Un contexte de prospection commerciale classique avec achat de fichiers
Une société commerciale réalisait des opérations de prospection commerciale par téléphone pour vendre des cartes de fidélités. Les données utilisées pour la prospection avaient été acquises auprès de plusieurs fournisseurs de données qui procédant à la collecte des données par l’intermédiaire de formulaires de participation à des jeux-concours en ligne.
L’achat de fichiers de prospect n’est pas en soi interdit par le RGPD, mais l’acquisition va entrainer l’application de certaines règles de droit. Une de ces règles est l’article 6 du RGPD qui impose de disposer d’une base légale pour le traitement des données qui ont été collectées. Et c’est sur ce point que la CNIL fonde l’essentiel de sa décision de sanction.
La CNIL envisage en premier abord que la société puisse recourir à deux bases légales pour opérer le traitement de ses données : l’intérêt légitime du responsable de traitement ou le consentement des personnes.
L’article 6 du RGPD prévoit en effet six bases légales qui autorisent la collecte et le traitement de données personnelles, le responsable du traitement devant s’assurer d’avoir au moins une base légale l’autorisant à collecter des données. Notions au passage que cette obligation de disposer clairement d’une base légale n’était pas vraiment respectée par l’entreprise, la CNIL indiquant dans sa décision : “La formation restreinte relève que la société n’a pas été en mesure, ni dans ses observations écrites, ni dans ses observations orales lors de la séance, d’indiquer précisément sur quelle base légale elle se fondait pour procéder à de tels traitements”. Ce point est important, car il révèle en réalité un manquement à l’article 30 qui impose au responsable de traitement d’indiquer dans son registre la base légale utilisée dans son traitement (voir des exemples de registres RGPD ici). Cependant le manquement qui n’a pas été relevé par la CNIL.
Dans sa décision, l’autorité de contrôle écarte la possibilité pour l’entreprise de se fonder sur les intérêts légitimes du responsable de traitement car “la protection des intérêts, libertés et droits fondamentaux des personnes concernées prime sur les intérêts légitimes de la société”. Cette base légale est assez délicate à utiliser, et pour déterminer clairement s’il est possible d’y recourir il est nécessaire de réaliser un triple test, permettant de montrer que les droits des personnes ne priment pas sur les intérêts du responsable de traitement, ce que la société n’a pas été en mesure de démontrer.
Il nous reste donc le consentement comme base légale supposée. Et c’est le point central de cette décision.
La validité du consentement lors de l’achat de données prospects
L’entreprise avait décidé d’acheter des données personnelles à des courtiers. Cela impose donc, pour déterminer que le consentement a été valablement collecté, d’analyser la manière dont les courtiers ont procédé à l’acquisition de données. La CNIL relève à ce titre que “les courtiers en données auprès desquels se fournit la société FORIOU collectent lesdites données par l’intermédiaire de formulaires de participation à des jeux-concours en ligne, dont la conception ne permet pas aux utilisateurs de manifester leur consentement par un acte positif clair et dénué d’ambigüité, et les incite fortement à accepter la transmission de leurs données aux partenaires de la société à des fins de prospection”.
La CNIL rappelle qu’une telle collecte est réalisable : “s’agissant des opérations de prospection commerciale (…), le consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte de l’organisme qui réalisera les opérations de prospection ultérieures”. L’opération est donc théoriquement possible, à condition de s’être assuré que toutes les conditions relatives au consentement sont bien respectées. Toutefois, à défaut de consentement valable dans le cas d’espèce, le traitement était donc illicite.
La défense de l’entreprise est très intéressante, car celle-ci va renvoyer la responsabilité de la collecte des données sur le fournisseur auprès duquel elle a acheté les données, en répondant qu’elle avait passé un contrat pour ces acquisitions et qu’elle pouvait légitimement présumer que l’acquisition de données était licite.
