DEMARCHAGE TELEPHONIQUE ET RGPD

Pour faire supprimer un contenu qui bafoue vos droits, utilisez le service mis en place par le cabinet Murielle-Isabelle CAHEN.

/ Mars 2023 /

Plus connu pour son encadrement des traitements de données à caractère personnel collectés en ligne, le règlement général sur la protection des données du 27 avril 2016 (RGPD) s’applique également à la pratique du démarchage téléphonique.

Par une délibération du 21 novembre 2019, la Commission nationale informatique et liberté (CNIL) a prononcé une sanction financière significative à l’encontre de la société Futura Internationale, laquelle s’est vu reprocher pas moins de cinq manquements au RGPD dans le cadre de ses opérations commerciales.

Besoin de l'aide d'un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

I.             Les dispositions lĂ©gales du domaine du RGPD 

Il est important de savoir Ă  quoi correspond une donnĂ©e personnelle. DĂ©fini Ă  l’article 4 du RGPD, les donnĂ©es Ă  caractère personnel correspondent Ă  toute information relative Ă  une personne physique susceptible d'ĂŞtre identifiĂ©e, directement ou indirectement. Il peut s’agir par exemple d’un nom, une photo, d’une empreinte, d’une adresse postale, une adresse mail, un numĂ©ro de tĂ©lĂ©phone, un numĂ©ro de sĂ©curitĂ© sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc.

Cependant, s'il est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) ou par l'utilisation de moyens techniques divers, d'identifier une personne, les données sont toujours considérées comme personnelles.

Pour procéder au traitement des données, il est nécessaire d’établir une base légale qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de collecter ou d'utiliser des données personnelles. On peut également parler de « fondement juridique » ou de « base juridique » du traitement.

On relève l’existence de six bases lĂ©gales prĂ©vues par l’article 6 du RGPD : le consentement ; le contrat ; l’obligation lĂ©gale ; la sauvegarde des intĂ©rĂŞts vitaux ; l’intĂ©rĂŞt public ; les intĂ©rĂŞts lĂ©gitimes

De plus, la base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de collecter ou d'utiliser des données personnelles. On peut également parler de « fondement juridique » ou de « base juridique » du traitement.

Il existe six bases légales sont prévues par le RGPD : le consentement ; le contrat ; l’obligation légale ; la sauvegarde des intérêts vitaux ; l’intérêt public ; les intérêts légitimes

II. Une mise en demeure manifestement ignorée

Le 21 novembre 2019, la formation restreinte de la Commission nationale de l’informatique et des libertĂ©s a condamnĂ© la sociĂ©tĂ© Futura Internationale Ă  une amende de 500 000 euros en raison de manquements graves et persistants au règlement (UE) 2016/679 du 27 avril 2016 (RGPD) dans le cadre d’opĂ©rations commerciales.

Plus connu pour son encadrement des traitements de données à caractère personnel collectées en ligne, le règlement général sur la protection des données du 27 avril 2016 (RGPD) s’applique également à la pratique du démarchage téléphonique.(1)

Par une dĂ©libĂ©ration du 21 novembre 2019, la Commission nationale informatique et libertĂ© (CNIL) a prononcĂ© une sanction financière significative Ă  l’encontre de la sociĂ©tĂ© Futura Internationale, laquelle s’est vu reprocher pas moins de cinq manquements au RGPD dans le cadre de ses opĂ©rations commerciales.

Futura Internationale est une entreprise spécialisée dans la rénovation énergétique des domiciles de particuliers. Ses activités de prospection commerciale téléphonique sont sous-traitées auprès de centres d’appels pour la plupart situés hors de l’Union européenne.

Futura Internationale est une entreprise spécialisée dans la rénovation énergétique des domiciles de particuliers. Ses activités de prospection commerciale téléphonique sont sous-traitées auprès de centres d’appels pour la plupart situés hors de l’Union européenne.

