Le 26 septembre 2024, la Commission Nationale Informatique et Libertés (CNIL) a prononcé deux sanctions à l’encontre de sociétés de voyance en ligne, pour non respect de divers principes du RGPD. Ce n’est pas la première fois qu’une société de voyance en ligne est sanctionnée par la CNIL en France. Que retenir des manquements sanctionnés ?
Les manquements
Plusieurs manquements au RGPD ou à des recommandations de la CNIL ont été constatés dans les pratiques des deux sociétés de voyance en ligne sanctionnées. Les deux sanctions sont par ailleurs liées, les deux sociétés de voyance ayant travaillées ensemble à la constitution d’une base de données de prospects et clients.
L’obligation de minimiser les données
Pour rappel, ce principe énoncé à l’article 5-1-c du RGPD, dit de “minimisation des données”, impose aux organismes récoltant des informations de se limiter, lors de la récolte, à des données qui leur semblent strictement nécessaires à l’atteinte des objectifs pour lesquels ils les collectent.
Article 5 – Principes relatifs au traitement des données à caractère personnel
1. Les données à caractère personnel doivent être :
…
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
…
Ici, il est reproché à l’une des sociétés d’avoir systématiquement enregistrer l’intégralité des appels téléphoniques passés entre les voyants et les clients. Durant le contrôle mené par la CNIL, l’organisme justifiait les enregistrements pour différentes raisons : le contrôle de la qualité du service, la réalisation d’actes de formation, apporter la preuve de la souscription d’un contrat, ou encore à des fins de sauvegarde de la vie humaine.
Si toutes ces justifications sont en effet de nature à permettre l’enregistrement licite d’un appel, il est bien entendu que cela ne peut et ne doit pas concerner l’intégralité des appels téléphoniques. Ainsi, l’appel, selon la CNIL, n’aurait dû être enregistré qu’au cas par cas, le déclenchement de l’enregistrement pouvant être réalisé manuellement par un salarié, dès lors que l’une de ces situations semble se présenter (le client entend donner son consentement au contrat par téléphone, fais part au “voyant” d’informations permettant de déterminer que sa vie, sa santé ou celle d’autrui sont en danger, etc.).
En collectant de manière systématique, et parfois sans qu’une de ces raisons ne puisse vraisemblablement l’expliquer, l’enregistrement des conversations téléphoniques, la société a ainsi récolter bien trop de données au regard de ses besoins.
L’obligation de suppression des données
Une autre obligation énoncée au même article, un peu plus loin, est l’obligation de supprimer (ou d’anonymiser) les données après une certaine période de temps.
Article 5 – Principes relatifs au traitement des données à caractère personnel
1. Les données à caractère personnel doivent être :
…
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; …
Il a notamment été reproché à la même société de conserver les données de ses clients pendant une durée de 6 ans après la fin de leur relation commerciale, afin de pouvoir procéder à l’envoi de messages de prospection commerciale.
Si les informations d’un client, notamment les éléments contractuels, doivent être conservés au moins le temps de la prescription des actions ouvertes au contrat (généralement 5 ans), la CNIL rappelle que sa recommandation de durée de conservation pour les données utilisées à des fins de prospection est de 3 ans, soit deux fois moindre que la durée choisie et appliquée par la société.
S’il est bien sûr possible de s’écarter d’une recommandation de la CNIL pour des questions propres à son domaine d’activité ou à ses objectifs particuliers, il est néanmoins nécessaire alors de le justifier, ce que n’ont pu faire les sociétés sanctionnées.
La récolte du consentement
Le consentement est l’un des fondements de licéité du traitement, prévus à l’article 6 du RGPD. Tout traitement de données à caractère personnel réalisé par un organisme privé ou public, à but lucratif ou non, doit se baser sur l’un de ces fondements.
En l’occurence, obtenir le consentement des personnes au traitement de leurs données permet d’avoir une base solide de traitement, de justifier de la provenance de la donnée, y compris lorsque celles-ci sont facultatives ou particulières, et de pouvoir les utiliser pour plusieurs finalités.
Encore faut-il cependant respecter les règles édictées par les autorités de contrôle européennes en matière de récolte du consentement, ce que n’avaient pas faits les deux sociétés.
Deux éléments leur ont été reprochés :
- lors des échanges entre les voyants et les clients, que ce soit par sms, chat ou téléphone, ceux-ci n’étaient pas correctement informés des types d’information sensibles qui allaient éventuellement leur être demandées (convictions religieuses, état de santé, …) ou qui allaient pouvoir être déterminées suite à leurs réponses (orientation sexuelle) ;
- les clients, lorsqu’ils fournissaient leurs coordonnées et informations afin d’être recontactés, n’étaient pas suffisament bien informés des organismes qui allaient pouvoir accéder aux données et les recontacter.
Ainsi la CNIL a non seulement considéré que le consentement récolté auprès des personnes concernées n’était pas suffisamment précis ni explicite pour permettre la récolte et l’utilisation de données sensibles, mais que le consentement aux actions de prospection commerciale n’était d’ailleurs valable que pour la société qui l’avait récolté, et ne pouvait couvrir les actions de la société partenaire accédant aux données, l’information n’ayant pas été fournie de façon suffisamment claire aux personnes.
Les recommandations de la CNIL et règles à suivre
De par ses attributions, la CNIL a vocation, outre les sanctions, à sensibiliser et assister les organismes dans le respect du RGPD lors de leurs activités.
Ainsi les sociétés de voyance concernées n’étaient-elles pas démunies face au RGPD, puisqu’elles pouvaient retrouver sur le site la CNIL plusieurs référentiels relatifs à leurs activités, et notamment :
différentes publications relatives aux activités de prospection et leur cadre réglementaire ;
des publications sur l’enregistrement des conversations téléphoniques ;
un guide sur le cycle de vie des données et les recommandations de la CNIL en matière de durées de conservation ;
différents articles sur les méthodes pour la récolte du consentement des personnes.
Vous avez des questions sur le RGPD et les recommandations de la CNIL en matière commerciale, ou de prospection ? N’hésitez pas à nous contacter pour en apprendre d’avantage !