Dernières actualités : données personnelles

Le Monde

Ledger, entreprise de cryptoactifs, sanctionnée par la CNIL pour insuffisance de protection des données

L’entreprise française de sécurisation de cryptoactifs Ledger a été sanctionnée par la Commission nationale de l’informatique et des libertés (CNIL) pour ne pas avoir suffisamment protégé les données de ses clients, a annoncé, mercredi 23 octobre, le gendarme français de la protection des données personnelles à l’Agence France-Presse (AFP). D’après les médias The Big Whale et La Lettre, qui ont révélé l’information, le montant de l’amende infligée s’élève à 750 000 euros. La CNIL n’a pas confirmé ce montant, soulignant que cette sanction n’était « pas publique ».

Disponible (en anglais) sur: lemonde.fr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CNIL

Marché en ligne et exercice des droits des personnes : sanction de 2.3 millions d’euros à l’encontre de VINTED

Le 2 juillet 2024, en coopération avec la CNIL, l’autorité lituanienne de protection des données a prononcé une amende de 2 385 276  millions d’euros à l’encontre de la société Vinted UAB pour plusieurs manquements visant les utilisateurs de la plateforme. VINTED propose une plateforme de marché en ligne communautaire qui permet à ses 50 millions d’utilisateurs actifs mensuels dans le monde de vendre, d’acheter et d’échanger des vêtements et accessoires d’occasion.

Dès 2020, la CNIL a été saisie de nombreuses plaintes à l’encontre de la société VINTED, portant majoritairement sur des difficultés rencontrées par les personnes dans l’exercice de leur droit à l’effacement des données. Cette thématique a  d’ailleurs fait l’objet d’un article de la CNIL en novembre 2021 qui a annoncé l’ouverture de contrôles. En application des procédures de coopération instaurées par le RGPD, c’est l’autorité lituanienne de protection des données qui était compétente pour mener les investigations sur ce dossier, VINTED ayant son siège social en Lituanie.

L’enquête menée a permis confirmer les faits reprochés à VINTED par les plaignants :
* L’entreprise n’a pas traité de manière loyale et transparente les demandes d’effacement qu’elle a reçues. En particulier, la société ne justifiait pas les raisons de ses refus et refusait des requêtes  « au seul motif que les personnes ne citaient pas un des critères prévus par le RGPD » ;
* L’entreprise n’a pas non plus été en capacité de prouver qu’elle avait correctement répondu à des demandes de droit d’accès ;
* Enfin, l’entreprise a mis en œuvre le « bannissement furtif » ou « shadow banning » en anglais de manière illicite, notamment sans en informer les utilisateurs.

Le « shadow banning » est une méthode de bannissement très pratiquée par les éditeurs de jeux vidéos en ligne et consistant à rendre invisible pour les autres utilisateurs l’activité d’un utilisateur ne respectant pas les règles de la plateforme sans que ce dernier ne s’en aperçoive, dans le but de l’inciter à quitter la plateforme. Dans leurs communiqués, la CNIL et l’autorité lituanienne expriment des positions similaires sur cette pratique.
La CNIL explique ainsi que « bien qu’une telle pratique ait vocation à protéger la plateforme, les conditions dans lesquelles elle a été mise en œuvre a porté une atteinte excessive aux droits des utilisateurs, notamment parce qu’ils n’étaient pas informés de cette mesure et que celle-ci pouvait engendrer des discriminations (inefficacité de l’exercice du droit à contacter l’assistance client, impossibilité d’exercer ses droits, etc.). De plus, les objectifs du bannissement furtif pouvaient être atteints par le blocage complet, qui intervenait automatiquement 30 jours après le bannissement furtif et dont les personnes étaient informées ».

[Ajout contextuel Portail RGPD: Bien que les autorités ont été prudentes en ne prononçant pas une interdiction de principe de la pratique du « shadow banning » (qui aurait probablement été retoquée pour excès de pouvoir), il s’agit là d’une décision qui pourrait la remettre en cause de manière générale, dans la mesure où tout son intérêt porte sur le fait que l’utilisateur n’en est pas informé : en effet, son objectif n’est en réalité pas tant d’éviter la commission d’un comportement (ce qui peut effectivement être atteint par le blocage complet), mais plutôt d’éviter que l’utilisateur recrée un compte aussitôt après avoir été bloqué afin de poursuivre son comportement fautif. Dès lors, si une information générale a priori n’est pas considérée comme suffisante par les autorités (ce qui semble être le cas au regard des communiqués), la pratique perdrait une grande partie de son intérêt, ce qui risquerait de pousser les responsables de traitement à traiter beaucoup plus de données afin d’éviter la création de nouveaux comptes.]

