27/04
Prospection illégale, mots de passe mal protégés, dissimulation de fuite de données… Canal+ condamné par la CNIL
La filiale de Vivendi a été sanctionnée le 12 octobre par la Commission nationale de l’informatique et des libertés (CNIL) pour sa politique de prospection commerciale et le non-respect de droits des personnes.
Plusieurs manquements ont été sanctionnés par l’autorité la semaine dernière et la CNIL dévoile aujourd’hui les raisons de la condamnation. Après plusieurs plaintes reçues, l’autorité s’est ainsi penchée sur les pratiques de la chaîne cryptée et découvert que la société avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD) et le code des postes et des communications électroniques (CPCE). De cela découle une amende de 600 000€.
Canal + réalise régulièrement des campagnes de prospection commerciale par voie électronique. Cependant, elle n’a pas été en mesure de fournir d’éléments démontrant qu’elle avait obtenu au préalable un consentement valable des personnes. Les formulaires type de collecte de données des prospects mis à disposition des partenaires commerciaux auprès desquels la firme récupère ses données ne comportaient aucune information sur l’identité des destinataires auxquels les données sont transmises. Cependant, cette information doit être connue pour que le consentement soit éclairé et valable. De plus les mesures mises en place pour s’assurer que le consentement a été valable donné par les personnes avant d’être démarchées étaient insuffisantes.
Parmi les manquements, on compte également un manquement à l’obligation d’information des personnes lors de la création d’un compte MyCanal : la politique de confidentialité à laquelle renvoyait le formulaire de collecte lors de la création du compte était imprécise sur les durées de conservation. L’obligation d’information des personnes lors des appels de démarchage téléphonique n’était pas respecté puisque le prestataire ne fournissait pas toujours les informations exigées par la loi. La CNIL a aussi retenu un manquement à l’obligation d’assurer la sécurité des données personnelles car le stockage des mots de passe des employés de la société n’était pas suffisamment sécurisé. Après vérification de l’autorité, une violation de données ayant permis à certains abonnés d’accéder à d’autres abonnés pendant 5 heures n’a pas été notifiée à la CNIL, ce qui constitue un manquement aux obligations de Canal+.