La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Alexandre LINDEN, président, M. Philippe-Pierre CABOURDIN, vice-président, Mme Isabelle LATOURNARIE-WILLEMS et MM. Alain DRU et Bertrand du MARAIS, membres ;
Vu la fin de mandat de Monsieur Alexandre LINDEN, intervenue le 1er février 2024 ;
Vu la délibération n° 2024-015 du 7 mars 2024 élisant Monsieur Philippe-Pierre CABOURDIN en tant que président de la formation restreinte de la Commission nationale de l'informatique et des libertés ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;
Vu le code des postes et des communications électroniques ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;
Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;
Vu la décision n° 2021-191C du 29 juin 2021 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par la société SFK GROUP, par ses filiales ou pour son compte, en tout lieu susceptible d’être concerné par leur mise en œuvre ;
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 4 avril 2022 ;
Vu le rapport de Mme Valérie PEUGEOT, commissaire rapporteure, notifié à la société HUBSIDE.STORE le 23 août 2023 ;
Vu les observations écrites versées par la société HUBSIDE.STORE le 29 septembre 2023 ;
Vu la réponse de la rapporteure à ces observations, notifiée à la société le 20 octobre 2023 ;
Vu la clôture de l’instruction, notifiée à la société le 22 novembre 2023 ;
Vu les observations orales formulées lors de la séance de la formation restreinte du 7 décembre 2023 ;
Vu la délibération avant-dire droit de la formation restreinte n°SAN-2023-019 du 14 décembre 2023 ;
Vu les observations écrites versées par la rapporteure le 21 décembre 2023 ;
Vu les observations écrites versées par la société le 28 décembre 2023 ;
Vu les observations orales formulées lors de la séance de la formation restreinte du 18 janvier 2024 ;
Vu la note en délibéré transmise par la société le 29 janvier 2024 ;
Vu les autres pièces du dossier ;
Étaient présents, lors de la séance de la formation restreinte :
- Mme Valérie PEUGEOT, commissaire, entendue en son rapport ;
En qualité de représentants de la société HUBSIDE.STORE :
- […] ;
La société HUBSIDE.STORE ayant eu la parole en dernier ;
La formation restreinte a adopté la décision suivante :
I. Faits et procédure
1. La société HUBSIDE.STORE (ci-après " la société "), dont le siège social est situé 23/25 avenue Kléber à Paris (16ème), est une filiale de la société SFK GROUP. Elle a pour activité la gestion des boutiques " HUBSIDE.STORE ", spécialisées dans le commerce de détail de matériel de télécommunication. Au 31 mai 2023, la société employait 706 salariés et comptait 97 boutiques, réparties entre la France, la Belgique, le Portugal et l’Italie. Son chiffre d’affaires pour l’année 2021 s’est élevé à environ […] euros, pour un résultat net de […] euros.
2. Afin de promouvoir le catalogue des produits vendus en magasin, la société procède à des campagnes de démarchage par téléphone et par SMS à partir de fichiers de prospects achetés auprès de deux partenaires principaux, les sociétés […] et […]. Elle a indiqué avoir envoyé environ 1,4 million de SMS entre le mois de septembre 2020 et le mois de septembre 2021, et plus de 220 000 entre mai 2022 et mai 2023. S’agissant de la prospection téléphonique, la société a indiqué avoir émis environ 3,2 millions d’appels entre mai 2022 et mai 2023, à destination d’environ 1,3 million de prospects.
3. Le 23 septembre 2021, une délégation de la Commission nationale de l’informatique et des libertés (ci-après " la CNIL " ou " la Commission ") a procédé à un contrôle dans les locaux de la société, afin de vérifier le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après " la loi Informatique et Libertés " ou " loi du 6 janvier 1978 modifiée ") et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (ci-après le " Règlement " ou " RGPD ").
4. Le procès-verbal n° 2021-191/1, dressé le jour du contrôle, a été notifié à la société le 30 septembre 2021.
5. La société a communiqué des pièces complémentaires les 5 octobre et 22 novembre 2021.
6. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 4 avril 2022, désigné Mme Valérie PEUGEOT en qualité de rapporteure sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.
7. Conformément à l’article 56 du RGPD, le 9 juin 2023, la CNIL a informé l’ensemble des autorités de contrôle européennes de sa compétence pour agir en tant qu’autorité de contrôle cheffe de file concernant les traitements transfrontaliers mis en œuvre par la société, résultant de ce que l’établissement principal de la société se trouve en France. Après échanges entre la CNIL et les autorités de protection des données européennes dans le cadre du mécanisme de guichet unique, l’Italie, l’Espagne, le Portugal et la Belgique se sont déclarées concernées.
8. Les 8 juin et 13 juillet 2023, la rapporteure a adressé deux demandes complémentaires auxquelles la société a répondu les 23 juin et 3 août 2023.
9. Le 23 août 2023, à l’issue de son instruction, la rapporteure a fait notifier à la société un rapport détaillant les manquements aux articles 6, 14 et 32 du RGPD et à l’article L. 34-5 du code des postes et des communications électroniques (ci-après " le CPCE ") qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de prononcer une amende administrative à l’encontre de la société. Il proposait également que cette décision soit rendue publique.
10. Le 29 septembre 2023, la société a produit des observations en réponse au rapport de sanction.
11. La rapporteure a répondu aux observations de la société le 20 octobre 2023.
12. Le 22 novembre 2023, la rapporteure a, en application du III de l’article 40 du décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi Informatique et Libertés, informé la société et le président de la formation restreinte que l’instruction était close.
13. Le même jour, la société a été informée que le dossier était inscrit à l’ordre du jour de la formation restreinte du 7 décembre 2023.
14. La formation restreinte a tenu une séance le 7 décembre 2023.
15. Par délibération avant-dire droit n°SAN-2023-019 du 14 décembre 2023, envoyée par courrier électronique à la société le même jour et notifiée par voie postale le 21 décembre 2023, la formation restreinte a demandé à la société HUBSIDE.STORE et à la rapporteure la production d’une pièce complémentaire, évoquée par la société lors de la séance du 7 décembre 2023.
16. Le 21 décembre 2023, la rapporteure a communiqué à la formation restreinte une pièce intitulée " leads_701_23-09-2021 […] ".
17. Le 28 décembre 2023, la société a communiqué à la formation restreinte une pièce également intitulée " leads_701_23-09-2021 […] ".
