La société Indexia (ex-SFAM) fait encore les gros titres, cette fois-ci pour les pratiques de sa filiale Foriou. Celle-ci vient d’être sanctionnée par la Cnil d’une amende de 310 000 € en raison de sa violation du règlement général sur la protection des données (le fameux RGPD).
La société Foriou a recours au démarchage téléphonique pour promouvoir ses produits. Mais c’est la façon dont les coordonnées des personnes démarchées ont été récoltées pose problème. La Cnil constate que la filiale d’Indexia achète ses données personnelles auprès de courtiers en données qui, eux-mêmes, récoltent ces données à l’aide de formulaires de participation à des jeux-concours ou à des tests de produits en ligne.
Mais la façon dont ces formulaires sont bâtis est trompeuse selon la Cnil. En effet, le bouton qui permet de valider le formulaire en consentant à l’utilisation de ses données personnelles pour de la prospection est largement mis en valeur, contrairement au bouton qui permet de continuer sans autoriser l’utilisation de ses données personnelles qui, lui, n’est qu’un minuscule lien hypertexte. La Cnil rappelle notamment la jurisprudence de la Cour de justice de l’Union européenne (CJUE) et du Conseil d’Etat qui exige, d’une part, que le “consentement [soit] ” indubitablement ” donné par la personne concernée“, et d’autre part que “le consentement libre, spécifique, éclairé et univoque ne peut qu’être un consentement exprès de l’utilisateur, donné en toute connaissance de cause et après une information adéquate sur l’usage qui sera fait de ses données personnelles“.
Par ailleurs, la Cnil constate que ni Foriou, ni le groupe Indexia, n’ont la preuve qu’ils ont vérifié la source des données personnelles transmises par les courtiers en vue de la prospection téléphonique. En outre, les pratiques des courtiers fournisseurs de données personnelles n’ont pas davantage été contrôlées par Foriou une fois les relations contractuelles installées. La filiale d’Indexia n’a donc pas fait le nécessaire pour s’assurer de la validité du consentement des personnes dont les données personnelles ont été recueillies par les courtiers.
Partant de là, la Cnil estime que Foriou a dérogé à l’article 6 du RGPD, lequel soumet la licéité d’un traitement de données à caractère personnel notamment au consentement par la personne au traitement de ses données pour une ou plusieurs finalités spécifiques. Une mande de 310 000 € est donc prononcée sur ce fondement.
1 commentaire