Voyance en ligne : la société KG COM sanctionnée par une amende de 150 000 euros

Le contexte

La société KG COM exploite plusieurs sites web afin de proposer à ses clients des consultations de voyance via une interface de dialogue en ligne (chat) ou par téléphone. À la suite de la publication d’un article de presse en 2020 révélant l’existence d’une fuite de données personnelles impliquant la société, la CNIL a procédé à trois missions de contrôle.

Lors de ses investigations, la CNIL a relevé plusieurs manquements, notamment concernant l’enregistrement systématique des appels téléphoniques, la collecte de données de santé et d’informations relatives à l’orientation sexuelle, la conservation des données bancaires sans le consentement de la personne, l’obligation de notifier une violation de données. Elle a également relevé des manquements aux règles relatives aux cookies.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer des sanctions – a prononcé deux amendes à l’encontre de KG COM :

• une amende de 120 000 euros au regard des manquements au règlement général sur la protection des données (RGPD). Cette amende a été prise en coopération avec les homologues européens de la CNIL (Belgique, Luxembourg, Italie, Espagne, Portugal, Bulgarie, Berlin ) dans le cadre du guichet unique, car KG COM a des clients et prospects de plusieurs États membres de l’Union européenne.
• une amende de 30 000 euros concernant le manquement relatif à l’utilisation des cookies (l’article 82 de la loi Informatique et Libertés). Dans ce cas, la CNIL est compétente pour agir seule.

Afin de déterminer le montant de la sanction, la CNIL a pris en compte le nombre particulièrement élevé de manquements aux règles relatives à la protection des données, la sensibilité des données personnelles en cause (données de santé, informations sur l’orientation sexuelle) et le nombre de personnes concernées.

Elle a également pris en considération la situation financière de la société, qui a présenté un résultat net négatif sur l’année 2020 après une baisse importante de son chiffre d’affaires sur les dernières années, et a tenu compte de la structure de la société qui n’emploie que quelques salariés, pour retenir une amende dissuasive mais proportionnée.

Les principaux manquements sanctionnés

Un manquement à l’obligation de minimiser les données personnelles collectées et utilisées (article 5.1.c du RGPD)

La société enregistrait systématiquement l’intégralité des appels téléphoniques passés entre les téléopérateurs et les prospects, ainsi qu’entre les voyants et les clients, à des fins de contrôle de la qualité du service, de preuve de la souscription du contrat et dans la perspective de réquisitions judiciaires.

Si la société a désormais arrêté les consultations de voyance par téléphone, et donc les enregistrements téléphoniques, elle n’a cependant pas donné de justification, pour le passé, concernant la nécessité d’enregistrer systématiquement l’intégralité des conversations pour ces objectifs.

Un manquement à l’obligation de disposer d’une base légale pour l’utilisation des données bancaires (article 6 du RGPD)

La société conserve les données bancaires de ses clients, au-delà du temps strictement nécessaire à la réalisation de la transaction, à des fins de lutte contre la fraude et pour faciliter l’achat de nouvelles consultations de voyance par les clients.

Si la base légale pour la conservation des données bancaires à des fins de lutte contre la fraude est l’intérêt légitime, cela ne s’applique pas à la conservation en vue d’achats ultérieurs, pour lesquels la société aurait dû recueillir le consentement des personnes.

Un manquement à l’obligation de recueillir le consentement préalable à la collecte de catégories particulières de données (article 9 du RGPD)

Lors des consultations, les clients peuvent communiquer des données relatives à leur état de santé et à leur orientation sexuelle, qui sont notées sur des fiches conservées par les voyants.

La société aurait dû recueillir un consentement préalable et explicite des clients au traitement de leurs données sensibles. La simple volonté de recevoir des prestations de voyance et de livrer spontanément des informations sensibles ne peut être considérée comme un consentement explicite. La société aurait dû également fournir une information spécifique sur la collecte de leurs données sensibles.

Un manquement à l’obligation d’assurer la sécurité des données (article 32 du RGPD)

La société a mis en place des mots de passe insuffisamment robustes pour les comptes utilisateurs et n’a pas sécurisé l’accès au site web www.voyance-en-direct.tv en utilisant le protocole HTTP au lieu du protocole HTTPS, qui exposait alors les données à des risques d’attaques informatiques ou de fuite de données.

Elle a en outre utilisé un mécanisme de chiffrement des données bancaires qui présentait des vulnérabilités.

Un manquement à l’obligation de notifier les violations de données à la CNIL (article 33 du RGPD)

La société a été informée le 29 septembre 2020 être l’objet d’une fuite de données par un journaliste qui lui a communiqué un échantillon de sa base de données. La société n’a pourtant pas notifié à la CNIL la violation de données. Elle a estimé ne pas pouvoir constater la violation en raison de la fermeture de son serveur et de l’absence de conservation des journaux de connexion (logs) au serveur par son sous-traitant.

Toutefois, la société pouvait identifier la violation de données en comparant l’échantillon de données communiqué par le journaliste à sa base de données. La société, en sa qualité de responsable du traitement, avait l’obligation de notifier la violation de données même si celle-ci avait pour origine une erreur de la part du sous-traitant.

Un manquement aux obligations liées à l’utilisation des cookies (article 82 de la loi Informatique et Libertés)

La CNIL a constaté dans un premier temps l’absence de bandeau d’information relatif aux cookies et le dépôt de trois cookies sur le terminal de l’utilisateur sans son consentement et dès son arrivée sur le site. La société a ensuite mis en place un bandeau d’information, mais qui ne permettait pas de refuser le dépôt de cookies aussi facilement que de les accepter.

Au cours de la procédure, la société a mis en place un bandeau d’information conforme aux exigences de la CNIL et a cessé de déposer des cookies soumis à consentement sans avoir recueilli le consentement des utilisateurs.