La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Philippe-Pierre CABOURDIN, président, M. Vincent LESCLOUS, vice-président, Mmes Laurence FRANCESCHINI et Isabelle LATOURNARIE-WILLEMS et M. Alain DRU, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu le code des postes et des communications électroniques ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n° 2021-270C du 4 octobre 2021 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par les sociétés COSMOSPACE et TELEMAQUE ou pour leur compte, en tout lieu susceptible d’être concerné par leur mise en œuvre ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés du 16 novembre 2023 portant désignation d’un rapporteur devant la formation restreinte ;

Vu le rapport de Mme Sophie LAMBREMON, commissaire rapporteure, signifié à la société COSMOSPACE le 1er mars 2024 ;

Vu les observations écrites versées par la société COSMOSPACE le 2 avril 2024 ;

Vu la décision n° 2024-093C du 22 avril 2024 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de tout traitement accessible à partir du domaine “ horoscope.fr “ ou portant sur des données à caractère personnel collectées à partir de ce dernier ;

Vu la réponse de la rapporteure à ces observations, notifiée à la société le 30 avril 2024 ;

Vu les observations écrites versées par la société COSMOSPACE le 30 mai 2024 ;

Vu la clôture de l’instruction, notifiée à la société le 10 juin 2024 ;

Vu les courriers adressés par la société au greffe du service des sanctions et du contentieux et au président de la formation restreinte le 24 juin 2024 ;

Vu les observations orales formulées lors de la séance de la formation restreinte du 4 juillet 2024 ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte :

- Mme Sophie LAMBREMON, commissaire, entendue en son rapport ;

En qualité de représentants de la société COSMOSPACE :

- […]

La société COSMOSPACE ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

I. FAITS ET PROCÉDURE

1. La société COSMOSPACE (ci-après, “ la société “), dont le siège social est situé 80 route des Lucioles à VALBONNE (06560), est une société par actions simplifiée proposant des services à distance d’art divinatoire (tarot, horoscope, voyance), gratuits ou payants. Au 30 novembre 2021, elle employait 154 salariés.

2. Entre mars 2021 et mars 2022, son chiffre d’affaires s’est élevé à environ 26,4 millions d’euros, pour un résultat net de 0,5 million d’euros. L’année suivante, ce chiffre s’élevait à environ 26,6 millions d’euros, pour un résultat net déficitaire de 1,46 million d’euros.

3. La société propose, à titre principal, des consultations de voyance personnalisées par téléphone assurées par des téléconseillers voyants salariés ou indépendants, dont certains sont implantés hors de France (en Espagne mais également dans des pays tiers à l’Union, tels que Bali, la Tunisie ou les Etats-Unis). Si la majorité des appels reçus provient d’utilisateurs établis en France, il ressort des éléments fournis par la société qu’environ 5% proviennent d’autres pays de l’Union ou d’Etats tiers.

4. Par ailleurs, la société édite plusieurs sites web, parmi lesquels le site cosmospace.medium.fr, ainsi que plusieurs applications mobiles. Ces sites et applications proposent, outre les prestations de voyance par téléphone, des services de voyance par conversation instantanée (“ chat “) ou par SMS, lesquels sont assurés par son partenaire, la société TELEMAQUE. Cette dernière est par ailleurs en charge du développement, de la fourniture et de la maintenance des services informatiques et numériques de la société COSMOSPACE, qui est son principal client. Les rapports entre les deux sociétés sont encadrés, d’une part, par un contrat de sous-traitance, d’autre part, par un accord de responsabilité conjointe concernant le traitement de certaines données à caractère personnel.

5. Afin de promouvoir ses offres, la société COSMOSPACE réalise des campagnes de prospection commerciale par courriers électroniques et SMS, tant auprès de ses clients que de prospects dont les coordonnées ont été obtenues soit directement par ses soins (principalement par le biais de ses sites web), soit par la société TELEMAQUE (laquelle gère également ses propres sites web, qui proposent notamment des prestations de voyance par téléphone assurées par la société COSMOSPACE).

6. La société COSMOSPACE dispose pour ce faire d’une base de données qui lui est propre (base de données […], laquelle comprenait, au 7 décembre 2021, un peu plus de 673 000 contacts uniques ayant le statut de clients et un peu plus de 278 000 ayant le statut de prospects), mais également d’une base de données commune avec la société TELEMAQUE (base […]), contenant les données de l’ensemble des clients et prospects des deux sociétés, ce qui représentait, au 6 octobre 2022, plus de 7 millions de fiches de contact pour plus d’1,5 million de personnes uniques.

7. La société COSMOSPACE a indiqué avoir, sur les trois premiers trimestres de l’année 2022, envoyé près de 6,3 millions de SMS et plus de 75,6 millions de courriers électroniques de prospection commerciale.

8. Le 15 novembre 2021, une délégation de la Commission nationale de l’informatique et des libertés (ci-après, “ la CNIL “ ou “ la Commission “) a procédé à un contrôle en ligne à partir de cinq sites web édités par les sociétés COSMOSPACE et TELEMAQUE. Celui-ci avait pour but de vérifier le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après, “ la loi Informatique et Libertés “ ou “ loi du 6 janvier 1978 modifiée “) et des autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France. Le procès-verbal dressé à l’issue a été notifié à la société COSMOSPACE le 22 novembre 2021.

9. Un contrôle sur place a également été réalisé les 7 et 8 décembre 2021 dans les locaux des sociétés susvisées. Les procès-verbaux afférents ont été notifiés à la société COSMOSPACE le 10 décembre 2021.

10. La société a communiqué à la délégation des éléments complémentaires les 20 décembre 2021, 26 janvier, 25 février, 30 mai, 5 août et 12 octobre 2022.

11. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 16 novembre 2023, désigné Mme Sophie LAMBREMON en qualité de rapporteure sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.

12. Conformément à l’article 56 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (ci-après, “ le RGPD “) et au vu des éléments du dossier, la CNIL a, le 27 avril 2023, informé l’ensemble des autorités de contrôle européennes de sa compétence pour agir en tant qu’autorité de contrôle cheffe de file concernant les traitements transfrontaliers mis en œuvre par la société, résultant de ce que l’établissement principal de la société se trouve en France. Après échanges entre la CNIL et les autorités de protection des données européennes dans le cadre du mécanisme de guichet unique, il apparait que les autorités allemande, autrichienne, belge, croate, danoise, espagnole, grecque, italienne, luxembourgeoise, maltaise, néerlandaise, polonaise, portugaise, roumaine, slovène et suédoise sont concernées par les traitements mis en œuvre, des personnes résidant dans ces Etats membres ayant eu recours par téléphone aux services de voyance proposés par la société.

13. Le 1er mars 2024, à l’issue de son instruction, la rapporteure a fait notifier à la société un rapport détaillant les manquements aux articles 5-1-c, 5-1-e et 9-2 du RGPD et à l’article L. 34-5 du code des postes et des communications électroniques (ci-après, “ le CPCE “) qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de prononcer à l’encontre de la société une amende administrative. Il proposait également que cette décision soit rendue publique mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

14. Le 2 avril 2024, la société a produit des observations en réponse au rapport de sanction.

15. Le 23 avril 2024, sur demande de la rapporteure et en application de l’article 39 du décret du 29 mai 2019, une délégation de la CNIL a procédé à un nouveau contrôle en ligne à partir du site web horoscope.fr. Le procès-verbal dressé à l’issue a été notifié à la société COSMOSPACE le 30 avril 2024.

16. Le même jour, la rapporteure a répondu aux observations du 2 avril de la société.

17. Le 30 mai 2024, la société a produit de nouvelles observations en réponse.

18. Le 10 juin 2024, la rapporteure a, en application du III de l’article 40 du décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi Informatique et Libertés (ci-après, “ le décret du 29 mai 2019 “), informé la société et le président de la formation restreinte que l’instruction était close.

