Prospection par e-mail : Nestor, spécialiste de la livraison de repas au bureau, sanctionné par la Cnil

Nestor délivre des repas au bureau [Photo Nestor]

La Cnil durcit le ton en ce qui concerne les pratiques de démarchage commercial grâce à internet. La Cnil sanctionne de 20 000 € d’amende la société Nestor, spécialisée dans la livraison de repas aux employés de bureau. La Cnil indique avoir tenu compte des difficultés financières de Nestor à cause de la crise sanitaire de la Covid-19.

Envoi d’emails de prospection non sollicités

Il est reproché à Nestor d’avoir adressé des e-mails de prospection sans avoir préalablement recueilli le consentement des prospects. Nestor a également manqué à des obligations du RGPD en matière d’information et de respect des droits des personnes.

La Cnil s’est intéressée à Nestor après avoir reçu plusieurs plaintes

La Cnil s’est intéressée à Nestor après avoir reçu plusieurs plaintes. Elle a effectué des contrôles en mai 2019 et en février 2020. Il est reproché à Nestor de manquer à l’obligation de recueillir le consentement des personnes lors d’une prospection par e-mail (article L. 34-5 du CPCE, le Code des postes et des communications électroniques).

La Cnil dénombre 653 033 prospects qui ont reçu depuis 2017 des emails de la part de Nestor sans y avoir consenti. Il s’agissait de personnes qui soit avaient créé un compte sur le site ou l’application de Nestor sans avoir passé commande ou dont les données avaient été collectées sur internet. La Cnil indique que dans ce cas, ces actions de prospection commerciale sont concernées par l’article L. 34-5 du CPCE, qui prévoit que de telles opérations sont soumises au consentement préalable des personnes concernées.

Les données collectées à supprimer

En l’absence de consentement, la Cnil considère que la société méconnaissait ses obligations et que l’ensemble des données ainsi collectées devaient être supprimées. Durant la procédure de la Cnil, la société Nestor a modifié ses pratiques. Elle a cessé de collecter des données sur internet. Et lors de la création d’un compte sur son site web et sur son application, elle recueille le consentement à l’envoi d’e-mails de prospection.

La politique de confidentialité des données du site web était incomplète

Par ailleurs, le formulaire de collecte des données personnelles permettant de s’inscrire sur le site web de la société ne comportait pas l’ensemble des informations exigées par le RGPD et ne renvoyait pas non plus vers une page dédiée qui aurait contenu les informations manquantes. La politique de confidentialité des données du site web était également incomplète, trop générale et imprécise. Aucune information relative à la protection des données personnelles n’était fournie aux personnes créant un compte sur l’application mobile. Il s’agit d’un manquement à l’obligation d’information des personnes (articles 12 et 13 du RGPD).

La société Nestor a mis en place des mesures pour se mettre en conformité avec le RGPD au cours de la procédure. Enfin, la société a manqué à son obligation de fournir une copie des données personnelles qu’elle détenait ainsi qu’une information relative à la source de ces données à 2 personnes l’ayant sollicitée, en répondant partiellement à leurs demandes. Il s’agit d’un manquement à l’obligation de respecter le droit d’accès des personnes (article 15 du RGPD).

Informer pleinement ces 2 personnes

La Cnil a enjoint à la société de satisfaire pleinement aux demandes de ces 2 personnes. Par ailleurs, la société Nestor n’imposait pas l’utilisation d’un mot de passe robuste lors de la création d’un compte sur son site web ou sur son application mobile. Il s’agit d’un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD). La société a pris des mesures au cours de la procédure concernant ce point.

La Cnil a enjoint à la société Nestor de mettre ses traitements en conformité avec le CPCE et le RGPD et d’en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500 € par jour de retard.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *




L'événement digital

Chanel veut gagner en efficacité grâce à l’IA générative sans perdre son identité
Nicolas Gauthier, Fashion Chief Information Officer and Tech innovation de Chanel,, 27 novembre

Chanel veut gagner en efficacité grâce à l’IA générative sans perdre son identité

Beaucoup de raisons poussent la Maison Chanel à ne pas employer l’IA générative. Pour autant, la prestigieuse marque cherche à …