menu
Actualités
Publié le 28 novembre 2019 par Laure Marolleau

CNIL : amende de 500 000 euros à l’encontre d’une société spécialisée dans l’isolation thermique des logements pour démarchage téléphonique illégal

Démarchée très régulièrement par une société spécialisée dans l’isolation thermique des logements, une personne qui avait pourtant indiqué au téléopérateur qu’elle ne souhaitait pas être démarchée et avait exercé son droit d’opposition par courrier s’est plainte auprès de la CNIL.

Après un contrôle sur place et une mise en demeure, la CNIL impose une amende de 500 000 euros à la société au terme d’un recadrage des pratiques dans le domaine de la prospection commerciale téléphonique.

La société FUTURA INTERNATIONALE a pour activité l’installation d’équipements d’isolation, de pompes à chaleur et d’ouvrants, aux domiciles des particuliers. Dans le cadre de son activité, elle utilise les services de plusieurs centres d’appels principalement situés hors de l’Union européenne et qui effectuent pour elle des campagnes de prospection téléphonique.

Elle a continué à démarcher – par l’intermédiaire de téléopérateurs – une personne qui pourtant avait indiqué au téléphone ne plus vouloir être appelée et exercé son droit d’opposition par courrier.

Cette personne a fini par se plaindre auprès de la CNIL, qui a décidé de réaliser un contrôle dans les locaux de l’entreprise.

Ce contrôle lui a permis de constater que la société continuait de démarcher bien d’autres personnes malgré leur opposition, mais également que ses fichiers contenaient des commentaires excessifs concernant des clients, ou relatifs à leur état de santé, qu’elle n’informait pas les personnes sur le traitement de leurs données personnelles, ni même l’enregistrement de la conversation.

La CNIL a mis en demeure la société de se mettre en conformité au règlement général sur la protection des données (RGPD), en lui demandant d’adopter les mesures correctives nécessaires puis, constatant l’absence de mise en conformité, a engagé une procédure de sanction.

La délibération de la CNIL[1] est une belle illustration des tendances qui se dessinent dans la pratique de la CNIL que nous avons déjà évoquées[2] : près d’un contrôle sur quatre est provoqué par une plainte ou un signalement, ¾ des plaintes reçues par la CNIL portent sur le non-respect de l’exercice d’un droit, ¾ des amendes prononcées concernent des dossiers ouverts suite à une plainte ou un signalement. Si l’on ajoute à ces chiffres la décision prise par la CNIL d’inscrire le respect des droits des personnes dans sa stratégie de contrôle pour 2019, la délibération de la CNIL est tout sauf étonnante.

Revenons à la délibération et essayons d’en cerner les apports.

Application du RGPD dans le temps

Le RGPD est entré en application le 25 mai 2018, soit après le contrôle réalisé par la CNIL mais avant la mise en demeure de se mettre en conformité.

En rappelant le principe de non-rétroactivité de la sanction pénale, la CNIL qualifie les manquements en l’espèce de « manquements continus » (qui durent dans le temps), ce qui lui permet d’apprécier lesdits manquements au regard du RGPD.

Manquements en lien avec la prospection commerciale

Sur la base des investigations menées – sur place et sur pièces – en vue de vérifier la conformité de tous les traitements en lien avec la prospection commerciale (et plus particulièrement également d’instruire la plainte), la CNIL a constaté cinq manquements au RGPD. 

  • Présence de données non pertinentes (commentaires injurieux ou en lien avec la santé des personnes) dans le fichier client de la société 

L’article 5-1-c du RGPD exige que « Les données à caractère personnel doivent être : (…) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données). »

Or, lors de son contrôle, la CNIL a relevé la présence de termes injurieux et relatifs à l’état de santé des personnes dans le logiciel PROGIBOS de gestion de clientèle de la société, et considéré que ces termes étaient excessifs ou inadéquats.

Après la mise en demeure, la CNIL a constaté que la société avait simplement ajouté un bandeau d’information à destination des utilisateurs du logiciel. Or, vu « la nature des commentaires inscrits par les utilisateurs du logiciel », la CNIL a considéré que « le responsable de traitement doit mettre en place un système contraignant lui permettant de s’assurer que les comportements constatés ne sont pas réitérés, soit en empêchant automatiquement l’enregistrement de certains termes dès la saisie, soit en effectuant une revue automatisée quotidienne des commentaires enregistrés ».

  • Information insuffisante des personnes démarchées sur le traitement de leurs données personnelles et les droits dont elles bénéficient

Le RGPD exige que les personnes dont les données sont collectées, directement ou indirectement, soient informées en ce qui concerne le traitement « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » (Article 12), les informations étaient précisément listées (Articles 13 et 14).

Lors de son contrôle, la CNIL a eu accès à des enregistrements téléphoniques qui lui ont permis de constater que les personnes n’étaient « soit destinataires d’aucune information relative à l’enregistrement de l’appel soit sont simplement informées de l’enregistrement de la conversation sans qu’aucun autre information ne leur soit communiquée (…) ».

