Dernières actualités : données personnelles

ICO (autorité anglaise)

Au Royaume-Uni, un entrepreneur individuel condamné à une amende de 50 000 £ après avoir effectué plus de 194 000 appels marketing illégaux

L’ICO a aujourd’hui annoncé avoir condamné l’entrepreneur basé à Newcastle, Darian B., exerçant sous le nom de ECO4U, à une amende de 50 000 £ (soit environ 59 500 euros) pour avoir effectué plus de 194 000 appels marketing illégaux à des personnes inscrites sur la liste « ne pas appeler » du Royaume-Uni. Les appels illégaux d’ECO4U concernaient des subventions pour de nouvelles chaudières et des panneaux solaires, avec l’inférence faite lors des appels qu’il était connecté à un programme gouvernemental. Il est illégal de passer des appels marketing à des personnes qui sont inscrites sur le registre du Service de Préférence Téléphonique (TPS) depuis plus de 28 jours, à moins qu’elles n’aient explicitement consenti à recevoir ces appels. Cette découverte a été faite au cours d’enquêtes plus larges concernant une augmentation des plaintes reçues au sujet du secteur de l’énergie et de l’amélioration de l’habitat. Une enquête a été ouverte en octobre 2023 après que nous et TPS ayons reçu 21 plaintes.

L’ICO a constaté:
* Absence de base légale (équivalent de l’article 6 du EU RGPD): ECO4U a maintenu qu’il avait reçu un consentement valide après que des personnes aient rempli un formulaire de demande via une publicité sur Facebook. Un échantillon de plaignants a été contacté au cours de l’enquête, et tous nous ont confirmé qu’ils n’avaient pas rempli de formulaire de demande ou qu’ils n’utilisaient pas Facebook.  L’ICO a ainsi conclu que connaissait les règles relatives aux appels commerciaux : il a confirmé qu’il connaissait la législation pertinente et qu’il avait déjà fait l’objet d’une enquête en 2015 pour avoir effectué des appels commerciaux persistants et avoir fait croire à des personnes qu’elles recevraient une chaudière gratuite dans le cadre du programme « Green Deal ».

En outre, ECO4U n’a pas fourni suffisamment d’informations pour permettre aux gens de comprendre de qui ils recevaient des appels, et qu’il n’avait pas pris de mesures raisonnables pour empêcher le non-respect de la loi.
DArian B. a ainsi até condamné à l’amende précitée, et devra améliorer ses pratiques.

Catherine Sankey, responsable de groupe à l’ICO, a déclaré :
« Se sentir menacé ou abusé dans sa propre maison, simplement parce que vous avez décroché votre téléphone, ne sera jamais acceptable. Notre enquête a clairement montré que cet individu était pleinement conscient de la loi en ce qui concerne les appels marketing, mais a tout de même décidé de les passer. Notre amende montre que nous tiendrons tous ceux qui enfreignent la loi responsables, qu’il s’agisse d’un entrepreneur individuel ou de grandes entreprises employant de nombreux salariés, et cela devrait servir de nouvel avertissement que nous continuerons à poursuivre et à condamner les entreprises qui choisissent d’ignorer la loi dans la quête de gains financiers. »

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

L’Espagne ne relâche pas la pression sur les spammers publicitaires: 10 000 euros d’amende pour une société

L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre de la société AD735 DATA MEDIA ADVERTISING, S.L. (AD735), lui imposant une amende de 10 000 euros pour avoir enfreint la loi sur les services de la société de l’information (LSSI), suite à l’envoi continu de messages publicitaires sans le consentement nécessaire et malgré les demandes de désinscription. L’affaire a débuté avec une réclamation déposée auprès de l’AEPD le 18 mars 2024 par un particulier, selon laquelle le plaignant recevait continuellement des messages publicitaires de la part de AD735. Il affirmait avoir demandé à plusieurs reprises sa désinscription via le lien inclus dans les messages, mais sans succès. Le plaignant précisait également être inscrit sur la liste Robinson depuis mars 2023. Pour étayer sa plainte, il a fourni des copies d’e-mails publicitaires reçus en février et mars 2024, envoyés « via AD735 » pour diverses entités.

