La CNIL[1] a sanctionné la société FUTURA INTERNATIONALE, le 21 novembre 2019, pour de nombreux manquements au RGPD[2].

La société FUTURA INTERNATIONALE réalisait de la prospection commerciale téléphonique pour faire la promotion de ses services, dont l’offre d’« isolation à un euro ». Ce démarchage était réalisé par 36 centres d’appels situés notamment « en Afrique du Nord » auprès de personnes qui s’y étaient opposées.

La CNIL a rappelé à la société que, lorsque des données sont utilisées à des fins de prospection, les personnes concernées ont le droit de s’opposer à tout moment[3]. La société devait, par conséquent, « mettre en place un mécanisme permettant une prise en compte effective du droit d’opposition exprimé par les personnes », ce qui n’était pas le cas, car les personnes concernées continuaient de recevoir des appels de prospection de la part des sous-traitants étant donné qu’« aucune procédure permettant que l’opposition exprimée auprès de la société soit communiquée à ses sous-traitants ni que l’opposition exprimée directement auprès des téléopérateurs des centres d’appels ne soit centralisée au niveau du siège de la société et répercutée auprès de la société et de l’ensemble des sous-traitants ».

Au cours de la procédure, la société a tenté de se mettre en conformité en mettant en place un tableau contenant « une liste d’opposition régulièrement tenue à jour » ainsi qu’un « bandeau d’information […] invitant les téléopérateurs des centres d’appels à consulter [ce] tableau ». Cette mesure a cependant été jugée insuffisante par la CNIL, car ce processus n’est pas automatisé ni fiable. La Commission estime que les numéros appelés par les téléopérateurs devraient automatiquement être comparés à cette liste pour empêcher les appels.

Par ailleurs, la CNIL reproche également à la société FUTURA INTERNATIONALE d’avoir noté et conservé des « termes injurieux et relatifs à l’état de santé des personnes » dans son logiciel de gestion. La Commission estime que ces commentaires sont « inadéquats au regard de la finalité pour laquelle les données sont traitées et que rien ne justifie, en l’espèce, la présence de données relatives à la santé des personnes »[4].

Encore une fois, la société a tenté de se mettre en conformité au cours de la procédure en ajoutant un « bandeau contextuel » à son logiciel de gestion pour sensibiliser les utilisateurs. Cette mesure a cependant été jugée, à nouveau, insuffisante par la CNIL. La Commission estime « qu’une simple mention d’information à destination des utilisateurs ne saurait suffire » et qu’un « système contraignant » doit être implémenté pour s’assurer que « les comportements constatés ne sont pas réitérés ». La Commission indique que le système devrait « empêch[er] automatiquement l’enregistrement de certains termes dès la saisie » ou « effectu[er] une revue automatisée quotidienne des commentaires enregistrés ».

De plus, la CNIL reproche également à la société FUTURA INTERNATIONALE :

  • de ne pas avoir indiqué aux personnes appelées que les appels étaient enregistrés, ou lorsqu’ils l’étaient, « qu’aucune autre information ne leur soit communiquée quant au traitement de leurs données à caractère personnel, telle que la finalité du traitement, l’identité du responsable de traitement ou les droits dont elles disposent »[5] ; et
  • d’avoir transféré des données à caractère personnel vers la Côte d’Ivoire, le Maroc et la Tunisie, c’est-à-dire les pays dans lesquels des centres d’appels étaient implémentés, sans « prévoir des garanties appropriées »[6].

Enfin, et non des moindres, la CNIL reproche à la société de ne pas avoir suffisamment coopéré[7]. La Commission considère que « l’absence de réponse aux demandes formulées par les services de la CNIL et à la mise en demeure adressée par la présidente de la Commission, comme l’absence de prise en compte de ces demandes avant la notification d’un rapport de sanction, suffisent à démontrer, sinon la volonté clairement exprimée de ne pas donner suite aux sollicitations de la CNIL, à tout le moins un désintérêt flagrant pour ces sujets ».

Une amende de 500 000 euros a été prononcée à l’encontre de la société FUTURA INTERNATIONALE, soit 1,8 % du chiffre d’affaires[8] de l’entreprise.

La société a fait appel de cette décision, mais toutes ses demandes ont été rejetées.

Lire :

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. Lorsque les données sont utilisées à des fins de prospection, le RGPD donne le droit aux personnes de « s’opposer à tout moment au traitement des données à caractère personnel [les] concernant » (source : RGPD, article 21-2). Voir « Quels droits le RGPD donne-t-il aux personnes ? ».
  4. Le RGPD indique que les données personnelles doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) » (source : RGPD, article 5-1-c). La société FUTURA INTERNATIONALE ne pouvait donc pas traiter et conserver des informations insultantes sur ses prospects et clients. Voir « Quelles données à caractère personnel peut-on collecter ? ».
  5. Le RGPD demande de « prend[re] des mesures appropriées pour fournir toute information visée aux articles 13 et 14 » (source : RGPD, article 12-1). La société FUTURA INTERNATIONALE devait donc informer les interlocuteurs et leur fournir un certain nombre d’informations lors des appels de prospections, puisque ces appels étaient enregistrés et que des données personnelles étaient conservées. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  6. Le RGPD autorise que des données à caractère personnel soient transférées vers des pays tiers si « le niveau de protection des personnes physiques garanti par le [RGPD] n[’est] pas compromis » (source : RGPD, article 44). Les pays vers lesquels la société FUTURA INTERNATIONALE exportait les données, à savoir la Côte d’Ivoire, le Maroc et la Tunisie ne bénéficiant pas d’une décision d’adéquation, la société devait prendre des mesures adaptées et justifier que les lois des pays concernés permettent d’assurer un niveau de protection adapté. Voir « Peut-on transférer des données à caractère personnel vers un pays étranger ou vers une entreprise étrangère ? ».
  7. Le RGPD demande que le « responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions » (source : RGPD, article 31). La FUTURA INTERNATIONALE devait donc répondre aux demandes de la CNIL pour permettre à la Commission de s’assurer du respect du RGPD.
  8. La société FUTURA INTERNATIONALE déclare réaliser un chiffre d’affaires de 27,6 millions d’euros en 2017 (source : délibération de la CNIL).