18. En application de l’article 41 du décret n°2019-536 du 29 mai 2019, une convocation à la séance de la formation restreinte du 18 janvier 2024 a été notifiée à la société HUBSIDE.STORE le 21 décembre 2023 ;
19. La rapporteure et la société ont présenté des observations orales lors de la séance de la formation restreinte.
II. Motifs de la décision
A. Sur la désignation du rapporteur
20. Aux termes de l’article 39 du décret n°2019-536 du 29 mai 2019, " lorsqu'une mesure prévue au III de l'article 20 de la loi du 6 janvier 1978 […] est susceptible d'être prononcée, le président de la commission désigne un rapporteur n'appartenant pas à la formation restreinte, et en informe le responsable de traitement ou le sous-traitant mis en cause ".
21. La formation restreinte relève qu’en application de ces dispositions, la présidente de la CNIL a, par décision du 7 avril 2022, désigné Mme Valérie PEUGEOT, commissaire, pour établir le rapport devant permettre à la formation restreinte d’arrêter sa décision dans le cadre du dossier " CTX n°2022-019 HUBSIDE.STORE ".
22. Lors de la séance du 7 décembre 2023, puis dans le cadre de ses observations du 28 décembre 2023, la société HUBSIDE.STORE a invoqué la nullité de cette désignation, dans la mesure où elle serait intervenue sur la base d’une saisine ne concernant pas la société HUBSIDE.STORE.
23. La formation restreinte relève que le 1er juillet 2020, la CNIL a été saisie d’une plainte n°[...] visant plusieurs sociétés du groupe SFK.
24. Par décision n°2021-191 du 29 juin 2021, la présidente de la CNIL a chargé le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par la société SFK GROUP ou par ses filiales.
25. Le procès-verbal de contrôle en date du 23 septembre 2021 indique que " la mission de contrôle a pour objet de procéder à la vérification sur place de la conformité des traitements de données à caractère personnel mis en œuvre par la société SFK GROUP ou par ses filiales et notamment les sociétés […] et […] ". Il précise qu’ " en particulier, il s’est agi d’effectuer des vérifications postérieurement aux clôtures du 4 mai 2021 des mises en demeure MED n°2020-041 du 24 novembre 2020 à l’encontre de la société […] et MED n°2020-042 du 24 novembre 2020 à l’encontre de la société …] ; il s’est également agi de donner suite à la saisine […] relative à l’exercice de son droit d’accès par un plaignant ".
26. La formation restreinte considère que, dans la mesure où la saisine […] a donné lieu à des vérifications réalisées lors du contrôle sur place le 23 septembre 2021, lequel visait le groupe SFK et l’ensemble de ses filiales, dont fait partie la société HUBSIDE.STORE, le fait que cette saisine soit mentionnée dans la décision de la présidente de désigner Mme Valérie PEUGEOT en tant que rapporteure est sans incidence sur la validité de cette désignation, quand bien même ladite saisine ne viserait pas spécifiquement la société HUBSIDE.STORE.
B. Sur la procédure de coopération européenne
27. Aux termes de l’article 4 paragraphe 23, b) du RGPD, on entend par " traitement transfrontalier " " un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant, mais qui affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres ".
28. La rapporteure relève que la société dispose de boutiques en France, mais également en Belgique, en Espagne, au Portugal et en Italie. Elle observe que, bien que la société ait indiqué que ses opérations de prospection commerciale étaient menées exclusivement depuis la France, à destination de ressortissants fran��ais, elle a néanmoins transmis des enregistrements d’appels de prospection à destination de ressortissants belges, dans l’objectif de promouvoir ses boutiques situées en Belgique. Par ailleurs, la rapporteure relève que la société a également indiqué que sa base de données clients contenait l’ensemble des données des clients des boutiques HUBSIDE.STORE en Europe. Elle considère que, dès lors, la société met en œuvre des traitements de données à caractère personnel transfrontaliers.
29. En défense, s’agissant des opérations de prospection commerciale par téléphone, la société affirme n’effectuer de la prospection qu’auprès d’individus domiciliés en France, afin de générer du trafic dans ses points de vente situés en France. S’agissant des enregistrements d’appels à destination de ressortissants belges transmis à la délégation, elle précise que " HUBSIDE.STORE Belgium, entité de tête portant les activités d’HUBSIDE.STORE en Belgique ne dispose pas de personnels dédiés à l’animation d’un service client. Aussi, pour les opérations de prospection téléphoniques ou sms effectuées dans l’optique de générer du trafic dans les points de vente situés sur le territoire belge, HUBSIDE.STORE Belgium a pu sous-traiter cette activité de prospection à SFAM en utilisant les services des plateaux commerciaux hexagonaux de cette société. Dès lors, étaient fournis aux équipes préposées à la prospection, l’accès à un fichier de prospection belge, acquis d’HUBSIDE.STORE Belgium ".
30. En premier lieu, s’agissant des opérations de prospection commerciale par téléphone visées par le manquement à l’article 6 du RGPD, la formation restreinte relève que ce manquement repose sur la conception de formulaires mis en œuvre par des courtiers en données ne fournissant à la société HUBSIDE.STORE que des données de ressortissants français. Dans ces conditions, malgré la réalisation par la société de démarchage téléphonique à destination de ressortissants belges, la formation restreinte considère que le traitement concerné par le manquement à l’article 6 du RGPD ne constitue pas un traitement transfrontalier.
31. En deuxième lieu, s’agissant des enregistrements d’appels de prospection téléphonique visés par le manquement à l’article 14 du RGPD, la formation restreinte relève que ces derniers visent des ressortissants français mais également des ressortissants belges, afin de promouvoir des boutiques situées en Belgique. Ainsi, le caractère transfrontalier du traitement apparait caractérisé.
32. En troisième et dernier lieu, la société a indiqué que sa base de données clients, visée par le manquement à l’article 32 du RGPD, contenait les données des clients de l’ensemble des points de vente HUBSIDE.STORE en Europe. La formation restreinte considère ainsi que la gestion de cette base de données constitue un traitement transfrontalier au sens de l’article 4, paragraphe 23, du RGPD.
33. En application de l’article 60, paragraphe 3, du RGPD, le projet de décision adopté par la formation restreinte a été transmis aux autres autorités de contrôle européennes compétentes, en vue de leur permettre d’effectuer des objections pertinentes et motivées sur les traitements et manquements qui les concernent, le 20 février 2024. La formation restreinte relève que les autorités de contrôle suivantes sont concernées par la présente procédure : Belgique, Italie, Espagne, Portugal.
34. Au 20 mars 2024, aucune de ces autorités n’avait formulé d’objection pertinente et motivée à l’égard de ce projet de décision, de sorte que, en application de l’article 60, paragraphe 6, du RGPD, ces dernières sont réputées l’avoir approuvé.
C. Sur le manquement à l’obligation de recueillir le consentement des personnes concernées pour la mise en œuvre de prospection commerciale par voie électronique
35. Aux termes de l’article L. 34-5 du CPCE, " est interdite la prospection directe au moyen de système automatisé de communications électroniques […], d'un télécopieur ou de courriers électroniques utilisant les coordonnées d'une personne physique […] qui n'a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen. Pour l'application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe […] ".