L’enquête de l’AEPD a permis de confirmer les faits:
* Absence de consentement valable (article 6 du RGPD): AD735 a affirmé que les données du plaignant avaient été obtenues via des formulaires sur le site www.premium-sales.es le 23 mars 2022. L’AEPD a néanmoins estimé que les documents fournis par AD735 (modèle de formulaire vierge, logs basiques) étaient insuffisants pour prouver qu’un consentement valide, exprès et démontrable avait été obtenu pour l’envoi de communications commerciales. L’Agence a cité les Directives 5/2020 du Comité Européen de Protection des Données (CEPD), qui établissent clairement que la charge de la preuve d’avoir obtenu un consentement valide incombe au responsable du traitement. Cela nécessite la conservation de registres (logs) clairs démontrant qui a consenti, quand, comment, pour quelle finalité, et quelle information a été fournie. Les preuves de AD735 ne remplissaient pas ces exigences.

En conséquence, l’entreprise a été condamnée à une amende de 10 000 euros. En effet, un facteur aggravant important a été retenu par l’AEPD : la récidive. L’Agence a mentionné deux procédures de sanction antérieures contre AD735 pour des faits similaires (PS/161/2021 et PS/425/2021). La société a la possibilité d’interjeter un recours contre cette décision.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

GPDP (autorité italienne)

Télémarketing : amendes de 3 millions d’euros infligées à Acea Energia et 850 000 euros aux agences et sociétés impliquées

Le Garante a aujourd’hui annoncé avoir infligé plusieurs amendes à l’encontre d’Acea Energia Spa et d’un réseau d’agences et de sociétés impliquées dans un système massif de prospection de contrats pour l’activation de fournitures d’électricité et de gaz basé sur des pratiques de télémarketing agressif et de traitement illégal de données personnelles. Des investigations menées par les autorités italiennes ont révélé des entremêlements et des connexions entre diverses entreprises commerciales et des personnes physiques qui se sont révélées univoquement liées aux activités de prospection de contrats pour l’activation de services énergétiques. Ces circonstances ont également été confirmées par les activités d’inspection menées par le Garante, en collaboration avec lesdites autorités, simultanément sur différents sites des sociétés concernées.

L’enquête de l’autorité a permis de constater:
* Absence de base légale (article 6 du RGPD): Ce système prévoyait l’utilisation de listes de données personnelles acquises auprès d’autres sociétés adhérentes au réseau (numéro de téléphone, numéro fiscal, numéro du compteur et modalités de paiement,…), en l’absence d’un consentement spécifique et sans fournir d’informations préalables aux intéressés. Les opérateurs de centre d’appels contactaient ces personnes en évoquant des prétendus problèmes techniques lors du passage entre les gestionnaires et, en évoquant des risques de dommages économiques, les poussaient à activer une nouvelle fourniture.

Les enquêtes ont également démontré que des responsables d’entreprise d’Acea avaient des contacts directs et constants avec ceux qui réalisaient les activités de télémarketing agressif. Cependant, une fois informée des résultats des enquêtes, Acea Energia a révoqué le contrat de l’agence impliquée dans les faits, adoptant des mesures correctives visant à améliorer le niveau de sécurité des traitements effectués en son nom. En conséquence, la société a été condamnée à une amende de 3 millions d’euros, et le réseau d’agences impliquées à une amendes de 850 000 euros.

L’Autorité a également ordonné à Acea Energia de communiquer à tous les intéressés, dont les données ont été illégalement intégrées dans ses systèmes, les résultats de la procédure et de vérifier l’existence de sous-traitants non régulièrement contractés. À toutes les agences et sociétés impliquées, il a été interdit d’utiliser des listes de contacts dont elles ne peuvent prouver la légalité.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ICO (autorité anglaise)

Une entreprise condamnée à 90 000 £ pour des appels marketing illégaux

L’ICO a annoncé avoir infligé une amende de 90 000 livres sterling (soit environ 105 000 euos) à AFK Letters Co Ltd (AFK) pour avoir passé plus de 95 000 appels commerciaux non sollicités à des personnes enregistrées auprès du Telephone Preference Service (TPS), l’équivalent de Bloctel, en violation flagrante de la législation sur le marketing électronique.

