Formations 

Blog Données personnelles

  1. Accueil
  2. Blogs
  3. Données personnelles
  4. La CNIL sanctionne le Groupe Canal +&nbs...

La CNIL sanctionne le Groupe Canal + : une amende de 600.000 euros est prononcée pour non-respect de la réglementation applicable en matière de prospection commerciale et relative aux droits des personnes

La Commission Nationale de l’Informatique et des Libertés a été saisie de nombreuses plaintes par des personnes concernées qui reprochaient au Groupe Canal + de ne pas respecter la réglementation applicable en matière de prospection commerciale, et relative à l’exercice des droits.

Dans ce contexte, la CNIL a effectué plusieurs contrôles à l’issue desquels, elle a constaté plusieurs manquements à la réglementation applicable.

  • Sur le manquement à la réglementation applicable en matière de prospection commerciale

Conformément aux dispositions de l’article L. 34-5 du code des postes et des communications électroniques, la prospection commerciale par courrier électronique à destination des consommateurs est possible à condition que les personnes concernées aient explicitement donné leur consentement avant d’être démarchées.

Pour être valable, le consentement doit être libre, spécifique, éclairé et univoque (art. 4.11 du RGPD).

Surtout, le responsable du traitement doit être en mesure de démontrer à tout moment que la personne concernée a bien donné son consentement préalable à la réception de prospection commerciale par message électronique (article 7.1 du RGPD).

En l’espèce, le Groupe Canal + procède à des opérations de prospection commerciale par courrier électronique à l’attention de particuliers et n’a pas été en mesure de démontrer que les personnes concernées par ces opérations avaient donné leur consentement préalable à la réception de tels messages électroniques.

  • Sur le non-respect des droits des personnes concernées

Sur le manquement à l’obligation d’information

Conformément aux dispositions des articles 12 et suivants du RGPD, les personnes concernées doivent être informées du traitement de leurs données à caractère personnel.

Dans le cadre des contrôles qu’elle a menés, la CNIL a constaté que l’information communiquée aux personnes démarchées par voie téléphonique n’était pas pleinement conforme aux dispositions de l’article 14 du RGPD.

Sur le manquement aux modalités d’exercice des droits des personnes concernées

Conformément aux dispositions de l’article 12 du RGPD, à la suite d’une demande d’exercice de droits, le responsable du traitement doit fournir à la personne concernée des informations sur les mesures prises à la suite de cette demande et ce, dans les meilleurs délais et en tout état de cause dans un délai d’un (1) mois à compter de ladite demande.

En l’espèce, le Groupe Canal + n’a pas tenu informé certaines personnes qui avaient exercé leurs droits.

Surtout, dans certains cas, elle n’a pas respecté le délai imparti d’un (1) mois pour faire droit à ces demandes.

Sur le non-respect du droit d’accès d’une personne concernée

Conformément aux dispositions de l’article 15 du RGPD, les personnes concernées peuvent mettre en œuvre leur droit d’accès afin de savoir si leurs données personnelles sont traitées et d’en obtenir la communication dans un format compréhensible.

Dans le cadre de ses contrôles, la CNIL a constaté que le Groupe Canal + n’avait pas fait droit à deux demandes de droit d’accès qui étaient pourtant pleinement fondées.

  • Sur le manquement à l’article 28 du RGPD

Conformément aux dispositions de l’article 28 du RGPD, la relation entre un responsable du traitement et un sous-traitant doit être régie par un contrat qui doit stipuler certaines mentions obligatoires.

Or, la CNIL a constaté que certains accords de traitement des données conclus par le Groupe Canal + n’étaient pas conformes aux dispositions de l’article 28 du RGPD.

  • Sur le manquement à l’obligation de sécurité

Conformément aux dispositions de l’article 32 du RGPD, le responsable du traitement est astreint à une obligation de sécurité des données à caractère personnel qu’il traite.

Pourtant, la CNIL a constaté que le stockage des mots de passes des salariés du Groupe Canal + n’étaient pas suffisamment sécurisés.

  • Sur le manquement à l’obligation de notifier à la CNIL une violation de données

L’article 33 du RGPD exige du responsable du traitement qu’il notifie toute violation de données à l’autorité de contrôle, à moins qu’elle ne soit pas susceptible d’engendrer de risque pour la personne concernée.

Au cours de ses opérations de contrôle, la CNIL a constaté que le Groupe Canal + a été victime d’une violation de données à caractère personnel qui aurait dû être notifiée à la CNIL. Pourtant, le Groupe Canal + n’a pas jugé nécessaire de procéder à cette notification.

  ⇐ Précédent
Suivant ⇒