La CNIL prononce une sanction de 310 000 euros. Pour réaliser des campagnes de phoning, une société a acheté des fichiers de prospects auprès de « courtiers ». La société a été sanctionnée car la collecte initiale des données n’avait pas été réalisée en conformité avec le #RGPD par les fournisseurs de fichiers.
Ce que l’on retient de cette décision :
● Le traitement de données personnelles pour réaliser des campagnes de démarchage par téléphone ne peut pas avoir pour base légale l’intérêt légitime du responsable de traitement : les données n’ont pas été collectées en respectant les obligations d’information des personnes concernées.
● Le consentement à recevoir des sollicitations commerciales suite à la participation à un #JeuConcours en ligne n’est pas un consentement spécifique, libre et éclairé : la possibilité offerte de participer au jeu-concours sans accepter de recevoir ces sollicitations n’était pas mise en évidence lorsque cette possibilité n’existait que sous forme d’un lien hypertexte dans le corps du texte, en caractères d’une taille nettement inférieure à celle utilisée pour les boutons et sans mise en valeur particulière
● Le fait d’avoir obtenu les données auprès « d’un courtier » ne décharge pas le responsable du traitement de son obligation de vérifier si les conditions légales lui permettant de réaliser des opérations de prospection sont réunies.
Conclusion : le responsable de traitement ne peut pas se contenter des déclarations ou engagements du fournisseur de données personnelles. Un audit de conformité de la collecte au RGPD doit être réalisé préalablement à l’achat des données.
Délibération de la CNIL SAN-2024-003 du 31 janvier 2024
