Attention à votre prospection commerciale, les emails non sollicités sont aussi sous surveillance de la CNIL qui vient de prononcer une sanction de 20 000 euros à l’encontre de la société NESTOR (spécialisée dans la préparation et la livraison de repas à destination d’employés de bureaux). Indépendamment du RGDP le principe de l’opt-in est toujours applicable dans le domaine de la prospection par email.

Inédit jusqu’alors, la CNIL a tenu compte des conséquences de la crise sanitaire de la COVID-19 sur la situation financière de la société NESTOR.

Affaire Nestor

La société a adressé des courriels de prospection sans avoir préalablement recueilli le consentement des prospects et pour avoir manqué à plusieurs obligations du RGPD, notamment en matière d’information et de respect des droits des personnes.

Manquement à l’obligation de recueillir le consentement des personnes

Depuis 2017, 653 033 prospects ont reçu des messages électroniques de prospection de la part de la société, sans y avoir consenti. Il s’agissait de personnes ayant créé un compte sur le site ou l’application de la société sans avoir passé commande ou dont les données avaient été collectées sur Internet.

Or, dans ce cas, les actions de prospection commerciale menées par la société étaient concernées par l’article L. 34-5 du Code des postes et des communications électroniques (CPCE), qui prévoit que de telles opérations sont soumises au consentement préalable des personnes concernées. En l’absence d’un tel consentement, la société méconnaissait ses obligations et l’ensemble des données ainsi collectées a dû être supprimé.

La CNIL a prononcé une injonction à l’encontre de la société afin qu’elle justifie de la suppression de l’ensemble des données personnelles collectées sans le consentement des prospects.

Obligation d’information des personnes

Un manquement à l’obligation d’information des personnes (articles 12 et 13 du RGPD) a également été relevé. Le formulaire de collecte des données personnelles permettant de s’inscrire sur le site web de la société ne comportait pas l’ensemble des informations exigées par le RGPD et ne renvoyait pas non plus vers une page dédiée qui aurait contenu les informations manquantes. À cet égard, la politique de confidentialité des données du site web était également incomplète, trop générale et imprécise.

Enfin, aucune information relative à la protection des données personnelles n’était fournie aux personnes créant un compte sur l’application mobile.

Manquement à l’obligation de respecter le droit d’accès des personnes

La société a aussi manqué à son obligation de fournir une copie des données personnelles qu’elle détenait dans sa base de données (article 15 du RGPD) ainsi qu’une information relative à la source de ces données à deux personnes l’ayant sollicitée, en répondant partiellement à leurs demandes.

Manquement à l’obligation d’assurer la sécurité des données personnelles

Par ailleurs, en violation de l’article 32 du RGPD, la société n’imposait pas l’utilisation d’un mot de passe robuste lors de la création d’un compte sur son site web ou sur son application mobile.

Laisser un commentaire

Your email address will not be published.

Please fill the required fields*