.
Les données recueillies à partir de formulaires de participation à des jeux-concours en ligne, ne peuvent être utilisées pour faire la promotion d’une activité différente, sans le consentement des personnes concernées.
Le 31 janvier 2024, la CNIL a rappelé cette évidence dans une décision prise à l’encontre d’une société spécialisée dans la gestion de programmes de fidélité, utilisant des données collectées dans le cadre de jeux-concours pour promouvoir son activité.
Non-respect de l’obligation de traitement licite des données personnelles
L’article 6 du Règlement Général sur la Protection des Données (RGPD) prévoit que pour être licite, tout traitement de données personnelles doit est justifié par une base légale.
Cependant, en matière de prospection commerciale par appels téléphoniques les seules bases légales admissibles sont l’intérêt légitime de la société ou le consentement de la personne concernée.
En l’espèce, la société condamnée n’a pas été en mesure de justifier clairement le fondement juridique de son traitement des données collectées à partir des formulaires de jeux-concours en ligne, ce qui est contraire aux dispositions de l’article 6 du RGPD.
Pour déterminer si le traitement des données personnelles était licite, la CNIL a procédé à une analyse des différentes bases légales susceptibles d’en justifier la licéité.
Pour se prévaloir de l’intérêt légitime, la société doit démontrer que ses intérêts ne portent pas atteinte aux droits et aux attentes raisonnables des personnes concernées.
Ainsi, la société, en tant que responsable de traitement, est tenue de vérifier que les conditions permettant de réaliser des opérations de prospection commerciale sont réunies, les obligations contractuelles avec les fournisseurs de données ne pouvant l’exonérer de cette responsabilité.
En l’espèce, les formulaires utilisés par la société ne permettaient pas aux personnes concernées de s’attendre raisonnablement et légitimement à recevoir des offres commerciales en provenance de la société concernée.
En effet, les liens hypertextes présents sur les formulaires et renvoyant à la liste des partenaires ne mentionnaient pas systématiquement la société, créant ainsi une absence d’information pour les personnes concernées.
Dans ces conditions, la protection des droits fondamentaux des personnes concernées primant sur l’intérêt légitime de la société, la CNIL a estimé que celle-ci ne pouvait dès lors se prévaloir de la base légale de l’intérêt légitime pour justifier ses opérations de prospection commerciale par téléphone.
Pour se prévaloir du consentement, la société doit démontrer, conformément à l’article 4 du RGPD, que les personnes concernées ont expressément consenti de manière libre, spécifique, éclairée et univoque à la transmission de leurs données aux partenaires des fournisseurs pour de la prospection.
Ainsi, les personnes concernées doivent être informées de manière adéquate sur l’usage qui sera fait de leurs données personnelles pour pouvoir consentir librement à leur traitement.
En l’espèce, les formulaires ne permettaient pas aux personnes concernées de manifester leur consentement par un acte positif clair et dénué d’ambiguïté.
En effet, alors que les interfaces de recueil de choix ne doivent pas intégrer de présentations potentiellement trompeuses, laissant penser que le consentement est obligatoire, les formulaires mettaient en évidence, de manière significative, les seuls boutons de validation.
A contrario, le dispositif permettant de refuser la transmission de données était présenté de manière moins visible, à savoir par un lien hypertexte « cliquez ici » dans le corps du texte, en caractères d’une taille nettement inférieure à celle des boutons et sans mise en valeur particulière.
Ce mécanisme donnait l’impression de devoir obligatoirement accepter la transmission de données pour terminer l’inscription et participer au jeu-concours, incitant ainsi les personnes concernées à accepter la transmission de leurs données aux partenaires de la société à des fins de prospection.
La CNIL a par conséquent estimé que le consentement recueilli était dépourvu de caractère univoque et libre.
Dans ces conditions, la CNIL a jugé que les opérations de prospections commerciales par téléphone ne se fondant sur aucune base légale, un manquement à l’obligation de traitement licite des données personnelles était bien avéré.
Non-respect de l’obligation d’assurer la sécurité des données
Selon l’article 32 du RGPD, le responsable du traitement des données doit mettre en place des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, notamment en garantissant la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services de traitement.
Ainsi, selon le cycle de vie des données, celles-ci doivent être conservées en « base active » pendant leur utilisation courante, puis archivées de manière intermédiaire lorsque leur utilisation principale est terminée mais qu’elles ont encore un intérêt administratif ou légal. Cette phase d’archivage intermédiaire implique une restriction d’accès aux données.
En l’espèce, la société conservait les données de ses clients pendant cinq ans après la clôture du contrat, sans mécanisme d’archivage intermédiaire. Pendant cette période, toutes les personnes ayant eu accès aux données pendant la durée du contrat pouvaient ainsi continuer à y accéder sans restriction.
En l’espèce cependant, aucun élément de preuve ne permettant de démontrer que des personnes avaient accédé aux données, aucun manquement n’a été retenu.
Détermination du montant de l’amende
Plusieurs critères permettent d’une part de déterminer si une amende administrative est appropriée, et d’autre part d’en fixer son montant, à savoir la nature, la gravité et la durée de la violation, le caractère délibéré de la violation, les mesures prises pour atténuer le dommage, la coopération avec l’autorité de contrôle, et les catégories de données personnelles concernées.
En l’espèce, au regard des manquements concernés une amende de 310.000 € a été prononcée.
Source: Délibération SAN-2024-003
