La société MICHEL SIMOND, spécialisée dans la cession et la reprise de commerces et entreprises, a été alertée sur les risques à collecter des données à caractère personnel et à envoyer des e-mails promotionnels sans le consentement des internautes.

La société collectait des données personnelles en provenance du réseau social pour professionnels LinkedIn, notamment le nom, prénom et l’adresse e-mail de l’internaute, et utilisait ces informations pour envoyer des e-mails promotionnels.

La société a été sensibilisée sur le fait que :

  • la collecte et le traitement de données à caractère personnel doivent suivre les règles du RGPD1, même si les données sont publiquement accessibles2 ;
  • l’envoi d’e-mails promotionnels nécessite le consentement préalable des personnes3 ;
  • des informations doivent être communiquées aux personnes lorsque leur consentement est demandé pour leur permettre de savoir comment seront traitées leurs données et leur permettre de faire un choix éclairé4 ;
  • le simple fait de parler de vive voix à une personne ou d’échanger des messages électroniquement avec une personne ne doit pas être considéré comme un consentement à la réception d’e-mails promotionnels.

Événements relatifs à cette alerte :

  • le 05/10/2021, un e-mail promotionnel a été reçu de la société ayant pour objet « Osez entreprendre ! » et faisant la promotion de leurs services et biens en vente.
  • le 07/10/2021, un e-mail a été envoyé à la société pour leur demander (i) une copie des données à caractère personnel en leur possession et (ii) des informations sur la façon dont ces données ont été collectées.
  • le 07/10/2021, un e-mail a été reçu de la société indiquant que cette newsletter était envoyée car l’adresse e-mail a été obtenue suite à la consultation d’un de leurs biens ou suite à une demande de contact pour un bien de leur portefeuille.
  • le 07/10/2021, un e-mail a été envoyé à la société pour leur indiquer qu’aucun de leurs biens n’avait été consulté et qu’aucune demande de contact avait été effectuée. La demande initiale a été réitérée, à savoir : une copie des données et des informations sur la façon dont ces données ont été collectées.
  • le 07/10/2021, un e-mail a été reçu de la société contenant la copie des données à caractère personnel, c’est-à-dire le nom, prénom et l’adresse e-mail, et indiquant que ces informations avaient été collectées sur LinkedIn suite à une demande de mise en relation.
  • le 07/10/2021, un e-mail a été envoyé à la société pour demander la suppression des données à caractère personnel et pour leur rappeler les éléments présentés plus haut.
  • le 08/10/2021, un e-mail a été reçu de la société indiquant que les données ont bien été supprimées.

Notes et références

  1. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  2. La collecte de données à caractère personnel est soumise au RGPD, même si ces données sont publiquement accessibles. Voir « Les données publiquement accessibles peuvent-elles être des données à caractère personnel ? ».
  3. La prospection par e-mail n’est pas autorisée si l’utilisateur n’a pas exprimé préalablement son consentement, sauf certaines exceptions. Voir Doit-on demander le consentement des personnes avant de leur envoyer des e-mails promotionnels ?.
  4. Le RGPD demande que certaines informations soient communiquées aux personnes lorsque leurs données à caractère personnel sont collectées. Voir Quelles informations communiquer lorsque des données à caractère personnel sont collectées ?.