36. Aux termes de l’article 4, paragraphe 11, du RGPD, on entend par " consentement " de la personne concernée " toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ".
37. En application des dispositions combinées des articles L.34-5 du CPCE et 4, paragraphe 11 du RGPD, l’organisme qui fait réaliser des opérations de prospection commerciale par voie électronique doit disposer d’un consentement univoque, spécifique, libre et informé des personnes concernées.
38. La rapporteure relève que la société a indiqué procéder à des opérations de prospection commerciale par SMS à partir de fichiers de prospects achetés auprès de courtiers en données. Elle observe que les constatations réalisées par la délégation ont permis d’établir que ces courtiers collectaient les données des personnes concernées par l’intermédiaire de formulaires de participation à des jeux-concours en ligne.
39. Pour proposer à la formation restreinte de considérer que la société a méconnu ses obligations résultant de l’article L. 34-5 du CPCE, tel qu’éclairé par les dispositions de l’article 4, paragraphe 11 du RGPD, la rapporteure se fonde sur le fait que la conception de ces formulaires ne permet pas aux utilisateurs de manifester leur consentement par un acte positif clair et dénué d’ambigüité, et les incite fortement à accepter la transmission de leurs données aux partenaires de la société à des fins de prospection.
40. En défense, la société se prévaut des termes du contrat la liant à l’un de ses fournisseurs, la société […], estimant qu’elle ne peut être tenue pour responsable des agissements non conformes de son prestataire. S’agissant de l’autre fournisseur, la société […], elle indique qu’elle n’entretenait avec lui aucune relation contractuelle avant le mois de novembre 2021 et que la majorité des fichiers reçus provenaient de la société […], complétés par des apports en provenance de la société […] ayant elle-même recours à un réseau de sous-traitants parmi lesquels la société […].
41. En l’espèce, il ressort de l’instruction que la société HUBSIDE.STORE réalise des opérations de prospection commerciale par SMS à partir de fichiers de prospects achetés auprès de fournisseurs de données, chargés de recueillir le consentement des personnes concernées au moment de la collecte des données. Entre le mois de septembre 2020 et le mois de septembre 2021, 1 363 773 SMS de prospection ont ainsi été envoyés. Le nombre d’envois entre le mois de mai 2022 et le mois de mai 2023, s’élève à 221 206.
42. En premier lieu, s’agissant de la société […], la formation restreinte relève que lors du contrôle du 23 septembre 2021, la société a indiqué que les " SMS de prospection relatifs au catalogue de la société HUBSIDE.STORE sont envoyés aux prospects fournis par la société […] car cette dernière est capable de cibler des prospects proches des boutiques ". A cette occasion, une extraction de 5 000 fiches de prospects livrées par la société […] a ainsi été effectuée. Par ailleurs, la société a fourni à la délégation deux bons de commande de la société […], datés du 3 août 2021, portant sur la vente de plusieurs dizaines de milliers de fichiers à la société HUBSIDE.STORE.
43. Ces éléments conduisent la formation restreinte à considérer que la société HUBSIDE.STORE exploitait bien, au jour du contrôle, les fichiers de prospects livrés par la société […].
44. En deuxième lieu, la formation restreinte rappelle que lorsque les données des prospects n’ont pas été collectées directement auprès d’eux par l’organisme qui prospecte, le consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte de l’organisme qui réalisera les opérations de prospection ultérieures. À défaut, il revient à l’organisme qui prospecte de recueillir un tel consentement avant de procéder à des actes de prospection (CNIL, FR, 24 novembre 2022, Sanction, n°SAN-2022-021, publié).
45. Il en résulte qu’en sa qualité de responsable de traitement, la société HUBSIDE.STORE est tenue de vérifier elle-même que les conditions lui permettant de réaliser des opérations de prospection commerciale sont réunies. A cet égard, la formation restreinte a retenu la responsabilité d’un organisme en considérant qu’un simple engagement contractuel de son courtier en données à respecter le RGPD et les règles applicables en matière de prospection commerciale ne constituait pas une mesure suffisante (CNIL, FR, 24 novembre 2022, Sanction, n° SAN-2022-021, publié).
46. Ainsi, s’agissant des engagements contractuels de la société […] dont se prévaut la société HUBSIDE.STORE, la formation restreinte considère que les obligations contractuelles pouvant être imposées aux fournisseurs ne sauraient exonérer la société HUBSIDE.STORE de sa responsabilité en tant que responsable de traitement, malgré l’existence éventuelle d’une responsabilité des fournisseurs.
47. En troisième lieu, la formation restreinte rappelle que le consentement spécifique requis par les dispositions de l’article L. 34-5 du CPCE ne peut résulter que d’un consentement exprès de l’utilisateur, donné en toute connaissance de cause après une information adéquate sur l’usage qui sera fait de ses données personnelles. Il convient ainsi de s’assurer que les personnes concernées ont donné un consentement univoque, spécifique, libre et éclairé lors de la collecte de leurs données à caractère personnel par le biais des formulaires de participation à des jeux-concours.
48. La formation restreinte relève à cet égard que les travaux conduits sur les pratiques mises en œuvre en matière de cookies s’agissant des bannières de recueil du consentement peuvent utilement servir à apprécier de manière plus générale les conditions de recueil d’un consentement libre, univoque, spécifique et éclairé, et servir de référence en matière de prospection commerciale lorsqu’elle est fondée sur le recueil du consentement.
49. Par ailleurs, sur les mêmes conditions du consentement, La Cour de justice de l’Union européenne (ci-après " CJUE ") a précisé, dans sa décision Planet49 GmbH : " l’article 7, sous a) de la directive 95 prévoit que le consentement de la personne concernée peut rendre un tel traitement licite pour autant que ce consentement est " indubitablement " donné par la personne concernée. Or, seul un comportement actif de la part de cette personne en vue de manifester son consentement est de nature à remplir cette exigence " (CJUE, grande chambre, 1er octobre 2019, Planet49 GmbH, C-673/17, ECLI:EU:C:2019:801, §54). Dès lors, il convient de considérer qu’à défaut d’être donné indubitablement, le consentement doit être considéré comme faisant défaut, ce qui rend le traitement illégal pour défaut de base légale. Plus précisément sur les modalités de recueil, la CJUE affirme que " la manifestation de volonté visée à l’article 2, sous h), de la directive 95/46 doit, notamment, être " spécifique ", en ce sens qu’elle doit porter précisément sur le traitement de données concerné et ne saurait être déduite d’une manifestation de volonté ayant un objet distinct. En l’occurrence, contrairement à ce qu’a fait valoir Planet49, le fait pour un utilisateur d’activer le bouton de participation au jeu promotionnel organisé par cette société ne saurait dès lors suffire pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies " (Idem, §§ 58-59).
