Délibération SAN-2019-010 du 21 novembre 2019

Commission Nationale de l'Informatique et des Libertés
Délibération n°SAN-2019-010 du 21 novembre 2019
Délibération de la formation restreinte n°SAN-2019-010 du 21 novembre 2019 concernant la société FUTURA INTERNATIONALE
Etat: VIGUEUR

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Messieurs Alexandre LINDEN, président, Philippe-Pierre CABOURDIN, vice-président, et de Mesdames Anne DEBET, Sylvie LEMMET et Christine MAUGÜE, membres ;

Vu la Convention no 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée, notamment ses articles 20 et suivants ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la saisine PL18002670 reçue par la Commission nationale de l'informatique et des libertés le 6 février 2018 ;

Vu la décision n° 2018-060C du 16 mars 2018 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de tous les traitements de prospection mis en œuvre par ou pour le compte de la société FUTURA INTERNATIONALE ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 29 avril 2019 ;

Vu le rapport de Madame Sophie LAMBREMON, commissaire rapporteur, notifié à la société FUTURA INTERNATIONALE le 11 juin 2019 ;

Vu les observations écrites de maître […], avocat de la société FUTURA INTERNATIONALE, reçues le 10 juillet 2019 ;

Vu la réponse du rapporteur à ces observations notifiée le 25 juillet 2019 au conseil de la société ;

Vu les nouvelles observations écrites du conseil de la société FUTURA INTERNATIONALE reçues le 31 juillet 2019 ainsi que les observations orales formulées lors de la séance de la formation restreinte, le 19 septembre 2019 ;

Vu les pièces communiquées par courriel le 7 octobre 2019, postérieurement à la clôture de l’instruction ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte du 19 septembre 2019 :

  • Mme Sophie LAMBREMON, commissaire, en son rapport ;

En qualité de représentant de la société FUTURA INTERNATIONALE :

- […], avocat de la société ;

Le conseil de la société FUTURA INTERNATIONALE ayant pris la parole en dernier ;

La formation restreinte adopté la décision suivante :

I.Faits et procédure

La société FUTURA INTERNATIONALE (ci-après la société ) est une société par actions simplifiée à associé unique, dont le siège social est situé 1 avenue des Violettes, à Bonneuil-sur-Marne (94380). Elle a pour activité l’installation d’équipements d’isolation, de pompes à chaleur et d’ouvrants.

En 2017, la société a réalisé un chiffre d’affaires de 27 647 300 euros pour un résultat net supérieur à 500 000 euros. Ce chiffre d’affaires était de […] euros pour un résultat net d’environ […] euros pour l’année 2018. En mars 2018, elle employait environ 75 salariés.

Le 6 février 2018, Madame […] a saisi la Commission nationale de l'informatique et des libertés (ci-après la CNIL ou la Commission ) d’une plainte faisant état de démarchage téléphonique de la part de la société FUTURA INTERNATIONALE. La plaignante indiquait également que, malgré une opposition à la prospection exprimée oralement auprès des opérateurs téléphoniques et par courrier adressé au siège de la société, les appels n’avaient pas cessé plusieurs mois après ces démarches.

Le 20 mars 2018, en application de la décision no 2018-060C de la présidente, une délégation de la CNIL a procédé à une mission de contrôle dans les locaux de la société FUTURA INTERNATIONALE. Cette mission a eu pour objet de vérifier la conformité de tous les traitements en lien avec la prospection commerciale mis en œuvre par ou pour le compte de la société aux dispositions de la loi du 6 janvier 1978 modifiée et, plus particulièrement, d’instruire la plainte de Madame […].

À l’occasion de ce contrôle, la délégation a été informée que la société traitait, dans le cadre de son activité, les données de clients et prospects obtenues soit directement auprès des personnes concernées (prenant d’initiative contact avec la société ou contactées dans le cadre d’opérations de prospection téléphonique par des prestataires utilisant leurs propres annuaires) soit collectées auprès de tiers dans le cadre d’un programme de parrainage.

La délégation a été informée que la prospection commerciale téléphonique de la société était réalisée par plusieurs centres d’appels agissant en qualité de sous-traitants et étant situés, pour la plupart d’entre eux, en Afrique du Nord. La société indiquait à ces sous-traitants le département qu’elle souhaitait voir ciblé, et les téléopérateurs des centres d’appels appelaient les personnes concernées afin de leur proposer les services de la société. Si les personnes se déclaraient intéressées, elles étaient soit mises directement en contact avec un salarié de la société FUTURA INTERNATIONALE, soit rappelées ultérieurement, afin que soient vérifiés les critères d’admissibilité aux certificats d’économie d’énergie , dispositif plus connu sous l’appellation d’ isolation à un euro . Des personnes pouvaient également être contactées de cette façon lorsqu’elles avaient été parrainées par des clients de la société qui avaient indiqué leurs coordonnées. La délégation a été informée que la société n’avait pas mis en place de mécanisme centralisé permettant que soient prises en compte les demandes d’opposition exprimées par les personnes démarchées. Elle a pris copie de dix-neuf courriels adressés à la société par des particuliers exprimant leur refus à des futures opérations de prospection.

La délégation a été informée que les données des clients étaient traitées dans le logiciel de gestion de la clientèle Progibos , dans lequel les téléopérateurs pouvaient enregistrer des commentaires sur les clients à destination des salariés de la société FUTURA INTERNATIONALE. La délégation a constaté, parmi ces commentaires, des propos relatifs à l’état de santé des personnes démarchées ainsi que des propos injurieux à leur encontre.

Ayant obtenu copie d’enregistrements des conversations intervenues entre des téléopérateurs et des prospects, la délégation a constaté que, dans un nombre conséquent de conversations, les personnes n’étaient pas informées de l’enregistrement de l’appel. Lorsque les personnes étaient averties de l’enregistrement, aucune autre information relative à la protection des données personnelles n’était communiquée.

