La société HUBSIDE STORE, filiale de la société INDEXIA (ex-SFAM) qui possède 97 magasins spécialisés dans la vente de produits multimédias, a été sanctionnée par la CNIL d’une amende de 525 000 euros pour avoir réalisé des opérations massives de prospection commerciale sans respecter les exigences de la législation française en matière de démarchage commerciale, et les exigences du RGPD en matière de protection des données.

La société HUBSIDE STORE a envoyé 1,4 million de SMS entre septembre 2020 et septembre 2021, puis 220 000 entre mai 2022 et mai 2023. La société a également effectué 3,2 millions d’appels entre mai 2022 et mai 2023 auprès de 1,3 million de prospects. Les coordonnées de ces prospects étaient achetées auprès de courtiers de données, qui les obtenaient en proposant des jeux concours en ligne.

Certains formulaires utilisés par ces courtiers ne permettaient toutefois pas d’obtenir le consentement « univoque, spécifique, libre et informé » des personnes, car ils « incitaient fortement à accepter la transmission de leurs données aux partenaires de la société à des fins de prospection ». Le bouton d’acceptation était, en effet, très visible, contrairement au bouton de refus, qui était d’une taille réduite et intégré à la fin d’un texte explicatif.

Un formulaire permettant de collecter les coordonnées des internautes suivi d’un texte explicatif, de taille réduite, contenant la phrase suivante « si je souhaite continuer sans recevoir les offres des partenaires de l’Entreprise, je clique ici », puis un bouton, de grande taille, intitulé « je valide ».
Exemples de formulaires utilisés par les courtiers de données. © CNIL

D’autres formulaires « ne permettaient matériellement pas à l’utilisateur de participer au jeu sans accepter la transmission de ses données aux partenaires de la société, et donc sans être destinataire de prospection commerciale, contrairement à ce qui est indiqué sur le formulaire ». Enfin, certains formulaires ne mentionnait pas que les données étaient transmises à la société HUBSIDE STORE.

La CNIL a, par conséquent, considéré que la société ne pouvait pas justifier la légalité de ses opérations de prospection commerciale, car le consentement des personnes concernées n’a pas été obtenu, et car les personnes ne pouvaient pas légitimement s’attendre à recevoir des offres commerciales de la société, en l’absence d’une information adaptée.

« La [CNIL] souligne que les manquements commis par la société portent sur des obligations touchant aux principes fondamentaux de la protection des données à caractère personnel. »

— CNIL, Délibération, §110

Une amende administrative de 525 000 € a été prononcée à l’encontre de la société.

L'avis d'eWatchers (par Morgan Schmiedt)

La société HUBSIDE STORE est la seconde société du groupe INDEXIA a être sanctionnée. La société FORIOU avait, en effet, été sanctionnée par la CNIL d’une amende de 310 000 € en janvier 2024 pour des manquements similaires.

Le groupe avait également été sanctionné en 2019 d’une « importante amende » par la DGCCRF pour pratiques commerciales trompeuses[1]. Le montant exact de l’amende n’a pas été révélé. Le journal Le Parisien avance toutefois le chiffre de 10 M€.

Concernant cette procédure, il est intéréssant de noter que la société HUBSIDE STORE a communiqué un document à la CNIL, suite à la première audience, pour tenter de justifier que des contrôles auraient été effectués par la société sur les données transmises par le courtier. L’empreinte numérique de ce document a toutefois permis à la Commission de détecter que le contenu du document avait été étrangement modifié et ne correspondait pas à celui constaté lors du contrôle initial. À bon entendeur.

Liens

Notes et références

  1. Voir le communiqué de la DGCCRF : Amende transactionnelle à l’encontre du groupe SFAM.
Sigles et acronymes
  • RGPD : Règlement Général sur la Protection des Données
  • CNIL : Commission Nationale de l'Informatique et des Libertés