I. Manquement aux obligations liées à la collecte des données
La CNIL a reproché aux entreprises concernées deux principales infractions : une collecte excessive de données personnelles et une durée de conservation disproportionnée. Ces manquements concernaient respectivement des enregistrements téléphoniques et des données commerciales des sociétés.
1. Des enregistrements téléphoniques illicites
Dans sa décision, la CNIL sanctionnait les sociétés de voyance pour non-respect de l’article 5-1-c du RGPD qui impose une collecte de données « adéquates, pertinentes et limitées » (principe de minimisation de la collecte des données).
En effet, les entreprises en question procédaient à l’enregistrement systématique des conversations téléphoniques entre voyants, standardistes et clients ou prospects et conservaient ces enregistrements pendant 6 mois. Selon les entreprises, cela était justifié pour des finalités de formation, de contrôle qualité et de preuve contractuelle. Les sociétés indiquaient respecter le principe de minimisation en supprimant 50 % des enregistrements chaque soir et en excluant les informations bancaires.
Mais telle n’a pas été la position de la CNIL qui a considéré ces mesures comme étant largement insuffisantes pour assurer le respect de l’article 5.1.c.
Elle rappelait tout d’abord qu’en application de ces dispositions, l’enregistrement de conversations téléphoniques constitue, en soi, un traitement de données à caractère personnel. La formation restreinte ayant sanctionné à plusieurs reprises et depuis plusieurs années des organismes se livrant à de tels enregistrements dans des conditions non conformes au RGPD (CNIL, FR, Sanction, 21 novembre 2019, SAN-019-010, publié ; CNIL, FR, Sanction, 28 juillet 2020, SAN-2020-003, publié ; CNIL, FR, Sanction, 8 juin 2023, SAN-2023-008, publié). Ensuite, la CNIL indiquait que “s’il apparait établi que la société procède, chaque soir, à la suppression aléatoire et automatique de 50% de certains des enregistrements réalisés, la formation restreinte souligne que cette circonstance est sans incidence sur la qualification de ces opérations de traitement, cette suppression ayant lieu, par définition, postérieurement à la collecte et au traitement des données.”
Il y a là une distinction importante qui doit être opérée quant au principe de minimisation qui doit être implémenté directement lors de la collecte des données personnelles et non après que les données aient été collectées.
L’autorité administrative termine son raisonnement en considérant “qu’il convient d’analyser chacune des finalités invoquées par la société pour procéder à l’enregistrement intégral et systématique des conversations visées au paragraphe 50 de la présente délibération, afin de déterminer si les données collectées apparaissent bien adéquates, pertinentes et limitées à ce qui est nécessaire au regard de ces finalités.”
Or, en l’espèce elle constate que “S’agissant de l’enregistrement intégral et systématique des appels téléphoniques à des fins de contrôle de la qualité du service et de formation, la formation restreinte relève tout d’abord que la société n’apporte aucun élément permettant de justifier de la nécessité d’enregistrer l’intégralité des conversations susvisées à cette fin. La formation restreinte considère ensuite que la finalité visant à contrôler la qualité du service fourni par les standardistes et les voyants peut être atteinte par un moyen moins intrusif, tel un enregistrement ponctuel et aléatoire. Dès lors, la formation restreinte considère que l’instauration d’un dispositif d’enregistrement systématique des appels téléphoniques passés, d’une part, entre les voyants et les clients et, d’autre part, entre les standardistes et les clients est excessif au regard de la finalité poursuivie.”
Enfin la CNIL rappelait que dans ses précédentes délibérations elle avait jugé à propos des enregistrements systématiques des conversations téléphoniques que “la société ne justifie pas de la nécessité d’enregistrer l’intégralité des conversations téléphoniques passées par le service client, au regard de la finalité du traitement, à savoir la formation des salariés. (…). La formation restreinte considère donc, au vu de ces éléments, qu’un manquement à l’article 5-1-c) du RGPD est constitué “ (CNIL, FR, 28 juillet 2020, Sanction, n° SAN-2020-003, publié). Cette position a récemment été rappelée à l’égard d’une société proposant, comme en l’espèce, des consultations de voyance par téléphone (CNIL, FR, 8 juin 2023, Sanction, SAN-2023-008, publié).
Il convient donc d’être particulièrement précautionneux quant au respect du principe de minimisation des données lors si des enregistrements téléphoniques sont mis en oeuvre dans une organisation.
2. Des durées de conservation des données disproportionnées
L’article 5.1.e du RGPD impose que les données personnelles doivent être “conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées“.
En application de ces dispositions, le responsable du traitement doit donc définir une durée de conservation qui soit cohérente au regard de la finalité du traitement. Une fois la finalité atteinte, les données doivent être supprimées ou anonymisées, ou faire l’objet d’un archivage pour une durée déterminée lorsque leur conservation est nécessaire, par exemple pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses notamment.
La CNIL a publié un référentiel relatif aux traitements mis en œuvre aux fins de gestion des activités commerciales qui prévoit la conservation des données des clients à l’issue de la relation commerciale, en particulier pour des fins de prospection commerciale, celle-ci étant fixée à 3 ans.
