La CNIL a prononcé, le 12 octobre 2023, une amende administrative de 600 000 euros à l’encontre du GROUPE CANAL+ (soit 0.03% du chiffre d’affaires de la société en 2022).
Quelles sont les manquements sanctionnés ?
Un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (article L.34-5 du CPCE et 7 du RGPD).
Comme la CNIL l’avait déjà indiqué, si une entreprise récupère ou transmet les données des prospects mis à disposition par ses partenaires commerciaux, elle doit pouvoir démontrer qu’elle avait obtenu au préalable un consentement éclairé et valable des personnes.
Le simple fait d’indiquer que les données seront transmises à des « partenaires » sans plus de détails, ne suffit pas. C’est l’identité de l’organisme prospecteur qui doit figurer dans la liste des partenaires auxquels les données sont transmises.
Des manquements à l’obligation d’information (article 13 et 14 du RGPD) et au respect de l’exercice des droits des personnes (article 12 et 15 du RGPD).
L’obligation d’information exige que soit indiquer la durée de conservation précise des données. En l’espèce, lors de la création d’un compte MyCanal, : la politique de confidentialité à laquelle renvoyait le formulaire de collecte lors de la création du compte était imprécise sur les durées de conservation.
Aussi, la CNIL a relevé un manquement à l’obligation d’information lors des appels de démarchage téléphonique : le prestataire de la société en charge de la prospection téléphonique ne fournissait pas systématiquement toutes les informations exigées par le RGPD.
Concernant l’obligation relative aux modalités d’exercice des droits des personnes, la CNIL rappelle une fois de plus l’importance de traiter les demandes reçues dans les délais impartis. En l’espèce, la société Canal + n’a notamment pas répondu à certains plaignants dans le délai d’un mois prévu par les textes.
De plus, elle soulève un manquement à l’obligation de respecter le droit d’accès aux données. La société n’a pas fait suite à certaines demandes d’accès.
Un manquement à l’obligation d’encadrer les traitements effectués par un sous-traitant par un contrat (article 28.3 du RGPD).
La CNIL rappelle, l’importance de s’assurer que les contrats conclus avec des sous-traitants contiennent bien l’ensemble des mentions prévues par l’article 28 du RGPD.
Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD).
La CNIL a également retenu un manquement à l’obligation d’assurer la sécurité des données personnelles car le stockage des mots de passe des employés de la société n’était pas suffisamment sécurisé.
En effet, en matière d’authentification, elle rappelle qu’il est nécessaire de veiller à ce qu’un mot de passe permette aux salariés de s’authentifier sur un logiciel et qu’il ne puisse pas être divulgué. Elle a cependant estimé que le stockage de tels mots de passe sous une forme hachée au moyen de l’algorithme MD4 n’était pas conforme à l’état de l’art.
Un manquement à l’obligations de notifier à la CNIL une violation de données (article 33 du RGPD).
A la suite d’une mise à jour de l’espace client Canal+, des abonnées ont pu visualiser des informations relatives à d’autres abonnées et ce durant 5 heures.
La société en ne procédant pas à une notification de la violation auprès de la CNIL, a commis une violation de données.
