La société HUBSIDE.STORE, dont le siège social est situé à Paris, est une filiale de la société SFK GROUP. Elle a pour activité la gestion des boutiques " HUBSIDE.STORE ", spécialisées dans le commerce de détail de matériel de télécommunication. Au 31 mai 2023, la société employait 706 salariés et comptait 97 boutiques, réparties entre la France, la Belgique, le Portugal et l’Italie.
Afin de promouvoir le catalogue des produits vendus en magasin, la société procède à des campagnes de démarchage par téléphone et par SMS à partir de fichiers de prospects achetés auprès de deux partenaires principaux. Elle a indiqué avoir envoyé environ 1,4 million de SMS entre le mois de septembre 2020 et le mois de septembre 2021, et plus de 220 000 entre mai 2022 et mai 2023. S’agissant de la prospection téléphonique, la société a indiqué avoir émis environ 3,2 millions d’appels entre mai 2022 et mai 2023, à destination d’environ 1,3 millions de prospects.
Le 23 septembre 2021, une délégation de la Commission nationale de l’informatique et des libertés (CNIL) a procédé à un contrôle dans les locaux de la société, afin de vérifier le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (RGPD). Ce contrôle a révélé des violations des textes susmentionnés. Tandis que certaines de ces violations sont relatives à la collecte des données (I) d’autres sont liées au traitement des données (II).

I-Les violations relatives collecte des données

Il s’agit du manquement à l’obligation de recueillir le consentement des personnes concernées (A) et du manquement à l’obligation de traiter les données de manière licite (B).

A-Le manquement à l’obligation de recueillir le consentement des personnes concernées pour la mise en œuvre de prospection commerciale par voie électronique

Cette obligation est posée par l’article L. 34-5 du Code des postes et des communications électroniques (CPCE). Aux termes de cet article, « est interdite la prospection directe au moyen de système automatisé de communications électroniques […], d'un télécopieur ou de courriers électroniques utilisant les coordonnées d'une personne physique […] qui n'a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen. Pour l'application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe […] ».
Le consentement de la personne concernée est entendu au sens de l’article 4, paragraphe 11, du RGPD, comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Le respect de ces dispositions précitées suppose que toute opération de prospection commerciale par voie électronique doit se faire avec le consentement univoque, spécifique et libre des personnes concernées.
La société en cause a effectué des opérations de prospection commerciale par SMS à partir de fichiers de prospects achetés auprès de courtiers en données. Ces derniers collectaient les données des personnes concernées par l’intermédiaire de formulaires de participation à des jeux-concours en ligne. Or, la conception de ces formulaires ne permet pas aux utilisateurs de manifester leur consentement par un acte positif clair et dénué d’ambigüité, et les incite fortement à accepter la transmission de leurs données aux partenaires de la société à des fins de prospection.

B-Le manquement à l’obligation de traiter les données de manière licite

Aux termes de l’article 6 du RGPD, " 1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;

En l’espèce, la société a indiqué réaliser des opérations de prospection commerciale par téléphone, à partir de fichiers de prospects achetés auprès de plusieurs fournisseurs de données. Si, selon la formation restreinte, organe chargée de prononcer les sanctions, les actions de prospection commerciale par appels téléphoniques peuvent être réalisées sur la base légale de l’intérêt légitime de la société ou sur celle du consentement, la société n’a pas été en mesure, ni dans ses observations écrites, ni dans ses observations orales, d’indiquer précisément sur quelle base légale elle se fondait pour procéder à de tels traitements. Dès lors, en l’absence de base légale permettant à la société HUBSIDE.STORE de fonder ses opérations de prospection commerciale par téléphone, la formation restreinte considère qu’un manquement à l’article 6 du RGPD est constitué.

II-Les violations relatives au traitement des données

Ont été soulevés le manquement à l'obligation de transparence et d'information (A) et le manquement à l'obligation de sécurité des données (B).