En l’occurrence, les entreprises conservaient les données pendant une durée de 6 ans, que la CNIL a jugée comme excessive.
II. Manquements liés aux consentement
1. Absence de consentement explicite
La CNIL reprochait également aux sociétés de voyance de ne pas avoir obtenu le consentement explicite des clients pour la collecte et le traitement de données sensibles en violation de l’article 9 du RGPD. En effet, le traitement de telles données comme l’orientation sexuelle, la santé ou les convictions religieuses est interdit, sauf à justifier d’une exception prévue à l’art. 9.2. En l’occurrence, les sociétés collectaient ces données via un formulaire web destiné à évaluer la compatibilité amoureuse des utilisateurs, ainsi que lors des consultations téléphoniques, où des informations sensibles pouvaient être divulguées spontanément par les clients.
En défense, les sociétés affirmaient que les données collectées ne constituaient pas des données sensibles au sens de l’article 9. Elles soutenaient également que les voyants ne posaient pas de questions relatives à ces catégories de données et qu’en cas de divulgation spontanée par les clients, les sociétés seraient couvertes par l’exception prévue par l’article 9-2, e) du RGPD (données manifestement rendues publiques par les personnes concernées).
La CNIL rejète ces arguments en rappelant la jurisprudence de la Cour de justice de l’Union européenne (CJUE) du 1er août 2022 (affaire n° C-184/20, Vyriausioji tarnybinės etikos komisija), qui précise que des données telles que le sexe dans un contexte de compatibilité amoureuse permettent de déduire l’orientation sexuelle des utilisateurs, et donc relèvent de l’article 9 du RGPD. La CNIL soulignait également que l’exception de l’article 9-2, e) ne s’appliquait pas aux conversations privées entre voyants et clients, car celles-ci ne constituaient pas des informations rendues publiques par les personnes concernées.
Dans sa décision de sanction la CNIL rappelait que la simple volonté de recevoir une prestation de voyance ne suffisait pas à constituer un consentement explicite. La CNIL a rappelé que les entreprises doivent mettre en place des mécanismes permettant de s’assurer que le consentement est donné de manière explicite, par exemple par une déclaration écrite ou une action positive claire de la part des utilisateurs.
Considérant que ces formalités n’avaient pas été remplies, l’obligation de recueillir un consentement explicite et éclairé avant de traiter des données sensibles avait donc été violée.
2. Absence de consentement préalable pour la prospection
La CNIL reprochait enfin aux sociétés de ne pas avoir obtenu le consentement explicite des personnes concernées pour la mise en œuvre de prospection commerciale par voie électronique en violation de l’article L. 34-5 du Code des postes et des communications électroniques (CPCE). Pour rappel l’article L. 34-5 du CPCE dispose “est interdite la prospection directe au moyen de système automatisé de communications électroniques […], d’un télécopieur ou de courriers électroniques utilisant les coordonnées d’une personne physique […] qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen. Pour l’application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe […] “.
Or, la société COSMOSPACE effectuait des opérations de prospection commerciale par email et SMS à partir d’une base de données commune avec son partenaire TELEMAQUE qui contenait plus de 7 millions de fiches de contact. La CNIL a constaté que les données utilisées pour ces campagnes n’avaient pas été collectées avec un consentement valable, le formulaire de collecte ne mentionnant pas clairement son partenaire commercial, empêchant ainsi les utilisateurs de donner un consentement éclairé et informé : “La formation restreinte rappelle que lorsque les données des prospects n’ont pas été collectées directement auprès d’eux par l’organisme qui prospecte, le consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte de l’organisme qui réalisera les opérations de prospection ultérieures. À défaut, il revient à l’organisme qui prospecte de recueillir un tel consentement avant de procéder à des actes de prospection (CNIL, FR, 24 novembre 2022, Sanction, n°SAN-2022-021, publié ; CNIL, FR, 4 avril 2024, Sanction, n° SAN-2024-004, publié). En outre, pour que le consentement soit éclairé, les personnes doivent notamment être clairement informées de l’identité du prospecteur pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées. Pour ce faire, une liste exhaustive et mise à jour des partenaires doit être tenue à la disposition des personnes au moment du recueil de leur consentement, par exemple directement sur le support de collecte ou, si celle-ci est trop longue, via un lien hypertexte renvoyant vers ladite liste à jour et les politiques de confidentialité des prestataires et fournisseurs (CNIL, FR, 24 novembre 2022, Sanction, SAN-2022-021, publié ; CNIL, FR, 12 octobre 2023, Sanction, SAN-2023-015, publié).”
Conclusion
Ces décisions de sanction mettent en lumière la nécessité d’adopter une certaine rigueur lors de la collecte de données personnelles. Les entreprises doivent non seulement obtenir un consentement explicite, mais également garantir que les informations fournies aux utilisateurs sont claires, complètes et facilement accessibles. Ignorer ces obligations expose les organisations à des sanctions financières sévères et compromet la confiance des clients, renforçant ainsi l’importance de la protection des données personnelles dans toutes les activités commerciales.