AFK Letters est une société qui rédige des lettres pour demander des indemnisations et des remboursements à ses clients. L’enquête menée par l’autorité britannique a permis de constater:
* Absence de consentement valable (équivalent de l’article 6 du RGPD et de la directive ePrivacy): Entre janvier et septembre 2023, AFK a utilisé des données collectées sur son propre site web et par une société d’enquête téléphonique tierce pour effectuer 95 277 appels de marketing sans être en mesure de démontrer un consentement valide et spécifique de la part des personnes contactées. Bien que l’AFK ait affirmé ne pas pouvoir fournir de preuve de consentement parce qu’elle supprimait toutes les données des clients après trois mois, lorsque l’ICO l’a interrogée, elle n’a pas non plus été en mesure de fournir des enregistrements de consentement pour plusieurs appels effectués au cours de cette période de trois mois.

* Information incomplète (équivalent de l’article 13 du RGPD): Le fournisseur de données tiers de l’AFK utilisait des déclarations de consentement qui ne mentionnaient pas spécifiquement l’AFK lorsqu’il demandait au public de consentir à être appelé. En outre, la politique de confidentialité de l’AFK ne mentionnait que les contacts par courrier électronique et n’indiquait pas que les personnes recevraient également des appels téléphoniques.

En conséquence, l’entreprise a été condamnée à l’amende pré-citée, et devra améliorer ses pratiques.

Disponible (en anglais) sur: ico.org.uk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ANSPDCP (autorité roumaine)

Marketing et absence de consentement  : l’autorité roumaine sanctionne Tensa Art Design

L’autorité roumaine (ANSPDCP) a aujourd’hui publié le résume d’une sanction prononcée à ‘l’encontre de l’opérateur Tensa Art Design S.A., propriétaire du site www.lensa.ro, pour défaut de consentement dans le cadre d’une opération de marketing, et pour manquement aux règles en matière de gestion des droits des personnes. Au total, l’entreprise a été condamnée à une amende de 15 000 euros. L’enquête a été ouverte suite au fait qu’un plaignant a alerté l’Autorité nationale de surveillance sur le fait que l’opérateur Tensa Art Design S.A., propriétaire du site www.lensa.ro, avait traité son numéro de téléphone à des fins de marketing direct, sans son consentement, lui envoyant des messages commerciaux par SMS à travers lesquels le plaignant a été informé des offres de l’entreprise.

Au cours de l’enquête, il a été constaté que c:
* Absence de consentement (article 6 du RGPD): l’opérateur S.C. Tensa Art Design S.A. n’a pas prouvé l’existence du consentement du plaignant pour le traitement de ses données personnelles à des fins de marketing direct.
* Droits des personnes (article 12 du RGPD):  le repsonsable de traitement n’a pas géré correctement les demandes par lesquelles le plaignant avait exercé ses droits d’accès et de suppression prévus par le RGPD, la réponse reçue n’étant pas conforme aux dispositions de l’article 12, en relation avec les articles 15 et 17 du même acte normatif.

En conséquence, l’entreprise a été condamnée à une amende de 15 000 euros, et devra également améliorer ses pratiques.

Disponible (en roumain) sur: dataprotection.ro
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

La Garante ouvre une enquête contre Lusha: la société américaine vend des coordonnées, y compris des numéros de téléphone, d’origine douteuse…

L’autorité itialienne a aujourd’hui publié un communiqué de presse par lequel elle a annoncé avoir envoyé une demande d’informations à Lusha Systems Inc, une société américaine qui, via sa plateforme en ligne, offre aux entreprises des informations « enrichies » pour trouver ou vérifier, entre autres, des adresses e-mail et des numéros de téléphone fixes et mobiles. La plateforme est accessible également depuis l’Italie et ses services sont proposés à des utilisateurs se connectant depuis l’Italie. De plus, la présence de données de personnes vivant en Italie dans la base de données de Lusha est confirmée par les signalements parvenus à l’Autorité, dans lesquels il est fait état de la réception d’appels promotionnels et/ou commerciaux non désirés, effectués grâce aux données extraites des services mis à disposition par la société américaine.

Dans un délai de vingt jours, la société, en particulier, devra préciser combien de données de personnes vivant en Italie sont collectées ou traitées, clarifier les modalités de collecte et fournir plus d’informations sur chaque source alimentant sa base de données. Lusha devra également préciser si les données personnelles d’utilisateurs qui n’utilisent pas la plateforme sont traitées et, en ce qui concerne les adresses e-mail et les numéros de téléphone, devra spécifier : les sources d’acquisition ; si le consentement est acquis pour l’envoi de communications commerciales ou publicitaires ou la réalisation d’études de marché ; les finalités pour lesquelles ces données sont communiquées aux utilisateurs et la demande de consentement qui y est associée.

