Protection des données personnelles et prospection commerciale : condamnation de la société TOTALENERGIES ELECTRICITE ET GAZ FRANCE par la CNIL
Par Assane Fall
Stagiaire
SNCF SA
Posté le: 26/07/2022 17:07
Chargée de contrôler les organismes et de les sanctionner en cas de manquements constaté, la Commission Nationale Informatique et Liberté (CNIL) a reçu plusieurs plaintes concernant les difficultés rencontrées par des personnes dans la prise en compte, par le producteur et fournisseur d’énergies français, TOTALENERGIES ELECTRICITE ET GAZ France, de leurs demandes d’accès à leurs données et d’opposition à recevoir des appels de prospection commerciale.
Sur la base des constatations effectuées lors des contrôles, la formation restreinte, organe de la CNIL chargé des sanctions, a prononcé à l’encontre de la société TOTALENERGIES ELECTRICITE ET GAZ FRANCE une amende de 1 million d’euros rendue publique.
En effet, entre le mois d’octobre 2019 et le mois de juillet 2020, la Commission nationale de l’informatique et des libertés (CNIL) a été saisie de 27 plaintes à l’encontre de la société TOTALENERGIES ELECTRICITE ET GAZ France dont 18 plaintes ont été examinées dans le cadre de la procédure de sanction de ladite Commission. Les plaignants faisaient notamment état des difficultés rencontrées dans l’exercice de leurs droits d’accès ou d’opposition à recevoir des appels téléphoniques de prospection commerciale.
Pour les besoin de l’instruction des plaintes, un contrôle en ligne a été effectué sur le site web « total.direct-enrgie.com » le 10 août 2021. Le procès-verbal n°2020-113-1, dressé par la délégation le jour du contrôle, a été notifié à la société le 19 août 2020. LA délégation de la CNIL s’est attachée à vérifier la gestion, par la société, des droits des personnes ayant saisi la Commission de plaintes. Ce contrôle avait également pour but de vérifier l’information fournie par la société aux prospects contactés dans le cadre d’opérations de démarchage téléphonique ainsi que la possibilité qui leur était offerte de pouvoir s’y opposer.
Par ailleurs, trois demandes de complément d’information ont ensuite été adressées par lettres recommandées avec avis de réception, datées des 19 août 2020, 25 novembre 2020 et 19 février 2021. La société a répondu par courriers datés du 1er octobre 2020, du 11 décembre 2020 et du 5 mars 2021.
Enfin, le rapporteur désigné par la CNIL a, le 25 février 2022, fait notifier à la société un rapport détaillant les manquements au RGPD. Ce rapport proposait à la formation restreinte de la CNIL de prononcer une amende administrative et une injonction de mettre en conformité le traitement avec les dispositions de l’article L.34-5 du code des postes et des télécommunications électroniques (CPCE) et des articles 12, 14, 15 et 21 du RGPD, assortie d’une astreinte par jour de retard à l’issue d’un délai de trois mois suivants la notification de la délibération de la formation restreinte. Il proposait également que cette décision soit rendue publique, mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
LES MANQUEMENTS SANCTIONNES
A. Manquement aux obligations de l’article L.34-5 du code des postes et des communications électroniques
Aux termes de l’article L.34-5 du CPCE : « Est interdite la prospection directe au moyen de système automatisé de communication électroniques au sens du 6° de l’article L.32, d’un télécopieur ou de courriers électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospection directes par ce moyen. (…)/Toutefois, la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies auprès de lui, dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, à l’occasion d’une vente ou d’une prestation de services, si la prospection directe concerne des produits ou des services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l’utilisation de ses coordonnées au moment où elles sont recueillies et chaque fois qu’un courrier électronique de prospection lui est adressé au cas où il n’aurait pas refusé d’emblée une telle exploitation. (…) ».
