La CNIL a rendu récemment plusieurs décisions en matière de traitement des données personnelles à des fins de prospection commerciale particulièrement intéressantes ce qui est l’occasion pour la CNIL de rappeler quelques règles de base.
1° Tu ne pilleras pas
La société KASPR s’est fait condamner à une amende de 240.000 euros pour avoir aspiré les données d’utilisateurs LinkedIn qui avaient pourtant limité la visibilité de leur profil. KASPR mettait à disposition ces données à ses propres clients pour leur permettre de mettre en œuvre des campagnes de prospection commerciale.
Selon la CNIL un tel traitement ne repose sur aucune base légale autorisée dès lors que les utilisateurs du réseau LinkedIn en limitant l’accès à leur profil pouvaient raisonnablement penser que cela les protégeait contre toute sollicitation commerciale non désirée expressément (le fameux consentement !).
Pour les personnes dont le profil était public la durée de conservation de leurs données par KASPR était fixée à 5 ans à partir de chaque mise à jour des données, qui intervient généralement lorsqu’une personne change de poste ou d’employeur. La CNIL a considéré que cette durée était disproportionnée du fait de ce renouvellement de la période de 5 ans.
2° Tu communiqueras en français
L’information des personnes concernées s’est fait dans un courriel rédigé en anglais qui, selon la CNIL, ne constitue pas une information transparente et compréhensible.
3° Tu citeras tes sources
La CNIL a reproché à KASPR de ne pas avoir cité précisément l’origine des données collectées lors de leur communication avec les personnes concernées. L’indication que les coordonnées ont été collectées à partir de sources publiquement accessibles est insuffisante. Il fallait indiquer précisément à partir de quelles sources les données étaient collectées.
4° Tu demanderas d’abord la permission
La CNIL a sanctionné Orange d’une amende 50 millions d’euros pour avoir adressé aux possesseurs d’une boîte email Orange des courriers électroniques publicitaires au sein même de la boîte de réception des utilisateurs et ce sans leur consentement préalable.
La CNIL a considéré que l’affichage de telles publicités nécessitait le recueil du consentement des utilisateurs de la messagerie ORANGE, en application de l’article L. 34-5 du code des postes et des communications électroniques (CPCE).
5° Quant on te dit « Non » tu comprendras « Non »
Orange avait également continué de lire des informations issues des cookies pour lesquels les consommateurs avaient retiré leur consentement à l’implantation desdits cookies.
6° Tu ne prendras que ce dont tu as besoin
La CNIL a sanctionné deux sociétés proposant des services de voyance par téléphone, chat ou SMS (150.000 et 250.000 euros) notamment pour avoir procédé à l’enregistrement systématique de l’ensemble des conversations téléphoniques entre les « voyants » et les consommateurs.
La CNIL rappelle ainsi le principe général de minimisation des données qui implique de ne collecter que des données qui sont strictement nécessaires au traitement au regard de sa finalité.
Si l’enregistrement des conversations est justifié pour une finalité de formation ou de contrôle des salariés cela n’impliquait pas de pouvoir enregistrer toutes les conversations téléphoniques mais uniquement un échantillon ciblé.
7° Tu te rappelleras que la prospection commerciale tout comme l’amour dure 3 ans
L’une des sociétés conservait les données de ses clients pendant une durée de six ans à compter de la fin de la relation commerciale, la CNIL considère cette durée comme excessive
Elle rappelle que, pour une telle finalité, la CNIL recommanda une durée de conservation limitée à trois ans maximum.
Pour toute information, contactez Fabien Honorat (honorat@pechenard.com)