19. Le même jour, la société a été informée que le dossier était inscrit à l’ordre du jour de la formation restreinte du 4 juillet 2024.

20. La rapporteure et la société ont présenté des observations orales lors de la séance de la formation restreinte.

II. MOTIFS DE LA DECISION

A. Sur la procédure de coopération européenne

21. Aux termes de l’article 4, paragraphe 23, b) du RGPD, on entend par “ traitement transfrontalier “, notamment, “ un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant, mais qui affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres “.

22. La rapporteure considère que la société met en œuvre des traitements de données à caractère personnel transfrontaliers dans la mesure où certains de ses clients accèdent aux services proposés depuis d’autres pays de l’Union. Elle relève ainsi que la société a transmis à la délégation un document faisant état du nombre de consultations téléphoniques délivrées chaque mois, avec une répartition des clients par pays, qui atteste du caractère transfrontalier des traitements.

23. En défense, la société considère que c’est à tort que la CNIL a informé ses homologues européens de la procédure suivie à son encontre et que l’application du mécanisme de coopération n’a pas lieu d’être. Elle indique tout d’abord que les prestations de la société sont exclusivement délivrées en français et que le contenu de son site web n’est accessible que dans cette langue. Ensuite, si elle admet qu’il peut arriver, “ de manière exceptionnelle et marginale “, que certains clients français accèdent aux services de la société depuis l’étranger, elle estime que ceux-ci ne sont pas eux-mêmes étrangers, en se fondant sur les lieux de naissance des personnes concernées. Elle considère que, compte tenu de ces éléments, seule l’autorité belge pourrait éventuellement être concernée.

24. La formation restreinte relève qu’il ressort des éléments du dossier que, dans le cadre des consultations de voyance délivrées par téléphone, la société a reçu chaque mois, sur l’année 2022, entre 350 et 400 appels provenant de différents pays de l’Union européenne. Cette circonstance suffit à caractériser l’existence d’un traitement transfrontalier, dès lors qu’il affecte ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs Etats membres, au sens de l’article 4, paragraphe 23, b) du RGPD, nonobstant la langue dans laquelle ces personnes s’expriment, leur nationalité ou encore leur lieu de naissance.

25. En application de l’article 60, paragraphe 3 du RGPD, le projet de décision adopté par la formation restreinte a été transmis aux autres autorités de contrôle européennes compétentes, en vue de leur permettre d’effectuer des objections pertinentes et motivées sur les traitements et manquements qui les concernent, le 22 août 2024.

26. Au 19 septembre 2024, aucune de ces autorités n’avait formulé d’objection pertinente et motivée à l’égard de ce projet de décision, de sorte que, en application de l’article 60, paragraphe 6, du RGPD, ces dernières sont réputées l’avoir approuvé.

B. Sur la procédure suivie devant la formation restreinte

1) Sur le grief tiré de la méconnaissance du droit à un procès équitable

27. La société fait d’abord valoir que, dans le cadre de la procédure suivie devant la CNIL, le principe du contradictoire n’aurait pas été respecté. Elle indique n’avoir eu connaissance de la pièce intitulée “ IMI REPORT – Numéro : […] – article 56 – identification de la LSA et des CSA “, par laquelle la CNIL informe les autorités de contrôle concernées de l’engagement d’une procédure de sanction, qu’au moment de sa consultation du dossier dans les locaux de la CNIL, le 10 juin 2024. Elle considère que, la clôture de l’instruction lui ayant été notifiée le même jour, elle n’a pas été mise en mesure de présenter ses observations sur ce point.

28. Elle estime par ailleurs, plus généralement, que les éléments du dossier n’ont pas été discutés et qu’aucun débat n’a pu avoir lieu dans la mesure où, depuis le contrôle, elle n’a pas été mise en demeure de modifier ses pratiques.

29. La société reproche enfin à la rapporteure d’avoir instruit ce dossier exclusivement à charge.

30. La formation restreinte rappelle, en premier lieu, que le principe du contradictoire implique le droit pour les parties de se voir communiquer et de pouvoir discuter de toute pièce ou observation présentée au juge en vue d’influencer sa décision (CEDH, Grande Chambre, 20 février 1996, Vermeulen c. Belgique, n° 19075/91).

31. La formation restreinte rappelle, d’une part, qu’en application de l’article 40-III du décret n° 2019-536 du 29 mai 2019, la décision de clore la procédure appartient à la rapporteure, lorsqu’elle estime le dossier en état. En l’espèce, il convient de relever que la rapporteure a pris cette décision le 10 juin 2024, considérant que le débat était épuisé après plusieurs échanges d’écritures avec la société, celle-ci ayant formulé ses observations en dernier. Ces échanges comportent les pièces sur lesquelles la rapporteure s’est fondée pour caractériser les manquements qu’elle propose à la formation restreinte de retenir.

32. La formation restreinte note, d’autre part, que la pièce intitulée “ IMI REPORT – Numéro : […] – article 56 – identification de la LSA et des CSA “, qui n’est qu’un document informatif dans le cadre de la procédure de coopération entre autorités de contrôle, constitue l’une des pièces figurant au dossier de la procédure. Elle relève que la société a été informée de la possibilité de prendre connaissance et copie de l’ensemble des pièces dudit dossier lors de la signification du rapport de sanction, le 1er mars 2024. Pour autant, la formation restreinte note que ce n’est que le 30 mai 2024, après transmission de ses secondes observations en défense, que la société a demandé à pouvoir exercer ce droit, la consultation ayant été organisée le 10 juin 2024.

33. En tout état de cause, la formation restreinte relève que la société a pu présenter ses observations orales sur le document susvisé lors de la séance du 4 juillet 2024, lesquelles ont d’ailleurs conduit la formation restreinte à suspendre la séance et à délibérer sur ce point avant de poursuivre les débats. La formation restreinte rappelle en outre que l’entier dossier de la procédure a également été mis à sa disposition avant la séance. Il résulte de l’ensemble de ce qui précède que les membres de la formation restreinte ont pu disposer de l’ensemble des éléments leur permettant d’arrêter leur décision.

34. Dans ces conditions, la formation restreinte considère que le principe du contradictoire n’a pas été méconnu. S’agissant plus généralement de la conduite de la procédure, la formation restreinte relève qu’elle a été menée de manière régulière, la société ayant pu présenter ses observations, d’abord écrites dans le cadre de l’instruction, puis orales lors de la séance de la formation restreinte du 4 juillet 2024, dans le respect des règles procédurales définies aux articles 22 de la loi Informatique et Libertés, 39 à 45 du décret du 29 mai 2019 et 61 à 70-1 du règlement intérieur de la CNIL.

35. En deuxième lieu, les dispositions de l’article 20, paragraphe IV de la loi Informatique et Libertés prévoient que la décision de saisir la formation restreinte relève des pouvoirs de la présidente de la CNIL, sans qu’une telle décision soit conditionnée au prononcé d’une mise en demeure préalable (CE, 10ème, 26 avril 2022, Optical Center, n° 449284, inédit).

36. En troisième et dernier lieu, la formation restreinte relève que, pour établir son rapport, la rapporteure s’est fondée sur les éléments recueillis à l’occasion de contrôles menés dans le respect des dispositions de la loi Informatique et Libertés, et qu’elle a examiné les faits constatés à la lumière des règles applicables en matière de protection des données à caractère personnel. La formation restreinte considère ainsi qu’aucun élément n’est de nature à révéler un parti pris défavorable de la rapporteure envers la société.

37. En conséquence, au vu de l’ensemble de ce qui précède, la société n'est pas fondée à soutenir que la procédure suivie à son encontre aurait méconnu son droit à un procès équitable

2) Sur le contrôle en ligne du 23 avril 2024

38. La société considère que les pièces relatives au contrôle en ligne réalisé le 23 avril 2024 à partir du site web horoscope.fr doivent être écartées des débats, dans la mesure où ce site n’appartient pas à la société COSMOSPACE.

