Démarchage clients et gestion des données personnelles : Canal+ prend une claque de la Cnil

La Cnil sanctionne le groupe Canal+ d’une amende de 600 000 € pour une longue liste de manquements et en particulier pour ne pas avoir respecté ses obligations en matière de prospection commerciale et de droits des personnes.

Déclenchement de contrôles à la suite de plaintes

La Cnil a reçu plusieurs plaintes concernant les difficultés rencontrées par des personnes souhaitant que Canal+ prenne leurs droits en compte. Lors de contrôles, la Cnil a considéré que Canal+ avait manqué à plusieurs obligations prévues par le RGPD et le code des postes et des communications électroniques (CPCE).

Les contrôles ont même permis de constater qu’il y avait eu une violation des données dont Canal+ n’a pas notifié la Cnil (article 33 du RGPD). Certaines données d’abonnés avaient été rendues accessibles à d’autres abonnés pendant une durée de 5 heures, ce qui n’avait pas été notifié à la Cnil.

Les manquements les plus marqués concernent l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (articles L. 34-5 du CPCE et 7 du RGPD). Le groupe Canal+  réalise régulièrement des campagnes de prospection commerciale par voie électronique. Cependant, il n’a pas été en mesure de fournir à la Cnil d’éléments démontrant qu’il avait obtenu au préalable un consentement valable des personnes.

Les formulaires de collecte n’indiquent pas le destinataire de ces données

Lors des contrôles, Canal+ a fourni à la Cnil deux exemples de formulaires types de collecte de données des prospects qui sont conçus par les prestataires de collecte de données auxquels Canal+ fait appel La Cnil a analysé ces formulaires. Elle a constaté qu’ils ne comportent aucune information sur l’identité des destinataires auxquels les données vont être transmises. Or, la Cnil rappelle que pour que le consentement d’une personne soit considéré comme éclairé et valable, la liste des partenaires destinataires de ses données doit être tenue à sa disposition au moment où l’on recueille son consentement.

De plus, la Cnil considère que les mesures de Canal+ sont insuffisantes quand il s’agit de s’assurer que ses fournisseurs de données ont recueilli le consentement des personnes de manière valable avant que les personnes ne soient démarchées. D’autre part, les vérifications effectuées par la Cnil ont mis en évidence d’autres manquements. Cela concerne un manquement à l’obligation d’information des personnes lors de la création d’un compte sur MyCanal.

La politique de confidentialité à laquelle renvoyait le formulaire de collecte lors de la création du compte était imprécise sur les durées de conservation (article 13 du RGPD). Autre manquement, lors du démarchage téléphonique, le prestataire de la société en charge de la prospection téléphonique ne fournissait pas systématiquement toutes les informations exigées par le RGPD. Canal+ n’a pas non plus répondu à certains plaignants dans le délai d’un mois prévu par les textes (article 12 du RGPD). La Cnil relève que Canal+ n’a pas fait suite à certaines demandes d’accès des personnes à leurs données (article 15 du RGPD).

Absence de certaines mentions requises par le RGPD

Canal+ se voit aussi sanctionné pour manquement à l’obligation d’encadrer les traitements effectués par un sous-traitant par un contrat (article 28.3 du RGPD). Lors des contrôles, la Cnil a constaté qu’un contrat de sous-traitance ne comportait pas toutes les mentions requises par le RGPD. Enfin, la Cnil estime que Canal+ ne sécurise pas assez les données personnelles (article 32 du RGPD) car le stockage des mots de passe des employés de la société n’était pas suffisamment sécurisé.