Toute société qui organisation une opération de prospection commerciale doit être en mesure de prouver l’existence du consentement valable des personnes prospectées. En matière de prospection commerciale, prévoyez une garantie d’éviction à la charge de vos prestataires de prospection. L’absence de consentement préalable des personnes sollicitées par email vient de donner lieu à une nouvelle sanction de la CNIL : la société PERFORMECLIC a écopé d’une amende de 7 300 euros.
Affaire PERFORMECLIC
La société avait adressé des courriels de prospection commerciale sans preuve du consentement préalable des personnes et sans information satisfaisante. La société PERFOMECLIC est une très petite entreprise (TPE) qui emploie deux salariés et a pour activité l’envoi de prospection commerciale par courrier électronique pour le compte d’annonceurs.
L’association SIGNAL SPAM, qui reçoit des signalements d’internautes au sujet de courriels non sollicités, a informé la CNIL que la société PERFORMECLIC apparaît régulièrement en tête du classement des sociétés émettant le plus de messages signalés comme « spam » par les internautes sur le territoire français.
La CNIL, qui a effectué des contrôles, a effectivement constaté des manquements concernant les données des personnes prospectées.
Consentement préalable défaillant
La CNIL a retenu un manquement à l’obligation de recueillir le consentement des personnes avant l’envoi de courriels de prospection, en application de l’article L. 34-5 du CPCE, dans la mesure où la société n’était pas en mesure de prouver l’existence d’un consentement valable des personnes prospectées.
Manquement au principe de minimisation des données
Dans la mesure où la société conservait des données non nécessaires à l’envoi de la prospection commerciale électronique, en l’occurrence le numéro de téléphone des prospects, la CNIL a retenu un manquement au principe de minimisation des données (article 5.1.c du RGPD).
La société conservant des données de prospects pendant une durée excessive, à savoir plus trois ans à compter de la simple ouverture des courriels de prospection, sans une autre action de la part des personnes concernées (par exemple sans clic sur un des liens présents dans les courriels de prospection), un manquement en matière de durée de conservation des données (article 5.1.e du RGPD) a aussi été retenu.
Droit d’opposition non respecté
La société ne permettait pas non plus aux personnes démarchées de s’opposer de manière effective à l’utilisation de leurs données. La violation de l’obligation d’informer correctement les personnes (article 14 du RGPD) et de leur droit d’opposition (article 21 du RGPD) était donc constituée.
Contrat d’hébergement
La CNIL a relevé un manquement à l’encadrement contractuel des relations avec un sous-traitant (article 28 du RGPD), en raison de l’absence de clauses obligatoires dans le contrat conclu entre la société et son prestataire d’hébergement.