La CNIL apporte à cet élément une réponse très importante :
“en sa qualité de responsable de traitement, la société FORIOU est tenue de vérifier elle-même que les conditions lui permettant de réaliser des opérations de prospection commerciale sont réunies. A cet égard, la responsabilité d’un organisme a pu être retenue en considérant qu’un simple engagement contractuel de son courtier en données à respecter le RGPD et les règles applicables en matière de prospection commerciale ne constituait pas une mesure suffisante (CNIL, FR, 24 novembre 2022, Sanction, n° D-SAN-2022-021, publié).” Et d’autre part (…) “la formation restreinte considère que les obligations contractuelles pouvant être imposées aux fournisseurs ne sauraient exonérer la société FORIOU de sa responsabilité en tant que responsable de traitement, malgré l’existence éventuelle d’une responsabilité des fournisseurs”
Ce point est essentiel, car il impose une nouvelle obligation pour les entreprises procédant à l’acquisition de fichiers prospects de systématiquement vérifier les processus d’acquisition des fournisseurs de données.
Ce point est assez positif pour la protection des données personnelles au regard du véritable “far-west” que constitue le métier des courtiers en acquisition de données, qui ont des pratiques souvent très loin de la réalité juridique. Toutefois, cela fait également peser un obligation lourde auprès des entreprises qui recourent à leurs services.
Le manquement à la sécurité informatique
De manière intéressante la CNIL relevait également lors de son audit un manquement à la sécurité informatique :
“La rapporteure relève que la société a indiqué conserver les données de ses clients pendant une durée de cinq ans à compter de la date de clôture du contrat, conformément aux délais légaux de prescription, précisant que ces données étaient conservées en base active, sans qu’aucun mécanisme d’archivage intermédiaire ne soit mis en œuvre. La rapporteure considère que ces modalités de conservation ne permettent pas de limiter l’accès aux données aux utilisateurs ayant besoin d’en connaître, dans la mesure où les personnes ayant intérêt à avoir accès à ces données pendant la durée du contrat continuent, même après la clôture de ce dernier, à pouvoir y accéder sans restriction pendant une durée de cinq ans, alors même que leurs fonctions ne leur imposent plus nécessairement d’en connaître.”
La CNIL opère de manière assez coutumière une distinction entre la conservation de données “en base active” et “en base archivage”, sans que celle-ci n’ait de réel fondement au sein du RGPD. Il est donc intéressant de voir la réponse de la société sur ce point :
“En défense, la société ne conteste pas (…) l’absence d’archivage intermédiaire, mais estime que la notion de " base active " constitue une terminologie restrictive dans la mesure où les informations accessibles durant la vie d’un contrat restent, pour la grande majorité d’entre elles, toujours nécessaires même après la clôture de ce dernier. Elle souligne également que la mise en place de mesures d’archivage intermédiaire pose la question du rapport entre l’effort d’investissement humain et financier qui serait nécessaire et le gain limité qui en découlerait”
Ce point est tout à fait pertiant et rappelle à la CNIL que l’idée d’une base active/archivage pouvait faire sens dans le cas de très gros systèmes informatiques de banques (en particulier dans les années 1970), mais dans la majorité des systèmes d’information aujourd’hui, cette distinction n’a plus beaucoup de justification, ni en termes d’efficacité, ni en termes de sécurité informatique.
La CNIL répond donc sur le fondement de l’article 32 du RGPD : “La formation restreinte rappelle qu’il résulte des dispositions de l’article 32 du RGPD que le responsable de traitement doit mettre en place des mesures appropriées pour assurer la confidentialité des données et éviter que ces dernières soient traitées de façon illicite par le fait de personnes qui n’ont pas besoin d’en connaître (CNIL, FR, 29 octobre 2021, Sanction, n°SAN-2021-019, publié).”
Ce point est justifié et constitue en réalité le point névralgique du manquement invoqué : la mise en place de mesures de sécurité destinées à protéger les données contre accès trop diffus au sein des organisations.
En l’occurence, la formation restreinte finit par considérer que le manquement n’était pas constitué au regard du fait qu’elle n’a pas été en mesure d’établir “que des personnes auraient accès auxdites données sans avoir besoin d’en connaître”.
Conclusion
Cette décision est une illustration intéressante de l’application du RGPD aux pratiques commerciales actuelles. Dans sa décision, la CNIL impose une obligation nouvelle aux responsables de traitement de vérifier que les process d’acquisition des données de leurs sous-traitants ne relèvent pas d’un ordre purement cosmétologique.
A lire également :