Par ailleurs, à l’issue du contrôle, les services de la Commission ont sollicité de la société la communication de plusieurs documents nécessaires à l’exécution de leur mission, en vue d’apprécier la responsabilité de la société. Il s’agissait notamment des contrats passés avec les centres d’appel. Un délai de huit jours était accordé à la société pour communiquer ces pièces. Sur demande de la société, deux prorogations de délai ont été accordés, jusqu’au 11 avril puis jusqu’au 20 avril 2018. La société a fait parvenir certains documents les 11, 17, 19 et 20 avril, sans que l’ensemble des documents sollicités ne soient communiqués, malgré deux relances des services de la Commission les 23 avril et 4 juin 2018, dont une par lettre recommandée avec avis de réception.

Au regard de ces faits, la présidente a notifié à la société la décision no MED-2018-039 du 27 septembre 2018 la mettant en demeure, sous un délai de deux mois, de prendre les mesures suivantes :

veiller à l'adéquation, à la pertinence et au caractère non excessif des données collectées, conformément à l’article 5-1-c) du règlement général sur la protection des données n° 2016/679 du 27 avril 2016 , notamment en :

supprimant les commentaires inappropriés et excessifs au regard de la finalité du traitement ;

prenant les mesures nécessaires pour éviter que des commentaires excessifs ne soient enregistrés dans le logiciel PROGIBOS, par exemple, en mettant en place un système de détection automatique des mots inadéquats, non pertinents et excessifs au regard de la finalité du traitement, afin de les exclure des zones de commentaires et en sensibilisant le personnel sur la nécessité d’enregistrer uniquement des données adéquates, pertinentes et non excessives ;

justifier des raisons pour lesquelles des réponses partielles ont été adressées au courriel du 23 avril 2018 et au courrier du 4 juin 2018 de la Commission et communiquer à cette dernière :

la liste exhaustive des centres d’appels travaillant pour le compte de la société ;

pour chacun des centres d’appels, les cinquante enregistrements les plus récents relatifs aux appels téléphoniques de prospection effectués pour le compte de la société ;

les cent enregistrements les plus récents dont dispose la société relatifs aux conversations téléphoniques entre les prospects et les employés de la société ;

procéder à l’information des personnes auprès desquelles des données à caractère personnel sont collectées directement, dans les conditions désormais prévues aux articles 12 et 13 du règlement général sur la protection des données n° 2016/679 du 27 avril 2016 , notamment en fournissant, au moment où les données à caractère personnel sont collectées, une information relative à l’identité du responsable du traitement, à la finalité poursuivie par le traitement, aux droits des personnes et au transfert de données vers un État non-membre de l’Union européenne, et en fournissant, sur le site www.futura-internationale.fr , une information relative aux transferts de données vers un État non-membre de l’Union européenne ainsi qu’aux durées de conservation des catégories de données traitées ou des critères utilisés permettant de déterminer ces durées ;

procéder à l’information des personnes auprès desquelles des données à caractère personnel sont collectées indirectement, dans les conditions désormais prévues à l’article 14 du règlement général sur la protection des données n° 2016/679 du 27 avril 2016 , notamment en fournissant aux filleuls, au plus tard au moment de la première communication avec eux, une information relative à l’identité du responsable du traitement, à la finalité poursuivie par le traitement, aux droits des personnes et au transfert de données vers un État non-membre de l’Union européenne, et en fournissant, sur le site www.futura-internationale.fr , une notice d’information complète ;

définir et mettre en œuvre une procédure effective de droit d’opposition visant à respecter les dispositions de l’article 21-2 du règlement général sur la protection des données n° 2016/679 du 27 avril 2016 et en particulier, faire droit à la demande formulée par Madame […] ;

ne plus procéder à un transfert de données à caractère personnel vers un État n’assurant pas un niveau suffisant de protection de la vie privée et des libertés et droits fondamentaux, sauf à remplir l’une des conditions prévues aux articles 46 à 49 du règlement général sur la protection des données n° 2016/679 du 27 avril 2016 ;

justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti .

La mise en demeure a été reçue par la société le 2 octobre 2018.

Le 29 novembre 2018, la présidente de la CNIL a été destinataire d’une demande de prorogation du délai imparti par la mise en demeure. Dans ce courrier, une avocate représentant la société expliquait avoir été désignée comme déléguée à la protection des données auprès de la CNIL, sans en avoir été informée, et avoir été saisie de cette mise en demeure tardivement par la société. En conséquence, le conseil de la société sollicitait que le délai de deux mois initialement accordé soit doublé, demande à laquelle il était fait droit le 13 décembre 2018.

Le 15 février 2019, le conseil de la société a adressé un courrier à la présidente de la CNIL, l’informant du fait que, en dépit de plusieurs relances de sa part, il n’avait pu obtenir communication des éléments justificatifs demandés auprès de la société. Il ne pouvait, en conséquence, justifier de la mise en conformité de la société FUTURA INTERNATIONALE mais communiquait cependant quelques documents fournis par la société.

Aux fins d’instruction de ces éléments, la présidente de la Commission a désigné Madame Sophie LAMBREMON en qualité de rapporteur, le 29 avril 2019, sur le fondement de l’article 47 de la loi du 6 janvier 1978 modifiée dans sa version applicable au jour de la désignation.

À l’issue de son instruction, le rapporteur a fait notifier par porteur à la société FUTURA INTERNATIONALE, le 11 juin 2019, un rapport détaillant les manquements au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données (ci-après le Règlement ou le RGPD ) qu’il estimait constitués en l’espèce.