39. La formation restreinte relève que, par décision n° 2021-270C du 4 octobre 2021, la présidente de la CNIL a chargé le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par les sociétés COSMOSPACE et TELEMAQUE.

40. En application de cette décision, une délégation de la CNIL a procédé, le 15 novembre 2021, à un contrôle en ligne à partir de plusieurs sites web édités par ces deux organismes. Les constatations réalisées ont permis de relever que la société TELEMAQUE mettait en œuvre, sur son site web horoscope.fr, un formulaire lui permettant de collecter les données des utilisateurs à des fins de prospection commerciale.

41. Dans le cadre de ses échanges avec la délégation de contrôle, la société COSMOSPACE a indiqué avoir mis en place, avec son partenaire la société TELEMAQUE, une base de données commune leur permettant d’adresser des courriels et SMS de prospection indifféremment aux clients et prospects de l’une ou de l’autre des sociétés.

42. Dans son rapport, notifié à la société COSMOSPACE le 1er mars 2024, la rapporteure a fait valoir que cette dernière ne pouvait, pour réaliser ses opérations de prospection, se prévaloir du consentement recueilli par la société TELEMAQUE via le formulaire mis en œuvre sur le site de cette société horoscope.fr, au motif qu’aucune liste de partenaires (mentionnant la société COSMOSPACE) n’était aisément accessible. Elle a considéré qu’un manquement à l’article L. 34-5 du CPCE était ainsi constitué.

43. Dans ses observations en réponse du 2 avril 2024, la société COSMOSPACE a répondu sur ce point et a notamment indiqué que, depuis le contrôle en ligne du 15 novembre 2021, le formulaire présent sur le site horoscope.fr avait été modifié. Elle a, à cet égard, fourni une capture d’écran de ce nouveau formulaire.

44. Dans le cadre des pouvoirs qui lui sont attribués par l’article 39, alinéa 4 du décret du 29 mai 2019, la rapporteure a sollicité la réalisation d’un nouveau contrôle, dans l’objectif de vérifier la conformité du formulaire évoqué par la société COSMOSPACE dans ses observations en réponse.

45. Par décision n° 2024-093C du 22 avril 2024, la présidente de la CNIL a chargé le secrétaire général de procéder ou de faire procéder à une mission de vérification de tout traitement accessible à partir du domaine “ horoscope.fr “ ou portant sur des données à caractère personnel collectées à partir de ce dernier.

46. C’est dans ces conditions qu’une délégation de la CNIL a procédé à un nouveau contrôle en ligne de ce site, le 23 avril 2024.

47. La formation restreinte relève que, dans la mesure où la société COSMOSPACE traite des données collectées à partir du site web horoscope.fr, le contrôle visé apparait parfaitement justifié. Elle note en outre que la société COSMOSPACE s’est vue notifier le procès-verbal de contrôle le 30 avril 2024. Au surplus, elle observe que la décision de contrôle du 22 avril 2024 ne vise ni la société COSMOSPACE, ni la société TELEMAQUE, mais bien le domaine horoscope.fr.

48. Dans ces conditions, il n’y a pas lieu d’écarter les pièces relatives au contrôle en ligne du 23 avril 2024.

C. Sur les manquements constatés

1) Sur le manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données en application de l’article 5-1-c du RGPD

49. L’article 5, paragraphe 1, c) du RGPD dispose que les données à caractère personnel doivent être “ adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) “.

50. La rapporteure considère que l’enregistrement intégral et systématique des conversations téléphoniques entre les voyants et les clients, entre les standardistes et les voyants ainsi qu’entre les standardistes et les clients ou prospects est excessif au regard des finalités de formation et d’évaluation et de contrôle qualité, et qu’il devrait être limité à un échantillon de conversations entre les personnes précitées, exception faite des conversations entre les standardistes et les clients ou prospects pour lesquelles l’enregistrement devrait porter sur la seule partie portant clairement sur la conclusion d’un contrat.

51. En défense, la société considère, en premier lieu, que si les enregistrements visés contiennent bien des données à caractère personnel, ils ne font pour autant l’objet d’aucun traitement par la suite.

52. En deuxième lieu, la société estime qu’elle procède déjà à des opérations de minimisation, d’une part en supprimant chaque soir, à l’issue du service, 50% des enregistrements des conversations entre les voyants et les clients et entre les voyants et les standardistes et, d’autre part, en ne réalisant aucun enregistrement d’informations relatives aux données bancaires de ses clients.

53. En troisième lieu, elle revient sur chacune des finalités qui, selon elle, préside à l’enregistrement des conversations téléphoniques. Elle considère tout d’abord que l’enregistrement intégral et systématique des conversations est nécessaire à des fins de contrôle de la qualité du service et de formation, compte tenu de la nature de son activité et de la diversité des consultations délivrées. Ensuite, elle estime qu’en cas de contestation en justice de ses prestations, elle ne dispose d’aucun autre moyen pour démontrer la souscription et la bonne exécution du contrat. La société fait en outre valoir qu’elle reçoit régulièrement des réquisitions judiciaires lui demandant communication des enregistrements réalisés et qu’elle se trouve dès lors dans l’obligation d’y répondre, sous peine de sanction pénale. Enfin, elle considère que ces enregistrements sont nécessaires à des fins de sauvegarde de la vie humaine, soutenant qu’ils lui permettraient d’apprécier les situations dans lesquelles il convient de contacter les services de secours.

54. La formation restreinte relève qu’il ressort des éléments du dossier que la société COSMOSPACE enregistre de façon intégrale et systématique, d’une part, les conversations entre les voyants délivrant la consultation et les clients, ainsi que des conversations entre les standardistes et les voyants (dans le cadre des transferts d’appels d’un client à un voyant, ou lorsque le voyant renvoie le client vers le standard à l’issue de la consultation). Chaque soir, à l’issue du service, 50% de ces enregistrements font l’objet d’une suppression automatique. Les autres sont conservés pendant une durée de six mois (sauf contentieux).

55. Et d’autre part, la société enregistre l’intégralité des conversations entre les standardistes et les clients ou prospects (à l’exception de la partie relative à la collecte des coordonnées bancaires du client), qu’elle conserve pendant une durée de treize mois.

56. En premier lieu, aux termes de l’article 4, paragraphe 2 du RGPD, constitue un traitement “ toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction “.

57. En application de ces dispositions, l’enregistrement de conversations téléphoniques constitue, en soi, un traitement de données à caractère personnel. La formation restreinte a d’ailleurs sanctionné, à plusieurs reprises et depuis plusieurs années des organismes se livrant à de tels enregistrements dans des conditions non conformes au RGPD (CNIL, FR, Sanction, 21 novembre 2019, SAN-019-010, publié ; CNIL, FR, Sanction, 28 juillet 2020, SAN-2020-003, publié ; CNIL, FR, Sanction, 8 juin 2023, SAN-2023-008, publié). En outre, la CNIL met à disposition du public de nombreux contenus relatifs à cette question sur son site web. La formation restreinte relève qu’il en était déjà ainsi avant l’entrée en application du RGPD, avec l’adoption en 2014 de la norme simplifiée n° 57 relative à l’écoute et l’enregistrement des conversations téléphoniques sur le lieu de travail.

58. La formation restreinte relève qu’en l’espèce, en procédant à l’enregistrement des conversations susvisées, la société collecte les données des personnes concernées – tant celles de ses prospects ou clients que de ses salariés –, les conserve (pour une durée plus ou moins longue, allant de quelques heures à plusieurs mois) et, pour certaines, les consultent et les utilisent dans le cadre de diverses finalités qu’elle détaille (formation et contrôle de la qualité du service, réquisitions judiciaires, contestation, etc.). Ainsi, la société réalise bien différentes opérations de traitement telles que détaillées à l’article 4, paragraphe 2 du RGPD.