50. En outre, le Conseil d’Etat a retenu que " le consentement libre, spécifique, éclairé et univoque ne peut qu'être un consentement exprès de l'utilisateur, donné en toute connaissance de cause et après une information adéquate sur l'usage qui sera fait de ses données personnelles. " (CE, 10ème et 9ème chambres réunies, 19 juin 2020, Google LLC, n° 430810, pt. 21).
51. La formation restreinte relève également, à titre d’exemple, que les lignes directrices 5/2020 sur le consentement, adoptées le 4 mai 2020 par le groupe de travail " article 29 " (devenu le Comité européen de la protection des données, ci-après " CEPD "), précisent que le caractère libre du consentement " implique un choix et un contrôle réel pour les personnes concernées. En règle générale, le RGPD dispose que si la personne concernée n’est pas véritablement en mesure d’exercer un choix, se sent contrainte de consentir ou subira des conséquences négatives importantes si elle ne donne pas son consentement, le consentement n’est pas valable […] En termes généraux, toute pression ou influence inappropriée exercée sur la personne concernée (pouvant se manifester de différentes façons) l’empêchant d’exercer sa volonté rendra le consentement non valable ".
52. A titre d’illustration et de comparaison, dans sa délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux " cookies et autres traceurs ", la Commission recommande aux organismes concernés de s’assurer " que les utilisateurs prennent la pleine mesure des options qui s’offrent à eux, notamment au travers du design choisi et de l’information délivrée (§ 10) […] Afin de ne pas induire en erreur les utilisateurs, la Commission recommande que les responsables de traitement s’assurent que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre. Il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique " (§ 34). Elle ajoute qu’il convient " d’être attentif à ce que l’information accompagnant chaque élément actionnable permettant d’exprimer un consentement ou un refus soit facilement compréhensible et ne nécessite pas d’efforts de concentration ou d’interprétation de la part de l’utilisateur. Ainsi, il est notamment recommandé de s’assurer qu’elle n’est pas rédigée de telle manière qu’une lecture rapide ou peu attentive pourrait laisser croire que l’option sélectionnée produit l’inverse de ce que les utilisateurs pensaient choisir. " (§ 23). A défaut, le caractère univoque du consentement ne serait pas caractérisé.
53. La formation restreinte rappelle également que des études menées sur les pratiques des interfaces numériques, en particulier concernant les cookies, relèvent l’impact considérable de l’apparence des bannières de recueil du consentement sur le choix des utilisateurs, pouvant inciter ces derniers à faire des choix ne reflétant pas leurs préférences sur le partage des données.
54. En l’espèce, il ressort des pièces du dossier que les sociétés […] et […], fournisseurs des données de prospects à la société HUBSIDE.STORE, collectent les données des personnes concernées (nom, prénom, civilité, adresse électronique, numéro de téléphone mobile, date de naissance et adresse postale) par l’intermédiaire de formulaires de participation à des jeux-concours en ligne, afin de permettre à leurs partenaires de les utiliser dans le cadre de leur prospection commerciale.
55. S’agissant des constatations réalisées par la délégation lors du contrôle, la formation restreinte relève que les formulaires accessibles à partir des sites web […], […], […] et […] se présentent de façon similaire. Sous les champs permettant aux personnes concernées d’inscrire leurs coordonnées (qui leur sont demandées par les formules " remplissez vos coordonnées ci-dessous en cas de gain " ou " remplissez vos coordonnées ci-dessous pour postuler ") est situé un bouton " VALIDER ", " JE VALIDE " ou " JE REPONDS AUX QUESTIONS POUR POSTULER ". Au-dessus ou en-dessous de ce bouton, un texte précise qu’en cliquant sur ce dernier, l’utilisateur déclare avoir lu la politique de protection des données de la société et accepte que les données collectées soient utilisées pour lui envoyer les offres des partenaires de la société. Des liens hypertextes permettent d’accéder à la politique de protection des données et à la liste des partenaires concernés. La fin du texte précise que si l’utilisateur souhaite continuer sans recevoir les offres des partenaires de la société, il peut cliquer sur un lien présent dans le texte (" cliquez ici ").
56. Ainsi, l’utilisateur confronté à ce formulaire peut, soit cliquer sur un bouton permettant à la fois de valider sa participation au jeu et d’accepter que ses données soient utilisées pour lui envoyer les offres des partenaires de la société, soit cliquer sur le lien " cliquez ici " permettant de continuer sans recevoir ces offres.
57. La formation restreinte considère que tels que conçus, les formulaires proposés ne permettent pas aux personnes concernées d’exprimer de manière valable un choix reflétant leurs préférences en matière de transmission de données à des fins de prospection commerciale. L’aperçu global des interfaces met particulièrement en valeur le bouton " VALIDER ", " JE VALIDE " ou " JE REPONDS AUX QUESTIONS POUR POSTULER " qui, par sa taille et sa couleur, se distingue des autres informations délivrées. De même, son intitulé évoque davantage la conclusion du parcours utilisateur plutôt qu’une transmission de données à des partenaires. Enfin, son emplacement donne l’impression de devoir obligatoirement être cliqué pour terminer l’inscription et participer au jeu-concours. A contrario, le lien hypertexte permettant de participer au jeu sans accepter la transmission de ses données aux partenaires est présenté dans le corps du texte, en caractères d’une taille nettement inférieure à celle utilisée pour les boutons et sans mise en valeur particulière, de sorte qu’il n’apparait pas intuitif qu’il est possible de participer sans cliquer sur l’un des boutons précités et donc sans transmettre ses données à des tiers à des fins de prospection. Le consentement recueilli est donc dépourvu d’un caractère univoque et libre.
58. La formation restreinte note par ailleurs que, dans le cadre de ses observations écrites relatives au manquement à l’article 6 du RGPD, la société a produit deux autres formulaires, présentés comme conformes. Or, la formation restreinte relève que leur conception ne permet pas davantage aux personnes concernées de manifester leur consentement par un acte positif clair et dénué d’ambigüité.