Disponible sur: CNIL.fr. L’article de l’autorité lituanienne est également disponible (en anglais).

CNIL

Clôture de la procédure d’injonction à l’encontre de la société TAGADAMEDIA

Dans le cadre de sa thématique prioritaire de contrôle sur la prospection commerciale en 2022, la CNIL s’est intéressée aux pratiques des professionnels du secteur, en particulier de ceux qui procèdent à la revente de données, y compris des courtiers en données ou data brokers en anglais. La CNIL avait ainsi décidé d’engager une procédure de contrôle à l’encontre de la société TAGADAMEDIA, qui exploite principalement des sites en ligne de jeux-concours et de tests de produits par lesquels elle collecte des données de prospects.

En décembre 2023, la formation restreinte – organe de la CNIL chargé des sanctions – avait prononcé une amende de 75 000 euros à son encontre et a décidé de rendre publique sa décision. Elle avait également enjoint à la société de mettre en œuvre, sur les sites qu’elle édite, un formulaire de collecte des données de prospects conforme au RGPD, permettant de recueillir un consentement valide pour la transmission des données à ses partenaires à des fins de prospection commerciale. La société devait ainsi produire un nouveau formulaire sous un délai d’un mois à compter de la notification de la délibération, sous astreinte de 1 000 euros par jour de retard.

Par délibération du 25 avril 2024, la CNIL a clôturé l’injonction prononcée le 29 décembre 2023 à l’encontre de la société TAGADAMEDIA.

Disponible sur: CNIL.fr

CNIL

Prospection commerciale : sanction de 525 000 euros à l’encontre de la société HUBSIDE.STORE

Le 4 avril 2024, la CNIL a sanctionné la société HUBSIDE.STORE d’une amende de 525 000 euros notamment pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées. HUBSIDE.STORE est une société qui procède à des campagnes de démarchage par téléphone et par SMS pour promouvoir les produits vendus dans ses boutiques (téléphones portables, ordinateurs, etc.). Les données des prospects démarchés sont achetées auprès de courtiers en données, éditeurs de sites de jeux-concours et de tests de produits.

Sur la base des constatations effectuées lors de contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte ne permettait pas de recueillir un consentement valide des personnes concernées. La société HUBSIDE.STORE ne pouvait donc procéder légalement à ses opérations de prospection par SMS (violation des dispositions de l’article L. 34-5 du code des postes et communications électroniques ou CPCE) et par téléphone (violation des dispositions de l’article 6 du règlement général sur la protection des données ou RGPD). En outre, la formation restreinte a considéré que, lors de ses opérations de démarchage téléphonique, la société ne permettait pas aux personnes d’être suffisamment informés, en violation de l’article 14 du RGPD.

Elle a donc prononcé à son encontre une amende de 525 000 euros rendue publique.

Disponible sur: CNIL.fr

CNIL

Prospection commerciale : sanction de 310 000 euros à l’encontre de la société FORIOU

Le 31 janvier 2024, la CNIL a sanctionné la société FORIOU d’une amende de 310 000 euros pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées. FORIOU est une société qui procède à des campagnes de démarchage par téléphone pour promouvoir les programmes et cartes de fidélité qu’elle commercialise. Les données des prospects démarchés sont achetées par FORIOU auprès de courtiers en données, éditeurs de sites de jeux-concours et de tests de produits.

Sur la base des constatations effectuées lors de contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte ne permettait pas de recueillir un consentement valide des personnes concernées. La société FORIOU ne disposait donc d’aucune base légale lui permettant d’utiliser ces données à des fins de prospection, en violation des dispositions de l’article 6 du règlement général sur la protection des données (RGPD).

Elle a prononcé à son encontre une amende de 310 000 euros rendue publique.