59. S’il apparait établi que la société procède, chaque soir, à la suppression aléatoire et automatique de 50% de certains des enregistrements réalisés, la formation restreinte souligne que cette circonstance est sans incidence sur la qualification de ces opérations de traitement, cette suppression ayant lieu, par définition, postérieurement à la collecte et au traitement des données.

60. En deuxième lieu, la formation restreinte considère qu’il convient d’analyser chacune des finalités invoquées par la société pour procéder à l’enregistrement intégral et systématique des conversations visées au paragraphe 50 de la présente délibération, afin de déterminer si les données collectées apparaissent bien adéquates, pertinentes et limitées à ce qui est nécessaire au regard de ces finalités.

61. S’agissant de l’enregistrement intégral et systématique des appels téléphoniques à des fins de contrôle de la qualité du service et de formation, la formation restreinte relève tout d’abord que la société n’apporte aucun élément permettant de justifier de la nécessité d’enregistrer l’intégralité des conversations susvisées à cette fin. La formation restreinte considère ensuite que la finalité visant à contrôler la qualité du service fourni par les standardistes et les voyants peut être atteinte par un moyen moins intrusif tel un enregistrement ponctuel et aléatoire.

62. Dès lors, la formation restreinte considère que l’instauration d’un dispositif d’enregistrement systématique des appels téléphoniques passés, d’une part, entre les voyants et les clients et, d’autre part, entre les standardistes et les clients est excessif au regard de la finalité poursuivie.

63. La formation restreinte rappelle qu’elle a déjà considéré, s’agissant d’une société procédant à l’enregistrement des appels téléphoniques passés ou reçus par les salariés du service clients à des fins de formation, que “ la société ne justifie pas de la nécessité d’enregistrer l’intégralité des conversations téléphoniques passées par le service client, au regard de la finalité du traitement, à savoir la formation des salariés. (…). La formation restreinte considère donc, au vu de ces éléments, qu’un manquement à l’article 5-1-c) du RGPD est constitué “ (CNIL, FR, 28 juillet 2020, Sanction, n° SAN-2020-003, publié). Cette position a récemment été rappelée à l’égard d’une société proposant, comme en l’espèce, des consultations de voyance par téléphone (CNIL, FR, 8 juin 2023, Sanction, SAN-2023-008, publié).

64. Dans ces conditions, l’enregistrement intégral et systématique des appels n’apparait pas plus nécessaire à des fins de contrôle de la qualité du service et de formation.

65. S’agissant de l’enregistrement intégral et systématique des appels téléphoniques à des fins de preuve de la souscription d’un contrat, la formation restreinte rappelle qu’un tel enregistrement est possible, sous réserve d’être nécessaire et en l’absence d’une autre modalité de preuve, telle qu’une confirmation écrite. Dans cette hypothèse, l’enregistrement ne doit cependant pas être intégral, le professionnel devant prévoir des mécanismes afin de n’enregistrer la conversation qu’à partir du moment où son objet porte clairement sur la conclusion d’un contrat.

66. La formation restreinte relève qu’en l’espèce, la vente de forfaits ou prestations peut intervenir lors des appels passés entre les clients et les standardistes. Dans la mesure où ce sont les clients qui contactent la société et que, dès lors, cette vente ne fait pas suite à un démarchage téléphonique, le contrat est conclu à l’oral, sans qu’aucune confirmation écrite ne soit adressée au client. Dans ces conditions, et en l’absence d’une autre modalité de preuve de souscription du contrat, l’enregistrement de la partie de l’appel portant sur la conclusion du contrat apparait justifié. La formation restreinte relève toutefois que la société ne se limite pas à enregistrer uniquement cette phase de l’appel, mais procède à son enregistrement intégral, quelles que soient les différentes catégories d’appels précédemment citées.

67. Dans sa défense, la société soutient, premièrement, que l’enregistrement intégral et systématique des conversations entre les clients et les standardistes et entre les clients et les voyants est nécessaire à des fins de preuve de souscription du contrat, dans la mesure où c’est l’ensemble de ces échanges qui permettraient d’aboutir à un accord.

68. La formation restreinte rappelle qu’en application de l’article 1121 du Code civil, le contrat est conclu dès que l’acceptation de l’offre parvient à l’offrant soit, en l’espèce, lorsque le client accepte, après avoir reçu les informations adéquates (prix de la prestation, durée, modalités, etc.), d’avoir recours aux services de la société.

69. Dans ces conditions, pour les appels entre les standardistes et les clients, l’enregistrement intégral et systématique de l’appel n’apparait pas nécessaire à des fins de preuve de la souscription d’un contrat, un enregistrement limité à la phase de conclusion du contrat étant suffisant. Pour les enregistrements des appels passés entre les voyants et les clients, et entre les voyants et les standardistes, aucun contrat n’étant conclu lors de ces appels, ils ne sont pas nécessaires pour l’atteinte de cette finalité.

70. Deuxièmement, la société fait valoir que, dans la mesure où l’ensemble de la prestation se déroule de manière orale, l’enregistrement intégral et systématique des conversations susvisées est nécessaire à la défense de ses droits en justice afin de prouver la bonne exécution du contrat, notamment lorsqu’elle est confrontée à des actions en remboursement.

71. La formation restreinte entend rappeler que, si la conservation de certaines données collectées dans le cadre de finalités déterminées et légitimes peut se justifier à des fins contentieuses ou précontentieuses, un tel objectif ne saurait justifier en tant que tel l’enregistrement de tous les appels téléphoniques, dans leur intégralité.

72. La formation restreinte relève en outre qu’en l’espèce, la société est susceptible de disposer d’autres éléments lui permettant d’assurer sa défense (comme, par exemple, des SMS de confirmation de rendez-vous et de facturation). Elle relève en tout état de cause que la justification apportée par la société n’apparait pas cohérente puisque qu’en l’état, 50% des enregistrements étant supprimés chaque soir, elle n’apparait pas en mesure de fournir ces enregistrements de manière systématique dans le cadre des procédures judiciaires qui pourraient être initiées à son encontre.

73. S’agissant de l’enregistrement intégral et systématique des appels téléphoniques dans la perspective de réquisitions judiciaire, la formation restreinte rappelle que, s’il est nécessaire que les responsables du traitement fassent droit aux réquisitions judiciaires qu’ils reçoivent concernant les données qu’ils traitent pour leurs propres besoins, ils n’ont en revanche pas à organiser, à l’avance, la collecte de données à caractère personnel dans la perspective de répondre à une potentielle réquisition judiciaire (CNIL, FR, 8 juin 2023, Sanction, SAN-2023-008, publié). Ainsi, la société ne peut valablement soutenir qu’elle s’exposerait à une quelconque sanction pénale dans l’hypothèse où elle serait dans l’incapacité de répondre aux réquisitions reçues, en raison du fait qu’elle ne disposerait pas de ces données.

74. S’agissant de l’enregistrement intégral et systématique des appels téléphoniques à des fins de sauvegarde de la vie humaine, la formation restreinte relève qu’en l’espèce, les voyants ou les standardistes peuvent être amenés à contacter les secours face à des discours violents ou suicidaires tenus par les clients.

75. La formation restreinte considère qu’il ne peut être valablement soutenu que de tels cas de figure justifieraient l’enregistrement intégral et systématique des conversations, notamment au regard de la faible proportion de ces appels par rapport au nombre de consultations réalisées (89 appels en 2021 pour environ 360 000 consultations), étant entendu que l’assistance aux personnes en danger n’entre pas dans le cadre des activités déclarées et quotidiennes de la société. Elle souligne en outre que, d’une part, c’est la réaction des intervenants (voyants ou standardistes) face aux discours de certains clients, et non l’existence des enregistrements en cause, qui permet aux secours d’intervenir et, d’autre part, qu’un mécanisme permettant aux salariés de la société de déclencher manuellement l’enregistrement lorsqu’ils sont confrontés à des discours inquiétants pourrait parfaitement être mis en place (un mécanisme d’interruption manuel existant d’ores et déjà s’agissant de l’enregistrement des données bancaires des clients).