Dès février 2018, la CNIL est alertée par la plainte d’une personne dénonçant le démarchage téléphonique récurant de la société Futura Internationale alors même que l’intéressée avait, plusieurs mois auparavant, exercé son droit d’opposition à la prospection, oralement puis par courrier adressé au siège de la société .

Le contrôle diligenté par la CNIL a notamment permis de constater que la société ne disposait pas de mécanisme centralisé permettant de prendre en compte les demandes d’opposition formulées par les personnes démarchées (article 21 du RGPD).

La dĂ©lĂ©gation de la CNIL a par ailleurs observĂ© que les donnĂ©es personnelles des personnes dĂ©marchĂ©es Ă©taient associĂ©es Ă  des commentaires excessifs, parfois injurieux ou relatifs Ă  l’état de santĂ© des intĂ©ressĂ©s (article 9 du RGPD).

Des enregistrements de conversations entre téléopérateurs et prospects ont également permis d’établir que les personnes contactées n’étaient pas systématiquement averties de l’enregistrement de l’appel et ne bénéficiaient pas d’une information relative au traitement de leurs données personnelles.

Face à ces différents manquements, la CNIL a mis en demeure Futura Internationale de se mettre en conformité avec le RGPD. Faute de réponse satisfaisante de la part de l’entreprise, une procédure de sanction a été engagée à son encontre sur décision de la présidente de la CNIL.

III. La détermination de la loi applicable

Cette affaire a tout d’abord été l’occasion pour l’autorité de contrôle de rappeler qu’en matière de manquement continu, il convient de tenir compte de la loi applicable lors du dernier état du manquement, en l’espèce le RGPD.

Le contrôle de la CNIL avait débuté sous l’empire de la loi n° 78-17 du 6 janvier 1978, mais les infractions observées constituaient des manquements continus ayant perduré jusqu’à la notification du rapport de sanction, soit postérieurement à l’entrée en vigueur du RGPD. Futura Internationale a d’ailleurs tenté de justifier la persistance de ses manquements en soulignant la difficulté de se conformer à un cadre juridique nouveau dans un temps court.

À cette argumentation, la CNIL n’a pas manqué d’opposer que la plupart des manquements constatés portaient sur des obligations préexistantes dans la loi de 1978.

Il est à noter que la loi n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux, dite loi Naegelen, est venue apporter plusieurs modifications à certaines dispositions du Code de la consommation.(2)

Désormais, le démarchage téléphonique doit répondre à plusieurs critères comme la mise en place d’une charte de bonnes pratiques, un audit de la société Bloctel, la présentation de l’identité de l’appelant ainsi que sa société, la lutte contre la fraude aux numéros surtaxés et un renforcement des sanctions en cas d’entrave aux dispositions du RGPD et du dispositif Bloctel.

En effet, l’article L242-12 du Code de la consommation dispose que : « Tout manquement aux obligations prĂ©vues Ă  l'article L. 221-16 en matière de dĂ©marchage tĂ©lĂ©phonique et de prospection commerciale est passible d'une amende administrative dont le montant ne peut excĂ©der 75 000 € pour une personne physique et 375 000 € pour une personne morale.
Cette amende est prononcée dans les conditions prévues au chapitre II du titre II du livre V. »(3)

IV.Des manquements graves et persistants (RGPD, art. 5-1, c), 12, 13, 14, 21 et 44)

L’intérêt de cette délibération de la CNIL réside également dans la pluralité, le degré et la persistance de manquements intervenant depuis la collecte des données jusqu’à leur traitement :

• À l’expiration du délai imparti par la mise en demeure, Futura Internationale ne justifiait pas de la mise en place d’un mécanisme d’information efficace permettant aux prospects d’être avertis, dès la collecte de leurs données, d’éléments concernant le traitement de ces éléments et leur proposant d’obtenir une information plus détaillée.

La CNIL a souligné que l’envoi d’un courriel à toute personne faisant l’objet d’une prospection téléphonique n’est pas de nature à répondre à l’obligation d’information, car il intervient postérieurement à la collecte. S’agissant des personnes dont les données étaient collectées indirectement, faute de communication dudit courriel, la CNIL n’a pu apprécier le caractère complet de l’information.

