Par Haas Avocats

En sanctionnant le groupe Canal+ (ci-après : « CANAL+ ») dans sa délibération rendue le 12 octobre 2023, la CNIL a apporté un éclairage supplémentaire sur l'obligation d'information et de recueil du consentement qui incombe au responsable du traitement.

L'enseignement majeur de cette sanction réside dans l'impossibilité pour le responsable du traitement de se défausser de ses obligations en externalisant l'ensemble des missions de prospection auprès de ses sous-traitants.

Au surplus, la sanction infligée à l'encontre de CANAL+ met en relief d'autres manquements commis par CANAL + concernant :

  • la gestion des droits des personnes concernées ;
  • l'obligation de sécurité des traitements opérés ;
  • la notification d'une violation de donnée personnelle à la CNIL.

Le défaut de consentement des personnes concernées

L'activité de démarchage nécessite le recueil du consentement des prospects conformément aux dispositions des articles L.34-1 du CPCE et des articles 7 et 4.11 du RGPD, celui-ci devant être libre, spécifique, éclairé sur la base des éléments d'information transmis et exempt de toute équivoque.

Dans le cas d'espèce, le formulaire de recueil du consentement élaboré et communiqué par les sous-traitants ne faisaient pas mention de l'identité du prospecteur (à savoir CANAL+) pour le compte duquel les missions de prospection sont menées.

L'absence d'un tel élément d'information nuit nécessairement à la qualité du consentement délivré par le prospect, celui-ci n'étant finalement pas suffisamment éclairé sur la liste des destinataires qui accéderont à ses données personnelles.

Nonobstant cette répartition des responsabilités opérée dans les contrats de sous-traitance, la CNIL a considéré que CANAL+ peut être tenue responsable du manquement commis par ses sous-traitants en matière de recueil du consentement des personnes concernées.

Ce raisonnement n'est pas inédit. Pour rappel, dans la délibération rendue par la CNIL le 15 juin 2023, la formation restreinte avait sanctionné CRITEO en raison des manquements commis par ses partenaires en matière de recueil du consentement des personnes concernées alors même que ces derniers étaient des responsables conjoints du traitement et non des sous-traitants.

Mais la particularité du cas d'espèce réside dans le fait que CANAL + :

  • n'avait aucune prise sur les formulaires de collecte du consentement remis par ses prestataires aux personnes concernées et ;
  • n'était pas destinataire des données collectées par ses prestataires, celles-ci étant transmises à des téléprospecteurs agissant pour le compte de CANAL+.

En dépit de ces arguments, la CNIL a considéré :

  • qu'en tant que responsable de traitement, il incombait à CANAL + de mettre en place des mesures assurant que ses prestataires collectaient valablement le consentement des personnes concernées et ;
  • que le fait que les prestataires de CANAL+ ne lui fassent pas parvenir les données collectées auprès des prospects est sans incidence sur son statut de destinataire du traitement dès lors que les données sont collectées et traitées pour son compte.

Le manquement à l'obligation d'informer les personnes concernées

La formation restreinte considère que CANAL+ a manqué à son obligation de transparence en (A) n'informant pas précisément les utilisateurs du service My canal des durées de conservation applicables au traitement de leurs données personnelles et (B) certains prospects de l'enregistrement de leur conversation téléphonique avec les téléprospecteurs.

Le droit d'information des utilisateurs du service My Canal

Il ressort de la délibération de la CNIL que CANAL+ a également péché en précision dans la teneur des éléments d'information transmis aux personnes qui souscrivaient à un abonnement sur le service My Canal.

En outre, la société ne précisait pas suffisamment les durées de conservations applicables aux données des abonnés dans la mesure où la politique de confidentialité à laquelle renvoyait le formulaire de collecte des données se contentait d'indiquer que les :

« données personnelles sont conservées selon des durées déterminées au regard de nos finalités et des obligations légales, fiscales et comptables nous incombant. Les données liées à votre abonnement font l'objet d'un archivage électronique pendant toute la durée de souscription à l'abonnement et pendant les durées légales de prescription ».

Afin de réduire le parcours d'information de sa politique de confidentialité, CANAL+ s'est contentée de communiquer aux personnes concernées les critères permettant de fixer la durée de conservation de leurs données personnelles. Pourtant le degré de granularité de l'information devant être délivrée aux personnes concernées ne peut pas être laissé à la discrétion du responsable du traitement.

