Le 12 octobre dernier, la Commission nationale de l’informatique et des libertés a condamné la société CANAL+ à une (très) lourde amende après avoir relevé divers manquements aux règles édictées par le RGPD.
Que doit-on retenir de cette sanction de la CNIL et quels enseignements en tirer ?
- Prospection sans preuve ne vaut !
Puisque la société n’était pas en mesure d’apporter la preuve de ce qu’elle avait valablement recueilli le consentement des personnes à recevoir de la prospection commerciale, la CNIL a été contrainte de la condamner pour défaut de consentement. Simple. Efficace. Et redoutable.
Moralité : encore une fois, la question de la preuve est cruciale pour la défense de vos intérêts. Ainsi, si recueillir le consentement des personnes est impératif, il convient de s’en ménager la preuve et de la conserver.
- « C’est pas moi, c’est lui ! »
La CNIL a par ailleurs relevé que les formulaires de collecte de données utilisés par les prestataires de CANAL+ ne précisaient pas l’identité des destinataires des données. Dans ce contexte, la CNIL a donc condamné la société pour un manquement à son obligation de recueillir le consentement de la personne concernée.
Moralité : il est fortement conseillé – pour ne pas dire impératif – avant toute mise en place d’un traitement, de convenir avec vos prestataires en amont de la mise en place du traitement des règles applicables en matière d’information des personnes.
- Pour le meilleur et pour une durée limitée
La politique de confidentialité mise en place par la société étant jugée trop imprécise par la Commission s’agissant de la durée de conservation des données cette dernière a conclu que la société n’avait pas correctement informé les personnes au moment de la création de leur compte.
Conclusion : Soignez vos politiques de confidentialité et accordez une attention particulière aux déclarations faites quant à la durée de conservation des données.
- Allo ? Allooooo ?
La CNIL constate également que la société n’a pas répondu à plusieurs demandes de personnes souhaitant exercer leur droit d’accès et/ou n’a pas respecté le délai d’un mois prévu par le règlement pour leur répondre.
Enseignements : la boite mail créée à l’effet de permettre aux personnes de vous contacter pour exercer leurs droits doit être régulièrement consultée et chaque demande doit être traitée avec célérité et, en tout état de cause, dans le délai de 30 jours imparti par le Règlement.
- A vos marques, prêts, contractualisez, partez !
Le règlement européen prévoit qu’il est impératif de conclure avec ses sous-traitants de données personnelles un contrat comprenant un certain nombre d’informations.
Dans le cas de CANAL+, la CNIL a relevé que toutes les mentions requises n’étaient pas prévues dans le contrat. La société a, à cet égard, été condamnée.
Moralité : avant toute mise en place d’un traitement de données interrogez-vous sur la qualité de votre prestataire et, s’il relève de la définition des sous-traitants de données personnelles, assurez-vous de conclure avec lui un contrat en bonne et due forme.
- N’enterrez pas vos problèmes !
Face à une violation de données, il peut être tentant de faire profil bas afin que les difficultés ne s’ébruitent pas. Cependant, le RGPD précise que tout manquement doit être documenté en interne voir, lorsque le risque est élevé, notifié à la CNIL et, dans certains cas, aux personnes concernées directement. La CNIL a ainsi pu considérer que la société CANAL+ avait manqué à son obligation de déclarer une violation de données dans la mesure où celle-ci n’a pas notifié à la Commission que pendant une durée de 5 heures les données de certains abonnés ont été accessibles à d’autres.
Conseil : Si face à une violation de données le premier réflexe doit demeurer de mettre fin au trouble et de prendre toute mesure utile pour en limiter les conséquences il vous faudra rapidement évaluer la situation pour procéder aux notifications de rigueur. Le délai de prévu par le Règlement étant de (seulement) 72 heures par suite de la constatation de la violation.
