L’autorité italienne de protection des données (GPDP[1]) a sanctionné l’opérateur WindTre, le 9 juillet 2020, pour avoir collecté des données à caractère personnel et avoir envoyé des messages commerciaux sans respecter les exigences du RGPD[2].

Concernant l’envoi de messages publicitaires, la Commission a rappelé à l’opérateur que des communications commerciales pouvaient être envoyées aux abonnés uniquement si la société avait obtenu leur consentement, c’est-à-dire une « manifestation de volonté, libre, spécifique [et] éclairée »[3] de leur part, ce qui n’est pas le cas lorsque :

  • le contrat de l’abonné est signé avant l’entrée en application du RGPD[4] ;
  • le contrat proposé à l’abonné contient des cases pré-cochées[5] ;
  • l’application mobile proposée aux abonnés pour suivre leur consommation ne permettait pas de s’opposer, de façon claire[6].

Concernant la collecte illicite de données, la Commission reproche aussi à l’opérateur d’avoir acquis, de manière illégale, des données de clients d’un autre opérateur, puis d’avoir utilisé ces données pour envoyer des messages commerciaux.

Par ailleurs, la manière dont l’opérateur gérait les demandes d’opposition est également critiquée. La Commission a notamment reproché à l’opérateur :

  • le fait, dans certains cas, de proposer uniquement une adresse postale pour retirer son consentement[7] ;
  • le fait, dans certains cas, d’exiger un justificatif d’identité, alors que la demande de droit émanait de l’adresse e-mail de l’abonné[8] ;
  • le fait, dans certains cas, de communiquer des adresses e-mails non valables[9] ;
  • d’offrir la possibilité de s’opposer aux communications commerciales uniquement après un délai de 24 heures.

Enfin, la Commission a reproché à l’opérateur la publication des coordonnées des abonnés dans les annuaires téléphoniques sans leur consentement.

Une amende administrative de 16 729 600 € a été prononcée à l’encontre de l’opérateur WindTre, soit 0,32 % de son chiffre d’affaires[10].

Lire :

Notes et références

  1. GPDP : Garante per la Protezione dei Dati Personali (garanteprivacy.it).
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. Le RGPD définit le consentement des personnes comme « toute manifestation de volonté, libre, spécifique, éclairée » (source : RGPD, article 4-11, définitions).
  4. Les contrats passés entre l’opérateur et les abonnés avant l’entée en application du RGPD n’intégraient pas les informations exigées par RGPD. Le consentement des abonnés ne peut donc pas être considéré comme une « manifestation de volonté éclairée » et doit être considéré comme non valable.
  5. Le consentement est défini comme un « un acte positif clair » de la personne (source : RGPD, article 4-11). L’utilisation d’une cache pré-cochée ne demande pas une action de l’utilisateur. Il n’est donc pas considéré come valide. Voir « Comment obtenir le consentement d’une personne pour l’envoi d’e-mails promotionnels ? ».
  6. Le consentement est défini comme « une manifestation de volonté, libre » (source : RGPD, article 4-11). Le consentement n’est pas considéré comme librement obtenu si la personne a qu’un unique choix, celui d’accepter. Voir « Comment obtenir le consentement d’une personne pour l’envoi d’e-mails promotionnels ? ».
  7. Le RGPD demande que les demandes de droits des personnes soient facilitées (source : RGPD, article 12-2) et qu’il soit « aussi simple de retirer que de donner son consentement » (source : RGPD, article 7-3). Le fait d’exiger un courrier papier pour s’opposer à la réception de messages promotionnels n’est donc pas approprié.
  8. Le RGPD demande que les demandes de droits des personnes soient facilitées (source : RGPD, article 12-2), mais permet de demander un justificatif d’identité, si un doute existe sur l’identité de la personne (source : RGPD, article 12-6). La Commission a cependant considéré que l’opérateur ne pouvait pas prétendre avoir un doute sur l’identité de l’abonné si la demande émanait de son adresse e-mail. Voir « Peut-on demander un justificatif d’identité en réponse à une demande d’exercice de droits RGPD ? ».
  9. Lorsque des données à caractère personnel sont traitées, le RGPD demande que des informations sur ce traitement soient communiquées (source : RGPD, article 12 à 14). Les coordonnées du Délégué à la Protection des Données (DPO) fait partie de ces informations (source : RGPD, article 13-1-a). La société devait donc s’assurer que l’adresse e-mail du DPO communiqué soit correcte. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  10. L’opérateur a déclaré un chiffre d’affaires de 5,228 milliards d’euros (source : décision de la GPDP).