En effet, le RGPD rappelle qu'il doit s'efforcer d'être le plus précis possible en indiquant que le recours aux critères de détermination des durées de conservation n'est possible que de manière subsidiaire lorsqu'il n'est pas possible de chiffrer la durée de conservation.

Le droit d'information des prospects lors des démarchage téléphoniques

Dans le cadre de ses investigations, la formation restreinte relève que lors des démarchages téléphoniques effectués par les téléprospecteurs agissant pour le copte de CANAL+, ceux-ci ne délivraient pas toujours les éléments d'information requis par le RGPD.

Un échantillonnage d'enregistrements téléphoniques transmis à la CNIL révélait tantôt l'absence d'information, tantôt son incomplétude.

Au surplus, les personnes démarchées lors des missions prospectives n'étaient pas toujours informées de l'enregistrement de l'échange téléphonique, ni de leur droit de s'y opposer.

La CNIL rappelle que ces éléments d'information devaient être systématiquement transmis au moment de la conversation téléphonique et plus particulièrement avant que le téléprospecteur n'entame son démarchage.

CANAL+ étant responsable de ses sous-traitants, il lui appartenait de s'assurer que ses téléprospecteurs s'acquittent de leurs obligations d'information.

Les autres manquements de CANAL+

En marge des violations commises en matière de démarchage téléphonique, la CNIL a considéré que CANAL+ ne répondait pas aux obligations qui lui incombe en matière de (A) gestion des droits des personnes concernées et de (B) sécurité.

Manquement relatif à la gestion des demandes de droit des personnes concernées

A travers cette délibération, la CNIL met l'accent sur la nécessité d'adopter une politique interne de gestion des droits des personnes concernées. A ce titre, il est reproché à CANAL+ de n'avoir pas :

  • Informé deux plaignantes du traitement de leur demande d'exercice de droit ;
  • traité une demande d'effacement dans le mois suivant sa réception ;
  • donné suite à une demande d'accès.

Malgré l'absence de manquement structurel en matière d'exercice de droit, la CNIL a considéré que CANAL+ a méconnu ses obligations en matière de gestion des droits des personnes concernées.

Manquement à l'obligation de sécurité

CANAL+ a manqué à son obligation de sécurité en appliquant une (i) fonction de hachage obsolète aux mots de passes stockés et (ii) en ne notifiant pas une violation de données personnelles à la CNIL.

L'usage d'une fonction de hachage désuète

Au titre de l'article 28 du RGPD, il incombe au responsable du traitement d'assurer la sécurité de tous les traitements de données qu'il opère. A ce titre, il doit protéger les traitements effectués contre le risque :

  • D'accès illégitime aux données ;
  • De destruction non désirée ou de perte des données ;
  • De modification non désirée des données.

Une des mesures élémentaires en matière de sécurité consiste à veiller à ce que les mots de passe stockés ne soient pas divulgués à des tiers. Or, la formation restreinte relève que la fonction cryptographique utilisée par CANAL+ n'était plus conforme à l'état de l'art depuis 2014 compte tenu des recommandations de l'ANSSI.

Le défaut de notification à la CNIL des violations de données.

Lorsque survient un incident de sécurité, il appartient au responsable du traitement de mettre en Suvre toutes les mesures nécessaires permettant de caractériser ou pas une violation des données à caractère personnel afin de pouvoir, le cas échéant, les notifier à la CNIL dans un délai de 72 heures.

Pourtant, à la lumière des investigations menées par la CNIL, il apparaît que CANAL+ n'a pas jugé nécessaire de notifier une violation de données ayant permis à 7 de ses abonnés d'avoir accès aux données de 10 154 abonnés pendant une durée de 5 heures 35 minutes.

La CNIL a valablement considéré que cet accès illégitime constitue inéluctablement une violation de données devant lui être notifiée dans les conditions prévues à l'article 33 du RGPD.

Subrepticement, cette délibération a le mérite de rappeler aux responsables de traitements la nécessité de s'assurer de la conformité de leurs sous-traitants au RGPD. Il ne suffit pas de déléguer des responsabilités pour s'exempter de toute obligation, cette délibération en est la parfaite illustration.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.