76. Dès lors, la société ne peut soutenir que l’enregistrement intégral et systématique des appels serait nécessaire à des fins de sauvegarde de la vie humaine.

77. Compte tenu de l’ensemble de ces éléments, la formation restreinte considère qu’un manquement à l’article 5, paragraphe 1, c) du RGPD est constitué.

2) Sur le manquement à l’obligation de définir et de respecter une durée de conservation proportionnée à la finalité du traitement en application de l’article 5-1-e du RGPD

78. Aux termes de l’article 5, paragraphe 1, e) du RGPD, les données à caractère personnel doivent être “ conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (…) “.

79. En application de ces dispositions, il incombe au responsable de traitement de définir une durée de conservation conforme à la finalité du traitement. Lorsque cette finalité est atteinte, les données doivent être supprimées ou anonymisées, ou faire l’objet d’un archivage intermédiaire pour une durée déterminée lorsque leur conservation est nécessaire, par exemple pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses notamment.

80. A titre d’illustration, la délibération n° 2021-131 du 23 septembre 2021 portant adoption d’un référentiel relatif aux traitements mis en œuvre aux fins de gestion des activités commerciales prévoit que la conservation des données des clients à l’issue de la relation commerciale est possible sous certaines conditions, et rappelle que les durées de conservation doivent être fixées en fonction de chaque finalité. Si ledit référentiel propose des durées de conservation, il prévoit qu’un organisme peut faire le choix de s’en écarter au regard des conditions particulières tenant à sa situation et de conserver les données pour une durée plus longue, sous réserve que cette durée n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées et sous réserve d’être en mesure d’en justifier.

81. S’agissant de la conservation des données des clients à des fins de prospection commerciale, le référentiel susvisé recommande une durée maximale de trois ans à compter de la fin de la relation commerciale.

82. La rapporteure considère que la durée de six ans mise en œuvre par la société pour la conserva-tion des données de ses clients à compter de la fin de la dernière prestation réalisée pour leur compte, à des fins de prospection commerciale, apparait excessive. Elle souligne qu’il ressort des éléments transmis par la société, et notamment de son propre référentiel interne des durées de conservation (qui mentionne les durées prescrites légalement ainsi que celles recommandées par la CNIL), que celle-ci avait parfaitement conscience des durées recommandées et qu’elle a fait le choix de s’en écarter. Elle note également que les informations accessibles depuis le site web cosmospace.medium.fr font état de ce que les données sont conservées le temps de la relation commerciale et au maximum cinq ans après le dernier contact avec la société, ce qui ne corres-pond pas à la pratique constatée lors du contrôle. En outre, la rapporteure considère que cette durée de six ans doit être mise en perspective avec le nombre très élevé de messages de prospec-tion envoyés par la société, ainsi qu’avec le nombre de demandes d’exercice du droit d’opposition ou du droit d’effacement dont cette dernière est destinataire, témoignant de la gêne pouvant résulter de telles pratiques.

83. En défense, la société souligne que les durées de conservation préconisées par la CNIL ne revêtent pas de caractère obligatoire et qu’un organisme peut faire le choix de s’en écarter.

84. Elle fait valoir que la durée pratiquée de six ans est adaptée aux particularités du marché, et produit une étude réalisée par ses soins révélant qu’une partie de ses clients inactifs consommeraient à nouveau une prestation auprès de la société alors que leur dernière consommation daterait de plus de trois ans. Elle estime le chiffre d’affaires généré par ces clients à plus de 1,1 million d’euros pour l’année 2022. Elle souligne que, compte tenu de la nature des consultations délivrées, il apparait rassurant pour les clients que leurs données soient conservées, afin de leur permettre un accès personnalisé. La société relativise par ailleurs le nombre de demandes d’exercice du droit d’opposition ou du droit à l’effacement qu’elle reçoit au regard du nombre total de contacts avec ses clients et prospects. En outre, elle relève que la durée de conservation mise en œuvre apparait en totale adéquation avec les durées de prescription civile (cinq ans) et pénale (six ans). Elle considère en tout état de cause ne pas avoir commis de manquement, dans la mesure où elle a mis en place une politique claire de durées de conservation des données, qu’elle applique et respecte.

85. La formation restreinte relève qu’en l’espèce, la société conserve les données de ses clients pendant une durée de six ans à compter de la fin de la dernière prestation réalisée pour leur compte, à des fins notamment de prospection commerciale.

86. Premièrement, la formation restreinte relève que le manquement reproché à la société porte exclusivement sur la durée de conservation des données de ses clients à des fins de prospection commerciale, et non sur la durée mise en œuvre pour d’autres finalités. Elle rappelle notamment que, lorsque les données à caractère personnel ne sont plus utilisées pour atteindre l’objectif ayant justifié la collecte des données (par exemple, lorsque la relation commerciale a pris fin) mais présentent encore un intérêt administratif pour l'organisme (par exemple pour la gestion d’un éventuel contentieux) ou doivent être conservées pour répondre à une obligation légale, elles peuvent être conservées en faisant l’objet d’un archivage intermédiaire, permettant leur consultation par des personnes spécifiquement habilitées (CNIL, FR, 28 mai 2019, Sanction, SAN-2019-005, publié ; CNIL, FR, 29 octobre 2021, Sanction, SAN-2021-019, publié ; CNIL, FR, 7 juillet 2022, Sanction, SAN-2022-015, publié ; CNIL, FR, 29 décembre 2023, Sanction, SAN-2023-023, publié).

87. Deuxièmement, la formation restreinte considère que la durée de six ans mise en œuvre par la société n’apparait pas proportionnée au regard de la finalité relative à la prospection commerciale. La formation restreinte relève en effet que les éléments produits par la société ne permettent pas de justifier la durée pratiquée, laquelle conduit à conserver les données deux fois plus longtemps que la durée recommandée par la CNIL au sein de son référentiel gestion des activités commerciales.

88. S’agissant de l’étude produite par la société, la formation restreinte note tout d’abord que celle-ci révèle que la majorité des clients visés par cette étude sont revenus consulter après une durée d’inactivité de trois années ou moins (63%). Elle observe ensuite que l’étude en cause ne vise que les clients étant revenus consulter après une période d’inactivité comprise entre un an et six ans, mais ne comprend pas ceux qui ne sont pas revenus consulter, ni ceux revenus consulter après une période d’inactivité inférieure à un an. Ainsi, comme le relevait la rapporteure, les 37% évoqués ne correspondent pas à 37% des clients de la société, comme cette dernière l’affirme, ni même au total des clients inactifs (revenus consulter ou non), la proportion du nombre de clients étant revenus consulter après une période d’inactivité comprise entre trois et six ans, par rapport au nombre total de clients de la société, étant nécessairement inférieure.

89. La formation restreinte entend par ailleurs rappeler que les durées préconisées par la CNIL au sein de son référentiel sont définies, notamment, au regard de la gêne susceptible d’être occasionnée par l’envoi répété de messages de prospection commerciale. La formation restreinte a, à cet égard, sanctionné un organisme conservant les données de ses clients inactifs pendant une durée de quatre ans à des fins de prospection commerciale, soulignant que la durée recommandée de trois ans était déjà conséquente (CNIL, FR, 18 novembre 2020, Sanction, SAN-2020-008, publié). En l’espèce, la formation restreinte considère que l’envoi massif de messages de prospection commerciale par la société – celle-ci ayant indiqué avoir adressé en moyenne près d’un courriel par jour à ses clients inactifs sur les trois premiers trimestres 2021 (soit près de 30 millions de courriels à environ 112 000 personnes) – justifie d’autant plus de limiter la durée de conservation des données à trois ans, cette durée et la régularité des sollicitations émanant de la société laissant très largement l’opportunité aux personnes concernées de se manifester si elles souhaitent de nouveau avoir recours aux services de la société.

