Les TPE visés par une règle ancestrale !
La CNIL a prononcé une sanction de 150 000 euros à l’encontre d’une société de voyance pour non-respect du RGPD.
Des générations d’entrepreneurs ont prospéré avec la règle du « ça peut servir, on ne sait jamais ».
Par intérêt, par peur de perdre, par négligence, combien d’entre nous ne font pas régulièrement du ménage dans leurs données clients et prospects ? Sur l’ordinateur, le téléphone, les notes papiers ?
Le jeu des 6 erreurs
Aurez-vous au moins une pratique similaire dans la liste des infractions citées par la CNIL, le 8 juin 2023, contre la société de voyance ?
Si oui, bravo ! Vous aurez peut-être une chance de remporter le grand prix gagnant de 150 000 euros de sanction lors du prochain tirage ! 😄
1. Pas de minimisation de la collecte des données
La société enregistrait systématiquement l’intégralité des appels téléphoniques passés entre les téléopérateurs et les prospects, ainsi qu’entre les voyants et les clients, à des fins de contrôle de la qualité du service, de preuve de la souscription du contrat et dans la perspective de réquisitions judiciaires.
Or, un responsable de traitement ne peut pas mettre en place un traitement de données à caractère personnel sans s’assurer que celui-ci est nécessaire à ses besoins, a fortiori lorsqu’il repose sur un dispositif particulièrement intrusif pour les salariés.
S’agissant de l’enregistrement intégral et systématique des appels téléphoniques à des fins de contrôle de la qualité du service, la formation restreinte considère que la finalité visant à contrôler la qualité du service fourni par les téléopérateurs et les voyants peut être atteinte par un moyen moins intrusif. En effet, l’article L.221-16 du code de la consommation prévoit que, lorsque le professionnel contacte un consommateur par téléphone en vue de conclure un contrat portant sur la vente d’un bien ou sur la fourniture d’un service, ce dernier n’est engagé par cette offre qu’après l’avoir signée et acceptée sur un support durable.
2. Durée de conservation des données
Le rapporteur relève, par une lecture combinée de la politique de durées de conservation et de la politique de confidentialité de la société, que la durée de conservation des données des clients, à des fins de gestion de la relation commerciale et de suivi de la clientèle, est fixée à trois ans à compter de la fin de la relation commerciale.
Elle observe que, lors de la procédure de contrôle, la société a pourtant indiqué que figurent dans sa base de données, en base active, des données à caractère personnel de […] clients n’ayant pas eu de consultation avec un voyant depuis plus de trois ans, dont au moins […] clients n’ont pas eu de consultation avec un voyant depuis plus de cinq ans.
3. Base légale pour conserver des données bancaires
La société conserve les données bancaires de ses clients, au-delà du temps strictement nécessaire à la réalisation de la transaction, à des fins de lutte contre la fraude et pour faciliter l’achat de nouvelles consultations de voyance par les clients.
Si la base légale pour la conservation des données bancaires à des fins de lutte contre la fraude est l’intérêt légitime, cela ne s’applique pas à la conservation en vue d’achats ultérieurs, pour lesquels la société aurait dû recueillir le consentement des personnes.
4. Traitement de données sensibles sans consentement
Lors des consultations, les clients peuvent communiquer des données relatives à leur état de santé et à leur orientation sexuelle, qui sont notées sur des fiches conservées par les voyants.
La société aurait dû recueillir un consentement préalable et explicite des clients au traitement de leurs données sensibles. La simple volonté de recevoir des prestations de voyance et de livrer spontanément des informations sensibles ne peut être considérée comme un consentement explicite. La société aurait dû également fournir une information spécifique sur la collecte de leurs données sensibles.
5. Information des personnes et transparence
La CNIL a relevé que les informations relatives aux traitements étaient accessibles depuis la page d’accueil du site internet de la société, mais n’étaient pas visibles dans le formulaire de création de compte dudit site.
D’autre part, la formation restreinte constate que les informations se situent dans un document qui s’intitule  » CGV « , qui comporte à la fois des informations générales sur les  » conditions de vente « , les conditions d’utilisation du site web et des informations concernant les traitements de données à caractère personnel que la société met en œuvre. Dès lors que l’information se situe dans un document qui n’est pas facilement identifiable comme relatif à la protection des données à caractère personnel, la formation restreinte considère que l’information n’est pas aisément accessible.
Certaines informations, telles que la durée de conservation, le droit à la portabilité et le droit d’introduire une réclamation auprès de l’autorité de contrôle, faisaient défaut.
6. Sécurité du site Internet
La société a mis en place des mots de passe insuffisamment robustes pour les comptes utilisateurs et n’a pas sécurisé l’accès au site web www.voyance-en-direct.tv en utilisant le protocole HTTP au lieu du protocole HTTPS, qui exposait alors les données à des risques d’attaques informatiques ou de fuite de données.
Elle a en outre utilisé un mécanisme de chiffrement des données bancaires qui présentait des vulnérabilités.
La CNIL a constaté dans un premier temps l’absence de bandeau d’information relatif aux cookies et le dépôt de trois cookies sur le terminal de l’utilisateur sans son consentement et dès son arrivée sur le site.