59. D’une part, la formation restreinte observe que la présentation de ces formulaires, à l’instar de ceux consultés par la délégation lors du contrôle sur place, met particulièrement en valeur le bouton " VALIDER MES COORDONNEES " et " CONTINUER ", pour valider la participation au jeu et transmettre ses données aux partenaires. Au contraire, le lien hypertexte " cliquez ici " permettant de participer au jeu sans accepter cette transmission est présenté dans le corps du texte, en caractères d’une taille nettement inférieure à celle du bouton et sans mise en valeur particulière. De plus, le visuel global du formulaire accessible à partir du site […], qui contient trois encarts verts (" JE VALIDE MA PARTICIPATION ", " JE CONFIRME MES COORDONNEES POUR LA LIVRAISON EN CAS DE GAIN " et " VALIDER MES COORDONNES ") conduit à penser qu’il existe un séquençage logique entre ces trois actions et que le bouton " VALIDER MES COORDONNEES " est le dernier bouton à activer pour participer au jeu et obtenir son gain. Or, ce bouton n’est pas obligatoire puisque l’utilisateur peut utiliser le lien précité " cliquez ici ", ce qui n’est pas intuitif au regard de l’apparence générale du formulaire.
60. En outre, s’agissant du formulaire mis en œuvre par la société […] à partir du site […], la formation restreinte relève l’existence de deux cases à cocher, l’une concernant la lecture et l’acceptation du règlement du jeu, l’autre la lecture de la politique de confidentialité et l’acceptation de la transmission de ses données. L’aspect similaire de ces cases, présentées comme des mentions légales à lire obligatoirement, et dont le texte d’accompagnement commence par " j’ai lu ", pousse l’utilisateur à les cocher indistinctement, puis à cliquer sur " CONTINUER " en transmettant ses données. La possibilité de participer au tirage au sort sans recevoir d’offres promotionnelles existe en cliquant sur le lien " ici " mais est inscrite dans une police plus petite et sans mise en valeur par rapport au bouton " CONTINUER " qui, d’une part, est particulièrement visible, par sa taille, sa couleur et sa police, d’autre part, semble conclure le parcours utilisateur du fait de son emplacement en bas de formulaire. Ainsi, le caractère facultatif du bouton " CONTINUER " ne se déduit pas nettement du visuel global du formulaire.
61. D’autre part, la formation restreinte relève qu’un contrôle en ligne réalisé le 17 octobre 2023 a permis de révéler que, compte tenu de sa configuration, le formulaire visé au paragraphe précédent ne permettait matériellement pas à l’utilisateur de participer au jeu sans accepter la transmission de ses données aux partenaires de la société, et donc sans être destinataire de prospection commerciale, contrairement à ce qui est indiqué sur le formulaire.
62. La formation restreinte considère ainsi que les formulaires susvisés n’éclairent pas suffisamment les personnes concernées sur le fait qu’elles consentent à la transmission de leurs données à des fins de prospection commerciale, dans un contexte où l’objet même de ces sites web est d’offrir une perspective de gains ne pouvant laisser supposer l’objectif de collecte pérenne de ces données à de telles fins. Ces personnes ne sont pas mises en mesure de manifester leur consentement par un acte positif clair et dénué d’ambigüité.
63. La formation restreinte considère, dans ces conditions, que la société HUBSIDE.STORE ne dispose pas, pour réaliser ses opérations de prospection commerciale par voie électronique, d’un consentement valide au sens des articles L.34-5 du CPCE et 4 du RGPD.
64. Un manquement à l’article L.34-5 du CPCE est ainsi caractérisé.
D. Sur le manquement à l’obligation de traiter les données de manière licite
65. Aux termes de l’article 6 du RGPD, " 1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ".
66. La formation restreinte rappelle que les actions de prospection commerciale par appels téléphoniques peuvent être réalisées sur la base légale de l’intérêt légitime de la société (f) ou sur celle du consentement (a).
67. En l’espèce, la société a indiqué réaliser des opérations de prospection commerciale par téléphone, à partir de fichiers de prospects achetés auprès de plusieurs fournisseurs de données.
68. La formation restreinte relève que la société n’a pas été en mesure, ni dans ses observations écrites, ni dans ses observations orales lors de la séance, d’indiquer précisément sur quelle base légale elle se fondait pour procéder à de tels traitements. Dans ces conditions, les deux bases légales susceptibles d’être applicables en l’espèce seront examinées successivement.
1) Sur l’intérêt légitime
69. La rapporteure soutient que, pour fonder ses opérations de prospection commerciale par téléphone, la société ne peut se prévaloir de la base légale de l’intérêt légitime visée au point f) de l’article 6, paragraphe 1 du RGPD. Elle relève ainsi, s’agissant des formulaires de participation à des jeux-concours en ligne par l’intermédiaire desquels la société […] collecte les données des prospects qu’elle revend à la société HUBSIDE.STORE, que cette dernière n’est pas systématiquement mentionnée dans la liste des partenaires susceptibles de démarcher les personnes concernées, et qu’ainsi ces dernières ne peuvent légitimement s’attendre à recevoir des offres commerciales de cette société.
70. En défense, la société se prévaut des engagements contractuels de la société […], qui prévoient que la société HUBSIDE.STORE doit être mentionnée parmi les destinataires des données collectées. Elle considère qu’elle ne saurait être tenue pour responsable des manquements de son prestataire, et produit un exemple de formulaire mis en œuvre par la société […] contenant un lien URL renvoyant à une liste des partenaires, parmi lesquels figure la société […] (un lien vers la politique de confidentialité de cette dernière permettant d’accéder à la liste complète des sociétés faisant partie du même groupe que […], dont la société HUBSIDE.STORE). Enfin, la société affirme mettre en œuvre des contrôles réguliers relatifs à la conformité des fichiers livrés.
71. La formation restreinte rappelle que, si la prospection commerciale par voie non électronique peut être réalisée sur la base de l’intérêt légitime de la société, cette dernière doit s’assurer que le traitement ne heurte pas les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables.
72. A cet égard, le considérant 47 du RGPD dispose que : " […] l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée. Les intérêts et les droits fondamentaux de la personne pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur […]. ".
73. En l’espèce, la formation restreinte relève que certains formulaires de jeu-concours à partir desquels la société […] collecte des données de prospects qu’elle transmet à la société HUBSIDE.STORE ne permettent pas aux personnes concernées de s’attendre raisonnablement à recevoir des offres de prospection commerciale de la part de cette société.
74. Ainsi, s’agissant du formulaire accessible depuis le site web […], la formation restreinte observe que ce dernier contient un lien hypertexte renvoyant à une liste nominative de partenaires et non à des catégories de partenaires. Ainsi, les personnes concernées peuvent légitimement s’attendre à ce que cette liste de partenaires soit exhaustive. Or, ladite liste ne mentionne pas la société HUBSIDE.STORE.
75. Concernant les formulaires présents sur les sites […] (ce formulaire renvoyant au site www.[...]) et […], la formation restreinte relève qu’ils ne mentionnent pas la liste des partenaires ou des catégories de partenaires auxquels les données sont susceptibles d’être transmises, et qu’ils ne contiennent en outre aucun lien permettant d’accéder à une telle liste.
