Revenons sur les faits avant de voir les points de non-conformité, et les actions que l’entreprise aurait pu mener afin d’éviter une telle sanction. Notez que notre objectif n’est pas de pointer du doigt, mais de permettre à d’autres entreprises d’en tirer des enseignements.
Les faits
L’affaire est intéressante - bien qu’assez classique pour quiconque est familier de la conformité RGPD : une entreprise décide de faire de la prospection commerciale par téléphone pour vendre ses services (ici, d’isolation de bâtiments). Pour ce faire, elle fait appel à des centres d’appels basés en Afrique du Nord. Ces sous-traitants appellent des prospects en masse sans toutefois noter leur opposition au démarchage téléphonique. Inévitablement, cela déclenche une plainte par une personne qui fait l’objet de démarchages répétés malgré son opposition (et l’envoi d’un courrier RAR).
La CNIL déclenche alors un contrôle sur place, ce qui lui permettra de constater une série d’infractions :
- de nombreuses plaintes de personnes étant démarchées malgré leur opposition
- des commentaires excessifs concernant les clients de l’entreprise - insultes, ou commentaires relatifs à leur état de santé - dans des champs libres
- l’enregistrement de conversations téléphoniques à l’insu des personnes appelées et sans information préalable
Suite au contrôle, la CNIL a mis la société en demeure de se mettre en conformité, mais cette dernière n’a pas jugé bon respecter les instructions de la Commission. Bien mal lui en a pris, puisqu’une procédure de sanction a alors été engagée et menée à son terme.
Il y a ici 4 manquements qui sont intéressants à analyser et commenter.
Erreur 1 : non-respect de l’opposition des personnes
La décision témoigne du fait qu’il est essentiel de s’assurer du respect des droits des personnes lorsque l’on est face à un traitement à risque. La prospection commerciale en B2C est généralement vécue comme une nuisance pour les particuliers, et donc, à ce titre, doit être strictement cadrée d’un point de vue juridique.
Ici on voit que les processus de conformité au RGPD n’ont pas été construits par l’entreprise : une personne s’opposant au démarchage commerciale n’aurait pas dû être rappelée si ces process avaient été en place. En fait, l’absence de process dans ce type de traitement va nécessairement générer du contentieux, car si l’entreprise se développe, ce n’est qu’une question de temps avant qu’une personne s’émeuve et sollicite la CNIL.
Les actions à mener pour l’entreprise étaient les suivantes :
- s’assurer de l’existence d’une liste d’opposition
- mener des tests pour s’assurer de l’effectivité de la liste
- créer des faux profils dans sa base qui renvoient aux personnes en interne en charge de la conformité RGPD, pour s’assurer qu’en cas de défaillance du process, la faille soit détectée rapidement.
Erreur 2 : collecte de données excessives
Les champs libres - en particulier dans les logiciels CRM - posent des problèmes structurels, car ils permettent à des opérateurs qui sont en contact avec le public de saisir des données sans aucune limite. Il en résulte généralement que des données très excessives sont saisies, ce qui est un désastre côté RGPD. En fait, la problématique est tellement importante que la CNIL contrôle systématiquement l’existence de champs libres lorsqu’elle mène un contrôle et a développé un logiciel interne pour détecter les données excessives.
Il est juridiquement possible de mettre en place un champ libre dans un logiciel, mais il est nécessaire de s’assurer que les données saisies par la suite sont adéquates et pertinentes au regard des finalités, et cela afin de respecter l’article 5 du règlement. Cela implique une batterie de mesures matérielles qui vont de la sensibilisation des opérateurs de saisie, à l’extraction et la vérification régulière des données.
Les actions de conformité à mener pour l’entreprise étaient les suivantes :
- supprimer les champs libres du logiciel CRM ;
- former un responsable RGPD afin de s’assurer de la conformité des données saisies à intervals réguliers
Erreur 3 : transferts hors UE de données personnelles
Les entreprises ont souvent l’impression de faire des économies en sous-traitant des prestations de démarchage commercial dans des pays francophones hors de l’Union européenne - jusqu’au moment où les coûts liés au respect du RGPD sont évoqués.
La sous-traitance hors de l’UE est possible, mais elle est souvent très coûteuse à mettre en oeuvre en raison de la complexité du RGPD (à noter que le cas des grands opérateurs de Cloud, tel qu’AWS, Google, ou Microsoft sont des cas particuliers à cet égard).
Il faut en effet à la fois valider le cadre juridique du transfert, mais également aller sur place pour veiller au respect des obligations RGPD par le sous-traitant sur l’ensemble des outils mis en oeuvre. Sur un traitement aussi risqué que la prospection commerciale, il faut s’interroger sérieusement sur les coûts d’ensemble d’une telle opération et les risques de sanctions / d’atteinte à l’image de marque de l’entreprise avant de se lancer dans une telle opération.
Les actions de conformité à mener pour l’entreprise étaient les suivantes :
- opérer un calcul de coûts réels de la mise en conformité RGPD du centre d’appel et intégrer les coûts cachés de la conformité RGPD
- le cas échéant, rapatrier les activités au sein de l’UE
Erreur 4 : défaut de coopération avec la CNIL
S’il était possible d’obtenir les faveurs de la CNIL avant l’entrée en vigueur du RGPD, en coopérant avec elle en cas de découverte d’une infraction, la marge de manoeuvre est aujourd’hui presque nulle (cf. art. 83).
En cas de contrôle, il est donc essentiel de s’assurer que l’ensemble des points soulevés par la CNIL soient gérés et adressés par des professionnels de la conformité RGPD. Avec des sanctions supérieures à 10 millions d’euros pour les PME et 2% du chiffre d’affaires global pour les groupes, il n’est pas possible de gérer une mise en demeure - qui va probablement engendrer une sanction - sans répondre à toutes les observations de la Commission.
Ici l’entreprise aurait probablement pu réduire sa sanction à 250.000€ si elle avait mis en oeuvre les moyens adéquats pour répondre à chaque point soulevé par la Commission. Mais tel n’a pas été son choix apparemment.
Si vous faites l’objet d’une mise en demeure, ou d’un contrôle, entourez-vous d’experts qui ont un minimum de 10 ans d’expérience sur ces questions !