Ce rapport proposait à la formation restreinte de la Commission de prononcer une injonction de mettre en conformité le traitement avec les dispositions des articles 5-1.-c), 12, 13, 14, 21 et 44 du Règlement, assortie d’une astreinte de cinq cents euros par jour de retard à l’issue d’un délai de quinze jours suivant la notification de la délibération de la formation restreinte, ainsi qu’une amende administrative d’un montant de cinq cent mille euros. Il proposait également que cette décision soit rendue publique mais qu’elle ne permette plus d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

Était également jointe au rapport une convocation à la séance de la formation restreinte du 19 septembre 2019 indiquant à la société qu’elle disposait d’un délai d’un mois pour communiquer ses observations écrites.

Le 10 juillet 2019, par l’intermédiaire de son nouveau conseil, la société a produit des observations. Le rapporteur y a répondu le 25 juillet.

Le 31 juillet, la société a produit de nouvelles observations en réponse à celles du rapporteur.

Lors de la séance de la formation restreinte du 19 septembre 2019, le rapporteur a maintenu les propositions formulées dans son rapport de sanction à l’exception de l’injonction portant sur le caractère adéquat des commentaires libres, la société s’étant mise en conformité sur ce point.

II.Motifs de la décision

1.Sur le droit applicable

La formation restreinte constate que le contrôle effectué par les services de la Commission a eu lieu le 20 mars 2018. Cette date est antérieure à l’entrée en application du RGPD. Pour cette raison, la mise en demeure du 27 septembre 2018, bien que notifiée postérieurement à l’entrée en application du texte, relève des manquements à la loi no 78-17 du 6 janvier 1978 modifiée, tout en enjoignant à la mise en conformité au Règlement, désormais applicable.

La formation restreinte considère que le principe de non-rétroactivité de la sanction pénale interdit en principe de voir appliquer le Règlement pour sanctionner les manquements instantanés intervenus avant son entrée en vigueur.

Elle constate néanmoins que les manquements relevés dans la mise en demeure sont des manquements continus, lesquels se définissent par une action (ou une omission) s’étendant sur une certaine durée, au sens dans la jurisprudence de la Cour européenne des droits de l'homme (Cour européenne des droits de l’Homme, grande ch., aff. Rohlena c/ Rép. Tchèque, req. 59552/08, paragraphe 28).

La formation restreinte considère que ces manquements ont perduré au moins jusqu’à la notification du rapport de sanction, soit postérieurement à l’entrée en application du RGPD, faute pour la société d’avoir démontré une mise en conformité.

La formation restreinte rappelle que dans l’hypothèse de manquements continus, il convient de tenir compte de la loi applicable lors du dernier état du manquement (CE 9/10, 5 nov. 2014, Sté UBS France SA, no 371585, point 24).

En conséquence, la formation restreinte considère que le RGPD est applicable aux faits de l’espèce et que les manquements devront donc être appréciés au regard de ce texte.

2.Sur le manquement à l’obligation de traiter des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées

L’article 5-1-c) du RGPD dispose que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées .

La formation restreinte observe que des termes injurieux et relatifs à l’état de santé des personnes ont été relevés dans le logiciel Progibos permettant la gestion des clients de la société. Elle considère que, par leur nature même, les commentaires injurieux sont inadéquats au regard de la finalité pour laquelle les données sont traitées et que rien ne justifie, en l’espèce, la présence de données relatives à la santé des personnes dans le logiciel de gestion des clients et prospects. Elle relève à ce sujet que le caractère excessif de ces données n’est pas remis en cause par la société.

La formation restreinte relève également que la société n’a pas démontré qu’elle avait supprimé les commentaires excessifs ou inadéquats à l’expiration du délai accordé dans la mise en demeure et qu’en conséquence, le manquement à l’obligation de ne traiter que des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées était constitué à cette date.

La formation restreinte considère donc, au vu de ces éléments, qu’un manquement à l’article 5-1-c) du RGPD était constitué à l’expiration du délai imparti par la mise en demeure.

La formation restreinte prend acte de ce que la société produit des éléments justifiant qu’elle a procédé à la purge des commentaires excessif en cours de procédure de sanction.

La formation restreinte prend également acte des observations formulées par le rapporteur lors de la séance du 19 septembre 2019. Le rapporteur considère que la société a démontré sa mise en conformité et que, dès lors, il n’y a plus lieu de prononcer une injonction sur ce point.

La formation restreinte constate néanmoins que, si une information est effectivement délivrée à l’aide d’un bandeau contextuel aux utilisateurs du logiciel Progibos , il ne ressort pas du constat d’huissier de justice établi le 30 juillet 2019 que la société aurait mis en place un mécanisme informatisé empêchant que soient enregistrés dans le logiciel des termes injurieux ou relatifs à l’état de santé des personnes. Cela ne ressort pas non plus des pièces fournies par la société durant la procédure de sanction, ni des déclarations de son conseil lors de la séance du 19 septembre 2019.

Or, compte tenu des constatations effectuées par la délégation de contrôle le 20 mars 2018 quant à la nature des commentaires inscrits par les utilisateurs du logiciel Progibos , la formation restreinte considère qu’une simple mention d’information à destination des utilisateurs ne saurait suffire, dans le cas d’espèce, à assurer le respect des dispositions de l’article 5-1-c) du RGPD. Elle considère au contraire que le responsable de traitement doit mettre en place un système contraignant lui permettant de s’assurer que les comportements constatés ne sont pas réitérés, soit en empêchant automatiquement l’enregistrement de certains termes dès la saisie, soit en effectuant une revue automatisée quotidienne des commentaires enregistrés.

Ces éléments ne sont donc pas de nature à remettre en question la caractérisation du manquement évoqué à la clôture de l’instruction.

3.Sur le manquement à l’obligation de procéder à l’information des personnes

Le premier paragraphe de l’article 12 du RGPD prévoit que le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 […] en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l'identité de la personne concernée soit démontrée par d'autres moyens .

