Transmission de données personnelles à un réseau social à des fins de publicité ciblée : sanction de 3,5 millions d’euros
Depuis 2018, cette société communiquait les adresses électroniques et numéros de téléphone des membres de son programme de fidélité au réseau social afin que leur soient diffusées des publicités promouvant ses produits.
La CNIL relève :
– L’absence de base légale de ce traitement : le formulaire d’adhésion au programme de fidélité n’informait pas les personnes de la transmission de leurs données au réseau social, ni de la finalité de publicité ciblée.
– Qu’un consentement spécifique, explicite et éclairé, via une case à cocher décrivant la finalité de traitement, aurait dû être recueilli. Le consentement des adhérents au programme de fidélité à recevoir de la prospection par SMS et/ou courrier électronique était insuffisant.
– Un défaut d’information des personnes concernées : les informations fournies étaient imprécises, incomplètes et erronées (référence au Privacy Shield… pourtant abrogé).
– Un manquement à l’obligation d’assurer la sécurité des données : complexité insuffisante des mots de passe lors de la création d’un compte sur le site internet de la société.
– L’absence d’analyse d’impact malgré le volume important de données traitées et le croisement de données, constitutif d’un risque élevé pour les droits et libertés.
