BLACK FRIDAY -20% SUR TOUTES NOS FORMATIONS !

Nouvelle sanction de la CNIL envers Indexia (ex-Sfam) pour violation du RGPD

Nouvelle sanction de la CNIL envers Indexia pour violation du RGPD

Le 04 avril dernier, la CNIL a sanctionné une filiale du groupe Indexia, courtier spécialisé en assurances affinitaires, d’une amende de 525 000€. C’est la société Hubside Store, spécialiste dans la vente de produits reconditionnés, qui est concernée par cette décision. Cette dernière est accusée d’avoir utilisé des données fournies par des courtiers en données à des fins de prospection commerciale sans recueillir le consentement préalable des personnes concernées.

Hubside Store mène des campagnes de démarchage par téléphone et par SMS afin de promouvoir les produits vendus dans ses boutiques à savoir des téléphones portables, des ordinateurs, des accessoires de téléphonie, etc. Les informations des prospects démarchés sont achetées auprès de courtiers en données, éditeurs de sites de jeux-concours et de tests de produits. La CNIL considère que les formulaires de collecte utilisés par les courtiers étaient trompeurs et ne permettaient pas d’obtenir un consentement valide des personnes démarchées par téléphone.

La société Hubside Store ne pouvait donc pas mener légalement ses opérations de prospection par SMS (violation des dispositions de l’article L. 34-5 du code des postes et communications électroniques ou CPCE) et par téléphone (violation des dispositions de l’article 6 du règlement général sur la protection des données ou RGPD). 

De plus, la formation restreinte (organe de la CNIL chargé de prononcer les sanctions) a jugé que la filiale d’Indexia ne fournissait pas aux personnes une information adéquate lors de ses activités de prospection téléphonique, en violation de l’article 14 du RGPD.

L’amende de 525 000€ prononcée par la CNIL équivalant à environ 2% du chiffre d’affaires de la société, a été fixée en tenant compte de la gravité des manquements retenus et de la responsabilité endossée par l’organisme utilisant les données collectées mais aussi au fait que la société Hubside Store utilise massivement la prospection commerciale.

Plusieurs manquements ont été relevés : 

  1. Manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (article L.34-5 du CPCE),
  2. Manquement à l’obligation de disposer d’une base légale pour les traitements mis en oeuvre (article 6 du RGPD),
  3. Manquement à l’obligation d’information (article 14 du RGPD).

1. Manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (article L.34-5 du CPCE)

La formation restreinte estime que l’apparence trompeuse des formulaires de collecte utilisés par les courtiers en données ne permet pas de recueillir un consentement libre et univoque conforme aux exigences du RGPD.

Exemples des formulaires utilisés par la société Hubside Store :

Nouvelle sanction de la CNIL envers Indexia (ex-Sfam) pour violation du RGPD

La CNIL affirme qu’il appartient à la société, en tant qu’utilisatrice des données recueillies, de s’assurer que les personnes concernées ont formulé un consentement valide. Il a été relevé que, même si la société a imposé certaines exigences contractuelles à ses fournisseurs de données au préalable, aucun contrôle effectif de ces exigences n’a été opéré ensuite. La CNIL a ainsi observé une part significative de fichiers de prospects non conformes.

2. Manquement à l’obligation de disposer d’une base légale pour les traitements mis en oeuvre (article 6 du RGPD)

Concernant la prospection téléphonique, la formation restreinte a souligné que, bien que cette pratique puisse être justifiée par l’intérêt légitime de l’entreprise, il est impératif que les personnes concernées soient informées, au moment de la collecte de leurs données, qu’elles pourraient recevoir des offres de prospection commerciale de la part d’Hubside Store.

La CNIL a également observé que les formulaires de jeux-concours, à partir desquels les informations des données étaient recueillies, n’affichaient pas systématiquement la société Hubside Store dans la liste des partenaires autorisés à démarcher les personnes concernées.

3. Manquement à l’obligation d’information (article 14 du RGPD)

Les vérifications effectuées ont révélé que les individus contactés par téléphone ne disposaient pas de toutes les informations essentielles concernant la collecte et l’utilisation de leurs données personnelles. Ces informations comprennent, entre autres, l’identité et les coordonnées de l’organisme, les objectifs de l’utilisation des données, les périodes de conservation, la source de données, leurs droits ainsi que la possibilité de déposer plainte auprès de la CNIL.

Ces informations sont indispensables pour permettre aux personnes concernées d’exercer leurs droits, tels que celui d’accéder à leurs données, de les modifier ou de s’opposer à de futures sollicitations de manière simple et gratuite.

Cette décision de la CNIL peut faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

Rédigé par :
Date :
Thèmes :
Partager cet article :

Autres actualités en lien

engrenages (1)

Une question, un besoin,
un mot doux ?

Vous souhaitez télécharger nos catalogues ?
Votre formation a été ajouté
à votre sélection