Après la mise en demeure, la CNIL a constaté que la société n’avait rien mis en place. A la société qui indiquait communiquer dorénavant des informations aux personnes sans en apporter néanmoins la preuve, la CNIL explique « qu’une information, même sommaire, doit lui être communiquée par l’intermédiaire du service vocal ou du téléopérateur, en lui offrant la possibilité d’obtenir communication d’une information complète soit grâce à l’activation d’une touche sur son clavier téléphonique, soit par l’envoi d’un courriel par exemple ».

  • Absence de prise en compte du droit d’opposition des personnes

L’article 21 du RGPD portant sur le droit d’opposition précise que « Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection. », étant précisé que l’article 12 requiert du responsable de traitement qu’il facilite l’exercice des droits dont ce droit d’opposition.

Lors de son contrôle, la CNIL a constaté l’absence de toute procédure permettant que l’opposition exprimée auprès de la société soit communiquée à ses sous-traitants téléopérateurs, et inversement que l’opposition exprimée auprès des téléopérateurs des centres d’appels soit centralisée au niveau du siège de la société (autrement dit, quelle que soit la modalité d’expression de l’opposition, celle-ci restait ineffective).

En outre, la CNIL relève l’absence de prise en compte de l’opposition exprimée par l’auteur de la plainte, mais également la présence d’emails reçus de personnes faisant état de plusieurs appels malgré leur refus.

Après la mise en demeure, la CNIL a constaté que la société n’était toujours pas en conformité avec les dispositions précitées. A la société qui indiquait avoir mis en place une liste d’opposition dans le logiciel, la CNIL a expliqué qu’au vu « des intérêts économiques que représente la prospection commerciale, tant pour la société FUTURA INTERNATIONALE que pour ses sous-traitants » et « du volume d’appels passés pour le compte de la société et troisièmement du nombre de personnes concernées (plus de 300 personnes avaient déjà fait part de leur opposition au jour de la séance), (…) seul un mécanisme automatisé présente un caractère suffisamment efficace pour garantir que l’opposition exprimée par les personnes concernées soit respectée ».

  • Défaut de coopération avec la CNIL

L’article 31 du RGPD exige que « Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions. »

En pratique, la CNIL reproche à la société d’avoir peu ou pas communiqué d’éléments de réponses et de justificatifs, tout en ayant bénéficié de prorogations de délais. Elle considère « que l’absence de réponse aux demandes formulées par les services de la CNIL et à la mise en demeure adressée par la présidente de la Commission, comme l’absence de prise en compte de ces demandes avant la notification d’un rapport de sanction, suffisent à démontrer, sinon la volonté clairement exprimée de ne pas donner suite aux sollicitations de la CNIL, à tout le moins un désintérêt flagrant pour ces sujets. »

  • Encadrement insuffisant des transferts de données personnelles vers des prestataires situés hors de l’Union européenne.

L’article 44 du RGPD prévoit que « Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si (…) les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant (…). Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis. »

Lors du contrôle, la CNIL a constaté que la société effectuait un transfert de données vers des pays considérés comme n’ayant pas un niveau de protection adéquat.

Après la mise en demeure, la CNIL a constaté que la société ne s’était pas mise en conformité. A la société qui indiquait avoir signé des contrats reprenant les clauses contractuelles types de la Commission européenne (qui est un mode d’encadrement des transferts parmi ceux offerts par le RGPD), la CNIL a expliqué que ces contrats étaient soit incomplets, soit non signés.

Sanctions

La CNIL a prononcé une amende de 500 000 euros.

Sur le principe, elle a retenu la persistance des manquements malgré la mise en demeure, le fait que les manquements portaient sur des obligations qui existaient bien avant le RGPD, dans la loi Informatique et Libertés, et affectaient les personnes concernées (notamment en ce qui concerne le droit d’opposition et l’encadrement des transferts internationaux).

Elle justifie le montant au vu des manquements (qui concernent les droits des personnes), en rappelant que le RGPD prévoit un montant maximum de 20 millions d’euros pour ce type de manquements. Elle juge que l’amende, qui représente 2,5% du chiffre d’affaires annuel de la société, n’est pas excessive eu égard au comportement de la société et à la gravité des manquements. A nouveau, elle insiste sur le fait que les manquements concernent les droits de personnes et que c’est la plainte d’une personne qui est à l’origine de l’affaire.

En outre, et puisque la société n’est toujours pas en conformité, la CNIL prononce une injonction de se mettre en conformité sous astreinte de 500 euros par jour de retard à l’issue d’un délai d’un mois à compter de la notification de sa délibération.

Enfin, elle décide de rendre publique sa décision en raison de l’importance de respecter les droits des personnes, a fortiori dans le contexte des pratiques de démarchage téléphonique.


[1] https://www.cnil.fr/fr/futura-internationale-sanction-de-500-000-euros-pour-demarchage-telephonique-illegal

[2] Cf. notre article intitulé Contrôles et sanctions : quels enseignements tirer de l’activité de la CNIL ? publié sur notre Blog en mai 2019