Le 6 février 2018, la CNIL a reçu une plainte d’une personne physique faisant état d’appels de démarchages téléphoniques et de courriers postaux persistant d’une société spécialisée dans les équipements d’isolation, de pompes à chaleurs et d’ouvrant, et ce, malgré « une opposition à la prospection exprimée oralement ». Le 20 mars 2018, soit six semaines plus tard, la CNIL a procédé à une mission de contrôle ayant pour objet de vérifier le cadre des traitements d’opérations de prospection commerciale.

Les opérations réalisées relevaient que les traitements de prospection litigieux étaient mis en œuvre via des sous-traitants basés en Afrique du Nord. En cas d’accord du prospect, celui-ci était alors renvoyé vers la société pour finaliser la commande. La base de données des prospects comportait une section « commentaires », laquelle comportait des observations sur l’état de santé des personnes concernées ou des propos injurieux à leur encontre.

Suite à ces premières opérations, la CNIL a mis en demeure la société de lui fournir des précisions complémentaires parmi lesquelles les contrats passés avec les centres d’appel et leur liste exhaustive, les procédures de droit d’opposition mises en œuvre… Elle a également enjoint la société de supprimer les commentaires litigieux.

En réponse, la société a sollicité, d’abord directement puis par le biais d’un conseil, des délais supplémentaires, auxquels la CNIL a fait droit. Néanmoins, à l’issue de cette période prolongée, le Conseil mandaté par la société écrivait qu’« en dépit de plusieurs relances de sa part, il n’avait pu obtenir communication des éléments justificatifs demandés auprès de la société. Il ne pouvait, en conséquence, justifier de la mise en conformité de la société [contrôlée] (…) » et c’est sur cette base que la CNIL a rendu sa décision dont trois enseignements principaux peuvent être retirés.

D’une part, s’agissant de l’application du RGPD à un contrôle antérieur à son entrée en vigueur

Après avoir rappelé que le contrôle avait eu lieu avant l’entrée en vigueur du RGPD et évoqué le principe de non-rétroactivité de la sanction pénale, la CNIL a précisé que les manquements constatés avaient perduré « au moins jusqu’au rapport de sanction, soit postérieurement à l’entrée en vigueur du RGPD, faute pour la société d’avoir démontré une mise en conformité ». La CNIL a donc considéré qu’il fallait tenir compte de « la loi applicable lors du dernier état du manquement », prenant appui sur une décision du Conseil d’État, et a donc rédigé sa délibération au regard du RGPD.

D’autre part, s’agissant des manquements eux-mêmes

Des manquements ont été constatés par la CNIL aux obligations suivantes :

- Obligation de traiter des données adéquates, pertinentes et limitées à ce qui est nécessaire : le fait de collecter des termes injurieux et relatifs à l’état de santé a notamment été dans le viseur de la CNIL, laquelle rappelle régulièrement que la rubrique « commentaire » d’un formulaire doit être envisagée avec prudence ;

- Obligation de procéder à l’information des personnes, puisque les prospects n’étaient pas informés de l’enregistrement des appels ni, plus généralement, du traitement lié à la collecte de leurs données ;

- Obligation de respecter le droit d’opposition, sujet ayant été à l’origine du contrôle. Précisons que pour sa défense, la société a fourni 3 attestations de centres d’appels, affirmant avoir reçu les demandes de personnes ne souhaitant plus être démarchées… sur les 36 centres d’appel déclarés par la société ! Ce ratio de 1 sur 12 n’a donc pas satisfait la CNIL, ce d’autant plus que les attestations n’apportaient aucune indication sur une éventuelle procédure de gestion de telles demandes ;

- Obligation d’encadrer les transferts hors de l’Union Européenne, la société contrôlée n’ayant communiqué, en fin de contrôle, que des contrats non signés et sous forme de projets.

