Une société de voyance en ligne a été sanctionnée par la CNIL : une amende de 120 000 euros pour plusieurs manquements au RGDP et notamment concernant l’enregistrement systématique des appels téléphoniques, la collecte de données de santé et d’informations relatives à l’orientation sexuelle, la conservation des données bancaires sans le consentement de la personne, l’obligation de notifier une violation de données. Elle a également relevé des manquements aux règles relatives aux cookies.
Sommaire
- Un manquement à l’obligation de minimiser les données collectées
- Un manquement à l’obligation de disposer d’une base légale pour l’utilisation des données bancaires
- Un manquement à l’obligation de recueillir le consentement préalable à la collecte de catégories particulières de données
- Un manquement à l’obligation d’assurer la sécurité des données
- Un manquement à l’obligation de notifier les violations de données à la CNIL
- Un manquement aux obligations liées à l’utilisation des cookies
Un manquement à l’obligation de minimiser les données collectées
La société enregistrait systématiquement l’intégralité des appels téléphoniques passés entre les téléopérateurs et les prospects, ainsi qu’entre les voyants et les clients, à des fins de contrôle de la qualité du service, de preuve de la souscription du contrat et dans la perspective de réquisitions judiciaires.
Si la société a désormais arrêté les consultations de voyance par téléphone, et donc les enregistrements téléphoniques, elle n’a cependant pas donné de justification, pour le passé, concernant la nécessité d’enregistrer systématiquement l’intégralité des conversations pour ces objectifs.
Un manquement à l’obligation de disposer d’une base légale pour l’utilisation des données bancaires
La société conserve les données bancaires de ses clients, au-delà du temps strictement nécessaire à la réalisation de la transaction, à des fins de lutte contre la fraude et pour faciliter l’achat de nouvelles consultations de voyance par les clients.
Si la base légale pour la conservation des données bancaires à des fins de lutte contre la fraude est l’intérêt légitime, cela ne s’applique pas à la conservation en vue d’achats ultérieurs, pour lesquels la société aurait dû recueillir le consentement des personnes.
Un manquement à l’obligation de recueillir le consentement préalable à la collecte de catégories particulières de données
Lors des consultations, les clients peuvent communiquer des données relatives à leur état de santé et à leur orientation sexuelle, qui sont notées sur des fiches conservées par les voyants.
La société aurait dû recueillir un consentement préalable et explicite des clients au traitement de leurs données sensibles. La simple volonté de recevoir des prestations de voyance et de livrer spontanément des informations sensibles ne peut être considérée comme un consentement explicite. La société aurait dû également fournir une information spécifique sur la collecte de leurs données sensibles.
Un manquement à l’obligation d’assurer la sécurité des données
La société a mis en place des mots de passe insuffisamment robustes pour les comptes utilisateurs et n’a pas sécurisé l’accès au site web www.voyance-en-direct.tv en utilisant le protocole HTTP au lieu du protocole HTTPS, qui exposait alors les données à des risques d’attaques informatiques ou de fuite de données.
Elle a en outre utilisé un mécanisme de chiffrement des données bancaires qui présentait des vulnérabilités.
Un manquement à l’obligation de notifier les violations de données à la CNIL
La société a été informée le 29 septembre 2020 être l’objet d’une fuite de données par un journaliste qui lui a communiqué un échantillon de sa base de données. La société n’a pourtant pas notifié à la CNIL la violation de données. Elle a estimé ne pas pouvoir constater la violation en raison de la fermeture de son serveur et de l’absence de conservation des journaux de connexion (logs) au serveur par son sous-traitant.
Toutefois, la société pouvait identifier la violation de données en comparant l’échantillon de données communiqué par le journaliste à sa base de données. La société, en sa qualité de responsable du traitement, avait l’obligation de notifier la violation de données même si celle-ci avait pour origine une erreur de la part du sous-traitant.
La CNIL a constaté dans un premier temps l’absence de bandeau d’information relatif aux cookies et le dépôt de trois cookies sur le terminal de l’utilisateur sans son consentement et dès son arrivée sur le site. La société a ensuite mis en place un bandeau d’information, mais qui ne permettait pas de refuser le dépôt de cookies aussi facilement que de les accepter.
Au cours de la procédure, la société a mis en place un bandeau d’information conforme aux exigences de la CNIL et a cessé de déposer des cookies soumis à consentement sans avoir recueilli le consentement des utilisateurs.