76. Au demeurant, s’agissant des vérifications que la société affirme réaliser sur les formulaires à partir desquels les données sont collectées, la formation restreinte relève qu’elle ne produit aucun élément permettant d’en attester, les engagements contractuels de ses fournisseurs ne constituant pas une mesure de contrôle en tant que telle.
77. La formation restreinte considère que dans ces conditions, la protection des intérêts, libertés et droits fondamentaux des personnes concernées prime sur les intérêts légitimes de la société, et que cette dernière ne peut dès lors se prévaloir de la base légale mentionnée à l’article 6, paragraphe 1, f) pour fonder ses opérations de prospection commerciale par téléphone.
2) Sur le consentement
78. La rapporteure considère que, pour fonder ses opérations de prospection commerciale par téléphone, la société ne peut se prévaloir de la base légale du consentement visée au point a) de l’article 6, paragraphe 1, du RGPD. Elle se fonde sur les mêmes arguments que ceux développés concernant le manquement à l’article L.34-5 du RGPD, s’agissant des formulaires de collecte mis en œuvre par les fournisseurs de données.
79. En défense, la société se prévaut des termes du contrat passé avec la société […]. Elle prend note des constats matérialisés mais indique que, si les manquements existent, ils ne sont représentatifs ni d’une volonté de méconnaître ses obligations, ni de pratiques généralisées. Elle fournit à cet égard deux exemples de formulaires de collecte mis en œuvre par ses fournisseurs, qu’elle estime conformes. Enfin, elle fait état de contrôles réalisés sur les fichiers à la suite de leur mise à disposition par le prestataire et insiste sur l’impossibilité, compte tenu de la volumétrie de ces fichiers, de mettre en œuvre un contrôle unitaire.
80. En premier lieu, la formation restreinte rappelle que, si le caractère intentionnel de la violation doit être pris en compte pour décider s’il y a lieu de prononcer une amende et pour décider de son montant, il est sans incidence sur la caractérisation du manquement, ce dernier pouvant résulter d’une négligence. Il en va de même du caractère généralisé ou non dudit manquement.
81. En deuxième lieu, s’agissant des modalités de recueil du consentement à la prospection téléphonique, la formation restreinte considère que les formulaires mis en œuvre par les fournisseurs de la société HUBSIDE.STORE ne permettent pas de recueillir un consentement valide, au sens de l’article 6, paragraphe 1, point a) du RGPD, comme développé aux points 47 à 63 de la présente délibération s’agissant de la prospection électronique.
82. En troisième et dernier lieu, s’agissant des contrôles que la société affirme réaliser sur les fichiers livrés, la formation restreinte observe que la société ne produit aucun élément permettant d’en attester.
83. D’une part, dans ses observations écrites du 29 septembre 2023, puis dans ses observations orales lors de la séance du 7 décembre 2023, la société a évoqué une pièce intitulée " leads_701_23-09-2021 […] ", recueillie lors du contrôle sur place et faisant état, selon elle, de " contrôles des fichiers de prospection réalisés à la suite de leur mise à disposition par le prestataire ". Par délibération n° SAN-2023-019 du 14 décembre 2023, la formation restreinte a sollicité de la rapporteure et de la société la production de cette pièce.
84. La formation restreinte relève que le fichier produit par la rapporteure, dont l’empreinte numérique atteste qu’il s’agit bien du fichier à partir duquel les constats ont été réalisés par la délégation lors du contrôle, ne contient aucun élément de nature à attester des vérifications dont se prévaut la société. Conformément à ce qui est mentionné sur le procès-verbal de contrôle, il s’agit d’un fichier de prospects (" leads ") livré par la société […] au groupe INDEXIA le 23 septembre 2021, contenant les données d’environ 15 000 prospects. Si, pour chacun de ces prospects, un lien URL devant permettre d’accéder à la source des données est présent, la formation restreinte relève qu’aucune mention ne fait état de vérifications qui auraient pu être réalisées par la société HUBSIDE.STORE ou le groupe INDEXIA. Lors de la séance du 18 janvier 2024, la société a indiqué ne pas remettre en cause l’intégrité de cette pièce.
85. S’agissant du fichier produit par la société, la formation restreinte relève qu’il ne correspond pas à celui recueilli lors du contrôle, dans la mesure où son empreinte numérique et sa taille diffèrent. Elle relève en outre que cette différence est confirmée par son contenu puisque, contrairement aux constatations figurant au procès-verbal du 23 septembre 2021, il ne contient aucune donnée de prospects mais seulement des liens URL assortis de commentaires (" ok ", " une seule case à cocher ", " litigieux ").
86. Enfin, la formation restreinte observe que le contenu du fichier produit n’apparait pas cohérent avec la finalité invoquée dans la mesure où les commentaires sommaires et non datés qui y figurent ne sont reliés à aucune fiche de prospect et qu’il n’est par ailleurs pas démontré que les non-conformités identifiées auraient fait l’objet de remontées à la société […]. La formation restreinte considère ainsi qu’en tout état de cause, un tel fichier ne permet pas de démontrer l’existence de vérifications réalisées sur les fichiers livrés.
87. D’autre part, s’agissant des autres pièces du dossier, la formation restreinte note qu’elles attestent exclusivement d’exigences imposées par la société HUBSIDE.STORE à la société […], préalablement à la reprise de leurs relations contractuelles, sans constituer des contrôles par la société HUBSIDE.STORE sur les pratiques ultérieures de son prestataire.
88. La formation restreinte relève enfin que la proportion de fichiers non conformes parmi ceux examinés de manière aléatoire par la délégation (soit quatre fichiers non conformes sur les sept examinés) démontre l’insuffisance des mesures prises par la société pour s’assurer de la validité du consentement des personnes concernées.
89. Ainsi, la formation restreinte estime que les formulaires visés dans la présente délibération ne permettent pas à la société HUBSIDE.STORE de disposer d’un consentement valide des personnes concernées. Elle souligne qu’au regard des formulaires produits par la société dans ses observations du 29 septembre 2023, le manquement relevé est persistant.
90. Dès lors, en l’absence de base légale permettant à la société HUBSIDE.STORE de fonder ses opérations de prospection commerciale par téléphone, la formation restreinte considère qu’un manquement à l’article 6 du RGPD est constitué.
E. Sur le manquement à l’obligation de transparence et d’information des personnes
91. L’article 14, paragraphe 1, du RGPD dresse la liste des informations devant être communiquées par le responsable de traitement aux personnes concernées lorsque leurs données à caractère personnel n’ont pas été collectées auprès d’elles, parmi lesquelles les finalités du traitement ainsi que sa base juridique.
92. Le paragraphe 2 de ce même article prévoit qu’en " plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée " certaines informations " nécessaires pour garantir un traitement équitable et transparent à l'égard de la personne concernée ", notamment les droits dont ces dernières disposent, la durée de conservation des données, la source dont elles proviennent ou encore le droit d’introduire une réclamation auprès d’une autorité de contrôle.