Ce phénomène est depuis longtemps à l’attention de l’Autorité qui, depuis janvier 2025, a déjà sanctionné de nombreuses agences immobilières promouvant des services d’intermédiation utilisant des numéros de téléphone provenant d’une société tierce qui gère un service similaire à celui proposé par Lusha.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Marketing continu malgré la désinscription: 3 000 euros d’amende pour une entreprise espagnole

L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre de la société ALL IN DIGITAL MARKETING, S.L. pour avoir manqué à son obligation de respecter le droit d’opposition d’un utilisateur à recevoir des communications commerciales. L’affaire a, comme très souvent, débuté par une réclamation déposée par une personne qui, après s’être inscrite et désinscrite à plusieurs reprises de la newsletter de l’entreprise, a continué à recevoir des courriels publicitaires non sollicités.

L’enquête menée par l’AEPD a permis de constater:
* Retrait du consentement impossible : malgré deux demandes de désabonnement de la part du plaignant les 20 et 23 mars 2023, ALL IN DIGITAL MARKETING, S.L. a continué à lui envoyer des courriels promotionnels jusqu’au 22 juin 2023 : pour un total de 13 courriels. La société a affirmé que ces envois étaient justifiés par de nouvelles inscriptions du client à la newsletter. Cependant, l’enquête de l’AEPD a révélé que la société n’avait pas fourni de preuves suffisantes pour accréditer ces prétendues nouvelles inscriptions après les demandes de désabonnement. L’autorité a souligné que la charge de la preuve du consentement incombe au prestataire de services.

L’AEPD a estimé que l’envoi continu de ces courriels après l’opposition de l’utilisateur constituait une violation de l’article 21 de la Loi sur les Services de la Société de l’Information et le Commerce Électronique (LSSI) (équivalent à nos articles L32 et suivants du CPCE) prise en application, qui interdit l’envoi de communications commerciales par voie électronique sans le consentement préalable ou l’autorisation expresse des destinataires. Bien qu’une relation contractuelle ait existé, l’exception prévue à l’article 21.2 de la LSSI n’était pas applicable dans ce cas car les communications portaient également sur des services non similaires à l’achat initial.

En conséquence, l’AEPD a infligé à ALL IN DIGITAL MARKETING, S.L. une amende de 3 000 euros pour cette infraction. L’entreprise devra également améliorer ses pratiques.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

AEPD (autorité espagnole)

5 000 euros d’amende pour la société ne tenant pas compte de la désinscription à ses emails marketing

L’autorité espagnole de protection des données (AEPD) a, hier, publié une décision de sanction à l’encontre de la société ALL IN DIGITAL MARKETING SL pour avoir continué à envoyer des courriels publicitaires à un utilisateur qui avait pourtant demandé à plusieurs reprises sa désinscription. L’affaire a, comme très souvent, débuté par une réclamation d’un particulier (D. A.A.A.) qui, malgré ses multiples tentatives de désinscription via le lien présent dans les courriels et par courriel direct, continuait de recevoir des messages publicitaires de la part de ALL IN DIGITAL MARKETING SL. Le plaignant a fourni des preuves de ses demandes de désinscription et des courriels publicitaires reçus ultérieurement.

Au cours de l’enquête lancée par l’AEPD, la société ALL IN DIGITAL MARKETING SL a argué que le client s’était initialement inscrit à leur newsletter et offres associées lors d’achats en ligne et qu’il avait la possibilité de gérer ses abonnements depuis son espace client. La société a également affirmé que le système traitait automatiquement les demandes de désinscription avec un courriel de confirmation, mais que si le client accédait à nouveau à son compte et acceptait les conditions d’utilisation, son abonnement était réactivé.

L’AEPD a néanmoins souligné que l’article 21 de la LSSI interdit l’envoi de communications publicitaires par voie électronique qui n’ont pas été préalablement demandées ou expressément autorisées par les destinataires. Bien que la loi prévoie une exception en cas de relation contractuelle antérieure pour des produits ou services similaires, le prestataire doit toujours offrir la possibilité de s’opposer à ces envois de manière simple et gratuite. Dans ce cas, malgré les tentatives de désinscription du plaignant via le mécanisme fourni et ses demandes directes, les courriels publicitaires ont persisté, ce qui constitue une infraction. L’AEPD a considéré qu’une fois le droit d’opposition exercé, un nouveau consentement exprès est nécessaire pour réactiver l’envoi de communications commerciales, et le simple fait d’accéder à nouveau au site web ne suffit pas.

