Condamnation de la société NESTOR pour prospection commerciale fondée sur l’intérêt légitime du responsable de traitement – Quels enseignements en tirer ?
Corinne Thiérache
Par une délibération du 8 décembre 2020, la CNIL réaffirme que l’intérêt légitime du responsable de traitement ne peut être une base légale aux opérations de prospection commerciale.
Des opérations de prospection commerciale litigieuses
Société spécialisée dans la préparation et la livraison de repas à destination d’employés de bureaux, la société NESTOR procédait, avec l’aide d’autres sociétés, à des collectes de données personnelles à partir du site internet d’un réseau social professionnel, afin de mener des opérations de prospection commerciale. Une première société établissait une liste de prospection contenant les noms et prénoms des prospects, grâce à un service proposé par la société gérant le réseau social professionnel qui collectait ces données. Une autre société enrichissait le fichier en ajoutant notamment l’adresse électronique professionnelle des prospects. Enfin, une dernière société envoyait les courriels de prospection pour le compte de la société NESTOR.
Saisie de plaintes, la CNIL a mené plusieurs missions de contrôle. La formation restreinte de la Commission a finalement condamné, le 8 décembre 2020, la société NESTOR à une amende administrative de 20 000 euros et a prononcé à son encontre une injonction, assortie d’une astreinte, de se mettre en conformité avec les obligations s’imposant à elle.
Les manquements reprochés
Le défaut de consentement préalable à la prospection
Cette amende fut tout d’abord prononcée en raison du manquement de la société NESTOR à l’article L. 34-5 du Code des postes et des communications électroniques (CPCE). Cet article prohibe la prospection commerciale réalisée notamment au moyen de courriers électroniques envers une personne qui n’a pas exprimé préalablement son consentement à recevoir des prospections par ce moyen.
La société NESTOR avait mis en avant l’intérêt légitime du responsable du traitement ayant pour finalité la prospection commerciale des personnes. Elle précisait qu’il était vital pour elle d’acquérir une base de clients professionnels potentiels puisqu’elle avait pour ambition de devenir la société de référence en matière de livraison de déjeuners d’affaires dans les locaux professionnels des clients. Elle a ainsi indiqué dans un premier temps qu’elle n’avait pas à recueillir le consentement des personnes puisque les envois des courriels de prospection intervenaient strictement dans un cadre professionnel. Pourtant, l’article L. 34-5 du CPCE applicable en l’espèce n’écarte pas l’exigence du consentement préalable lorsque la prospection intervient dans un tel cadre.
Si la société NESTOR invoquait ainsi son propre intérêt, le caractère légitime ne s’apprécie pas au regard du seul intérêt du responsable du traitement. Ce dernier doit en effet être mis en balance avec le propre intérêt des personnes concernées par le traitement et doit prendre en compte leurs droits et libertés fondamentaux. De plus, des garanties doivent être offertes aux personnes concernées par le responsable du traitement afin de limiter les incidences injustifiées à leur encontre et modifier l’équilibre des droits et intérêts en cause. Il n’est pas indiqué si la société NESTOR avait en réalité bien pris en compte les intérêts et les droits et libertés fondamentaux des personnes concernées, ni mis en place des garanties renforcées, pour de cette manière prendre toute la mesure des obligations induites par le choix de l’intérêt légitime comme base légale.
En réponse au rapport de sanction, la société NESTOR a ensuite affirmé qu’elle s’assurait que les personnes concernées consentaient à l’utilisation de leurs données personnelles à des fins de ciblage publicitaire. En effet, la politique de confidentialité de la société gérant le réseau social professionnel à partir duquel les données à caractère personnel étaient collectées prévoyait que les données personnelles de ses membres pouvaient faire l’objet d’une communication à des annonceurs. Dès lors, puisque cette société agissait au nom et pour le compte de la société NESTOR, cette dernière pouvait se prévaloir du consentement ainsi recueilli pour son compte par la société gérant le réseau social.
La CNIL a quant à elle considéré que les messages de prospection commerciale n’avaient que peu de lien avec l’activité professionnelle des prospects, que ces derniers n’avaient pas été informés de la collecte de leurs données personnelles par la société NESTOR et que les opérations de prospection avaient été effectuées sans que leur consentement préalable n’ait été recueilli par la société NESTOR.
De plus, la prospection commerciale litigieuse entrant dans le champ d’application de l’article L. 34-5 alinéa 1 du CPCE, elle a retenu que la base légale spécifique prévue par cet alinéa, à savoir le consentement, devait s’appliquer, de sorte que l’intérêt légitime de la société NESTOR ne pouvait être retenu. Or cette dernière n’avait pas recueilli le consentement préalable, libre, spécifique et informé des personnes concernées à recevoir des courriers électroniques de prospection.
Le considérant 47 du Règlement général sur la protection des données (RGPD) énonce pourtant que «Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime ».
Le considérant 47 du RGPD ne fournit toutefois pas plus de précisions sur les conditions permettant de fonder un traitement de données à caractère personnel sur l’intérêt légitime dans le cadre d’opérations de prospection commerciale. De plus, le recours à l’intérêt légitime comme base légale pour un traitement de données à caractère personnel pour réaliser des opérations de prospection commerciale n’apparaît que comme une simple possibilité. En réalité, l’alinéa 4 de l’article L. 34-5 du CPCE prévoit qu’en cas de prospection à l’égard de clients pour la vente de produits ou de fourniture de services analogues à ceux qui leur avaient été précédemment fournis, la prospection directe par courrier électronique est autorisée si notamment le destinataire se voit offrir la possibilité de s’y opposer. Ce qui peut s’apparenter au recours à l’intérêt légitime sous réserve d’avoir procédé à la balance des intérêts en présence.
