La Cnil prononce une sanction publique pour manquement

Une société a fait l’objet d’un avertissement public de la Cnil pour manquement à la loi Informatique et libertés.

Cette société a pour activité principale la constitution d’une base de données relative aux « seniors » français qu’elle loue à des tiers effectuant de la prospection commerciale sous forme électronique.

Suite à une plainte déposée le 13 août 2013 d’une personne dénonçant l’absence de réponse de la société concernée à sa demande d’accès aux informations la concernant et à ses demandes d’opposition de communication de ses données à des tiers et à la prospection téléphonique, cette dernière a répondu de manière satisfaisante à la plaignante, ce qui a amené la Cnil à clôturer la plainte.

Cependant, et afin de s’assurer du respect des dispositions de la loi Informatique et libertés, la Cnil a effectué une mission de contrôle dans les locaux de cette société le 26 mars 2015, aboutissant à un avertissement public (1).

Ce contrôle sur place a conduit à la mise en exergue de nombreux manquements au regard de la loi Informatique et libertés.

ABSENCE DE FORMALITE – Le premier manquement constaté est relatif à l’absence de déclaration de la base de données auprès de la Cnil. En effet, cette société dispose d’une base de données relative aux « seniors » français. Or, il s’avère qu’elle n’avait pas déclaré ce traitement contenant des données à caractère personnel auprès de la Cnil, comme l’exige l’article 22-I de la loi Informatique et libertés. Par ailleurs, il est à noter que ce manquement est passible d’une sanction à a fois pécuniaire et pénale. La société a indiqué que cette formalité a depuis été réalisée.

COLLECTE DELOYALE – Le second manquement concerne la collecte déloyale des données. En application de l’article 6-1° de la loi Informatique et libertés, il s’avère que les données à caractère personnel qui sont collectées doivent l’être de manière loyale et licite. Par conséquent, cela conduit le responsable du traitement à informer ses clients de la finalité de la collecte et à s’assurer que cette collecte respecte bien les dispositions en vigueur, et en cela peut être qualifiée de licite.

Or, la Cnil indique que le script téléphonique utilisé afin de collecter les données des seniors concernés, n’indique pas la finalité de cette collecte. En effet, ce script laisse croire aux personnes interrogées qu’elles participent à une enquête sur la consommation des ménages français alors même qu’à cette finalité s’ajoute celle, non déclarée, de la constitution d’une base de données des seniors, futurs cibles de la prospection commerciale électronique des partenaires de la société concernée, à qui sera loué la base de données.

ABSENCE DE RECUEIL DE CONSENTEMENT PREALABLE – Le troisième manquement concerne l’absence de recueil de consentement préalable de la personne concernée à l’envoi de prospection commerciale par des tiers. En effet, il s’avère que les tiers, partenaires de la société envoient de la prospection commerciale aux personnes concernées, sans que ces dernières n’y aient préalablement consentie.

Or, en application de l’article L. 34-5 du Code des postes et des communications électroniques, et à moins que la prospection ne concerne des produits ou services analogues fournis par la même personne physique ou morale, le consentement à l’envoi de prospection commerciale par voie électronique doit être recueilli de manière préalable et express à tout envoi.

ABSENCE DE SECURITE DES DONNEES – De plus et en application des articles 34 et 35 de la loi Informatique et libertés, le responsable du traitement a l’obligation de mettre en place des mesures garantissant la sécurité et la confidentialité des données. De plus, de telles mesures doivent également être mises en place par un sous-traitant, lorsque le responsable du traitement fait appel à un prestataire agissant en son nom et pour son compte.

En l’espèce, la Cnil relève que la société, en tant que responsable du traitement, ne met pas en place des mesures satisfaisantes pour garantir la sécurité et la confidentialité des données. En effet, elle constate que :

• des données sont transférées à des prestataires de manière non sécurisée ;
• les mots de passe utilisés ne sont pas robustes, ce qui signifie qu’ils ne font pas minimum 8 caractères alphanumériques et qu’ils ne sont pas renouvelés régulièrement, soit tous les trois mois ;
• une politique d’habilitation n’existe pas.

De plus, la Cnil a pu constater qu’aucun contrat n’a été conclu avec ses sous-traitants et que seul un contrat a été conclu avec l’hébergeur mais qu’aucune clause relative à la confidentialité et à la sécurité des données n’est implémentée.

ABSENCE D’ENCADREMENT DE TRANSFERTS DE DONNEES EN DEHORS DE L’UNION EUROPEENNE – Il a été relevé que la société envoie des données à caractère personnel en dehors de l’Union européenne et notamment à l’Ile Maurice. Or, lorsqu’un flux transfrontière existe, il convient de vérifier si le pays concerné propose un niveau de protection adéquat. En l’espèce, l’Ile Maurice ne propose pas un niveau de protection adéquat, ce qui conduit à devoir encadrer de manière spécifique ce transfert.

En l’espèce, la Cnil souligne qu’aucun contrat n’a été conclu avec le sous-traitant situé à l’Ile Maurice et qu’aucune formalité n’a été effectuée auprès d’elle afin d’autoriser ce transfert.

Cette délibération de la Cnil permet de reprendre les grands principes de la loi Informatique et libertés devant absolument être appliqués pour la mise en œuvre de tout traitement de données à caractère au sein d’une entreprise.

Par conséquent, il est fortement recommandé de vérifier que :

• tous les traitements présents dans une entreprise ont bien été déclarés ;
• la collecte de données à caractère personnel est bien licite et loyale et que la finalité du traitement est clairement et précisément présentée à la personne concernée ;
• le consentement de la personne concernée à recevoir de la prospection commerciale par voie électronique a bien été recueilli de manière express et préalablement à tout envoi ;
• les contrats conclus avec les prestataires et les sous-traitants contiennent tous une clause relative à la sécurité et à a confidentialité des données ;
• les envois de données à caractère personnel en dehors de l’Union européenne sont bien tous correctement encadrés.

Pour s’en assurer, il convient de mener une mission d’audit Informatique et libertés au sein de son entreprise.

Lexing Alain Bensoussan Avocats
Lexing, Droit Informatique et libertés

(1) Cnil, Délib. 2015-454, 21-12-2015 Profils Seniors.