93. La rapporteure relève que les personnes faisant l’objet de prospection commerciale par téléphone de la part de la société HUBSIDE.STORE (soit environ 1,3 million de prospects français et belges entre mai 2022 et mai 2023) ne sont pas informées de l’ensemble des mentions obligatoires prévues à l’article 14 susmentionné. Elle observe que, si les prospects sont bien informés de l’enregistrement de l’appel ainsi que de leur possibilité de s’opposer à cet enregistrement et de s’inscrire sur Bloctel, l’ensemble des autres informations ne leur sont pas communiquées, les personnes concernées ne se voyant pas non plus offrir la possibilité d’obtenir une information plus complète.
94. La société n’a présenté aucune observation en défense sur ce point.
95. La formation restreinte rappelle que, dans la mesure où la société a indiqué effectuer de la prospection commerciale par téléphone à partir de fichiers transmis par ses partenaires, il s’agit d’un cas de collecte indirecte, pour lequel l’information des personnes doit être assurée dans les conditions définies à l’article 14 du RGPD.
96. Elle relève, à titre d’éclairage, que le CEPD précise, dans ses lignes directrices sur la transparence au sens du règlement (UE) 2016/679, que si une information à plusieurs niveaux est possible pour plus de clarté, il " recommande que le premier niveau (autrement dit, la principale façon de communiquer pour la première fois avec une personne concernée) communique de manière générale les informations les plus importantes […] Par exemple, quand le premier contact avec une personne concernée se fait par téléphone, ces informations pourraient être fournies lors de l’appel téléphonique tandis que les autres informations requises au titre des articles 13 et 14 pourraient être fournies ultérieurement et par d’autres moyens, notamment en envoyant un exemplaire de la politique de confidentialité par e-mail et/ou en envoyant à la personne concernée un lien vers l’avis/la déclaration en ligne du responsable du traitement sur la protection de la vie privée à différents niveaux ". S’agissant de l’obligation d’information dans un environnement téléphonique, il est suggéré de mettre en œuvre des " explications orales fournies par une personne physique permettant une interaction, [des] questions appelant une réponse, ou [des] informations automatisées ou pré-enregistrées proposant l’option d’entendre d’autres informations plus détaillées ".
97. La formation restreinte observe qu’il ressort des enregistrements téléphoniques communiqués par la société que les personnes faisant l’objet de prospection téléphonique sont uniquement informées de l’enregistrement de l’appel et de la possibilité de s’inscrire sur Bloctel, sans qu’aucune autre information ne leur soit communiquée quant au traitement de leurs données à caractère personnel.
98. La formation restreinte relève en outre que ces personnes ne se voient offrir aucune possibilité d’obtenir une information plus complète, par exemple via l’activation d’une touche sur leur clavier téléphonique.
99. Dans ces conditions, la formation restreinte considère que le manquement à l’article 14 du RGPD est constitué.
F. Sur le manquement à l’obligation d’assurer la sécurité des données
100. Aux termes de l’article 32, paragraphe 1 du RGPD, " compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque […] " et notamment " des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement " et d’une " procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ".
101. La rapporteure relève que la société a indiqué conserver les données des clients de ses points de vente en Europe, soit 104 391 personnes en novembre 2021, pendant une durée de cinq ans à compter de la date de clôture du contrat, conformément aux délais légaux de prescription, précisant que ces données étaient conservées en base active, sans qu’aucun mécanisme d’archivage intermédiaire ne soit mis en œuvre. La rapporteure considère que ces modalités de conservation ne permettent pas de limiter l’accès aux données aux utilisateurs ayant besoin d’en connaître, dans la mesure où les personnes ayant intérêt à avoir accès à ces données pendant la durée du contrat continuent, même après la fin de ce dernier, à pouvoir y accéder sans restriction pendant une durée de cinq ans, alors même que leurs fonctions ne leur imposent plus nécessairement d’en connaître.
102. En défense, la société indique que chaque boutique HUBSIDE.STORE dispose de sa propre base de données clients, et que les vendeurs ne peuvent donc accéder qu’aux informations des clients de la boutique à laquelle ils sont rattachés. S’agissant des services supports, elle confirme qu’ils ont accès à l’ensemble des données des clients du réseau HUBSIDE.STORE. Par ailleurs, elle ne conteste pas qu’à l’issue de la relation contractuelle, aucune limitation d’accès n’intervient, et précise que certains services, notamment le service après-vente, sont gérés par les vendeurs eux-mêmes. Elle souligne enfin, dans le cadre de ses observations orales lors de la séance du 7 décembre 2023, que la société HUBSIDE.STORE, bien que créée en 2017, a commencé à déployer ses boutiques à compter de l’année 2021, et qu’aucune donnée n’est donc conservée depuis cinq ans.
103. La formation restreinte rappelle qu’il résulte des dispositions de l’article 32 du RGPD que le responsable de traitement doit mettre en place des mesures appropriées pour assurer la confidentialité des données et éviter que ces dernières soient traitées de façon illicite par des personnes qui n’ont pas besoin d’en connaître (CNIL, FR, 29 octobre 2021, Sanction, n°SAN-2021-019, publié).
104. Ce besoin d’en connaître est susceptible d’évoluer en fonction du cycle de vie des données et des finalités pour lesquelles elles sont conservées. Ainsi, pendant la phase de leur utilisation courante, qui correspond à la durée nécessaire pour accomplir la finalité déterminée, les données sont conservées en " base active " et accessibles à l’ensemble des services chargés de la mise en œuvre du traitement. A l’issue de cette phase, lorsque les données ne sont plus utilisées pour atteindre l’objectif fixé mais qu’elles présentent encore un intérêt administratif pour l’organisme (par exemple pour la gestion d’un éventuel contentieux) ou doivent être conservées pour répondre à une obligation légale, elles doivent pouvoir être consultées uniquement de manière ponctuelle et motivée par des personnes spécifiquement habilitées, participant à l’objectif ayant justifié cette conservation, en faisant l’objet d’un archivage intermédiaire. Cet archivage intermédiaire nécessite d’opérer une séparation avec la base active, qui peut être physique (via un transfert des données au sein d’une base d’archives dédiée), ou logique (via la mise en place de mesures techniques et organisationnelles garantissant que seules les personnes ayant un intérêt à traiter les données en raison de leurs fonctions puissent y accéder).
