Prospection commerciale : sanction de 20 000 euros à l’encontre de la société NESTOR

05 janvier 2021

La formation restreinte de la CNIL a sanctionné la société NESTOR pour avoir adressé des courriels de prospection sans avoir préalablement recueilli le consentement des prospects et pour avoir manqué à plusieurs obligations du RGPD, notamment en matière d’information et de respect des droits des personnes.

La CNIL, saisie de plusieurs plaintes, a effectué des contrôles en mai 2019 et février 2020 auprès de la société NESTOR, spécialisée dans la préparation et la livraison de repas à destination d’employés de bureaux. À cette occasion, la CNIL a constaté plusieurs manquements concernant le traitement de données personnelles de prospects et de clients.

Sur la base de ces éléments, la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a effectivement considéré que la société avait manqué à plusieurs obligations prévues par le Code des postes et des communications électroniques (CPCE) et le RGPD.

Un manquement à l’obligation de recueillir le consentement des personnes lors d’une prospection par courriel (article L. 34-5 du CPCE)

Depuis 2017, 653 033 prospects ont reçu des messages électroniques de prospection de la part de la société, sans y avoir consenti. Il s’agissait de personnes ayant créé un compte sur le site ou l’application de la société sans avoir passé commande ou dont les données avaient été collectées sur Internet.

Or, dans ce cas, les actions de prospection commerciale menées par la société étaient concernées par l’article L. 34-5 du Code des postes et des communications électroniques (CPCE), qui prévoit que de telles opérations sont soumises au consentement préalable des personnes concernées. En l’absence d’un tel consentement, la formation restreinte a considéré que la société méconnaissait ses obligations et que l’ensemble des données ainsi collectées devaient être supprimées.

Au cours de la procédure, la société a mis en place des mesures pour procéder aux modifications nécessaires à sa mise en conformité avec le CPCE. La société a ainsi indiqué cesser de collecter des données sur Internet et mettre en place un système de recueil du consentement à l’envoi de courriels de prospection lors de la création d’un compte sur son site web et sur son application.

Toutefois, la formation restreinte a prononcé une injonction à l’encontre de la société afin qu’elle justifie de la suppression de l’ensemble des données personnelles collectées sans le consentement des prospects.

Un manquement à l’obligation d’information des personnes (articles 12 et 13 du RGPD)

Le formulaire de collecte des données personnelles permettant de s’inscrire sur le site web de la société ne comportait pas l’ensemble des informations exigées par le RGPD et ne renvoyait pas non plus vers une page dédiée qui aurait contenu les informations manquantes.

À cet égard, la politique de confidentialité des données du site web était également incomplète, trop générale et imprécise.

Enfin, aucune information relative à la protection des données personnelles n’était fournie aux personnes créant un compte sur l’application mobile.

La société a cependant mis en place des mesures pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD au cours de la procédure.

Un manquement à l’obligation de respecter le droit d’accès des personnes (article 15 du RGPD)

La société a manqué à son obligation de fournir une copie des données personnelles qu’elle détenait dans sa base de données ainsi qu’une information relative à la source de ces données à deux personnes l’ayant sollicitée, en répondant partiellement à leurs demandes.

La formation restreinte a enjoint à la société de satisfaire pleinement aux demandes de ces personnes.

Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)

La société n’imposait pas l’utilisation d’un mot de passe robuste lors de la création d’un compte sur son site web ou sur son application mobile.

La société a toutefois pris des mesures au cours de la procédure concernant ce point.

La sanction prononcée par la formation restreinte

La formation restreinte a prononcé une amende de 20 000 euros et décidé de rendre publique sa décision. Elle a également enjoint à la société de mettre ses traitements en conformité avec le CPCE et le RGPD et d’en justifier sous un délai de trois mois à compter de la notification de la délibération, sous astreinte de 500 euros par jour de retard.

Dans sa décision, la formation restreinte a pris en considération le nombre de manquements et leur gravité, notamment le fait qu’un grand nombre de prospects avaient reçu des messages électroniques de prospection sans y avoir consenti. Sur ce point, elle a souligné que l’information et la transparence relatives au traitement des données personnelles sont des obligations essentielles pour que les personnes aient conscience de l’utilisation qui en est faite.

La formation retreinte a cependant tenu compte des conséquences de la crise sanitaire de la COVID-19 sur la situation financière de la société NESTOR.