La CNIL a prononcé une sanction de 500 000 euros ainsi qu’une injonction de se mettre en conformité sous astreinte à l’encontre de la société de démarchage téléphonique FUTURA INTERNATIONALE le 21 novembre 2019. Cette sanction faisait suite à la plainte d’une personne démarchée et à un contrôle de la CNIL. La société condamnée traitait de données clients et prospects obtenues par différents canaux et notamment par l’intermédiaire de centres d’appel situés hors Union européenne.
Lors des contrôles effectués par la CNIL, il ressortait qu’en dépit des courriers d’opposition à la prospection envoyés par un nombre important de particuliers, ladite société ne cessait pas les appels. De plus d’autres manquements étaient signalés comme l’enregistrement des appels par les téléopérateurs des sous-traitants sans information des particuliers ou encore le renseignement de zones de champ libre par ces mêmes téléopérateurs, avec des mentions relatives à l’état de santé des personnes démarchées ou des propos injurieux à leur encontre.
Cette délibération est intéressante à plusieurs titres :
1/ Sur le droit en vigueur :
La CNIL a indiqué dans sa délibération que le droit en vigueur au moment des faits à l’origine de sa saisine était la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Pour autant, les manquements étaient continus puisqu’ils avaient commencé avant l’entrée en vigueur du RGPD et perduré après cette date. Dès lors, les violations relevées devaient faire échec au principe de non rétroactivité puisqu’il convenait de tenir compte de la loi applicable lors du dernier état du manquement. Aussi, le RGPD avait vocation à s’appliquer à l’espèce.
2/ Sur les manquements constatés :
La CNIL a relevé plusieurs manquements et notamment celui concernant le droit à l’information des personnes des articles 12, 13 et 14 du règlement. En effet, l’information dont devaient bénéficier les particuliers ne devait pas se limiter à mentionner l’enregistrement de l’appel mais inclure notamment la finalité du traitement, l’identité du responsable de traitement ou encore les droits dont disposait la personne sollicitée. Ce qui n’était pas le cas.
Par ailleurs, la CNIL a souligné que le droit d’opposition supposait la mise en place d’un mécanisme effectif permettant de s’assurer que l’opposition exprimée par une personne démarchée auprès d’un sous-traitant puisse être centralisée et retransmise au responsable de traitement. Etait ainsi insuffisant un simple tableau recensant les oppositions, eu égard au nombre d’appels important que réalisaient chaque jour les téléopérateurs. Le fait de ne pas traiter le nombre significatif de demandes transmises par les personnes concernées caractérisait l’absence de procédure de réponse efficace.
Autre impératif mis en avant par la CNIL, celui d’un encadrement contractuel effectif des transferts de données à caractère personnel hors de l’Union européenne. En l’espèce, la société effectuait un transfert de données vers des Etats considérés comme n’assurant pas un niveau de protection adéquat au regard de l’article 45 du RGPD (Côte d’Ivoire, Maroc, Tunisie) et à destination de 36 centres d’appel.
Enfin, les notes internes rédigées par les sous-traitants concernant les personnes contactées et à destination des salariés de la société condamnée constituaient un traitement de données à caractère personnel qui devait être adéquat, pertinent et limité. Plus qu’une simple purge de tels commentaires, un système de détection automatique de ces propos inadéquats et excessif était nécessaire pour en empêcher automatiquement la saisie.
Quels enseignements retirer de cette délibération de la CNIL ?
1/ Un courrier d’information concernant le recueil de données, postérieurement à l’appel, n’est pas suffisant au regard de l’article 13 du RGPD. Il est nécessaire que l’information soit fournie au moment de la collecte des données personnelles et donc pendant l’appel. Information qui doit être exhaustive.
2/ Le droit d’opposition doit faire l’objet d’une attention particulière en matière de démarchage téléphonique. Le responsable de traitement doit ainsi mettre en place un système garantissant l’effectivité de ce droit (tel est le cas par exemple d’un système automatisé empêchant un téléopérateur d’appeler un numéro présent sur la liste d’opposition).
3/ Un transfert de données personnelles hors de l’Union européenne suppose des mesures adéquates effectives et notamment dans le cadre du recours à des sous-traitants. Des clauses contractuelles non adoptées par la Commission européenne ni par une autorité de contrôle se révèlent insuffisante. De plus ces clauses doivent être soumises au droit de l’Etat membre exportateur des données (en l’occurrence la France).
4/ Enfin, cette délibération démontre en creux la nécessité de mettre en place une gouvernance en matière de données personnelles. L’absence de coopération avec la CNIL est ici sanctionnée au vu de l’absence claire de prise en compte de ses demandes.