Plainte à répétition auprès de la CNIL, 3 mises en demeure pour défaut d’information et de consentement dans le cadre de la relation commerciale

Après avoir annoncé ses thématiques prioritaires de contrôle pour l’année 2022¹, la Commission nationale de l’informatique et des libertés (CNIL), fidèle à son programme, a mis en demeure trois sociétés sur le terrain de la prospection commerciale à la suite de plaintes à répétition².

Ces mises en demeure pour manquement à la règlementation en matière de prospection commerciale n’est guère étonnante. En effet, la CNIL a publié en ce début d’année son nouveau référentiel relatif à la « gestion commerciale »³ destiné à fournir un cadre pour les traitements tels que la gestion des contrats, des programmes de fidélité, le suivi de la relation client pour la réalisation d’enquêtes de satisfaction, la gestion des réclamations et du service après-vente, ou encore la réalisation d’actions de prospection commerciale. Ce thème était également au centre de sa sanction de 300 000 euros prononcée à l’encontre de l’opérateur de téléphonie Free Mobile⁴ fin décembre 2021. Mais surtout, l’autorité française avait indiqué que la prospection commerciale ferait partie de ses thèmes prioritaires de contrôle pour l’année 2022⁵. Ainsi, les responsables de traitement se doivent d’être vigilants quant aux respects de la règlementation à l’aune de ce nouveau référentiel de la CNIL.

En effet, dans le cadre de ces mises en demeure, il était question précisément de prospection B to C, c’est-à-dire d’actions de prospection réalisées par un professionnel (personne morale) à destination d’un consommateur (personne physique) en dehors de tout cadre professionnel. Après avoir reçu de nombreuses plaintes, la CNIL a constaté deux manquements majeurs aux règles relatives à la prospection commerciale.

Le premier était l’absence d’information des personnes concernant la transmission de données à caractère personnel les concernant à des partenaires et à des fins de prospection par voie téléphonique.

Le second des manquements était l’absence de consentement des personnes pour voir leurs données à caractère personnel transmises à des partenaires cette fois-ci pour de la prospection par voie électronique (SMS et courriers électroniques). Ce deuxième manquement s’assimilait alors à l’absence de base légale rendant illicite le traitement de données.

Or, le rappel des règles relatives aux opérations de transmission de données à des partenaires à des fins de prospection commerciale se trouve au cœur du référentiel « gestion commerciale » présenté en début d’année par la CNIL. Ces mises en demeure démontrent l’intérêt et la nécessité d’intégrer les référentiels de la CNIL dans sa démarche de mise en conformité au RGPD.

De plus, les consommateurs sont désormais sensibilisés et vigilants quant au respect de la règle opt-in / opt-out relative à la prospection commerciale par voie électronique, transposée en France en 2004⁶, et n’hésitent plus à adresser une plainte en ligne auprès de la CNIL lorsque leurs droits ne sont pas respectés. Pour rappel, le nombre de plaintes et de recours auprès de la CNIL ne cesse d’augmenter (plus de 14 000 pour l’année 2021)⁷. Cela peut également se justifier par les limites que présentent certains dispositifs tels que Bloctel⁸, permettant a priori de contrer les démarches de prospection. Néanmoins, l’inscription sur Bloctel peut tout de même être pris en considération par la CNIL dans le cadre du traitement d’une plainte et constituer une circonstance aggravante pour un responsable de traitement ne respectant pas ses obligations en matière de prospection commerciale.

Parfois reliée à des arnaques récentes⁹, la prospection commerciale non sollicitée fait partie des problématiques récurrentes auxquelles les citoyens français sont confrontés au quotidien et incite par conséquent la CNIL à se saisir fermement du sujet. En outre, l’autorité administrative française dirige son action en fonction de la majorité des plaintes qu’elle reçoit dans le but de traiter au mieux les demandes. En effet, plus la source des plaintes concernant une problématique est importante, plus les contrôles de l’autorité seront orientés vers celle-ci. Les plaintes des personnes concernées constituent dans les faits l’un des premiers éléments déclencheurs des contrôles de la Commission et en étaient déjà à l’origine de 40% en 2020¹⁰.

Enfin, le projet de règlement européen « e-privacy »¹¹devrait renforcer la règlementation en matière de protection des données personnelles dans le cadre de la prospection commerciale par voie électronique.

---

Pour en savoir plus :

1. Margaux Bourgeois, « Prospection commerciale, cloud, et surveillance du télétravail : la CNIL annonce son programme de contrôle pour 2022 », Lexagone, 17 février 2022.
2. CNIL, « Prospection commerciale : trois organismes mis en demeure pour des transmissions de données entre partenaires non conformes » , 7 avril 2022
3. CNIL, « Référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales », 3 février 2022
4. CNIL, « Sanction de 300 000 à l’encontre de la société FREE MOBILE », 4 janvier 2022
5. CNIL, « Thématiques prioritaires de contrôle 2022 : prospection commerciale, cloud et surveillance du télétravail », 15 février 2022
6. Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique
7. Gilles Trouessin, « Mise en œuvre de la réforme des procédures correctrices, vers un accroissement des sanctions de la CNIL en 2022 ? », Lexagone, 15 avril 2022
8. Brusa Basini, « Démarchage téléphonique : jusqu’à quand Bloctel va-t-il rester en panne ? », Le journal du dimanche, 26 octobre 2021
9. Service public, « Compte personnel de formation : appels téléphoniques, SMS, attention aux tentatives d’arnaques », 10 mars 2022
10. CNIL, Charte des contrôles, 5 août 2020
11. Cabinet Vigo, Cabinet d’avocats au Barreau de Paris, « Le règlement européen ‘’e-privacy’’, bloqué depuis 2017 au Conseil de l’UE, va enfin pouvoir être débattu au Parlement européen » , Dalloz Actualité, 18 février 2021

---

Par Paul-Amandin Petit | News, Protection des données, Sécurité | Commentaires fermés