Le manquement à l’obligation a donc été constaté par l’autorité administrative indépendante.

• L’instruction a mis à jour que Futura Internationale ne disposait d’aucun dispositif permettant de traiter les demandes d’opposition et de les faire respecter par l’ensemble de ses sous-traitants.

Au terme du délai qui lui avait été imparti pour pallier cette carence, la société ne s’était toujours pas dotée d’un mécanisme suffisamment fiable et susceptible de faire respecter ces demandes au sein des centres d’appels. Le manquement à l’obligation de respecter le droit d’opposition a donc été constaté.

S’agissant de ce droit, la CNIL précise également qu’en matière d’opposition à la prospection téléphonique les informations strictement nécessaires sont les noms, prénoms et numéro de téléphone des intéressés (l’adresse postale étant exclue sauf à démontrer que son indication permet également de matérialiser l’opposition à la prospection par courrier).(4)

• La présence de commentaires injurieux et les informations relatives à l’état de santé des prospects dans le logiciel de gestion des clients ont conduit la CNIL à affirmer que les données personnelles détenues par la société ne répondaient pas aux exigences d’adéquation, de pertinence et de nécessité au regard des finalités pour lesquelles elles sont traitées. Malgré la suppression des commentaires litigieux en cours de procédure et la diffusion d’une information à destination des utilisateurs du logiciel, la CNIL affirme qu’il appartenait à l’entreprise de mettre en place un système contraignant permettant d’éviter la réitération de telles dérives (par exemple par l’instauration d’une revue quotidienne ou le blocage automatique de certains termes).(5)

• S’agissant du transfert des données personnelles vers les sous-traitants situés hors de l’Union européenne, la CNIL a estimé que ces derniers se trouvaient dans des États n’assurant pas un niveau de protection suffisant.

Il appartenait donc à Futura Internationale de mettre en place des garanties adéquates. En l’espèce, la société a souhaité assurer cette protection par les biais des contrats la liant à ses sous-traitants. Or, au cours de l’instruction, les contrats produits ne satisfaisaient pas aux exigences du RGPD.

Lors de la procédure de sanction, il a été observé que les contrats présentés contenaient les clauses types de la Commission européenne.

Toutefois, la CNIL a constaté que le caractère incomplet de ces écrits faisait obstacle à l’existence, entre la société et ses sous-traitants, d’un cadre juridique conforme aux RGPD en matière de transfert de données personnelles hors de l’Union européenne.

• Au cours de la procédure de contrôle et malgré les prorogations de délai qui lui ont été accordées, la société Futura Internationale n’a transmis que très peu d’éléments parmi les documents demandés par la CNIL lesquels étaient indispensables à l’exercice de sa mission.

Le défaut de réponse satisfaisante à la mise en demeure a, selon la formation restreinte, également contribué à caractériser le défaut de coopération avec l’autorité de contrôle.

La CNIL note toutefois qu’un dialogue s’est finalement engagé au cours de la procédure de sanction, mais rappelle à cette occasion que la mise en conformité postérieure au principe du contradictoire, si elle peut être prise en compte par l’autorité de contrôle, notamment dans l’évaluation de la sanction, n’a pas d’incidence sur une absence de coopération constatée antérieurement.

Si le montant de la sanction (500 000 €) peut, Ă  première vue, paraĂ®tre particulièrement Ă©levĂ©, il est indĂ©niable que le dĂ©faut manifeste et persistant de coopĂ©ration de Futura Internationale, l’atteinte portĂ©e aux droits des personnes et le risque qu’elle a fait peser sur les donnĂ©es personnelles des prospects ont convaincu la CNIL de rĂ©primer sĂ©vèrement des manquements dont elle ne manque pas de rappeler la gravitĂ© et une attitude qui traduit selon elle « un dĂ©sintĂ©rĂŞt flagrant » pour la protection des donnĂ©es personnelles (2).