Enfin, s’agissant des modalités de réalisation du contrôle

La délibération fustige le fait que la société contrôlée n’ait pas été en mesure d’apporter les démonstrations nécessaires aux demandes de la CNIL. A titre d’exemple, s’agissant du manquement à l’obligation de supprimer les données litigieuses de la section « commentaire », la CNIL a notamment relevé que si la société avait indiqué avoir retiré les commentaires litigieux, les explications ne permettaient pas de constater la conformité pour l’avenir notamment par le biais d’un « mécanisme informatisé empêchant que soient enregistrés dans le logiciel des termes injurieux ou relatifs à l’état de santé des personnes », laissant donc supposer que le manquement pourrait être de nouveau constaté à terme.

De manière plus générale, la société se justifiait en indiquant avoir « été mal conseillée ». Si les personnes concernées apprécieront, cet argument n’a pas été du goût de la CNIL, qui a indiqué qu’en sa qualité de responsable de traitement, il lui appartenait « de choisir les professionnels compétents auxquels elle entendait confier la défense de ses intérêts. ». La CNIL est allée jusqu’à préciser qu’« il lui revenait de faire appel à de nouveaux interlocuteurs si elle estimait être confrontée à l’incompétence des premiers saisis ».

Il sera à ce titre rappelé que la compétence des personnes intervenant pour son compte est prévue comme une nécessité par le RGPD : tel est le cas s’agissant des sous-traitants « qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées (…) » (article 28) ou encore du Délégué à la Protection des Données (ou « DPO ») qui est « désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l'article [Missions] ».

La CNIL a, d’autre part, enfoncé le clou sur l’attitude de la société contrôlée en pointant du doigt le manque de coopération, dans un style semblant permettre de relever un certain agacement : « l’absence de réponse aux demandes formulées par les services de la CNIL et à la mise en demeure adressée par la présidente de la Commission, comme l’absence de prise en compte de ces demandes avant la notification d’un rapport de sanction, suffisent à démontrer, sinon la volonté clairement exprimée de ne pas donner suite aux sollicitations de la CNIL, à tout le moins un désintérêt flagrant pour ces sujets. ». En d’autres termes, la CNIL reproche à la société contrôlée soit d’avoir voulu faire obstruction soit de ne pas s’intéresser au sujet objet du contrôle.

C’est dans ce contexte que la CNIL a donc considéré qu’une amende de 500.000 euros semblait justifiée eu égard aux manquements constatés, leur nombre, leur persistance et leur gravité, ainsi qu’au fait que la société a réagi tardivement (8 mois après la mise en demeure) et à « l’absence de coopération parfaitement caractérisée ». La CNIL précise que ce montant correspond à 2,5% du chiffre d’affaires annuel de la société et ne présente donc pas de caractère excessif. La société sanctionnée a procédé à un droit de réponse au sein de laquelle elle conteste les griefs qui ont été faits à son encontre, considérant s’être mise en conformité avant la clôture, et fustige une « décision d’une extrême gravité », annonçant former un recours devant le Conseil d’Etat.

En conclusion, le doute ne profitera jamais « à l’accusé », la CNIL sollicitant des démonstrations factuelles et une documentation précise lui permettant de faire ses constats servant de base à sa conclusion. Ainsi, si la CNIL effectue son contrôle au moment où la société contrôlée a « la main dans le pot de confiture », il sera recommandé d’expliquer, de justifier, d’argumenter, de démontrer sa bonne foi … mais en aucun cas de tenter de détourner son regard ou de marquer une opposition franche, par action ou omission, laquelle serait interprétée par l’autorité comme un refus de répondre ou à tout le moins, comme un désintérêt, de surcroît sur des sujets majeurs.

Cette décision est aussi la parfaite occasion de rappeler qu’il est impératif de s’entourer de personnes compétentes … et si tel n’est pas le cas, de ne pas en faire le constat auprès de la CNIL pour justifier ses manquements !

Olivier HAYAT, Avocat, HAYAT AVOCAT