90. Par conséquent, la formation restreinte relève que le fait, pour la société, de conserver les données de ses clients pendant une durée de six ans à des fins de prospection commerciale, constitue un manquement aux dispositions de l’article 5, paragraphe 1, e) du RGPD.

3) Sur le manquement à l’obligation de recueillir le consentement préalable des personnes concernées à la collecte de catégories particulières de données en application de l’article 9 du RGPD

91. En vertu de l’article 9, paragraphe 1 du RGPD, “ le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits “, sauf si ces traitements relèvent de l’une des conditions prévues au paragraphe 2, a) à j) du même article.

92. Parmi ces conditions, il est notamment prévu que le traitement puisse avoir lieu “ si la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée “ (article 9, paragraphe 2, a)).

93. La rapporteure observe que la société ne recueille pas le consentement préalable et explicite de ses clients ou prospects à la collecte de données sensibles. Elle vise, d’une part, les données relatives à l’orientation sexuelle des utilisateurs du site web cosmospace.medium.fr, recueillies par le biais d’un formulaire destiné à délivrer une prédiction sur leur compatibilité amoureuse et, d’autre part, les données sensibles recueillies par les voyants lors des consultations par téléphone (vie sexuelle, santé, convictions religieuses, etc.).

94. En défense, s’agissant des données collectées par le biais du formulaire figurant sur le site web cosmospace.medium.fr, la société considère que les données en cause ne peuvent être qualifiées de données sensibles et que le fait de traiter à la fois la civilité et la date de naissance d’une personne est une pratique courante dans de nombreux domaines.

95. S’agissant des données recueillies dans le cadre des consultations par téléphone, la société affirme ne procéder à aucun traitement de données sensibles, et notamment à aucune collecte volontaire de telles données. Elle fait notamment valoir que les voyants ne posent aucune question relative à ce type de données, et affirme avoir mis en place des procédures afin que celles qui pourraient être spontanément délivrées par les clients ne soient mentionnées dans aucun fichier informatique ou papier. Elle souligne en outre que ses conditions générales interdisent la divulgation d’informations sensibles et que les clients qui communiqueraient de telles données s’inscriraient en violation de ces conditions. Elle ajoute ne faire aucun usage de ces données et ne délivrer aucun service sur cette base.

96. Enfin, la société considère qu’en tout état de cause, dans l’hypothèse où il serait considéré que des catégories particulières de données sont traitées par la société, l’exception fondée sur l’article 9-2, e) du RGPD devrait alors trouver à s’appliquer, s’agissant d’informations manifestement rendues publiques par les personnes concernées.

97. Premièrement, la formation restreinte relève que la société procède bien au traitement de catégories particulières de données (dites données sensibles), au sens de l’article 9 du RGPD.

98. D’une part, elle note qu’il ressort du contrôle en ligne réalisé le 15 novembre 2021 à partir du site cosmospace.medium.fr qu’après création d’un compte utilisateur (nécessitant de renseigner, a minima, une adresse de courrier électronique, un prénom, un nom, un sexe et une date de naissance), la délégation a pu accéder à un formulaire destiné à délivrer aux utilisateurs du site une prédiction gratuite sur leur compatibilité amoureuse avec une personne de leur choix. Doivent être renseignés sur ledit formulaire le prénom, la date de naissance ainsi que le sexe de l’utilisateur, mais également le prénom, la date de naissance et le sexe de son/sa partenaire.

99. La formation restreinte relève tout d’abord que ces informations, en ce qu’elles se rapportent à une personne physique identifiée ou identifiable – notamment grâce à la fourniture de l’identité complète de l’utilisateur et de son adresse de courrier électronique lors de l’inscription sur le site, étant rappelé que les constatations ont été réalisées alors que la délégation était connectée à son compte utilisateur –, constituent des “ données à caractère personnel “ au sens de l’article 4, paragraphe 1 du RGPD.

100. La formation restreinte rappelle ensuite que, dans un arrêt du 1er août 2022, la Cour de justice de l’Union européenne (ci-après, “ la CJUE “) a considéré que, même si les données en cause ne constituent pas, par nature, des données sensibles, elles doivent être considérées comme telles dès lors qu’elles sont susceptibles de dévoiler, de manière indirecte, l’orientation sexuelle de la personne concernée (CJUE, Grande Chambre, 1er août 2022, Vyriausioji tarnybinės etikos komisija, n° C184-20).

101. En l’espèce, le fait que la société collecte à la fois le sexe de la personne concernée et celui de son/sa partenaire, dans un contexte de compatibilité amoureuse, permet d’en déduire l’orientation sexuelle de cette personne. Dès lors, les données recueillies doivent être qualifiées de données sensibles, au sens de l’article 9 du RGPD.

102. D’autre part, la formation restreinte note qu’il ressort des enregistrements transmis à la délégation de contrôle que, lors des consultations par téléphone, les clients peuvent communiquer aux voyants certaines données sensibles, telles que des données révélant leurs convictions religieuses, des données concernant leur santé ou encore leur vie sexuelle ou orientation sexuelle. Quand bien même la société indique ne pas utiliser ces données pour une finalité spécifique, il apparait que celles-ci font bien l’objet d’un traitement, dans la mesure où elles sont collectées (via l’enregistrement des conversations téléphoniques), conservées (pour une durée plus ou moins longue, la moitié des enregistrements étant supprimée à la fin de la journée, l’autre moitié étant conservée six mois), susceptibles d’être consultées (par exemple, en cas de contestation) et in fine supprimées. Différentes opérations de traitement visées à l’article 4, paragraphe 2 du RGPD sont ainsi effectuées en lien avec ces données.

103. Deuxièmement, la formation restreinte considère que le traitement de données sensibles recueillies à l’occasion de consultations de voyance ne peut intervenir que sur la base du consentement explicite des personnes concernées au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, en application de l’article 9, paragraphe 2, a), du RGPD, aucune des autres conditions prévues au titre de l’article 9-2-b) à j) du RGPD n’étant mobilisable au cas d’espèce (CNIL, FR, Sanction, 8 juin 2023, SAN-2023-008, publié).

104. En effet, contrairement à ce qu’indique la société en défense, la formation restreinte relève qu’elle ne peut soutenir que le traitement mis en œuvre porterait “ sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée “ (article 9, paragraphe 2, e) du RGPD). S’agissant de cette exception, les lignes directrices 8/2020 sur le ciblage des utilisateurs de médias sociaux adoptées le 13 avril 2021 par le Comité européen de la protection des données (ci-après, “ le CEPD “) rappellent qu’elle implique que “ les responsables de traitement puissent démontrer que la personne concernée a clairement manifesté son intention de les rendre publiques “, ce qui n’est pas le cas d’une conversation privée intervenant entre un voyant et un client.

105. S’agissant du consentement requis en application de l’article 9, paragraphe 2, a), du RGPD, la formation restreinte rappelle que le caractère explicite du consentement s’analyse au cas par cas et dépend du contexte du traitement des données sensibles. Lorsque le service demandé par l’utilisateur implique nécessairement le traitement de données sensibles, il est cependant nécessaire que l’utilisateur ait pleinement conscience de ce que ses données sensibles seront traitées et parfois conservées par le responsable de traitement, ce qui implique en principe une information explicite sur ce point lors du recueil du consentement.

106. La formation restreinte rappelle que selon l’article 4, alinéa 11, du RGPD, la notion de consentement s’entend comme toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.

107. D’une part, la formation restreinte considère que le caractère explicite du consentement prévu à l’article 9, paragraphe 2, a) du RGPD suppose de permettre à la personne concernée de manifester, par une action positive, son assentiment au traitement de données sensibles, attestant de la matérialité de son consentement.