105. La formation restreinte relève que la société ne conteste pas conserver les données de ses clients à l’issue de la relation contractuelle, sans qu’aucune mesure d’archivage intermédiaire n’intervienne. La formation restreinte rappelle que la cessation des relations contractuelles doit conduire à limiter l’accès aux données à certains salariés en raison de leurs fonctions. Néanmoins, la formation restreinte considère qu’en l’état, les éléments qui figurent au dossier ne permettent pas d’établir que des personnes auraient accès auxdites données sans avoir besoin d’en connaître.
106. Il résulte ce qui précède que le manquement à l’article 32 du RGPD n’est pas constitué.
III. Sur le prononcé de mesures correctrices et la publicité
107. Aux termes de l’article 20 de la loi n° 78-17 du 6 janvier 1978 modifiée : " Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […] 7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 ".
108. L’article 83 du RGPD prévoit que : " Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives ", avant de préciser les éléments devant être pris en compte pour décider s'il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.
109. En premier lieu, la formation restreinte rappelle qu’elle doit tenir compte, pour le prononcé d’une amende administrative, des critères précisés à l’article 83 du RGPD, tels que la nature, la gravité et la durée de la violation, le caractère délibéré ou non de la violation, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données à caractère personnel concernées par la violation.
110. La formation restreinte souligne que les manquements commis par la société portent sur des obligations touchant aux principes fondamentaux de la protection des données à caractère personnel.
111. Ainsi, s’agissant du recueil du consentement à des fins de prospection par voie électronique, la formation restreinte insiste sur le fait que l’écosystème de la revente de données de partenaires en partenaires exige des garanties particulièrement fortes quant à la qualité et à la validité du consentement obtenu par le primo-collectant des données et dont les partenaires se prévalent à des fins de prospection commerciale. Elle souligne qu’à cet égard, l’organisme qui se prévaut d’un tel consentement pour mener des opérations de prospection commerciale endosse une responsabilité essentielle lui imposant, en tant que responsable de traitement, de s’assurer que les conditions lui permettant de réaliser lesdites opérations sont réunies, indépendamment de la responsabilité éventuelle des fournisseurs de données, primo-collectants. En outre, elle considère que les exigences doivent être particulièrement renforcées s’agissant des modalités de recueil du consentement des utilisateurs des sites web dont l’objet est d’offrir des perspectives de gains, ces personnes n’ayant pas nécessairement conscience de la portée de leur accord dans le cadre de leur inscription. Elle relève également que la société a recours massivement à la prospection par voie électronique, - celle-ci ayant envoyé plus de 1,3 million de SMS entre le mois de septembre 2020 et le mois de septembre 2021, et plus de 220 000 entre mai 2022 et mai 2023 -, et que de telles pratiques sont susceptibles d’être vécues comme particulièrement intrusives.
112. S’agissant du manquement à l’obligation de disposer d’une base légale pour traiter les données des prospects dans le cadre de la prospection commerciale par téléphone, la formation restreinte rappelle l’importance, en l’absence de recueil d’un consentement valide, de permettre aux personnes concernées de mesurer l’ampleur des traitements dont leurs données sont susceptibles de faire l’objet. Ainsi, le fait qu’au moment de la collecte des données, une liste détaillée des partenaires susceptibles de réaliser des opérations de prospection commerciale soit mise à la disposition des personnes concernées, sans que la société HUBSIDE.STORE y figure, et sans que cette liste soit complétée par une mention précisant les catégories de partenaires dont pourrait faire partie la société HUBSIDE.STORE, prive les personnes concernées du socle minimal d’information permettant de préserver leurs intérêts, libertés et droits fondamentaux.
113. S’agissant du manquement à l’obligation d’information des personnes, la formation restreinte relève que la société utilise des données obtenues massivement auprès de courtiers en données, sans permettre notamment aux personnes concernées de s’assurer de la source de leur collecte. Elle rappelle que l’information des personnes constitue une mesure fondamentale permettant à ces dernières de pouvoir exercer les droits dont elles bénéficient, et qu’un tel manquement revêt donc une particulière gravité. Elle souligne enfin que ce manquement apparait structurel, dans la mesure où, sur les dizaines d’enregistrements d’appels fournis par la société, aucun ne répond aux exigences d’information prévues à l’article 14 du RGPD.
114. La formation restreinte insiste enfin sur le fait que la société HUBSIDE.STORE, en tant que filiale de la société SFK GROUP, dispose de ressources humaines, financières et techniques suffisantes pour s’assurer du respect des règles relatives à la protection des données à caractère personnel.
115. Au vu de l’ensemble de ces éléments, la formation restreinte considère qu’il y a lieu de prononcer une amende administrative pour les manquements aux articles L. 34-5 du CPCE et 6 et 14 du RGPD.
116. En deuxième lieu, s’agissant du montant de l’amende, la formation restreinte rappelle que les violations relevées en l’espèce concernent des manquements à des principes susceptibles de faire l’objet, en vertu de l’article 83 du RGPD, d’une amende administrative pouvant s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.
117. Elle considère que l’activité de la société et sa situation financière doivent notamment être prises en compte. Elle relève à cet égard que la société HUBSIDE.STORE a réalisé un chiffre d’affaires de plus de […] euros au titre de l’année 2021, pour un bénéfice de plus de […] euros. Par ailleurs, la formation restreinte relève que le nombre de boutiques HUBSIDE.STORE est passé de 62 en septembre 2021 à 97 en mai 2023, soit une augmentation de 56%.
118. Dès lors, au regard de la responsabilité de la société, de ses capacités financières et des critères pertinents de l’article 83, paragraphe 2, du RGPD évoqués ci-avant, la formation restreinte estime qu’une amende de cinq cent vingt-cinq mille euros (525 000 €) apparaît justifiée.
119. En troisième lieu, s’agissant de la publicité de la sanction, la formation restreinte considère que celle-ci se justifie au regard de la gravité de certains des manquements en cause, de la position de la société sur le marché, de la portée des traitements et du nombre de personnes concernées.
120. Elle relève également que cette mesure a notamment vocation à informer les personnes concernées par les opérations de prospection de la société. Cette information leur permettra, le cas échéant, de faire valoir leurs droits.
121. Enfin, elle estime que cette mesure est proportionnée dès lors que la décision n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide de :
• prononcer une amende administrative à l’encontre de la société HUBSIDE.STORE d’un montant de cinq cent vingt-cinq mille euros (525 000 €) pour manquements aux articles L.34-5 du code des postes et communications électroniques et 6 et 14 du RGPD, qui se décompose comme suit :
deux cent mille euros (200 000 €) pour manquement à l’article L.34-5 du code des postes et des communications électroniques ;
trois cent vingt-cinq mille euros (325 000 €) pour manquements aux articles 6 et 14 du RGPD ;
• rendre publique, sur le site web de la CNIL et sur le site web de Légifrance, sa délibération, qui ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication.
Le président
Philippe-Pierre CABOURDIN
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.