Par ailleurs, la CNIL est venue rappeler que, bien que le démarchage téléphonique soit autorisé, les personnes concernées doivent être au moment de la collecte de leur numéro de téléphone :

«

Elle souligne également l’importance de la simplification de l’exercice du droit d’opposition afin que la personne sollicitée puisse exprimer facilement son refus éventuel. (2)

Il existe en effet une obligation d'informer les personnes sur le traitement de leurs données personnelles et toute exemption applicable.

Le règlement européen sur la protection des données a prévu d’améliorer l’information des personnes et de faciliter l’exercice de leurs droits. Pour faciliter cet accès à l’information, les organismes publics et privés qui mettent vos données au cœur de leur activité (ex. réseau social, hôpital, mairie…) disposent d’un délégué à la protection des données (DPO), un interlocuteur privilégié à contacter pour l’exercice de vos droits ou la remontée de dysfonctionnements.

L’information doit être concise et lisible et facilement accessible. Elle doit être rédigée de la manière la plus claire, précise et simple possible. Avant de collecter vos données, un organisme doit donc faire preuve de transparence et vous permettre de savoir, pourquoi l’organisme collecte vos données ; comment il sera amené à les utiliser ; comment maîtriser vos données et exercer vos droits.Comme le prévoit l’article 13 du RGPD, les organismes qui collectent vos données doivent vous proposer une notice d’information sur la protection de vos données

Un organisme doit vous proposer une notice d’information sur la protection de vos données. Cette page doit être accessible depuis la page d’accueil du site de l’organisme sous un intitulé clair (« politique de confidentialité », « page vie privée », ou « données personnelles »). Celle-ci doit notamment vous informer sur, les coordonnées du délégué à la protection des données de l’organisme, ou d’un point de contact sur les questions liées à la protection des données personnelles ; l’utilisation qui sera faite de vos données ; ce qui autorise l’organisme à traiter ces données ; les tiers qui auront accès aux données ; la durée de conservation de vos données. Les modalités d’accès à vos droits et la possibilité d’introduire une réclamation à la CNIL.

Un organisme peut par erreur ou par négligence subir, de manière accidentelle ou illicite, une violation de données à caractère personnelles, c’est-à-dire la destruction, la perte, l'altération ou la divulgation non autorisée de données vous concernant.

L’organisme doit signaler une violation à la CNIL dans les 72 heures si celle-ci est susceptible de représenter un risque pour vos droits et libertés. Si ces risques sont élevés, l’organisme doit également vous en informer le plus rapidement possible et vous adresser des conseils pour protéger vos données (ex. modification du mot de passe, paramétrage vie privée …)

Vous pouvez vous opposer à tout moment à ce qu’un organisme utilise certaines de vos données. Le droit d’opposition vous permet de vous opposer à ce que vos données soient utilisées par un organisme pour un objectif précis. Vous devez mettre en avant « des raisons tenant à votre situation particulière », sauf en cas de prospection commerciale, auxquelles vous pouvez vous opposer sans motif. Vous pouvez exercer votre demande de droit d’opposition par divers moyens et sans apporter de justificatifs : par voie électronique (formulaire, adresse mail, compte en ligne, etc.), par courrier.

La période de conservation des données personnelles traitées est limitée. Il n'est pas possible de conserver des informations sur des personnes physiques dans un fichier pour une durée indéfinie.

L’organisme doit prouver que des motifs légitimes et impérieux lui imposent de continuer à traiter vos données malgré votre demande ou justifier que vos données sont nécessaires pour la constatation, l’exercice ou la défense de droits en justice. Le droit d’opposition n’est pas un droit à la suppression simple et définitive de toutes vos données ou du compte qui vous est rattaché (article 21 du règlement général sur la protection des données, droit d'opposition).

La période de conservation des données personnelles traitées.

Le principe d'une durée de conservation limitée : il n'est pas possible de conserver des informations sur des personnes physiques dans un fichier pour une durée indéfinie.

Une durée de conservation précise doit être fixée, en fonction du type d'information enregistrée et de la finalité du fichier.

