Futura Internationale : Une décision de la CNIL riche d’enseignements
Futura Internationale, société spécialisée dans l’isolation des domiciles de particuliers, utilise les services de plusieurs centres d’appels, principalement situés hors de l’Union européenne, et qui effectuent pour elle des campagnes de prospection téléphonique (l’occasion de rappeler que le RGPD a vocation à s’appliquer largement au-delà des frontières de l’UE, dès lors qu’un résident européen est concerné).
Les faits : Une sanction déclenchée par une simple plainte individuelle
La CNIL reçoit une plainte d’une personne démarchée expliquant être très régulièrement sollicitée par la société Futura Internationale, alors même qu’elle a signalé son refus et qu’elle avait également exercé son droit d’opposition par courrier.
Lors de son contrôle, la CNIL constate qu’effectivement la société a reçu plusieurs courriers de personnes se plaignant de continuer à être démarchées malgré une opposition dénuée d’ambiguïté.
De nombreux autres manquements au RGPD sont également notés. La CNIL a notamment relevé que les fichiers de la société contenaient plusieurs commentaires excessifs concernant des clients, allant même jusqu’à concerner leur état de santé. Les personnes n’étaient pas, en outre, correctement informées du traitement de leurs données personnelles, ni même de l’enregistrement de la conversation.
Les manquements : Les investigations menées par la CNIL
Les investigations de la CNIL ont permis de relever pas moins de cinq manquements distincts au RGPD :
Un manquement à l’article 5-1-c) du RGPD, dans la mesure où les commentaires injurieux étaient « inadéquats au regard de la finalité pour laquelle les données sont traitées » et que rien ne justifiait « la présence de données relatives à la santé des personnes dans le logiciel de gestion des clients et prospects » ;
Un manquement à l’obligation d’information des personnes concernées (articles 12, 13 et 14 du RGPD), la CNIL relevant que « les personnes qui font l’objet de prospection téléphonique ne sont soit destinataires d’aucune information relative à l’enregistrement de l’appel soit sont simplement informées de l’enregistrement de la conversation sans qu’aucune autre information ne leur soit communiquée quant au traitement de leurs données » ;
Un manquement à l’obligation de respecter le droit d’opposition des personnes concernées (article 21 du RGPD) puisque « quelle que soit la modalité d’expression de l’opposition, celle-ci restait ineffective » ;
Un manquement à l’obligation de coopérer avec l’autorité de contrôle (article 31 du RGPD), la CNIL n’ayant pas obtenu, à la suite du contrôle, communication de l’ensemble des pièces nécessaires à l’exercice de sa mission, malgré les prorogations de délais accordées à Futura Internationale ;
Un manquement, enfin, à l’obligation d’encadrer les transferts de données à caractère personnel hors de l’Union européenne, Futura Internationale réalisant un tel transfert via son logiciel de gestion des clients et prospects, sans avoir prévu de garantie appropriée. La CNIL relève, à ce titre, que les clauses contractuelles auxquelles Futura Internationale a eu recours suite à la mise en demeure, afin d’encadrer le transfert à ses sous-traitants situés hors du territoire de l’Union européenne, n’ont été adoptée ni par la Commission européenne, ni par une autorité de contrôle.
La sanction : Les points d’attention relevés par la CNIL
La société Futura Internationale a été mise en demeure de se conformer au RGPD, la CNIL lui demandant d’adopter les mesures correctrices nécessaires. Faute de réponse suffisante, la CNIL a engagé une procédure de sanction.
Compte tenu du nombre des manquements, de leur persistance malgré la mise en demeure et de leur gravité, la formation de la CNIL restreinte a prononcé une amende administrative de 500 000 euros contre la société Futura Internationale.
La CNIL indique que la décision est rendue publique car elle souhaite principalement attirer l’attention sur deux points :
La CNIL porte une attention particulière au respect des droits des personnes, notamment dans le contexte des pratiques de démarchage téléphonique qui sont une préoccupation du quotidien pour les personnes ;
Le fait de coopérer avec la CNIL est une obligation qui, si elle n’est pas respectée, est sanctionnable.
Il y a donc là une forte volonté de faire de la société Futura Internationale un exemple.
Quels enseignements tirer de cette décision ?
La décision prononcée par la CNIL à l’égard de la société Futura Internationale est riche d’enseignements sous plusieurs aspects.
Droits des personnes
L’article 21 du RGPD précise qu’en matière de prospection la personne concernée doit pouvoir s’opposer à tout moment. Opposition que le responsable de traitement doit faciliter au regard de l’article 12 du RGPD.
Le droit d’opposition doit donc faire l’objet de précautions particulières lorsqu’un démarchage téléphonique est effectué.
Le responsable de traitement doit en effet garantir l’effectivité de ce droit (en créant par exemple une liste noire des numéros ayant fait l’objet d’une opposition).
Information des personnes
Les informations dont doivent disposer les personnes concernées doivent être fournies au moment de la collecte des données personnelles (en l’occurrence pendant l’appel). La CNIL précise ici que l’envoi d’un courrier d’information concernant le recueil de données, postérieurement à l’appel, n’est pas suffisant au regard de l’article 13 du RGPD.
Coopération avec la CNIL / Mise en place de mesures organisationnelles
Enfin, cette sanction montre à quel point la mise en place de mesures organisationnelles est cruciale. La nécessité d’organiser une gouvernance de la donnée ne fait aujourd’hui plus débat en ce qu’elle constitue un impératif. L’absence de coopération avec la CNIL est en l’espèce également sanctionnée et aurait pu être évitée par la mise en place d’une procédure interne de gestion de crise relative aux données.
(Source : CNIL)