Sanction de 500 000 euros de la CNIL à l’encontre d’une PME en raison d’une prospection commerciale par téléphone mise en œuvre en violation du RGPD

Dans une délibération en date du 21 novembre 2019, la CNIL a sanctionné la société FUTURA INTERNATIONALE, notamment pour des manquements au respect des droits des personnes concernées et pour une absence de coopération avec la CNIL.

La société FUTURA INTERNATIONALE exerce dans le secteur de l’isolation thermique des domiciles des particuliers et effectue, dans ce cadre, des campagnes de démarchage téléphonique.
La CNIL a constaté de nombreuses violations aux règles du RGPD :

• La collecte de données non adéquates, non pertinentes et non nécessaires : la société a intégré des nombreux commentaires injurieux ou relatifs à l’état de santé des personnes (données sensibles) dans son logiciel de gestion des clients,
• L’absence d’information des personnes : la société informait rarement les prospects que leur conversation téléphonique était enregistrée et, dans tous les cas, ne fournissait pas la liste complète des mentions exigées au titre de l’article 13 du RGPD. A ce titre, la CNIL précise que la personne doit obligatoirement recevoir une première information au moment de la conversation téléphonique, puis une information complète par tout moyen adéquat,
• Le non-respect du droit d’opposition : la société non seulement n’avais pas mis en place une procédure permettant de respecter le droit d’opposition des personnes, mais surtout a continué d’appeler des prospects ayant fait part de leur volonté de ne plus être contactées,
• L’absence d’encadrement des transferts de données en dehors de l’Union Européenne : la société avait recours à des centres d’appels situés notamment dans des pays n’assurant pas un niveau de protection adéquat (Côte d’Ivoire, Maroc, Tunisie) et ne mettait en œuvre aucune garantie supplémentaire pour ce faire (absence de clauses contractuelles types de la Commission Européenne).

La CNIL a donc prononcé une injonction sous astreinte de se mettre en conformité sur ces 4 points, une amende administrative de 500 000 euros et la publicité de la présente sanction.

Ce qu’il faut retenir :

• La CNIL est susceptible de sanctionner sévèrement même des PME (en l’espèce la société réalise un chiffre d’affaire d’environ 20 millions d’euros) dès lors qu’il existe des manquements aux règles fondamentales du RGPD,
• La sanction a pour origine une plainte d’une personne dont le droit d’opposition n’avait pas été respecté et est justifiée notamment par l’absence de réponse satisfaisante de la société aux nombreuses demandes de la CNIL.