V. De nouvelles mesures françaises pour encadrer le démarchage téléphonique

Depuis cette affaire, l'encadrement des jours, horaires et frĂ©quence des appels tĂ©lĂ©phoniques Ă  des fins de prospection commerciale non-sollicitĂ©e ont Ă©tĂ© prĂ©cisĂ©es par un dĂ©cret en date du 13 octobre 2022. Applicable Ă  partir du 1er Mars 2023, ce dĂ©cret a pour objectif de protĂ©ger la vie privĂ©e des consommateurs et mettre fin au dĂ©marchage tĂ©lĂ©phonique abusif Ă  toute heure. Il fait suite Ă  la loi du 24 juillet 2020 qui vise Ă  encadrer le dĂ©marchage tĂ©lĂ©phonique et Ă  lutter contre les pratiques frauduleuses. (7)

Le démarchage téléphonique des consommateurs pourra avoir lieu uniquement du lundi au vendredi, de 10 heures à 13 heures et de 14 heures à 20 heures. Il ne sera pas autorisé le samedi, le dimanche et les jours fériés. Les consommateurs ne pourront pas être sollicités plus de quatre fois par mois par voie téléphonique à des fins de prospection par le même professionnel ou par une personne agissant pour son compte.

Cet encadrement s'avère protecteur puisqu’il a vocation Ă  s’appliquer aussi bien aux personnes non-inscrites sur la liste d’opposition au dĂ©marchage tĂ©lĂ©phonique Bloctel qu'Ă  celles inscrites, mais sollicitĂ©es dans le cadre d'un contrat en cours. L’entrĂ©e en vigueur de ce dĂ©cret permet de responsabiliser les services de dĂ©marchage tĂ©lĂ©phonique en les soumettant Ă  de nouvelles obligations et dans le mĂŞme temps, d’allĂ©ger la charge des recours qui pèsent sur les personnes dĂ©marchĂ©es pour les faire cesser.

La violation de ces règles est sanctionnée de l'amende administrative prévue à l'article L. 242-16 du code de la consommation (75 000 euros d'amende pour une personne physique et 375 000 euros pour une personne morale).

Pour lire une version mobile de cet article sur le démarchage et le RGPD, cliquez

ARTICLES QUI POURRAIENT VOUS INTÉRESSER :

SOURCES :

(1)                 Règlement EuropĂ©en Ă  la protection des donnĂ©es :
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
(2)                 Article L. 242-12 du Code de la consommation : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000042155944
(3)                 LOI n° 2020-901 du 24 juillet 2020 visant Ă  encadrer le dĂ©marchage tĂ©lĂ©phonique et Ă  lutter contre les appels frauduleux : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000042148119
(4)                 https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-postal-et-appel-telephonique
(5)                 https://www.cnil.fr/fr/zones-bloc-note-et-commentaires-les-bons-reflexes-pour-ne-pas-deraper
(6)                 https://donnees-rgpd.fr/sanction

https://www.economie.gouv.fr/nouvelles-mesures-encadrement-demarchage-telephonique

LOI n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux ;
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000042155944
https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-postal-et-appel-telephonique

retour Ă  la rubrique 'Autres articles'

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle.

Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site.

Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.
| Conditions d'utilisation du site: IDDN | | Contacts | Plan d'accès | English version |
| C G V | Sommaire | Plan | recherche | Internet | Vie des sociétés | Vie quotidienne | Services en ligne | Votre question? |
Nous joindre - Tel : 0143377563
En poursuivant votre navigation sur notre site, vous acceptez le dépôt de cookies qui nous permettront de vous proposer des contenus intéressants, des fonctions de partage vers les réseaux sociaux et d'effectuer des statistiques. Voir notre politique de gestion données personnelles.
Partager
Suivre: Facebook Avocat Paris Linkedin Avocat Paris Tumblr Avocat Paris Twitter Avocat Paris Google+ Avocat Paris App.net portage salarial RSS Valide!
Retour en haut