La Cnil durcit le ton en ce qui concerne les pratiques de démarchage commercial grâce à internet. La Cnil sanctionne de 20 000 € d’amende la société Nestor, spécialisée dans la livraison de repas aux employés de bureau. La Cnil indique avoir tenu compte des difficultés financières de Nestor à cause de la crise sanitaire de la Covid-19.
Envoi d’emails de prospection non sollicités
Il est reproché à Nestor d’avoir adressé des e-mails de prospection sans avoir préalablement recueilli le consentement des prospects. Nestor a également manqué à des obligations du RGPD en matière d’information et de respect des droits des personnes.
La Cnil s’est intéressée à Nestor après avoir reçu plusieurs plaintes
La Cnil dénombre 653 033 prospects qui ont reçu depuis 2017 des emails de la part de Nestor sans y avoir consenti. Il s’agissait de personnes qui soit avaient créé un compte sur le site ou l’application de Nestor sans avoir passé commande ou dont les données avaient été collectées sur internet. La Cnil indique que dans ce cas, ces actions de prospection commerciale sont concernées par l’article L. 34-5 du CPCE, qui prévoit que de telles opérations sont soumises au consentement préalable des personnes concernées.
Les données collectées à supprimer
En l’absence de consentement, la Cnil considère que la société méconnaissait ses obligations et que l’ensemble des données ainsi collectées devaient être supprimées. Durant la procédure de la Cnil, la société Nestor a modifié ses pratiques. Elle a cessé de collecter des données sur internet. Et lors de la création d’un compte sur son site web et sur son application, elle recueille le consentement à l’envoi d’e-mails de prospection.
La politique de confidentialité des données du site web était incomplète
La société Nestor a mis en place des mesures pour se mettre en conformité avec le RGPD au cours de la procédure. Enfin, la société a manqué à son obligation de fournir une copie des données personnelles qu’elle détenait ainsi qu’une information relative à la source de ces données à 2 personnes l’ayant sollicitée, en répondant partiellement à leurs demandes. Il s’agit d’un manquement à l’obligation de respecter le droit d’accès des personnes (article 15 du RGPD).
Informer pleinement ces 2 personnes
La Cnil a enjoint à la société de satisfaire pleinement aux demandes de ces 2 personnes. Par ailleurs, la société Nestor n’imposait pas l’utilisation d’un mot de passe robuste lors de la création d’un compte sur son site web ou sur son application mobile. Il s’agit d’un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD). La société a pris des mesures au cours de la procédure concernant ce point.
La Cnil a enjoint à la société Nestor de mettre ses traitements en conformité avec le CPCE et le RGPD et d’en justifier sous un délai de 3 mois à compter de la notification de la délibération, sous astreinte de 500 € par jour de retard.