CNIL, 8 décembre 2020 (SAN-2020-018)
Faits et procédure : La société de préparation et livraison de repas NESTOR a fait l’objet
d’une enquête de la CNIL sur son site internet et dans ses locaux, entre novembre 2018 et
janvier 2019, qui avait été saisie de plusieurs plaintes de personnes non-clientes ayant reçu
des courriels prospectifs sans avoir donné leur consentement au préalable.
Solution :
La CNIL reproche à Nestor :
- d’avoir reconstitué les adresses mails des prospects à partir de l’adresse électronique
de leur entreprise, et des données diffusées sur le réseau social professionnel de leur société ;
- de ne pas avoir recueilli le consentement préalable des prospects au sens de l’article L34-5 du code des postes et des communications électroniques (CPCE) ;
- de ne pas avoir respecté le droit d’accès des personnes en refusant de mettre à disposition une mention d’information, accessible et complète, au sens des articles 12 et 13 du RGPD ;
- de ne pas avoir donné suite de manière satisfaisante et dans les délais prescrits par le RGPD aux demandes formulées par les prospects de se voir retiré de la liste ;
- d’avoir fait fi de l’obligation de sécurité des données personnelles dont elle était débitrice en acceptant que le mot de passe des utilisateurs soit composé d’un seul caractère.
La société Nestor a ainsi été condamnée par la CNIL au paiement d’une amende de 20 000
€, avec injonction de se mettre en conformité concernant les traitements de données
litigieux, et ce sous astreinte de 500€ par jour de retard.
Appréciation : la CNIL démontre ici qu’elle porte une attention toute particulière au respect
des règlementations édictées par le RGPD. Elle contrôle (et sanctionne) les atteintes au
défaut de consentement préalable des prospects, peu important la taille des groupes, la
société Nestor comptant 74 employés.
Comments