La Commission nationale de l'informatique et des libertés (CNIL) a infligé une amende de 600 000 euros au groupe Canal+ pour des manquements en matière de prospection commerciale et de protection des données personnelles.
La CNIL a notamment relevé que Canal+ avait envoyé des messages électroniques à des personnes qui ne s’étaient pas inscrites à ses newsletters, ou qui avaient déjà refusé de recevoir des offres commerciales. Le groupe avait également utilisé des données personnelles pour des finalités non prévues, comme la vente de produits ou services à des tiers.
En outre, Canal+ n’avait pas mis en place de mesures de sécurité suffisantes pour protéger les données personnelles de ses clients. La CNIL a ainsi constaté que des données personnelles avaient été accessibles à des personnes non autorisées.
Canal+ a pris des mesures correctives depuis sa mise en demeure par la CNIL. L’entreprise a notamment mis en place un nouveau processus de prospection commerciale et renforcé ses mesures de sécurité.
Voici les manquements spécifiques relevés par la CNIL :
- Envoi de messages électroniques à des personnes qui ne s’étaient pas inscrites à des newsletters ou qui avaient déjà refusé de recevoir des offres commerciale,
- Utilisation de données personnelles pour des finalités non prévues, comme la vente de produits ou services à des tiers,
- Absence de mesures de sécurité suffisantes pour protéger les données personnelles des clients.
La sanction infligée au groupe Canal+ par la CNIL est un exemple illustrant l’importance de la conformité au RGPD (Règlement Général sur la Protection des Données) et comment la plateforme Data Comply One (ex Mission RGPD) aurait pu contribuer à éviter ces sanctions en fournissant des solutions spécifiques à chaque manquement.
L'ORIGINE DU CONTRÔLE
Plusieurs plaintes et signalements de personnes inquiètes de la prise en compte de leurs droits ont déclenché le contrôle. En rappel, 43 % des contrôles CNIL en 2022 proviennent de plaintes et signalements.
LE TYPE DU CONTRÔLE
Il s’agissait d’un contrôle en ligne du site web, ce qui signifie que si le site web de Canal+ avait été en conformité, cela aurait pu éviter certaines complications supplémentaires. Grâce à Data Comply One (ex Mission RGPD), ils auraient pu vérifier la conformité de leur site web et mettre en avant leur engagement en la matière avec, par exemple, le Visa RGPD.
LES RAISONS DE LA SANCTION
La CNIL a relevé plusieurs manquements au RGPD, notamment dans les articles suivants :
Article 7 – Consentement & Prospection : Canal+ n’a pas recueilli le consentement des personnes pour recevoir des prospections commerciales par e-mail (B2C). La solution de Data Comply One (ex Mission RGPD), la fonctionnalité Cookies et Consentements, aurait pu les aider à respecter cette obligation.
Article 13/14 – Information des personnes : Ils ont manqué à l’obligation d’informer correctement les personnes, avec une politique de confidentialité incomplète. Data Comply One (ex Mission RGPD) offre des solutions pour remédier à cela, notamment la fonctionnalité SOS Durée de conservation et les Ressources juridiques et Templates.
Article 12/15 – Droits des personnes : Il y a eu des manquements à l’obligation de respecter le droit d’accès des personnes, avec des réponses insuffisantes à certaines demandes. Data Comply One (ex Mission RGPD) propose des fonctionnalités telles que Droits des personnes, Identification automatique des données et Suppression automatique des données pour aider à respecter ces droits.
Article 28 – Sous-traitance : Il y a eu un manquement à l’obligation d’encadrer par un contrat les traitements de données effectués par un sous-traitant. Data Comply One (ex Mission RGPD) offre des outils pour gérer les sous-traitants, y compris l’Audit des sous-traitants et des ressources juridiques et modèles de contrats.
Article 32 – Sécurité des données : Le stockage des mots de passe des employés de Canal+ n’était pas suffisamment sécurisé, ce qui a résulté en un manquement à l’obligation d’assurer la sécurité des données personnelles. Data Comply One (ex Mission RGPD) propose un Audit pour s’assurer de la conformité et un Diagnostic Cybersécurité par Visiativ pour aller plus loin.
Article 33 – Notification de violation de données : Il y a eu un manquement à l’obligation de notifier à la CNIL une violation de données. Data Comply One (ex Mission RGPD) dispose de la fonctionnalité Incidents & Violation de données pour gérer ces situations.
La solution Data Comply One (ex Mission RGPD)
Data Comply One (ex Mission RGPD) a la solution pour éviter chaque manquements au RGPD énoncés précédemment.
Avec Data Comply One (ex Mission RGPD), le Groupe Canal + aurait pu se préparer à un contrôle de la CNIL grâce à une fiche pratique dédiée à ce sujet et à des simulations de contrôles réalisées au cours de l’accompagnement expert.
En résumé, Data Comply One (ex Mission RGPD) est une solution tout-en-un qui regroupe tous les outils nécessaires pour garantir la conformité au RGPD et éviter de telles sanctions. Grâce à une mise en conformité efficace et un suivi continu, les entreprises peuvent maintenir leur conformité au fil du temps et éviter les erreurs, les failles et les non-conformités. Cela garantit la tranquillité et la sérénité nécessaires pour respecter les règles en constante évolution depuis l’entrée en vigueur du RGPD en 2018.
