Le 9 avril 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL), en collaboration avec diverses autorités de régulation européennes, a prononcé une sanction de 525 000 euros à l’encontre de la société Hubside.Store.
La société proposait un formulaire de souscription à un jeu concours, dans lequel l’utilisateur acceptait de fournir ses données personnelles. Cependant, lorsqu’un individu consent au traitement de ses données personnelles, aucun fondement juridique ne l’oblige à accepter ce traitement par un responsable de traitement ultérieur. Ainsi, le traitement des données personnelles sans consentement préalable de la personne concernée constitue plusieurs manquements au règlement sur la protection des données personnelles (RGPD).
Par conséquent, la CNIL sanctionne la société Hubside.Store pour avoir acheté les données personnelles des utilisateurs à des fins de prospection commerciale.
- Les manquements au RGPD
La formation restreinte de la CNIL a ainsi pu relever un certain nombre de manquements reprochés à la société :
i) la réalisation de campagnes de prospection massives par voie électronique sans recueillir le consentement des personnes,
ii) l’absence de base légale pour les traitements mis en œuvre,
iii) l’absence d’information aisément accessible et complète sur les traitements effectués.
Plus précisément, la CNIL a retenu un manquement à la législation française et deux manquements au RGPD :
- Un manquement à l’article L.34-5 au Code des postes et communications électroniques par l’absence de recueil du consentement de la personne concernée pour traiter ses données à des fins de prospection commerciale.
- Un manquement à l’obligation d’informer les personnes (article 14 du RGPD) lors de la création d’un compte client ou l’adhésion au programme de fidélité du groupe. Le fait, que la société n’ait pas demandé de consentement explicite lors de la création d’un compte client ou lors de l’adhésion à son programme de fidélité constitue un manquement important aux principes de transparence et de légalité du traitement des données personnelles.
- Un manquement à l’obligation de base légale du traitement (article 6 du RGPD), le principe de l’intérêt légitime ne pouvant être invoqué que si les personnes sont informées de la finalité du traitement et des conditions qui entourent sa collecte. La transparence est fondamentale pour s’assurer de la compréhension claire des personnes quant à l’utilisation de leurs données et des droits qui en découlent.
- Pour aller plus loin :
La CNIL aurait également pu identifier d’autres manquements reprochés à Hubside.Store:
- Un manquement à l’obligation de transparence (article 5.1 a. du RGPD), le consentement n’étant pas éclairé lorsque le nom de la société est volontairement omis des politiques de confidentialité ou lorsque le bouton incite fortement les utilisateurs à accepter la transmission de leurs données.
- Un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (article 12 et 15 du RGPD) dans les délais
- Un manquement à l’obligation de respecter le droit d’opposition des personnes concernées (articles 12 et 21 du RGPD) en raison d’un défaut d’information.
- Un manquement à la sécurité des données personnelles (article 32 du RGPD) car la société permettait l’utilisation de coordonnées identifiables telles que le nom, prénom, adresse électronique, le téléphone, etc.
- La prospection commerciale comme pratique commerciale trompeuse
Dans le cadre du droit de la consommation, la prospection commerciale, lorsqu’elle est menée en conformité avec les règles de protection des données, présente de nombreux avantages. Elle permet notamment une meilleure compréhension des besoins individuels des consommateurs et une personnalisation de l’approche client.
Cependant, toute pratique commerciale qui ne respecte pas les normes de diligence professionnelle est considérée comme déloyale, voire, dans certains cas, trompeuse. En l’espèce, lorsque le responsable de traitement collecte des données afin de les revendre à un tiers, les finalités initiales pour lesquelles les données ont été collectées sont inévitablement altérées.
Par conséquent, lorsque les données sont utilisées à d’autres fins que celles initialement prévues, l’organisme acquéreur des données néglige ses obligations en matière d’information, de transparence et de licéité du traitement. Cette omission caractérise donc une pratique commerciale trompeuse, comme mentionné précédemment.
En outre, la notion de “pratique commerciale” apparaît très largement et englobe toutes les actions liées à la promotion, à la vente ou à la fourniture des biens ou des services aux consommateurs. Cette multitude d’opérations peut parfois entraîner des ambiguïtés ou des abus, ce qui souligne la nécessité d’une définition plus précise et restreinte pour limiter son champ d’application et garantir une meilleure protection des consommateurs.
- Situation récurrente :
Force est de constater que ce n’est pas la première fois que la CNIL sanctionne un organisme pour prospection commerciale déloyale.
Le 5 mars dernier, la CNIL prononçait déjà à l’encontre de la société Foriou une amende de 310 000 euros pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans avoir recueilli le consentement préalable des utilisateurs.
La récurrence de ces affaires, offerte par l’interopérabilité d’Internet, exprime une volonté de l’autorité régulatrice d’alerter les organismes contre de telles pratiques, rendues publiques. Ainsi, l’entité qui subit une perte financière et un impact sur sa réputation étudiera avec précaution les conséquences d’un traitement illégal.
En tenant compte de l’intérêt commercial, de l’ampleur et des conséquences de ces affaires, il était opportun pour la CNIL de prendre des mesures drastiques pour dissuader d’éventuelles violations au RGPD.
Amandine Derouet
Master 2 Cyberjustice – Promotion 2023/2024
Sources :
Article L121-1 du code de la consommation
Inspection commerciale- Société Foriou-310 000euros-CNIL
Légifrance décision rendue pour Hubside.Store
CURIA – Liste des résultats (europa.eu)
Prospection commerciale : sanction de 525 000 euros à l’encontre de la société HUBSIDE.STORE | CNIL