conformité RGPD : gardez à l’esprit qu’un contrôle de la CNIL peut être en lien avec une réclamation d’une personne concernée, mais qu’il permet à la CNIL de passer au crible toutes vos activités de traitement.
- Le consentement des personnes ainsi que l’information relative aux traitements sont également deux points essentiels : il est peut-être temps de revoir le niveau d’information délivré à vos personnes concernées ?
- Enfin, choisir de ne pas notifier la CNIL en cas de violations de données est un risque pour vous, le contraire n’est pas vrai. On vous invite à revoir le webinaire de la CNIL si le sujet est toujours flou pour vous.
Et si vous ne savez pas par quel bout prendre ces différents sujets, faites appel à RGPD Academy ! Nous pouvons vous accompagner et vous guider lors de nos ateliers individuels sur ces différentes thématiques.
On vous dit à bientôt pour une nouvelle publication !
Pour lire la délibération en entier, c’est par ici.