Concernant l’information des personnes dont les données personnelles sont directement collectées auprès d’elles par la société, l’article 13 du RGPD dispose :

1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;

b) le cas échéant, les coordonnées du délégué à la protection des données ;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;

d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;

e) les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent ; et

f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition ;

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :

a) la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;

b) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données ;

c) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;

d) le droit d'introduire une réclamation auprès d'une autorité de contrôle ;

e) des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;

f) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

Concernant les informations à fournir lorsque les données personnelles n’ont pas été collectées auprès des personnes concernées, l’article 14 dispose :

1. Lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :

a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;

b) le cas échéant, les coordonnées du délégué à la protection des données ;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;

d) les catégories de données à caractère personnel concernées ;

e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;

f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition ;

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l'égard de la personne concernée :

a) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;

b) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;

c) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s'opposer au traitement et du droit à la portabilité des données ;

d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;

e) le droit d'introduire une réclamation auprès d'une autorité de contrôle ;

f) la source d'où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public ;

g) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

3. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2 :

a) dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées ;

b) si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne ; ou

c) s'il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.

Des lignes directrices sur la transparence au sens du règlement (UE) 2016/679 ont été adoptées par le groupe de travail Article 29 le 29 novembre 2017 (version révisée et adoptée le 11 avril 2018, WP260 rev.01). Elles précisent, page 22, que si une information à plusieurs niveaux est possible pour plus de clarté, le G29 recommande que le premier niveau […] inclue les détails de la finalité du traitement, l’identité du responsable du traitement et une description des droits des personnes concernées , avant de préconiser que ces informations devraient être directement portées à l’attention de la personne concernée au moment de la collecte des données à caractère personnel .

La formation restreinte observe qu’il ressort des enregistrements téléphoniques communiqués par la société que les personnes qui font l’objet de prospection téléphonique ne sont soit destinataires d’aucune information relative à l’enregistrement de l’appel soit sont simplement informées de l’enregistrement de la conversation sans qu’aucune autre information ne leur soit communiquée quant au traitement de leurs données à caractère personnel, telle que la finalité du traitement, l’identité du responsable de traitement ou les droits dont elles disposent.

La formation restreinte relève que la société n’affirme ni ne démontre avoir mis en place, durant le délai octroyé par la mise en demeure, un mécanisme d’information conforme aux dispositions précitées, aucune précision ne figurant sur ce point dans la réponse sommaire apportée à la mise en demeure le 15 février 2019. Il en va de même en ce qui concerne l’information délivrée aux personnes parrainées dont les données personnelles sont indirectement collectées.

La formation restreinte considère donc, au vu de ces éléments, qu’un manquement aux articles 12, 13 et 14 du RGPD était constitué à l’expiration du délai imparti par la mise en demeure.

La formation restreinte prend acte de ce que la société indique communiquer dorénavant une information complète prenant la forme d’un courriel à toute personne faisant l’objet de prospection téléphonique, ainsi qu’aux personnes dont les données ne sont pas collectées directement.

La formation restreinte relève néanmoins que, si la société affirme mettre des mentions d’information complètes à disposition des personnes faisant l’objet de prospection téléphonique et celles dont les données sont collectées indirectement, elle n’a pas justifié de l’information qu’elle délivre, par exemple en produisant un modèle du courriel envoyé. En outre, s’agissant des personnes dont les données sont collectées directement, la formation restreinte relève que la société indique proposer une information prenant la forme de l’envoi d’un courriel postérieurement à l’échange téléphonique. La formation restreinte rappelle que l’article 13 du RGPD impose qu’une information soit fournie au moment de la collecte des données personnelles. En effet, au regard de ce texte, il est nécessaire que la personne soit mise en mesure de prendre connaissance de l’information relative au traitement de ses données personnelles au moment où ses données sont collectées, et non uniquement ultérieurement. Ainsi, une information, même sommaire, doit lui être communiquée par l’intermédiaire du service vocal ou du téléopérateur, en lui offrant la possibilité d’obtenir communication d’une information complète soit grâce à l’activation d’une touche sur son clavier téléphonique, soit par l’envoi d’un courriel par exemple.

Ces éléments ne sont donc pas de nature à remettre en question la caractérisation du manquement évoqué à la clôture de l’instruction.

4.Sur le manquement à l’obligation de respecter le droit d’opposition

L’article 21 du RGPD prévoit, en son deuxième paragraphe, que lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s'opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection .

En outre, l’article 12 du RGPD précité dispose, dans son deuxième paragraphe, que le responsable du traitement facilite l'exercice des droits conférés à la personne concernée au titre des articles 15 à 22 .

La formation restreinte considère donc, aux termes de ces deux articles combinés, qu’il revenait à la société de mettre en place un mécanisme permettant une prise en compte effective du droit d’opposition exprimé par les personnes faisant l’objet de prospection téléphonique. Elle devait, à ce titre, être en mesure de s’assurer que l’opposition exprimée par les intéressés était respectée et que les personnes ayant faire part de leur opposition ne reçoivent plus d’appels de prospection de la part de ses sous-traitants.

La formation restreinte relève qu’il ressort des déclarations des salariés de la société, recueillies à l’occasion du contrôle réalisé le 20 mars 2018, que n’avait été mise en place aucune procédure permettant que l’opposition exprimée auprès de la société soit communiquée à ses sous-traitants ni que l’opposition exprimée directement auprès des téléopérateurs des centres d’appels ne soit centralisée au niveau du siège de la société et répercutée auprès de la société et de l’ensemble des sous-traitants.

Dès lors, il apparaît que l’opposition exprimée par les personnes démarchées restait vaine : lorsqu’elle était exprimée auprès du siège de l’entreprise, les sous-traitants n’en étaient pas informés et poursuivaient les opérations de prospection ; lorsqu’elle était exprimée directement auprès d’un sous-traitant, ni le siège ni les trente-cinq autres centres d’appels travaillant alors pour la société n’en étaient informés, et la prospection perdurait malgré le refus exprimé par les personnes. Il ressort de ce qui précède que, quelle que soit la modalité d’expression de l’opposition, celle-ci restait ineffective.

