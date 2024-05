Le 4 avril 2024, la société HUBSIDE STORE a été sanctionnée par la CNIL à hauteur de 525 000 euros, soit l'équivalent d'environ 2% de son chiffre d'affaires, pour n'avoir pas respecté la législation en matière de prospection commerciale1.

Cette sanction est un nouvel exemple édifiant des pratiques illicites de certaines entreprises en termes de prospection commerciale non consentie par les personnes concernées.

Plusieurs manquements ont été reprochés à HUBSIDE STORE par la CNIL. Outre l'absence de consentement des personnes concernées, aboutissant à un traitement de données personnelles illicite par la société, la CNIL a considéré que les obligations de transparence et d'information incombant au responsable de traitement n'étaient pas non plus respectées.

Mais surtout, cette affaire a permis à la CNIL de rappeler le cadre légal auquel sont soumises les opérations de prospection commerciale en matière de données personnelles.

Les Manquements de la société Hubside Store relevés par la CNIL

Manquements Précisions Recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (article. 34-5 du Code des postes et communications électronique (CPCE)) A cet égard, il est précisément indiqué par l'article que le consentement de la personne concernée doit être préalablement recueilli par le responsable de traitement. La CNIL, pour définir le consentement, se réfère aux dispositions du RGPD, à savoir « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement »2. Pour s'assurer d'un tel consentement, le responsable de traitement doit notamment s'assurer que l'interface de recueil du choix de l'utilisateur n'intègre pas de design trompeur3aussi appelés dark patterns. Or en l'espèce, le consentement des personnes concernées, recueilli par l'intermédiaire de formulaires de participation à des jeux-concours collectés par des courtiers en données, ne leur permettait pas « d'exprimer de manière valable un choix reflétant leurs préférences en matière de transmission de données à des fins de prospection commerciale»4, étant donnée l'apparence trompeuse de ces formulaires5. Dans ce cadre, ces éléments ne permettaient pas de recueillir un consentement libre et univoque de la part de la personne concernée. Disposer d'une base légale pour les traitements mis en Suvre (article 6 du RGPD) L'intérêt légitime du responsable de traitement peut être utilisé pour fonder un traitement de données personnelles à des fins de prospection commerciale. Cependant, le responsable de traitement doit s'assurer que le traitement ne heurte pas les droits et intérêts des personnes concernées, et notamment qu'en l'espèce, elles s'attendent raisonnablement à recevoir des offres de prospection commerciale de sa part. En effet, la CNIL précise « à la condition que les personnes concernées, au moment de la collecte de leurs données, soient informées qu'elles pourront recevoir des offres de prospection commerciale de la part de cette société. » En outre, « la CNIL a constaté que les formulaires de jeux-concours à partir desquels les données des prospects étaient collectées ne mentionnaient pas systématiquement la société HUBSIDE.STORE dans la liste des partenaires susceptibles de démarcher les personnes concernées ». Information des personnes concernées (article 12 à 14 du RGPD) Selon la CNIL, « les personnes démarchées par téléphone ne disposaient pas de toutes les informations nécessaires sur la collecte et l'utilisation de leurs données personnelles (par exemple, l'identité et les coordonnées de l'organisme, les objectifs d'utilisation des données, les durées de conservation, la source des données, leurs droits ou encore leur possibilité d'adresser une plainte à la CNIL) ».



La responsabilité du responsable de traitement en matière de prospection commerciale

Une circonstance intéressante de l'affaire concernait la collecte indirecte des données par le responsable de traitement, via l'intermédiaire de courtiers en données.

La CNIL rappelle que si le consentement peut avoir été recueilli pour le compte de l'organisme qui prospecte, c'est tout de même ce dernier, responsable de traitement - la société HUBSIDE.STORE en l'occurrence – qui a la responsabilité de s'assurer de la légalité de la prospection commerciale.

En ce sens, un simple engagement contractuel d'un courtier à respecter le RGPD ne suffit pas à exonérer le destinataire des données collectées par les courtiers de sa responsabilité6au titre de la règlementation sur la protection des données.

Enfin, il faut préciser que pour fixer une telle sanction, la CNIL prend non seulement en compte la gravité du manquement, mais également la fréquence de telles opérations non consenties de prospection commerciale par le responsable de traitement. Plus la société aura multiplié ces opérations, plus l'amende sera élevée.