108. À titre d’éclairage, la formation restreinte rappelle que dans ses lignes directrices sur le consentement au sens du règlement 2016/679 du 10 avril 2018, le CEPD indique que “ le RGPD stipule qu’une “ déclaration ou un acte positif clair “ est une condition sine qua non d’un consentement “ standard “. Dès lors que les exigences pour un consentement “ standard “ dans le RGPD sont déjà portées à un niveau supérieur à celles de la directive 95/46/CE, il convient de préciser quels efforts complémentaires un responsable du traitement devrait entreprendre afin d’obtenir le consentement explicite d’une personne concernée conformément au RGPD. Le terme explicite se rapporte à la façon dont le consentement est exprimé par la personne concernée. Il implique que la personne concernée doit formuler une déclaration de consentement exprès. Une manière évidente de s’assurer que le consentement est explicite serait de confirmer expressément le consentement dans une déclaration écrite. Le cas échéant, le responsable du traitement pourrait s’assurer que la déclaration écrite est signée par la personne concernée afin de prévenir tout doute potentiel et toute absence potentielle de preuve à l’avenir. Une telle déclaration signée n’est toutefois pas la seule façon d’obtenir le consentement explicite […] “ (lignes directrices 2016/679 WP259 rev.01 du 10 avril 2018, page 21).

109. La formation restreinte souligne qu’elle a, à plusieurs reprises, adopté des mesures correctrices à l’encontre de responsables de traitement ne recueillant pas le consentement explicite des personnes pour collecter et traiter leurs données “ sensibles “, notamment dans ses délibérations n° 2016-405 du 15 décembre 2016 et n° 2016-406 du 15 décembre 2016 ainsi que dans sa délibération n° SAN-2017-006 du 27 avril 2017 dans laquelle elle a considéré que “ le renseignement spontané de telles données n’exonère pas la société de l’obligation de recueillir le consentement exprès des personnes qui doivent être en mesure de manifester par une action positive leur assentiment au traitement de données sensibles, attestant ainsi que le consentement est donné en toute connaissance de cause “.

110. La formation restreinte relève donc, comme elle l’a déjà fait récemment à l’égard d’un autre organisme délivrant des prestations de voyance, que la simple volonté de recevoir ce type de prestation et le fait de livrer spontanément des informations sensibles ne constituent pas un consentement explicite des personnes concernées au traitement de leurs données, et que le responsable de traitement doit mettre à la disposition des personnes auprès desquelles il collecte des catégories particulières de données un moyen permettant de s’assurer qu’elles y consentent de manière explicite par un acte positif clair (CNIL, FR, 8 juin 2023, Sanction, SAN-2023-008, publié).

111. D’autre part, la formation restreinte rappelle que le consentement recueilli au titre de l’article 9, paragraphe 2, a) précité, du RGPD doit se lire à la lumière de la définition posée à l’article 4, paragraphe 11 précité du RGPD, ce qui implique que, pour consentir valablement, la personne concernée soit, au préalable, pleinement éclairée sur le caractère particulier des données qu’elle communique, notamment en ce que celles-ci peuvent révéler son état de santé et son orientation sexuelle, ainsi que sur l'usage qui sera fait de ces données.

112. En l’espèce, la formation restreinte note que la société ne délivre aucune information spécifique aux personnes concernées s’agissant de la collecte et du traitement des données recueillies à partir du formulaire figurant sur le site cosmospace.medium.fr et ne recueille pas leur consentement de manière explicite pour le traitement de ces données.

113. De la même manière, dans le cadre des consultations par téléphone, ni les standardistes, ni les voyants ne délivrent d’information relative au traitement de telles données ni ne recueillent de consentement.

114. Dès lors, la formation restreinte considère que la société ne fournit pas aux personnes concernées une information spécifique et ne recueille pas leur consentement de manière explicite, de sorte qu’elle ne peut se prévaloir de l’exception à l’interdiction de collecter et traiter des catégories particulières de données prévue à l’article 9, paragraphe 2, a) du RGPD.

115. En conséquence, la formation restreinte considère qu’en l’absence de recueil du consentement préalable et explicite des clients à la collecte de leurs données sensibles, et d’une information spécifique à ce sujet, un manquement à l’article 9 du RGPD est constitué.

4) Sur le manquement à l’obligation de recueillir le consentement des personnes concernées pour la mise en œuvre de prospection commerciale par voie électronique en application de l’article L. 34-5 du CPCE

116. Aux termes de l’article L. 34-5 du CPCE, “ est interdite la prospection directe au moyen de système automatisé de communications électroniques […], d'un télécopieur ou de courriers électroniques utilisant les coordonnées d'une personne physique […] qui n'a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen. Pour l'application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe […] “.

117. Aux termes de l’article 4, paragraphe 11 du RGPD, on entend par “ consentement “ de la personne concernée “ toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement “.

118. En application des dispositions combinées des articles L. 34-5 du CPCE et 4, paragraphe 11 du RGPD, l’organisme qui fait réaliser des opérations de prospection commerciale par voie électronique doit disposer d’un consentement libre, spécifique, éclairé et univoque des personnes concernées.

119. La rapporteure relève que la société a indiqué procéder à des opérations de prospection commerciale par voie électronique à destination de prospects dont les données ont été recueillies par son partenaire, la société TELEMAQUE. Elle considère que la société COSMOSPACE ne dispose pas, pour réaliser ces opérations, du consentement éclairé des personnes concernées. Elle estime en effet que, lorsque la société TELEMAQUE collecte ces données par l’intermédiaire d’un formulaire présent sur son site web horoscope.fr, aucune liste des partenaires auxquels les données sont susceptibles d’être transmises n’est aisément accessible et que, dès lors, les personnes concernées ne peuvent s’attendre à recevoir des messages de prospection de la part de la société COSMOSPACE puisqu’elles n’y ont pas valablement consenti.

120. En défense, la société considère, en premier lieu, que l’accord de responsabilité conjointe signée avec la société TELEMAQUE permet aux deux sociétés d’adresser des courriels et SMS indifféremment aux clients et prospects de l’une et de l’autre.

121. En deuxième lieu, la société soutient qu’une liste de partenaires était bien accessible depuis le formulaire visé et qu’aucun manquement ne peut donc être retenu.

122. En troisième lieu, la société indique que, depuis les contrôles réalisés, le formulaire visé a évolué et que la liste des partenaires susceptibles d’adresser des courriels de prospection aux personnes concernées est désormais présentée conformément aux préconisations de la rapporteure.

123. En quatrième et dernier lieu, la société considère qu’en tout état de cause, il apparait “ quasiment impossible “ de présenter aux utilisateurs une liste des partenaires, et encore moins une liste à jour. Selon elle, le fait de faire apparaître en clair une telle liste constitue une atteinte au secret des affaires et est en contradiction avec les clauses contractuelles (notamment les clauses de confidentialité) la liant à ses partenaires.

124. La formation restreinte rappelle que lorsque les données des prospects n’ont pas été collectées directement auprès d’eux par l’organisme qui prospecte, le consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte de l’organisme qui réalisera les opérations de prospection ultérieures. À défaut, il revient à l’organisme qui prospecte de recueillir un tel consentement avant de procéder à des actes de prospection (CNIL, FR, 24 novembre 2022, Sanction, n°SAN-2022-021, publié ; CNIL, FR, 4 avril 2024, Sanction, n° SAN-2024-004, publié).

125. En outre, pour que le consentement soit éclairé, les personnes doivent notamment être clairement informées de l’identité du prospecteur pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées. Pour ce faire, une liste exhaustive et mise à jour des partenaires doit être tenue à la disposition des personnes au moment du recueil de leur consentement, par exemple directement sur le support de collecte ou, si celle-ci est trop longue, via un lien hypertexte renvoyant vers ladite liste à jour et les politiques de confidentialité des prestataires et fournisseurs (CNIL, FR, 24 novembre 2022, Sanction, SAN-2022-021, publié ; CNIL, FR, 12 octobre 2023, Sanction, SAN-2023-015, publié).