La formation restreinte considère en outre que l’absence de prise en compte de l’opposition exprimée ressort de la plainte de Madame […] qui fait état de très nombreux appels reçus après avoir manifesté son opposition. Ce fait ressort également des courriels reçus par la société de personnes ne souhaitant plus être la cible de prospection téléphonique, la majorité de ces courriels faisant état de plusieurs appels reçus malgré le refus exprimé.

La formation restreinte relève que la société a fait parvenir aux services de la Commission, après le contrôle réalisé le 20 mars 2018, trois attestations de centres d’appels affirmant avoir reçu de la société une liste de personnes ne souhaitant plus être démarchées.

La formation restreinte relève que seules trois attestations ont été fournies alors que la société indiquait travailler à l’époque avec trente-six centres d’appels. Elle estime donc, à considérer l’obligation de la société remplie vis-à-vis de ces trois centres d’appels, qu’aucune mesure n’a été prise pour que l’opposition soit effectivement respectée par l’ensemble de ses sous-traitants.

En outre, la formation restreinte note que les informations figurant sur les attestations et que la société affirme avoir communiquées aux centres d’appels ne permettent pas une identification suffisante des personnes ayant exprimé leur refus d’être démarchées par téléphone. D’une part, l’absence de toute mention du numéro de téléphone empêche l’inscription de la personne sur une liste d’opposition à la prospection téléphonique. D’autre part, la seule mention de l’adresse électronique de la personne et de son nom de famille (a fortiori lorsque ce dernier est particulièrement répandu) entraîne un risque de confusion en cas d’homonymie. Ainsi, les sous-traitants n’ont pas été mis en mesure de s’assurer que les personnes concernées ne seraient plus contactées par eux.

Enfin, la formation restreinte considère que les justificatifs produits par la société ne permettent pas de démontrer que, à l’expiration du délai imparti dans la mise en demeure, la société s’assurait que l’opposition exprimée par une personne démarchée auprès du téléopérateur d’un centre d’appels sous-traitant était communiquée aux fins d’être centralisée puis retransmise à l’ensemble des sous-traitants. La formation restreinte estime qu’en l’absence d’un tel mécanisme, toute opposition exprimée à l’occasion d’un appel de prospection téléphonique n’entraînera pas l’arrêt de toute opération de prospection pour le compte de la société, notamment par un autre centre d’appels.

La formation restreinte considère donc, au vu de ces éléments, qu’un manquement à l’article 21 du RGPD était constitué à l’expiration du délai imparti par la mise en demeure.

La formation restreinte prend acte des déclarations de la société, tant durant les échanges écrits avec le rapporteur que lors de la séance du 19 septembre 2019, selon lesquelles elle a mis en place, dans le logiciel Progibos , une liste d’opposition régulièrement tenue à jour.

Pour autant, la formation restreinte considère que ce mécanisme est insuffisant pour imposer son respect par les centres d’appels et, par conséquent, la prise en compte effective de l’opposition des personnes. En effet, la formation restreinte constate que cette liste d’exclusion prend la forme d’un simple tableau, auquel renvoie un bandeau d’information dans le logiciel invitant les téléopérateurs des centres d’appels à consulter le tableau. Rien n’est mis en place pour automatiser le processus et en assurer la fiabilité, par exemple en prévoyant que chaque numéro appelé par un téléopérateur soit automatiquement et préalablement comparé à cette liste d’opposition pour empêcher l’appel. Au regard premièrement des intérêts économiques que représente la prospection commerciale, tant pour la société FUTURA INTERNATIONALE que pour ses sous-traitants, deuxièmement du volume d’appels passés pour le compte de la société et troisièmement du nombre de personnes concernées (plus de 300 personnes avaient déjà fait part de leur opposition au jour de la séance), la formation restreinte considère que seul un mécanisme automatisé présente un caractère suffisamment efficace pour garantir que l’opposition exprimée par les personnes concernées soit respectée.

En outre, la formation restreinte relève que cette liste contient des données relatives à l’adresse postale des personnes. Ces données sont des données à caractère personnel, et ne sont pas nécessaires à la finalité spécifique de ce traitement qui est de constituer une liste d’opposition à la prospection téléphonique. En effet, les noms, prénoms, et numéros de téléphone suffisent à assurer le respect de cette obligation, sauf à démontrer que la liste permet également de matérialiser l’opposition à la prospection postale.

Enfin la formation restreinte observe que la société ne démontre pas que les données des personnes ayant exprimé leur opposition au traitement ont effectivement été purgées du logiciel Progibos , le constat d’huissier de justice effectué le 30 juillet 2019 étant muet sur ce point.

Cet élément n’est donc pas de nature à remettre en question la caractérisation du manquement évoqué à la clôture de l’instruction.

5.Sur le manquement à l’obligation de coopérer avec l’autorité de contrôle

L’article 31 du RGPD prévoit que le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l'autorité de contrôle, à la demande de celle-ci, dans l'exécution de ses missions .

La formation restreinte relève les nombreuses demandes des services de la Commission après le contrôle du 20 mars 2018 pour obtenir communication des pièces nécessaires à l’exercice de leur mission, ainsi que les réponses très partielles de la société FUTURA INTERNATIONALE qui n’a communiqué qu’une très faible proportion des éléments demandés. Elle relève également que la Commission a systématiquement fait droit aux demandes de prorogation de délais que la société a formulées sans que cela permette la communication des pièces demandées.

