Le 4 avril 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL) a marqué les esprits en infligeant une amende conséquente de 525 000 euros à la société HUBSIDE.STORE. Cette dernière est reprochée d’avoir exploité des données issues de courtiers sans vérification préalable du consentement des individus à recevoir des sollicitations commerciales. Cette sanction intervient dans un contexte où la réglementation en matière de protection des données personnelles se durcit, soulignant l’importance pour les entreprises de veiller scrupuleusement au respect des normes en vigueur.
HUBSIDE.STORE, connue pour ses activités de vente de produits électroniques tels que les téléphones portables et les ordinateurs, s’est retrouvée sous les feux de la critique suite à ses méthodes de prospection commerciale. Pour ses campagnes de démarchage, l’entreprise s’approvisionnait en données de potentiels clients auprès de courtiers en données, issus notamment de sites proposant des jeux-concours et des tests de produits.
Les enquêtes menées par la CNIL ont révélé que les méthodes de collecte de données par ces courtiers étaient loin d’être transparentes. Les formulaires utilisés présentaient une conception pouvant induire en erreur les participants, ce qui ne permettait pas de garantir un consentement libre et éclairé, conforme aux exigences du RGPD.
Les manquements sanctionnés
La CNIL a identifié plusieurs violations significatives des réglementations en vigueur :
- Consentement invalide : La collecte des données pour la prospection par SMS s’est faite sans obtenir un consentement valide des personnes, violant ainsi l’article L.34-5 du CPCE.
- Absence de base légale : Concernant la prospection téléphonique, l’entreprise n’a pas su démontrer qu’elle disposait d’une base légale pour le traitement de ces données, comme l’exige l’article 6 du RGPD.
- Manquement à l’obligation d’information : Les individus contactés n’étaient pas suffisamment informés sur l’usage de leurs données personnelles, en contradiction avec l’article 14 du RGPD.
Cette sanction financière, représentant environ 2 % du chiffre d’affaires de HUBSIDE.STORE, reflète la gravité des manquements constatés ainsi que la quantité significative de données traitées sans consentement adéquat. La décision de la CNIL a été prise en coopération avec les autorités de contrôle d’autres États membres de l’Union européenne, soulignant l’importance d’une approche coordonnée dans l’application du RGPD à l’échelle européenne.
Comment obtenir un consentement valide ?
Obtenir un consentement valide dans le cadre du Règlement Général sur la Protection des Données (RGPD) est crucial pour toute entité traitant des données personnelles au sein de l’Union européenne. Ce processus doit respecter plusieurs critères clés pour être considéré comme conforme. Voici une approche étape par étape pour s’assurer de la validité du consentement :
1. Informer de manière transparente
Avant de recueillir le consentement, il est impératif d’informer les personnes de manière claire et compréhensible sur :
- L’identité de l’organisme collectant les données,
- Les finalités du traitement pour lesquelles les données personnelles sont destinées,
- Les types de données collectées,
- Les droits des personnes concernées, y compris le droit de retirer leur consentement à tout moment.
2. Assurer une action positive claire
Le consentement doit être donné par un acte affirmatif clair, indiquant une volonté libre, spécifique, éclairée et univoque de la personne concernée d’accepter le traitement de ses données personnelles. Cela peut prendre la forme d’une case à cocher (non cochée par défaut), d’une signature physique ou électronique, d’une déclaration verbale, etc.
3. Séparer les consentements
Lorsque plusieurs types de traitement ou finalités sont envisagés, il est nécessaire de recueillir un consentement séparé pour chacun d’entre eux, permettant aux personnes de choisir précisément ce à quoi elles consentent.
4. Permettre le retrait du consentement facilement
Les individus doivent pouvoir retirer leur consentement aussi facilement qu’ils l’ont donné. Les procédures de retrait doivent être simples et accessibles, et les personnes doivent en être informées dès le début.
5. Conserver la preuve du consentement
Il est important de conserver une trace du consentement donné, y compris des informations sur quand et comment le consentement a été obtenu. Cela peut s’avérer crucial en cas de contrôle par les autorités de protection des données.
6. Évaluer régulièrement
Le consentement doit être considéré comme un processus continu. Les organisations doivent régulièrement réévaluer leurs procédures de consentement pour s’assurer qu’elles restent conformes aux attentes des personnes concernées et aux exigences légales.
7. Respecter les exigences spécifiques pour les mineurs
Pour les services de la société de l’information offerts directement aux enfants, le RGPD impose des conditions spécifiques sur le consentement, notamment l’âge auquel un enfant peut consentir par lui-même aux services en ligne (qui varie entre les États membres, mais ne peut être inférieur à 13 ans).
Comment déterminer une base légale ?