Après avoir statué sur les moyens invoqués par les parties, la formation restreinte considère que le fait que l’utilisateur, lorsqu’il remplit le formulaire de souscription en ligne, ne puisse s’opposer à l’utilisation de ses données à des fins de prospection commerciale électronique, au moment où celles-ci sont collectées, constitue un manquement aux obligations de l’article L.34-5 du CPCE dès lors que le formulaire l’informe que les informations renseignées, comportant son adresse électronique, peuvent être utilisée par la société afin de lui « présenter ultérieurement ses offres ». Par ailleurs, la formation restreinte considère que la société a méconnu ses obligations résultant de l’article L.34-5 du CPCE.
B. Manquement à l’obligation d’information
Aux termes de l’article 14 du RGPD :
" 1. Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :
a) L’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable de traitement ;
b) Le cas échéant, les coordonnées du délégué à la protection des données ;
c) Les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
d) Les catégories de données à caractère personnel concernées ;
e) Le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;
f) Le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale (…) /
2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l’égard de la personne concernée (…) /
a) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
b) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
c) l’existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s'opposer au traitement et du droit à la portabilité des données ;
d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
e) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
f) la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public (…) "
Conformément aux dispositions de l’article 14, la formation restreinte observe que, dans certains cas, les personnes contactées à des fins de prospection ne bénéficiaient d’aucune information. Dans d’autres cas, certaines mentions précitées prévues à l’article 14 du RGPD – comme les finalités du traitement ou encore l’existence des différents droits – n’étaient pas portées à leur connaissance. Dans la plupart des cas, des informations essentielles, comme celles relatives au principe même de l’enregistrement de l’appel et au droit de s’y opposer n’étaient pas communiquées. Les personnes ne se voyaient pas non plus offrir la possibilité d’obtenir une information plus complète relative aux traitements de leurs données à caractère personnel, par exemple via l’activation d’une touche sur leur clavier téléphonique.
C. Manquement en lien avec l’exercice des droits
L’article 15, paragraphe 1, du RGPD prévoit le droit pour une personne d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès aux données à caractère personnel la concernant et notamment " g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ". Il est également prévu au paragraphe 3 du même article que " le responsable du traitement fournit une copie des données à caractère personnel faisant l'objet d'un traitement. (…) ".
Par ailleurs, aux termes de l’article 21 du RGPD :
" 2. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s'opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection. (…)".
Or, en l’espèce, la société n’a pas pris en compte les demandes des plaignants souhaitant accéder à leurs données personnelles et à ne plus recevoir aucun appel de prospection commerciale.
D. Manquement aux obligations relatives aux modalités d’exercice des droits des personnes
En vertu de l’article 12 du RGPD que lorsqu’une demande d’exercice de droit lui est adressée, le responsable de traitement doit fournir à la personne concernée des informations sur les mesures prises pour répondre à sa demande dans les meilleurs délais et en tout état de cause dans un délai d’un mois. La formation restreinte rappelle également qu’il est possible de prolonger de deux mois ce délai en raison de la complexité de la demande.
La formation restreinte note que les faits relevés par le rapporteur ne sont pas contestés par la société. Elle considère qu’un manquement aux obligations de l’article 12 du RGPD est constitué dès lors que la société n’a pas traité certaines demandes d’exercice de droits dans le délai imparti, le délai pris pouvant aller jusqu’à deux ans. S’agissant d’une plaignante, alors même que sa situation était réglée, la société ne l’avait pas informée du traitement effectif de sa demande. Il en résulte que les personnes concernées étaient dans l’ignorance des suites apportées à leurs demandes.
En l’espèce, la société n’a pas répondu aux demandes d’exercice de droit dans le délai d’un mois prévu par les textes.
Par ces motifs, la formation restreinte de la CNIL, après avoir délibéré, décide de prononcer à l’encontre de la société TOTALENERGIES ELECTRICITE ET GAZ FRANCE une amende administrative d’un montant de 1 million d’euros.