La formation restreinte note également que la société n'a pas répondu de manière satisfaisante à la mise en demeure qui lui a été notifiée puisque la réponse n’était pas accompagnée des éléments justificatifs demandés dans le cadre de cette procédure et qu’elle ne visait pas l’intégralité des manquements relevés. Là encore, la formation restreinte relève que la société a sollicité et obtenu une prolongation maximale du délai accordé par la mise en demeure.

La société indique avoir été mal conseillée, mais la formation restreinte relève, d’une part, qu’en sa qualité de responsable de traitement, il revenait à la seule société de répondre aux demandes qui lui étaient adressées et de rendre compte du respect du RGPD, à charge pour elle, le cas échéant, de choisir les professionnels compétents auxquels elle entendait confier la défense de ses intérêts. Il lui revenait de faire appel à de nouveaux interlocuteurs si elle estimait être confrontée à l’incompétence des premiers saisis.

D’autre part, la formation restreinte relève que le manquement relatif à l’absence de coopération avec les services de la Commission, qu’elle considère caractérisé en l’espèce, ne saurait naître d’une simple méconnaissance des règles relatives à la protection des données que la société met en avant pour expliquer la difficulté qu’elle a eue à répondre aux demandes de la CNIL. Elle considère en effet que l’absence de réponse aux demandes formulées par les services de la CNIL et à la mise en demeure adressée par la présidente de la Commission, comme l’absence de prise en compte de ces demandes avant la notification d’un rapport de sanction, suffisent à démontrer, sinon la volonté clairement exprimée de ne pas donner suite aux sollicitations de la CNIL, à tout le moins un désintérêt flagrant pour ces sujets.

La formation restreinte note que ce manquement a pris fin à la notification du rapport de sanction, seul moment à partir duquel a pu s’instaurer un échange avec la société, par le biais de son conseil.

Enfin, c’est à tort que la société considère que la caractérisation de ce manquement est incompatible avec la possibilité offerte à la société de se mettre en conformité par le biais d’une mise en demeure et d’émettre des observations lors des échanges avec le rapporteur dans le cadre de la procédure de sanction. Le principe de coopération posé par l’article 31 du RGPD préexiste à la procédure engagée : son non-respect est constitué en tant que tel et n’est pas lié à la mise en conformité postérieure de la société ni au principe du contradictoire qui régit la procédure de sanction.

La formation restreinte considère donc, au vu de ces éléments, qu’un manquement à l’article 31 du RGPD était constitué à l’expiration du délai imparti par la mise en demeure.

La formation restreinte prend acte de la réalité de la coopération intervenue entre la société et le rapporteur. Elle prend en compte les efforts de mise en conformité du responsable de traitement lorsqu’ils sont démontrés, mais la décision qu’elle rend a également vocation à venir sanctionner un comportement passé.

Cet élément n’est donc pas de nature à remettre en question la caractérisation du manquement évoqué à l’expiration du délai imparti par la mise en demeure.

6.Sur le manquement à l’obligation d’encadrer les transferts de données à caractère personnel hors de l’Union européenne

L’article 44 du RGPD dispose : un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l'organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis .

La formation restreinte relève que la société effectuait, au jour du contrôle, un transfert de données vers des États considérés comme n’assurant pas un niveau de protection adéquat au regard de l’article 45 du RGPD (Côte d’Ivoire, Maroc, Tunisie) à travers son logiciel Progibos .

Compte tenu de l’absence d’adéquation, la formation restreinte constate qu’il revenait à la société FUTURA INTERNATIONALE de prévoir des garanties appropriées, conformément aux dispositions de l’article 46 du RGPD.

Concernant la situation au jour du contrôle réalisé et ressortant ensuite des éléments communiqués par le conseil de la société en réponse à la mise en demeure, le responsable de traitement a fait le choix d’encadrer le transfert des données personnelles à ses sous-traitants situés hors du territoire de l’Union européenne par des clauses contractuelles. La formation restreinte constate néanmoins que ces clauses ne répondent pas aux exigences posées par les articles 44 et suivants du RGPD puisqu’elles n’ont été adoptées ni par la Commission européenne ni par une autorité de contrôle, contrairement à ce qu’impose l’article 46 du RGPD.

La formation restreinte prend note des nouvelles clauses relatives à la protection des données à caractère personnel que le conseil de la société a communiquées au rapporteur dans le cadre de la procédure de sanction et constate que ces clauses reprennent les clauses contractuelles types de la Commission européenne.

Néanmoins, la formation restreinte constate d’une part que, au jour de la clôture de l’instruction, les contrats qui lui ont été communiqués ne sont pas des documents définitifs, puisque certaines clauses ne sont pas entièrement rédigées, et notamment les clauses relatives à la rémunération du prestataire.

D’autre part, et malgré les demandes du rapporteur portant précisément sur ce point en cours de procédure, la formation restreinte observe que, au jour de la clôture de l’instruction, la société n’a pas communiqué de version de ces contrats signée par les deux parties. La formation restreinte constate en effet qu’un examen sommaire du contrat liant la société FUTURA INTERNATIONALE à son sous-traitant […] permet de constater que le tampon de la société et la signature de son représentant ne figurent pas sur le contrat en lui-même mais uniquement sur l’impression de la photographie du contrat, ledit tampon dépassant de la photographie et ne pouvant donc pas figurer sur le document original. En conséquence, ce document ne permet pas à la formation restreinte de constater la conformité de la société sur ce point.

En outre, la formation restreinte relève que le contrat et l’annexe liant la société FUTURA INTERNATIONALE et son sous-traitant […] n’est pas signé par les deux parties.

Enfin, les clauses contractuelles types de la Commission européenne prévoient que ces clauses soient soumises au droit de l’État membre où l’exportateur de données personnelles est établi, en l’espèce la France. Or la formation restreinte relève que, dans les contrats fournis par la société, les clauses sont systématiquement soumises au droit de l’État où est installé le sous-traitant.

La formation restreinte considère donc, au vu de ces éléments, qu’un manquement à l’article 44 du RGPD était constitué à l’expiration du délai imparti par la mise en demeure.

La formation restreinte prend acte de la communication au rapporteur de contrats passés entre la société et ses sous-traitants. Elle relève néanmoins que la société n’a pas justifié de la mise en place, dans ses rapports avec ses sous-traitants, d’un cadre juridique conforme aux dispositions des articles 44 à 50 du Règlement, et notamment du fait qu’elle a cosigné avec eux des avenants aux contrats correspondant aux clauses contractuelles types de protection des données personnelles adoptées par la Commission européenne. En effet, la formation restreinte constate que les contrats communiqués le 31 juillet 2019 sont incomplets, et que les documents photographiés ne sont pas signés par les deux cocontractants, seule la photographie étant tamponnée et signée par la société FUTURA INTERNATIONALE. Au demeurant, un contrat demeure non signé par l’ensemble des cocontractants.

Cet élément n’est donc pas de nature à remettre en question la caractérisation du manquement évoqué à la clôture de l’instruction.

III.Sur les mesures correctrices et leur publicité

Aux termes du III de l’article 20 de la loi du 6 janvier 1978 modifiée :

Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […]

2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'État, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; […]

7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.

L’article 83 du RGPD prévoit :

1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants :

a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ;

b) le fait que la violation a été commise délibérément ou par négligence ;

c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ;

d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des articles 25 et 32 ;

e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;

f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ;

g) les catégories de données à caractère personnel concernées par la violation ;

h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ;

i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ;

j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42 ; et

k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

En premier lieu, concernant l’amende proposée par le rapporteur, la formation restreinte estime que, dans le cas d’espèce, les manquements précités justifient que soit prononcée une amende administrative à l’encontre de la société pour les motifs suivants :

La formation restreinte constate que les manquements aux articles 5-1-c), 12, 13, 14, 21 et 44 du Règlement ont persisté au-delà du délai imparti par la mise en demeure de la présidente de la Commission et que ce n’est qu’à la notification du rapport de sanction que la société a pris des mesures pour se mettre en conformité, plus de huit mois après la notification de la mise en demeure. La société n’a ainsi pas pleinement collaboré avec les services de la Commission jusqu’à l’engagement de la procédure de sanction et n’a pas démontré sa mise en conformité à l’expiration du délai imparti.

Elle constate également que la plupart des manquements portent sur des obligations que la loi no 78-17 du 6 janvier 1978 modifiée imposait déjà aux responsables de traitement et qui ne sont pas nées du RGPD. Dès lors, elle considère inopérant l’argument que la société tire de la difficulté qu’elle a eue à appliquer dans un temps court un cadre juridique nouveau.

Elle note également que certains de ces manquements sont relatifs aux droits des personnes (droit à l’information et droit d’opposition), qui n’étaient pas respectés par la société. Au jour de la clôture de l’instruction, aucun élément ne vient démontrer une mise en conformité de la société et de ses sous-traitants en la matière. Or, la formation restreinte considère que le non-respect de leurs droits affecte les personnes concernées, et tout particulièrement s’agissant du droit d’opposition, ce qui est démontré par la tonalité des courriels envoyés par les prospects à la société. En conséquence, au regard des conséquences pour les personnes, il convient que ces manquements soient sévèrement sanctionnés.

La formation restreinte rappelle en outre que l’obligation d’encadrer les transferts de données personnelles hors du territoire de l’Union européenne est la conséquence de l’inexistence, sur le territoire de nombreux états, de règlementation protectrice relative aux données personnelles. Le non-respect de cette obligation par le responsable de traitement fait courir le risque de voir ces données traitées hors de tout cadre juridique protecteur, au détriment des droits des personnes concernées. La formation restreinte considère donc qu’elle doit être particulièrement attentive au respect de cette obligation par les responsables de traitement.

L’ensemble de ces raisons justifient qu’une amende administrative soit prononcée.

En deuxième lieu, concernant le montant de cette amende, la société soutient qu’il est disproportionné au regard de la bonne volonté de la société, qui n’avait aucune intention de contrevenir au RGPD et était uniquement mal informée.

Sur ce point, la formation restreinte relève au contraire une absence de coopération parfaitement caractérisée en l’espèce. La formation restreinte considère que, loin de constituer un élément devant l’amener à minorer le montant de l’amende infligée, le comportement de la société jusqu’à la notification du rapport de sanction doit, au contraire, être pris en compte pour venir aggraver la sanction prononcée, comme l’y invite le point b) du deuxième paragraphe de l’article 83 du RGPD.

La société estime ensuite que le montant de l’amende est disproportionné au regard du chiffre d’affaires de l’entreprise, le rapporteur n’ayant en outre pas utilement tenu compte de la diminution du chiffres d’affaires intervenue en 2018 et annoncée pour l’année 2019.

À ce sujet, la formation restreinte considère que le montant de l’amende proposée par le rapporteur est mesuré au regard des informations comptables fournies par la société, lesquelles font état d’un chiffre d’affaires d’environ vingt-sept millions d’euros en 2017 et 20 millions d’euros en 2018. Elle relève que, au vu des manquements en cause, l’article 83-5-b) du RGPD fixe le montant de l’amende encourue à vingt millions d’euros, et que le montant de l’amende proposé correspond à 2,5 % du chiffre d’affaires annuel de la société, ce qui ne présente pas un caractère excessif au regard du comportement de la société, notamment avant la notification du rapport de sanction, et au regard de la gravité des manquement, en particulier de l’atteinte aux droits des personnes. Enfin, si la société démontre que son chiffre d’affaires a diminué pendant l’année 2018, ce résultat demeure du même ordre de grandeur que le résultat de l’année 2017 malgré une diminution du résultat net, et ne justifie pas une diminution du montant de l’amende infligée, lequel n’est d’ailleurs pas directement corrélé aux résultats financiers de la société quand bien même ces derniers sont pris en compte dans son calcul.

La formation restreinte souligne la pluralité des manquements en cause ainsi que leur persistance et leur gravité. Elle tient particulièrement compte des conséquences pour les personnes concernées et relève que ce dossier trouve son origine dans une plainte adressée par un particulier à la Commission. Elle relève également le comportement réticent de la société à prendre en compte la législation applicable en matière de protection des données personnelles et son manque de diligence afin de remédier aux manquements constatés, malgré les nombreuses relances provenant des services de la Commission.

Toutefois, la formation restreinte tient également compte des mesures que la société a prises au cours de la procédure de sanction pour se mettre partiellement en conformité, du fait qu’il s’agit d’une PME et de l’évolution de sa situation financière, afin de déterminer le montant d’une amende administrative juste et proportionnée, rappelant que cette dernière doit néanmoins présenter un caractère dissuasif.

En troisième lieu, concernant la nécessité de prononcer une injonction, la société considère qu’elle a mis ses pratiques en conformité avec les exigences du RGPD. Elle estime que ces avancées sont démontrées par les réponses qu’elle a apportées au rapport de sanction puis aux observations du rapporteur et que, partant, une injonction n’est pas nécessaire, la conformité étant déjà atteinte.

Comme il a été expliqué précédemment, la formation restreinte considère que la société n’a pas démontré, au jour de la clôture de l’instruction, la conformité du traitement qu’elle met en œuvre aux articles 5-1-c), 12, 13, 14, 21 et 44 du RGPD.

Faute pour la société de s’être mise en conformité sur ces manquements, il y a lieu de prononcer l’injonction proposée.

En quatrième lieu, concernant la publicité de sa décision, la société indique que cette publicité aurait des conséquences dramatiques pour la vie privée des personnes dont les données personnelles sont traitées par la société, puisqu’elle ferait d’elle une cible d’attaques informatiques.

Sur ce point, la formation restreinte relève que la publicité est sans incidence sur la sécurité des données personnelles puisque sa décision ne révèle aucune vulnérabilité qui pourrait être exploitée par des personnes malveillantes.

Au regard des déclarations de la société quant à son positionnement dans son domaine d’intervention, celle-ci affirmant être un acteur majeur de son secteur, la formation restreinte considère que la publicité de la sanction se justifie au regard de l’importance de la problématique de la prospection commerciale, tant par rapport à son ampleur qu’à ses conséquences pratiques pour les personnes démarchées. Elle répond en outre à une attente légitime des personnes ayant fait ou pouvant faire à l’avenir l’objet de prospection commerciale téléphonique de la part de la société ou d’autres acteurs et les alertera sur leurs droits.

Il résulte de tout ce qui précède et de la prise en compte des critères fixés à l’article 83 du RGPD qu’une amende administrative à hauteur de 500 000 euros, une injonction assortie d’une astreinte ainsi qu’une sanction complémentaire de publication pour une durée de deux ans sont justifiées et proportionnées.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

  • prononcer à l’encontre de la société FUTURA INTERNATIONALE une injonction de mettre en conformité le traitement avec les obligations résultant des articles 5 paragraphe 1 point c), 12, 13, 14, 21 et 44 du règlement no 2016/679 du 27 avril 2016 relatif à la protection des données, et en particulier :

- de prendre les mesures permettant d’empêcher de manière effective que des commentaires excessifs ne soient enregistrés dans le logiciel PROGIBOS, par exemple en mettant en place un système de détection automatique des mots inadéquats, non pertinents et excessifs au regard de la finalité du traitement, afin de les exclure des zones de commentaires ou d’en empêcher la saisie ;

- de procéder à l’information des personnes auprès desquelles des données à caractère personnel sont collectées directement et indirectement, dans les conditions prévues aux articles 12, 13 et 14 du règlement général sur la protection des données no 2016/679 du 27 avril 2016, par exemple en informant directement la personne concernée, par l’intermédiaire du service vocal ou du téléopérateur, de l’existence et de la finalité du dispositif ainsi que de son droit d’opposition, et en lui offrant la possibilité d’obtenir communication d’une information complète soit grâce à l’activation d’une touche sur son clavier téléphonique, soit par l’envoi d’un courriel ;

- de mettre en œuvre une procédure permettant d’assurer l’effectivité des droits d’opposition exprimés par les personnes prospectées, cette procédure devant à la fois assurer que l’opposition exprimée auprès des sous-traitants effectuant les campagnes de prospection soit transmise à la société et répercutée auprès des autres sous-traitants, que l’opposition exprimée à la société soit transmise aux sous-traitants effectuant les campagnes de prospection, et d’assurer que les appels effectués par les téléopérateurs sous-traitants ne visent pas de personnes ayant déjà fait part de leur opposition au traitement de leurs données personnelles à des fins de prospection ;

- d’encadrer les relations entre la société et ses sous-traitants procédant aux campagnes de prospection téléphonique par des actes juridiques répondant aux critères posés par les articles 44 à 49 du Règlement et de s’assurer, si la société fait le choix des clauses types de protection des données adoptées par la Commission européenne, que les clauses sont signées par les parties et régies par le droit de l'État membre dans lequel l'exportateur de données est établi, en l’espèce la France ;

  • assortir l’injonction d’une astreinte de 500 (cinq cents) euros par jour de retard à l’issue d’un délai d’1 (un) mois suivant la notification de la présente délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai ;
  • pour les manquements aux articles 5-1-c), 12, 13, 14, 21, 31 et 44, prononcer à l’encontre de la société FUTURA INTERNATIONALE une amende administrative d’un montant de 500 000 (cinq cent mille) euros ;
  • rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

Le président

Alexandre LINDEN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.




Nature de la délibération: SANCTION
Date de la publication sur legifrance: 26 novembre 2019