Déterminer une base légale pour le traitement des données personnelles est un prérequis fondamental du Règlement Général sur la Protection des Données (RGPD) de l’Union européenne. Le RGPD stipule que tout traitement de données personnelles doit avoir une base légale clairement définie avant que ce traitement ne commence. Voici les bases légales disponibles pour le traitement des données personnelles, telles qu’énoncées dans l’article 6 du RGPD :
1. Consentement
Le traitement est autorisé si la personne concernée a donné son consentement pour le traitement de ses données personnelles pour une ou plusieurs finalités spécifiques. Le consentement doit être libre, spécifique, éclairé et univoque.
2. Exécution d’un contrat
Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie, ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci.
3. Obligation légale
Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis. Cela concerne les cas où le traitement des données est imposé par la loi.
4. Protection des intérêts vitaux
Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique. Cette base est principalement applicable dans des situations d’urgence, comme les traitements médicaux d’urgence.
5. Tâche d’intérêt public ou exercice de l’autorité publique
Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cela s’applique souvent aux organismes gouvernementaux ou aux entités agissant sous leur délégation.
6. Intérêts légitimes
Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf si les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent la protection des données personnelles prévalent, notamment lorsque la personne concernée est un enfant.
Comment déterminer une base légale appropriée ?
Pour choisir la base légale la plus appropriée pour un traitement donné, il est important de considérer la nature de la relation avec la personne concernée, le but du traitement, et si le traitement est nécessaire pour atteindre ce but. Voici quelques conseils pour guider ce processus :
- Évaluer le but du traitement : Clarifiez la finalité du traitement des données et identifiez la base légale la plus pertinente pour cette finalité.
- Considérer la nécessité : Vérifiez si le traitement est strictement nécessaire pour atteindre la finalité visée sous la base légale choisie.
- Prendre en compte les attentes de la personne concernée : Réfléchissez à ce que la personne concernée raisonnablement s’attend à ce que ses données soient traitées de la manière envisagée.
- Évaluer l’équilibre des intérêts : Si vous envisagez de vous appuyer sur les intérêts légitimes, effectuez une évaluation pour vous assurer que les intérêts du responsable du traitement ne sont pas supplantés par les intérêts ou les droits et libertés de la personne concernée.
Choisir la base légale appropriée est crucial non seulement pour assurer la conformité avec le RGPD, mais aussi pour maintenir la confiance et la transparence avec les personnes concernées.
Mettre en place l’obligation d’information ?
Mettre en place l’obligation d’information, comme stipulé dans le Règlement Général sur la Protection des Données (RGPD), nécessite une approche réfléchie pour assurer que l’information est communiquée de manière claire, accessible et efficace. Voici quelques astuces et meilleures pratiques pour réussir cette mise en œuvre :
1. Utiliser un langage clair et simple
Évitez le jargon juridique ou technique complexe. Utilisez un langage simple et direct pour que l’information soit facilement compréhensible par tous, quel que soit leur niveau de connaissance du RGPD.
2. Structurer l’information
Organisez l’information de manière logique, en utilisant des titres, des sous-titres et des listes à puces pour améliorer la lisibilité. Une bonne structuration aide les utilisateurs à trouver rapidement les informations qu’ils cherchent.
3. Fournir l’information par couches
Présentez un résumé des informations les plus importantes avec la possibilité pour l’utilisateur de cliquer pour en savoir plus. Cela permet de ne pas submerger l’utilisateur tout en lui donnant accès à des détails supplémentaires s’il le souhaite.
4. Utiliser différents formats
En plus du texte, envisagez d’utiliser des infographies, des vidéos explicatives ou des FAQ pour rendre l’information plus accessible et engageante.
5. Mettre en évidence les points clés
Assurez-vous que les informations essentielles, telles que les finalités du traitement des données, l’identité du responsable du traitement, les droits des personnes concernées et les moyens de les exercer, sont immédiatement visibles et faciles à comprendre.
6. Actualiser l’information
Maintenez à jour les informations relatives à la protection des données. Si des changements significatifs sont apportés aux politiques de traitement des données, informez-en les personnes concernées de manière proactive.
7. Être transparent sur le partage des données
Informez clairement si les données seront partagées avec des tiers et, dans ce cas, avec qui et pour quelles raisons. La transparence renforce la confiance.
8. Fournir des informations sur les droits des personnes
Expliquez clairement comment les individus peuvent exercer leurs droits en vertu du RGPD, tels que le droit d’accès, de rectification, d’effacement, de limitation du traitement, et le droit à la portabilité des données.
9. Indiquer les coordonnées pour plus d’informations
Fournissez des détails sur comment contacter le Délégué à la Protection des Données (DPO) ou le service client pour toute question ou demande concernant les données personnelles.
10. Utiliser des exemples pour clarifier
Des exemples concrets peuvent aider à clarifier comment les données sont utilisées dans la pratique, rendant ainsi l’information plus tangible et pertinente pour l’utilisateur.