Cette délibération illustre néanmoins la difficulté de recourir à l’intérêt légitime pour fonder un traitement de données à caractère personnel voire l’impossibilité en cas de prospection à l’égard de simples prospects.
En outre, la CNIL a constaté un autre manquement à l’article L. 34-5 du CPCE car la société NES-TOR n’avait mis en place, lors de la création d’un compte sur son site web ou son application, aucun procédé visant à recueillir le consentement des personnes à la collecte et au traitement de leurs données à des fins de prospection commerciale par courriers électroniques. Toutefois, la société NESTOR ayant inséré au cours de la procédure un mode d’obtention du consentement sur son site internet et son application, la CNIL a considéré qu’elle s’était complètement mise en conformité avec cet article à la date de clôture de l’instruction.
L’analyse ne devrait pas être différente avec l’adoption du règlement « vie privée et communications électroniques » (dit « règlement e-Privacy ») abrogeant la directive 2002/58/CE. En effet, la dernière version du projet de règlement présentée le 10 février 2021 énonce en son article 16 paragraphe 1 qu’il est fait interdiction aux personnes physiques ou morales d’utiliser des services de communications électroniques pour l’envoi de communications de prospection directe aux utilisateurs finaux personnes physiques à moins qu’ils n’aient donné leur consentement préalable. Aux termes de ce texte, le consentement des personnes concernées apparaît donc toujours comme une condition nécessaire à la réalisation d’opérations de prospection au moyen de services de communications électroniques. Le paragraphe 2 de ce même article accorde toutefois la possibilité d’utiliser les coordonnées électroniques d’utilisateurs finaux clients à des fins de prospection directe pour des produits et services analogues à ceux précédemment délivrés, à la condition notamment que le destinataire se voit offrir la possibilité de s’y opposer.
Une information insuffisante
Des manquements aux articles 12 et 13 du RGPD étaient également reprochés à la société NES-TOR. Ce premier impose notamment au responsable du traitement de fournir aux personnes concernées toute information visée aux articles 13 et 14 du RGPD. Le second lui impose de fournir, au moment de la collecte, diverses informations telles que son identité et ses coordonnées, les finalités du traitement et sa base juridique, les destinataires ou les catégories de destinataires des données à caractère personnel, le cas échéant les transferts de données à caractère personnel, la durée de conservation des données à caractère personnel, les droits dont bénéficient les personnes ainsi que le droit d’introduire une réclamation auprès d’une autorité de contrôle.
Considérant que certaines de ces informations n’étaient pas fournies aux personnes concernées, la formation restreinte a constaté un manquement aux articles du RGPD précités, tout en remarquant que la société NESTOR s’était mise en conformité à la clôture de l’instruction. En effet, la politique de confidentialité contenait alors l’intégralité des informations exigées par l’article 13 du RGPD et était accessible via un lien lors de l’inscription.
Un droit d’accès non respecté
De plus, l’article 15 du RGPD dispose que la personne concernée dispose du droit d’obtenir du responsable de traitement l’accès aux données à caractère personnel la concernant. Or, la formation restreinte de la CNIL a considéré que la société NESTOR n’avait pas convenablement fait droit aux demandes d’accès qui lui avaient été faites par deux personnes et qu’à la date de la clôture de l’instruction, elle ne s’était toujours pas mise en conformité.
Une robustesse insuffisante des mots de passe
Si la formation restreinte a constaté un manquement à l’article 32 du RGPD portant obligation d’assurer la sécurité des données à caractère personnel, caractérisé par la robustesse trop faible des mots de passe admis lors des créations de comptes, elle ne prononça pas d’injonction à cet égard en raison de la mise à jour par la société NESTOR des mesures relatives à la gestion des mots de passe de connexion aux comptes des utilisateurs.
Les mesures prises par la CNIL
Outre une amende administrative de 20.000 euros, la CNIL a prononcé à l’encontre de la société NESTOR une injonction de se mettre en conformité avec les obligations résultant des articles L. 34-5 du CPCE et 15 du RGPD. Plus précisément, en raison du manquement à l’article L. 34-5 du CPCE, il lui fut enjoint de justifier de la suppression de l’ensemble des données à caractère personnel antérieurement collectées sans le consentement des prospects. Du fait du manquement à l’obligation de respecter le droit d’accès, prévu à l’article 15 du RGPD, il lui fut enjoint de satisfaire pleinement aux demandes de droits d’accès en communiquant aux demandeurs l’ensemble de leurs données à caractère personnel, de même que les informations relatives à la source d’où proviennent leurs données. Cette injonction était assortie d’une astreinte de 500 euros par jour de retard.
A l’occasion de cette affaire, la CNIL a pu ainsi entrer en voie de condamnation, en rappelant qu’elle dispose du pouvoir de sanctionner, sans mise en demeure préalable, un responsable de traitement dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d’être régularisés, soit (i) qu’ils soient insusceptibles de l’être, soit (ii) qu’il y ait déjà été remédié, écartant ainsi l’argumentaire de défense de la société NESTOR selon lequel seuls des manquements persistants peuvent donner lieu au prononcé de sanctions.
Cette nouvelle décision de la CNIL ne manquera pas de provoquer une nouvelle fois des adaptations nécessaires chez certaines entreprises qui avaient tendance à prendre trop de libertés dans le cadre de leurs prospections commerciales.
Corinne Thiérache, Associée du Département IP/IT d’Alerion avec les remerciements à Baptiste Piljan, Stagiaire du Département IP/IT.