A-Le manquement à l’obligation de transparence et d’information des personnes

Une liste des informations devant être communiquées par le responsable de traitement aux personnes concernées, lorsque leurs données à caractère personnel n’ont pas été collectées auprès d’elles, est dressée à l’article 14, paragraphe 1, du RGPD. Parmi ces informations figurent les finalités du traitement ainsi que sa base juridique.
Le paragraphe 2 de ce même article prévoit qu’en " plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée " certaines informations " nécessaires pour garantir un traitement équitable et transparent à l'égard de la personne concernée ", notamment les droits dont ces dernières disposent, la durée de conservation des données, la source dont elles proviennent ou encore le droit d’introduire une réclamation auprès d’une autorité de contrôle.
La rapporteuse, Mme Valérie PEUGEOT a relevé que les personnes faisant l’objet de prospection commerciale par téléphone de la part de la société HUBSIDE.STORE (soit environ 1,3 million de prospects français et belges entre mai 2022 et mai 2023) ne sont pas informées de l’ensemble des mentions obligatoires prévues à l’article 14 susmentionné. Elle observe que, si les prospects sont bien informés de l’enregistrement de l’appel ainsi que de leur possibilité de s’opposer à cet enregistrement et de s’inscrire sur Bloctel, l’ensemble des autres informations ne leur ont pas été communiquées, les personnes concernées ne se voyant pas non plus offrir la possibilité d’obtenir une information plus complète.
La formation restreinte rappelle que, dans la mesure où la société a indiqué effectuer de la prospection commerciale par téléphone à partir de fichiers transmis par ses partenaires, il s’agit d’un cas de collecte indirecte, pour lequel l’information des personnes doit être assurée dans les conditions définies à l’article 14 du RGPD.

B- Le manquement à l’obligation d’assurer la sécurité des données

Aux termes de l’article 32, paragraphe 1 du RGPD, " compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque […] " et notamment " des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement " et d’une " procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement."

La société a indiqué avoir conservé les données des clients de ses points de vente en Europe, soit 104 391 personnes en novembre 2021, pendant une durée de cinq ans à compter de la date de clôture du contrat, conformément aux délais légaux de prescription, précisant que ces données étaient conservées en base active, sans qu’aucun mécanisme d’archivage intermédiaire ne soit mis en œuvre. La rapporteuse a considéré que ces modalités de conservation ne permettent pas de limiter l’accès aux données aux utilisateurs ayant besoin d’en connaître, dans la mesure où les personnes ayant intérêt à avoir accès à ces données pendant la durée du contrat continuent, même après la fin de ce dernier, à pouvoir y accéder sans restriction pendant une durée de cinq ans, alors même que leurs fonctions ne leur imposent plus nécessairement d’en connaître.
Selon la formation restreinte, il résulte des dispositions de l’article 32 du RGPD que le responsable de traitement doit mettre en place des mesures appropriées pour assurer la confidentialité des données et éviter que ces dernières soient traitées de façon illicite par des personnes qui n’ont pas besoin d’en connaître.

Ce besoin d’en connaître est susceptible d’évoluer en fonction du cycle de vie des données et des finalités pour lesquelles elles sont conservées. Ainsi, pendant la phase de leur utilisation courante, qui correspond à la durée nécessaire pour accomplir la finalité déterminée, les données sont conservées en " base active " et accessibles à l’ensemble des services chargés de la mise en œuvre du traitement. A l’issue de cette phase, lorsque les données ne sont plus utilisées pour atteindre l’objectif fixé mais qu’elles présentent encore un intérêt administratif pour l’organisme (par exemple pour la gestion d’un éventuel contentieux) ou doivent être conservées pour répondre à une obligation légale, elles doivent pouvoir être consultées uniquement de manière ponctuelle et motivée par des personnes spécifiquement habilitées, participant à l’objectif ayant justifié cette conservation, en faisant l’objet d’un archivage intermédiaire. Cet archivage intermédiaire nécessite d’opérer une séparation avec la base active, qui peut être physique (via un transfert des données au sein d’une base d’archives dédiée), ou logique (via la mise en place de mesures techniques et organisationnelles garantissant que seules les personnes ayant un intérêt à traiter les données en raison de leurs fonctions puissent y accéder).

La formation restreinte a relevé que la société ne conteste pas conserver les données de ses clients à l’issue de la relation contractuelle, sans qu’aucune mesure d’archivage intermédiaire n’intervienne. Elle a rappelé que la cessation des relations contractuelles doit conduire à limiter l’accès aux données à certains salariés en raison de leurs fonctions. Néanmoins, elle a considéré qu’en l’état, les éléments qui figuraient au dossier ne permettaient pas d’établir que des personnes auraient accès auxdites données sans avoir besoin d’en connaître.
Il résulte donc de cette analyse de la formation restreinte que ce dernier manquement à l’article 32 du RGPD soulevé n’est pas constitué.

L’ amende de 525 mille euros prononcée par la CNIL est une combinaison de deux cent mille euros (200 000 €) pour manquement à l’article L.34-5 du code des postes et des communications électroniques et trois cent vingt-cinq mille euros (325 000 €) pour manquements aux articles 6 et 14 du RGPD.