En conséquence, l’AEPD a imposé à ALL IN DIGITAL MARKETING SL une amende de 5 000 euros pour violation de l’article 21 de la LSSI, qualifiée d’infraction légère à l’article 38.4.d) de la même loi.

Disponible (en espagnol) sur: aepd.es
La traduction et l’analyse de ce document sont susceptibles d’avoir été réalisées de manière automatisée.

GPDP (autorité italienne)

En Italie, des médecins condamnés à 10 000 euros d’amende pour avoir envoyé de la propagande électorale à leurs patientèles

Dans sa newsletter en date du 21 mars, l’autorité est revenue sur la condamnation prononcée à l’encontre de deux médecins, avec 10 000 euros d’amende pour chacun d’eux à la clef, pour avoir envoyé de la propagande électorale à leurs patientèles. « Les données personnelles collectées dans le cadre des activités de soins de santé par les médecins ne peuvent être utilisées à des fins de propagande électorale sans le consentement spécifique des personnes concernées. » rappelle l’autorité.

Dans les deux cas, l’autorité a eu connaissance de la violation par le biais d’un rapport et de quelques articles de presse :
* Dans un cas, l’infraction a été considérée comme particulièrement grave parce qu’un chirurgien oncologue a affirmé avoir contacté une cinquantaine de femmes avec lesquelles il avait établi une « relation plus étroite et plus personnelle » en leur envoyant des lettres de propagande électorale. De l’aveu même du médecin, les destinataires étaient toutes atteintes d’un cancer et le contenu du message électoral faisait expressément référence à leur maladie.
* Dans l’autre cas, un médecin généraliste avait envoyé un courrier électronique de propagande électorale à 500 patients, dont les adresses avaient été mises en clair et non en copie cachée, révélant à tous l’état de maladie de chacun d’entre eux.

Le fait même de communiquer la nécessité d’un traitement médical, a précisé la Garante, qualifie les données à caractère personnel de données relatives à la santé et, en tant que telles, elles méritent une protection spéciale. L’autorité a également précisé que, dans les deux cas, le traitement des données des patients pouvait être effectué à des fins thérapeutiques et non à des fins de propagande électorale. En plus de l’amende prononcée à leur encontre, les mesures prononcées contre les médecins devront être publiées sur le site web de l’Autorité et envoyées à l’Ordre des médecins pour les évaluations pertinentes.

Disponible sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

ANSPDCP (autorité roumaine)

Marketing non sollicité : l’autorité roumaine condamne une entreprise à 2 000 euros d’amende

L’autorité roumaine a aujourd’hui annoncé avoir condamné l’opérateur ONE UNITED PROPERTIES S.A à une amende d’environ 10 000 lei, soit 2 000 euros (au total), en raison de marketing non sollicité. Au cours de l’enquête, qui a été ouverte à la suite de plaintes de la part de particuliers, l’autorité a constaté que l’entreprise:
* Absence de base légale (article 6 du RGPD): l’opérateur a transmis à la personne concernée, pendant une certaine période, des messages commerciaux non sollicités. Dans ce contexte, le repsonsable ne traitement n’a pas prouvé l’existence du consentement obtenu de la personne concernée pour le traitement de ses données personnelles à des fins de marketing.
* Exercice des droits (articles 12,  15 et 17 du RGPD):  la personne concernée avait demandé par des demandes répétées à recevoir confirmation sur le fait que ses données personnelles soient ou non traitées par l’opérateur, ainsi que si ces données avaient été supprimées, car elle recevait des messages commerciaux non sollicités. L’entreprise n’a pas pu prouver avoir transmis une réponse dans le délai légal d’un mois maximum aux demandes d’exercice des droits d’accès et de suppression de la part de la personne concernée.

En conséquence, l’entreprise a été condamné à l’amende ci-dessus mentionnée. Elle devra également (finalement) répondre aux demandes des droits de la personne concernée, et devra également améliorer ses pratiques.

Disponible (en roumain) sur: dataprotection.ro
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut