Délibération 2011-384 du 12 janvier 2012

Commission Nationale de l’Informatique et des Libertés

  • Nature de la délibération : Sanction
  • Etat juridique : En vigueur
  • Date de publication sur Légifrance : Mardi 13 décembre 2016
Délibération n°2011-384 de la formation restreinte du 12 janvier 2012 prononçant une sanction pécuniaire à l’encontre de la société X

La formation restreinte de la Commission nationale de l'informatique et des libertés, réunie sous la présidence de Mme Claire DAVAL ;

Etant aussi présents MM. Jean-Marie COTTERET, Jean-François CARREZ, Dominique RICHARD et Sébastien HUYGHE, membres ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, notamment ses articles 45 et 46 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;

Vu la délibération n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la délibération n° 2010-306 du 15 juillet 2010 portant mise en demeure à l'encontre de la société X ;

Vu la décision n° 2010-059C du 19 février 2010 du Président de la Commission nationale de l'informatique et des libertés ordonnant une mission de vérification auprès de la société X ;

Vu le rapport de M. Bernard PEYRAT, commissaire rapporteur, notifié par lettre recommandée avec accusé de réception à la société X le 27 octobre 2011 ;

Vu les autres pièces du dossier ;

Après avoir entendu, lors de sa séance du 1er décembre 2011 :

- M. Bernard PEYRAT, commissaire, en son rapport ;

- Mme POZZO DI BORGO, Commissaire adjointe du gouvernement, en ses observations ;

M. xxxxxx, directeur de la société, n'ayant pas réagi à la réception du rapport lui ayant été notifié par lettre recommandée avec accusé de réception, le 27 octobre 2011, et ne s'étant pas présenté à l'audience du 1er décembre 2011 ;

A adopté la décision suivante :

I. FAITS ET PROCEDURE

La société X (ci-après la société), qui exerce son activité sous l'enseigne commerciale Y, réalise des diagnostics immobiliers auprès de propriétaires de biens à la vente.

En 2009, les services de la Commission nationale de l'informatique et des libertés (ci-après la CNIL ou la Commission) ont été saisis par quatre plaignants ayant été démarchés par la société, via l'envoi de SMS sur leurs téléphones portables, alors qu'ils n'avaient jamais consenti à recevoir de la prospection commerciale par voie électronique. Avant de saisir la Commission chacun des plaignants a maintes fois tenté d'être radié des listes de prospects de la société, sans jamais y parvenir.

L'instruction de ces plaintes a conduit le président de la Commission à ordonner une mission de contrôle dans les locaux de la société, le 19 février 2010.

Au vu du sérieux des faits relatés dans les plaintes susmentionnées, et sur la foi des constats effectués lors de ce contrôle, le Président de la Commission a, le 15 juillet 2010, mis la société en demeure de mettre un terme aux divers manquements relevés, à savoir :

- veiller à recueillir le consentement préalable des destinataires de messages de prospection dans les conditions prévues à l'article L. 34-5 du Code des Postes et des Communications Electroniques (CPCE), et, à défaut de consentement préalable, de cesser ce type de prospection ;

- supprimer les données à caractère personnel obtenues sans le consentement des personnes ;

- procéder, dans l'hypothèse où le consentement préalable des personnes démarchées par SMS aurait été obtenu par la société, à l'information des droits dont elles disposent en vertu de l'article 32 de la loi du 6 janvier 1978 modifiée, en intégrant les mentions d'information dans le texte du SMS ;

- procéder à l'information des personnes dont les données sont collectées sur le site internet [...], quant aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, en intégrant les mentions prévues à l'article précité sur le support de la collecte ;

- dans l'hypothèse où le consentement préalable des personnes démarchées par SMS aurait été obtenu par la société, prendre toutes mesures de nature à garantir qu'il soit tenu compte, de manière efficace, systématique et sans frais, du droit d'opposition exercé par les prospects, en application de l'article 38 de la loi du 6 janvier 1978 et de l'article L. 34-5 du CPCE ;

- mettre en place une politique de sécurité, et en particulier veiller à sécuriser les échanges de fichiers contenant des données à caractère personnel, en provenance des sociétés de piges et à destination des prestataires de service chargés de l'envoi des SMS ;

- justifier auprès de la CNIL que l'ensemble des demandes précitées a bien été respecté, et ce dans un délai de deux mois.

Cette mise en demeure a été notifiée à la société le 23 juillet 2010 par courrier recommandé avec accusé de réception et reçue le 26 juillet suivant par la société.

La société n'ayant pas répondu à cette mise en demeure, un courrier de relance lui a été adressé le 26 mai 2011. La société a répondu à ce courrier en indiquant avoir mis en œuvre des procédés conformes aux préconisations de la Commission et à la réglementation en la matière.

Toutefois, estimant que les réponses apportées par la société dans ce courrier ne répondaient pas aux exigences posées dans la mise en demeure, le Président de la Commission a décidé d'initier des poursuites à l'encontre de l'association sur le fondement du I de l'article 45 de la loi du 6 janvier 1978.

Dans le cadre de cette procédure, le rapport de Monsieur Bernard PEYRAT, membre de la CNIL, rapporteur, proposant à la formation restreinte de la Commission de prononcer à l'encontre de la société une sanction pécuniaire de 20 000 euros, a été notifié à son directeur par lettre recommandée avec accusé de réception, le 27 octobre 2011.

La société n'a formulé aucune observation écrite à la réception de ce rapport, et ne s'est pas présenté le jour de l'audience.

II. MOTIFS DE LA DECISION

1. Sur le manquement à l'obligation de respecter les dispositions de l'article L. 34-5 du code des postes et des communications électroniques

- L'article L. 34-5 du Code des postes et communications électroniques (CPCE) interdit la prospection directe au moyen de systèmes automatisés d'appel ou de communication, d'un télécopieur ou de courriers électroniques utilisant les coordonnées d'une personne physique, abonné ou utilisateur, qui n'a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen.

En application de ces dispositions, la prospection commerciale par SMS n'est possible qu'à la condition que les personnes contactées aient explicitement donné leur accord pour être démarchées, au moment de la collecte de leur numéro de téléphone.

- En l'espèce, la formation restreinte constate que les coordonnées des propriétaires contactés par la société par SMS sont issues des fichiers achetés auprès de sociétés spécialisées dans la pige immobilière. Celles-ci captent ainsi des annonces immobilières diffusées sur des sites destinés à des particuliers sur internet, puis envoient les données ainsi recueillies (numéro de téléphone et adresse électronique de l'annonceur, adresse du bien immobilier) sous la forme de fichier électronique, envoyé par courriel au gérant de la société.

Or, le premier alinéa de l'article L. 34-5 du CPCE incrimine non pas la collecte ou la revente desdites données, mais le fait de faire de la prospection en utilisant des coordonnées d'une personne qui n'a pas exprimé son consentement.

Il appartenait donc à la société de veiller à n'acheter auprès de ses partenaires que des fichiers dits opt-in , c'est-à-dire comportant les coordonnées de personnes ayant expressément et préalablement consenti à recevoir de la prospection commerciale.

De ce fait, il est inopérant de soutenir que la manifestation de consentement prévue à l'article L. 34-5 du CPCE doit s'apprécier à la date à laquelle les données à caractère personnel sont recueillies, aux fins de transférer la responsabilité qui incombe à la société aux entreprises spécialisées dans la pige immobilière auprès desquelles elle s'est procurée les fichiers litigieux, et qui ont collecté les données sans recueillir le consentement des personnes intéressées.

- Par ailleurs, la formation restreinte estime que la société ne peut utilement soutenir que les sociétés de pige immobilière étant opérationnelles depuis de nombreuses années, elle était fondée à croire que ces sociétés lui vendaient des fichiers sur lesquels elles possédaient l'intégralité des droits.

Elle relève, tout au contraire, qu'elle a récemment prononcé deux sanctions à l'encontre de deux sociétés opérant sur le secteur de la pige immobilière (délibération n° 2009-148 du 26 février 2009 prononçant une sanction pécuniaire à l'encontre de la société Z ; délibération n°2011-193 du 28 juin 2011 prononçant une sanction pécuniaire de 10 000 euros à l'encontre de la société P), et que ces deux délibérations ont été largement relayées dans le milieu professionnel concerné. La société ne saurait donc légitimement se défendre en invoquant son ignorance en la matière.

- Enfin, la formation restreinte relève qu'au moins un des contrats liant la société à une des entreprises de pige immobilière concernée stipule expressément que les données mises à la disposition de la société dans cette affaire ne devaient être utilisées qu'aux fins de prospection commerciale par téléphone. En effet, ce mode de prospection ne rentrant pas dans le champ d'application de l'article L. 34-5 du CPCE, il ne nécessite pas l'achat de fichiers opt-in, contrairement à la prospection par SMS.

De ce fait, elle constate que c'est en outre au mépris de cette clause que la société a envoyé des centaines de milliers de SMS à des personnes n'ayant jamais consenti à les recevoir.

- Au vu de ce qui précède, la formation restreinte constate que la société n'a apporté aucun élément de nature à établir qu'elle recueille le consentement préalable des destinataires de messages de prospection dans les conditions prévues à l'article L. 34-5 du CPCE, ou, qu'à défaut, elle a cessé ce type de prospection.

Dans ces conditions, il est établi que la société, outre qu'elle a violé les dispositions susvisées du Code des postes et communications électroniques, n'a pas davantage satisfait aux exigences de la mise en demeure sur ce point.

2. Sur le manquement à l'obligation de respecter le droit d'information des personnes

- Le I de l'article 32 de la loi du 6 janvier 1978 modifiée prévoit que le responsable de traitement doit fournir à la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant des informations sur l'identité du responsable du traitement, la finalité de ce traitement, le caractère obligatoire ou facultatif des réponses, les destinataires, les droits d'accès, de rectification et, le cas échéant, d'opposition aux données les concernant ainsi que des transferts de données envisagés à destination d'un Etat non-membre de la Communauté européenne.

- En l'espèce, il appartenait donc à la société de communiquer aux personnes contactées par SMS l'ensemble des éléments pertinents de cette disposition.

Or, la formation restreinte constate que tel n'a pas été le cas, ni avant, ni après la notification de la mise en demeure adoptée par la formation restreinte de la Commission le 15 juillet 2010.

En effet, seul le droit d'opposition est mentionné dans le texte de ces messages, par l'intermédiaire du mot stop , suivi d'un numéro de téléphone, ce qui ne saurait être considéré comme une mention satisfaisante au regard des exigences de la loi. En outre, les messages ne contiennent aucune des autres mentions obligatoires prévues par l'article 32 de la loi du 6 janvier 1978 modifiée.

Sur ce point, la société ne peut soutenir en guise de défense qu'il est impossible d'intégrer l'ensemble des mentions d'information dans le corps des SMS de prospection.

En effet, outre que l'information des personnes est une obligation légale dont elle ne saurait être dispensée du seul fait qu'elle a fait le choix de démarcher ses prospects par SMS, nombre de sociétés démarchant leurs prospects par le même vecteur incluent aujourd'hui les mentions requises par l'article 32 de la loi de 1978 dans le contenu de leurs messages. A l'instar des pratiques établies, la société pourrait donc parfaitement envoyer des messages plus longs, voire deux messages à chaque prospect, dont l'un contenant les mentions requises.

- Au vu de ce qui précède, la formation restreinte constate que la société n'a aucunement établi qu'elle avait mis en œuvre des mesures de nature à respecter le droit des personnes de s'opposer à la réception de SMS de prospection commerciale, tel que garanti par l'article 38 de la loi du 6 janvier 1978 modifiée.

Dans ces conditions, la société n'a pas satisfait aux exigences de la mise en demeure sur ce point.

3. Sur le manquement à l'obligation de respecter le droit d'opposition

- Les alinéas 1er et 2ème de l'article 38 de la loi n° 78-17 du 6 janvier 1978 modifiée disposent que toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement (...) ; elle a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur.

- En l'espèce, il appartenait donc à la société de mettre en œuvre un dispositif visant à prendre en compte les demandes d'opposition à toute prospection formées par les personnes démarchées, de manière efficace et gratuite.

Or, aucun des trois modes d'exercice du droit d'opposition des personnes ne répondait aux prescriptions légales applicables.

En effet, d'une part, la société ne permettait à ses prospects de s'opposer au démarchage que par l'envoi d'un SMS adressé au numéro mentionné dans le message ou par contact téléphonique, l'un et l'autre procédé étant payants.

D'autre part, si ces personnes disposaient également de la possibilité de s'opposer par le biais d'un formulaire sur le site Internet de la société, cette faculté n'était que théorique, puisqu'elle n'était pas mentionnée dans les SMS de prospection diffusés par la société.

En outre, la formation restreinte relève qu'au jour du contrôle diligenté par les services de la Commission, les coordonnées d'un plaignant figuraient toujours dans la base de données de la société, malgré sept demandes d'opposition de sa part, et que ce ne fut qu'en présence de la délégation que les coordonnées avaient pu être insérées dans la base de données relative aux oppositions.

Le dispositif d'opposition mis en œuvre par la société ne répondait donc en aucune manière aux exigences de gratuité et d'effectivité requises par les normes en vigueur.

Afin de satisfaire à ces exigences, la société s'était engagée à étudier la possibilité avec son prestataire d'aménager la faculté d'exercer ce droit d'opposition à des conditions financières autres que rédhibitoires.

A ce jour, toutefois, la formation restreinte constate qu'elle ne lui a toujours pas précisé si le contrat qui la lie à son prestataire a été modifié de manière à ce que le droit d'opposition soit désormais effectif.

De même, les informations communiquées par la société ne permettent pas d'établir si la mise en place d'un dispositif d'opposition par appel d'un numéro vert, évoquée par celle-ci, est aujourd'hui effective, ni davantage si les prospects sont informés de ce nouveau vecteur d'exercice de leur droit d'opposition dans les messages de prospection.

Dans ces conditions, la formation restreinte constate que la société n'a pas satisfait aux exigences de la mise en demeure sur ce point.

4. Sur les manquements constatés et la publicité de la décision

Il est acquis que la société a retiré un avantage organisationnel des manquements constatés, en l'absence de mesures appropriées prises pour assurer en amont le recueil du consentement des personnes à l'usage de leurs coordonnées pour de la prospection commerciale par SMS, ainsi que leur information sur les droits leur étant garantis par la loi, et en aval le respect de leur droit d'opposition.

Elle s'est en outre abstenue de déférer aux termes de la mise en demeure.

En conséquence, eu égard à la persistance des manquements constatés dans la mise en demeure préalablement prononcée le 15 juillet 2010, notamment les manquements aux articles 32 et 38 de la loi du 6 janvier 1978 modifiée, ainsi qu'à l'article L. 34-5 du Code des Postes et des Communications Electroniques, la société X verra prononcer à son encontre une sanction pécuniaire d'un montant de 20 000 (vingt-mille) euros.

Enfin, la formation restreinte, eu égard à la nature et à la gravité des manquements commis, décide de rendre publique sa délibération.

PAR CES MOTIFS

Conformément aux articles 45 et suivants de la loi du 6 janvier 1978 modifiée, la formation restreinte de la CNIL, après en avoir délibéré :

- prononce une sanction pécuniaire de 20.000 euros (vingt mille euros) à l'encontre de la société X ;

- ordonne la publication de sa décision sur le site internet de la Commission et sur le site Internet Légifrance.

La Présidente

Claire DAVAL

Retourner en haut de la page