La CNIL1 a sanctionné, le 8 décembre 2020, la société Nestor, en charge du site nestorparis.com, pour de nombreux manquements relatifs au RGPD2.

La société NESTOR, spécialisée dans la livraison de déjeuners d’affaires pour les professionnels, s’est constitué une base de données de prospects en utilisant des informations qui étaient accessibles sur un réseau social pour professionnels3, et a ensuite utilisé ces données pour envoyer un grand nombre d’e-mails promotionnels à des internautes.

En trois ans, 630 000 internautes ont reçu des e-mails non sollicités de la part de Nestor, qui aurait dû informer les internautes que leurs données étaient collectées et demander leur consentement avant de procéder à des campagnes de prospection.

La Commission reproche aussi à la société Nestor :

  • l’envoi répété d’e-mails et de SMS promotionnels à ses clients, sans leur accord préalable4 ;
  • le manque d’informations sur le traitement des données à caractère personnel5 ;
  • la faible sécurité des comptes, qui pouvaient être protégés avec des mots de passe de seulement un caractère6.

Une sanction de 20 000 euros a été prononcée à l’encontre de la société.

Lire la décision complète

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  3. Le nom du réseau social n’est pas cité dans la délibération, mais il y a fort à parier qu’il s’agisse de LinkedIn.
  4. Le RGPD demande que le consentement des personnes soit obtenu avant l’envoi d’e-mails promotionnels. Voir « Doit-on demander le consentement des personnes avant de leur envoyer des e-mails promotionnels ? ».
  5. Le RGPD demande qu’un certain nombre d’informations soit communiqué aux personnes lorsque leurs données à caractère personnel sont collectées. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont collectées ».
  6. Pour des raisons de sécurité, les mots de passe doivent contenir un certain nombre de caractères, et certains caractères spéciaux. Voir « Quelles restrictions imposer aux mots de passe de ses utilisateurs ? ».