Disponible sur: CNIL.fr

CNIL (via Legifrance)

La CNIL sanctionne la société Foriou pour des faits de démarchage commercial en l’absence de base légale

Par une décision n°SAN-2024-003 du 31 janvier 2024, la formation restreinte de la CNIL a condamné la société de gestion de programmes et de cartes de fidélité Foriou à une amende de 310 000€ pour défaut de base légale concernant le traitement de données réalisés avec des données acquises auprès de tiers. Il y a toutefois plusieurs points intéressants :
* Ce défaut de base légale reproché à la société Foriou est en partie la conséquence de manquements de la société auprès de laquelle elle se fournissait en données : la collecte initiale ne permettait pas la réutilisation des données par la société Foriou à des fins de prospection commerciale, les fournisseurs n’ayant pas respecté leurs engagements contractuels. Ainsi, seul le consentement obtenu par la société Foriou était en capacité de « sauver » le traitement (et n’a pas été demandé en l’espèce).
* La société Foriou n’ayant « pas été en mesure, ni dans ses observations écrites, ni dans ses observations orales lors de la séance, d’indiquer précisément sur quelle base légale elle se fondait pour procéder [à des opérations de prospection commerciale par téléphone à partir de fichiers de prospects achetés auprès de plusieurs fournisseurs de données,] les deux bases légales susceptibles d’être applicables en l’espèce ont été examinées successivement par la Commission. » Il est ainsi notable que la CNIL n’a pas décidé de sanctionner l’incapacité de la société à justifier de la base légale fondant le traitement, mais la véritable absence de base légale pour le traitement de prospection commerciale. 

Dans cette affaire, les deux bases légales  examinées sont l’intérêt légitime ainsi que le consentement.

S’agissant de l’intérêt légitime : Pour déterminer si cette base légale est valablement utilisable par la société FORIOU, la Commission observe les pratiques réalisées par les fournisseurs des données. En l’espèce,  « la formation restreinte relève que certains formulaires de jeu-concours à partir desquels la société […] collecte des données de prospects qu’elle transmet à la société FORIOU ne permettent pas aux personnes concernées de s’attendre raisonnablement à recevoir des offres de prospection commerciale de la part de cette société. » Aussi,  » s’agissant du formulaire accessible depuis le site web […], la formation restreinte observe que ce dernier contient un lien hypertexte renvoyant à une liste nominative de partenaires et non à des catégories de partenaires. Ainsi, les personnes concernées peuvent légitimement s’attendre à ce que cette liste de partenaires soit exhaustive. Or, ladite liste ne mentionne pas la société FORIOU. » Enfin, « concernant les formulaires présents sur les sites […] (ce formulaire renvoyant au site […]) et […], la formation restreinte relève qu’ils ne mentionnent pas la liste des partenaires ou des catégories de partenaires auxquels les données sont susceptibles d’être transmises, et qu’ils ne contiennent en outre aucun lien permettant d’accéder à une telle liste. »
En conséquence, la formation restreinte considère que dans ces conditions, la protection des intérêts, libertés et droits fondamentaux des personnes concernées prime sur les intérêts légitimes de la société, et que cette dernière ne peut dès lors se prévaloir de la base légale mentionnée à l’article 6, paragraphe 1, f) pour fonder ses opérations de prospection commerciale par téléphone.

S’agissant du consentement :  Une fois encore, la Commission observe les pratiques réalisées par les fournisseurs des données. Par exemple: « il ressort des pièces du dossier que les sociétés […] et […], fournisseurs des données de prospects à la société FORIOU, collectent les données des personnes concernées (nom, prénom, civilité, adresse électronique, numéro de téléphone mobile, date de naissance et adresse postale) par l’intermédiaire de formulaires de participation à des jeux-concours en ligne, afin de permettre à leurs partenaires de les utiliser dans le cadre de leur prospection commerciale. La formation restreinte considère que tels que conçus, les formulaires proposés ne permettent pas aux personnes concernées d’exprimer de manière valable un choix reflétant leurs préférences en matière de transmission de données à des fins de prospection commerciale. « 

Le fait que le destinataire de données soit tenu responsable de manquements directement imputables au primo-collectant est, à notre connaissance, une première en France. C’est néanmoins une solution logique dès lors que les données sont collectées par un tiers qui est en charge de fonder légalement le traitement ultérieur de prospection commerciale. Lorsqu’une société de prospection compte s’appuyer sur la base légale de la collecte initiale, s’il est non seulement nécessaire qu’elle encadre contractuellement les relations avec son fournisseur de manière convenable, il est également important qu’elle contrôle le régulièrement pour vérifier ses pratiques.

Disponible sur: legifrance.gouv.fr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut