La CNIL[1] a sanctionné, le 8 décembre 2020, la société Nestor pour s’être constituée illicitement une base de données de prospects et pour avoir envoyé des messages promotionnels à ces prospects sans leur consentement.

La société spécialisée dans la livraison de déjeuners d’affaires avait demandé à deux sociétés de constituer pour elle une base de données de prospects à partir de données disponibles sur LinkedIn[2], un réseau social pour professionnel. La première société était en charge de recenser les personnes travaillant dans certaines entreprises ou certaines régions, et la seconde était en charge « d’enrichir les données », c’est-à-dire de retrouver notamment l’adresse e-mail des personnes. La société Nestor utilisait ensuite ces adresses e-mail pour envoyer des e-mails promotionnels.

En trois ans, 635 000 internautes ont reçu des e-mails non sollicités de la part de Nestor, qui avait « pour ambition de devenir la référence des services de livraison de déjeuners d’affaires ».

La CNIL a rappelé à la société que l’envoi d’e-mails promotionnels était autorisé uniquement si le destinataire avait « exprimé préalablement son consentement à recevoir des prospections »[3] et a indiqué à la société qu’elle ne pouvait pas prétendre avoir un « intérêt légitime »[4], qui est l’une des bases légales prévues par le RGPD[5] pour justifier un traitement de données personnelles, car la législation impose une base légale basée sur le consentement pour envoyer des messages de prospection. La société Nestor était donc « tenue de recueillir le consentement préalable, libre, spécifique et informé des personnes » avant de leur envoyer des e-mails promotionnels.

La CNIL reproche également à la société Nestor d’avoir envoyé des e-mails et SMS promotionnels aux personnes qui avaient créé un compte à travers le site « nestorparis.com » ou l’application mobile Nestor, sans obtenir leur consentement préalable.

Par ailleurs, la Commission reproche aussi à Nestor :

  • une information, « ni complète », « ni aisément accessible » à destination de ses clients et prospects[6] ;
  • une réponse tardive ou incomplète aux demandes d’exercice de droits des personnes[7] ;
  • le manque de robustesse des mots de passe des clients[8].

Une sanction de 20 000 euros a été prononcée à l’encontre de la société. La CNIL a également demandé à la société Nestor de se mettre en conformité sous trois mois, sous peine d’une astreinte de 500 euros par jour. Les données collectées sans le consentement des personnes doivent notamment être supprimées.

Le 13 janvier 2022, soit plus d’un an après la date de la décision, l’obligation de mise en conformité a été levée, car la société Nestor a été placée en liquidation judiciaire avec poursuite d’activité. La société ELIOR a racheté une partie des activités de Nestor[9]. Il n’est pas précisé si les données collectées illicitement ont été supprimées ou ont été transférées à la société ELIOR.

Lire :

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. Le nom du réseau social n’est pas cité dans la délibération, mais il existe uniquement un seul réseau social populaire pour professionnels en Europe : LinkedIn (LinkedIn.com) édité par Microsoft. La délibération cite, par ailleurs, l’outil « Sales Navigator » qui est un outil proposé par LinkedIn permettant d’accéder à des fonctionnalités additionnelles.
  3. La législation indique qu’ « Est interdite la prospection directe au moyen de système automatisé de communications électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen » (source : CPCE, article 34-5-§1). La société devait donc obtenir le consentement des personnes avant de leur envoyer des e-mails promotionnels. Voir « Doit-on demander le consentement des personnes avant de leur envoyer des e-mails promotionnels ? » et « Comment obtenir le consentement d’une personne pour l’envoi d’e-mails promotionnels ? ».
  4. L’intérêt légitime est l’une des six bases légales pour réaliser un traitement sur des données à caractère personnel. Elle peut être utilisée pour justifier un traitement s’il y a « une relation pertinente et appropriée entre la personne concernée et [l’entreprise] » (source : RGPD, considérant 47). Les données étant collectées sur LinkedIn, une plateforme permettant aux professionnels de rentrer en relation avec d’autres professionnels, les e-mails envoyés par Nestor pour faire la promotion de repas avaient peu de lien avec l’activité des personnes. Voir « Quelle raison peut justifier un traitement de données à caractère personnel ? ».
  5. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  6. Le RGPD demande que l’information relative au traitement de données personnelles soit « aisément accessible » (source : RGPD, article 12-1). La société Nestor n’affichait pas les informations obligatoires lors de la collecte des données, c’est-à-dire au moment où la personne crée son compte. De plus, aucun lien n’était affiché pour permettre à la personne d’accéder à ces informations. Voir « Comment fournir les informations relatives à un traitement de données à caractère personnel ? ».
  7. Le RGPD demande que « le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande » (source : RGPD, article 12-3). La société Nestor devait donc réponse, sous un mois, aux personnes qui souhaitaient obtenir des informations sur le traitement réalisé ou qui souhaitaient obtenir une copie de leurs données. La société n’avait cependant pas communiqué d’informations précises sur son traitement, notamment sur la source des données. Voir « Quels droits le RGPD donne-t-il aux personnes ? » et « Combien de temps a une entreprise pour répondre aux demandes d’exercice de droits RGPD ? ».
  8. Pour des raisons de sécurité, les mots de passe doivent contenir un certain nombre de caractères et certains caractères spéciaux. La société Nestor acceptait que ses clients utilisent un mot de passe d’un unique caractère, ce qui est contraire aux recommandations de la CNIL. Voir « Quelles restrictions imposer aux mots de passe de ses utilisateurs ? ».
  9. La société ELIOR a annoncé, le 9 avril 2021, avoir racheté les activitées de Nestor (source : eliorgroup.com).