126. En l’espèce, il ressort de l’instruction que les sociétés COSMOSPACE et TELEMAQUE ont mis en place une base de données commune (plateforme “ data management platform “ ou “ DMP “), contenant l’ensemble des données à caractère personnel de leurs clients et prospects, ce qui représentait, au 6 octobre 2022, plus de 7 millions de fiches de contact pour plus de 1, 5 millions de personnes uniques (un même client ou prospect pouvant avoir plusieurs fiches, en fonction de son mode de prise de contact). Ces deux sociétés ont toutes deux confirmé traiter ces données, notamment à des fins de prospection commerciale, et ce indépendamment de la société ayant collecté lesdites données. Au cours des trois premiers trimestres 2022, la société COSMOSPACE a ainsi indiqué avoir envoyé 85 452 SMS et 7 364 453 courriels à un peu moins de 54 000 personnes (soit un courriel tous les deux jours) dont les coordonnées ont été recueillies par la société TELEMAQUE dans le cadre de ses services de voyance ou sur ses sites web.

127. La formation restreinte relève par ailleurs que, pour l’envoi de courriers électroniques et SMS aux personnes dont les données ont été recueillies par la société TELEMAQUE, la société COSMOSPACE a indiqué ne pas recueillir le consentement préalable des personnes concernées, estimant que ce recueil aurait déjà été effectué pour son compte lors de la collecte des données par la société TELEMAQUE.

128. En premier lieu, s’agissant de l’accord de responsabilité conjointe existant entre les sociétés COSMOSPACE et TELEMAQUE, et dont la société se prévaut dans ce cadre, la formation restreinte rappelle que, malgré le statut de responsables conjoints défini contractuellement par les deux sociétés pour la gestion de leur base de données commune contenant les données de leurs clients et prospects, chaque société est responsable des opérations effectuées pour son propre compte à partir de cette base, notamment les opérations de prospection commerciale (CNIL, FR, 28 décembre 2021, Sanction, SAN-2021-021, publié).

129. Dès lors, l’existence d’un tel accord n’exonère pas les sociétés signataires de la nécessité de disposer du consentement libre, spécifique, éclairé et univoque des personnes concernées pour l’utilisation de leurs données à des fins de prospection commerciale par voie électronique, lorsque celles-ci n’ont pas été recueillies directement par l’organisme prospecteur.

130. En second lieu, s’agissant de la validité du consentement recueilli par la société TELEMAQUE, et dont la société COSMOSPACE se prévaut pour fonder ses opérations de prospection commerciale par voie électronique, la formation restreinte observe qu’il ressort des constatations réalisées lors du contrôle en ligne du 15 novembre 2021 que le formulaire mis en œuvre par la société TELEMAQUE à partir du site web horoscope.fr comportait une case à cocher autorisant sans distinction la prospection par la société TELEMAQUE, pour son propre compte, et celle susceptible d’être réalisée par ses partenaires, sans les identifier.

131. En effet, la formation restreinte relève d’abord que le texte accompagnant cette case (“ en cochant cette case, vous acceptez de recevoir de la part de Télémaque et de ses Partenaires, par email, téléphone et SMS, des offres liées à la voyance “) ne mentionnait pas la société COSMOSPACE et qu’il ne comportait pas davantage de lien URL permettant d’accéder à la liste des partenaires auxquels les données étaient susceptibles d’être transmises. La formation restreinte observe ensuite que, si un lien intitulé “ en savoir plus “ permettait d’obtenir des informations complémentaires en lien avec l’existence de partenaires, ces informations n’étaient toutefois pas facilement accessibles. En effet, ce lien “ en savoir plus “ était situé plus loin sur le formulaire d’inscription, à la fin d’une mention informant les personnes concernées de leur possibilité de se désinscrire pour ne plus recevoir d’emails ou de SMS. En utilisant le lien “ en savoir plus “, il était possible d’accéder à une page “ en savoir plus sur le traitement de vos données personnelles et vos droits “, qui mentionne que “ le traitement des données à caractère personnel collectées par horoscope.fr est géré par la société TELEMAQUE et par son partenaire la société COSMOSPACE “. Ce lien, situé à distance de la case à cocher et qui, par la couleur de sa police et son positionnement, se confondait avec l’adresse de courrier électronique du délégué à la protection des données qui le précédait, ne permettait pas aux utilisateurs d’être informés clairement de l’identité du prospecteur auquel les données étaient susceptibles d’être transmises. En outre, si les informations figurant sur la page “ en savoir plus sur le traitement de vos données personnelles et vos droits “ mentionnaient bien l’existence de la société COSMOSPACE, en sa qualité de partenaire de la société TELEMAQUE, les termes utilisés ne faisaient nullement référence à la notion de prospection commerciale, si bien que les utilisateurs ne pouvaient, même à la lecture de ce texte, s’attendre à être démarchés par la société COSMOSPACE.

132. Il ressort de l’ensemble de ces éléments que la société COSMOSPACE ne pouvait se prévaloir, pour réaliser ses opérations de prospection commerciale, du consentement recueilli par la société TELEMAQUE pour son compte par le biais du formulaire mis en œuvre sur le site horoscope.fr, au moment du contrôle en ligne du 15 novembre 2021, celui-ci ne permettant pas la manifestation d’un consentement éclairé au sens de l’article 4.11 du RGPD.

133. La formation restreinte note que, dans le cadre de ses observations écrites du 2 avril 2024, la société a indiqué que le formulaire figurant sur le site horoscope.fr avait été modifié depuis les opérations de contrôle, et avant l’engagement de la procédure de sanction, présentant sa nouvelle version comme conforme aux exigences requises en matière de consentement pour pouvoir mener les opérations de prospection visées à l’article L. 34-5 du CPCE.

134. Or, la formation restreinte relève que ledit formulaire ne permettait pas davantage aux personnes concernées de manifester leur consentement de manière éclairée.

135. Un contrôle en ligne réalisé le 23 avril 2024 a en effet permis de constater que la case à cocher permettant de recueillir le consentement était accompagnée du texte “ je donne mon consentement exprès(3) pour recevoir des offres de voyance par téléphone, email, SMS ou Whatsapp “. La formation restreinte observe, d’une part, que si la liste des partenaires figurait désormais sur la même page que le formulaire, seul un chiffre accolé au terme “ exprès “, mentionné sous la forme d’un exposant, en très petit caractère et peu lisible, renvoyait à une note de bas de page, située à distance du formulaire (et sur une partie non visible de la page lorsque le formulaire était affiché), dans laquelle figurait ladite liste. La formation restreinte considère que, compte tenu de ces éléments, l’utilisateur pouvait aisément ne pas voir ce chiffre, ne pas y prêter attention ou ne pas s’y attarder et, dès lors, ne pas se référer au contenu de la note.

136. D’autre part, la formation restreinte relève que, dans cette seconde formulation accompagnant la case à cocher, plus aucune référence à la notion de “ partenaires “, la seule mention “ je donne mon consentement exprès pour recevoir des offres de voyance par téléphone, email, SMS ou Whatsapp “ laissant entendre à l’utilisateur que ces offres émaneraient exclusivement de la société TELEMAQUE.

137. Il apparait dès lors que, pour ces deux formulaires, le consentement recueilli par la société TELEMAQUE n’apparaissait pas suffisamment éclairé pour permettre à la société COSMOSPACE de s’en prévaloir dans le cadre de ses opérations de prospection commerciale par voie électronique.

138. Dans ces conditions, la formation restreinte considère que, faute pour la société COSMOSPACE de disposer, pour réaliser ses opérations de prospection commerciale par voie électronique, du consentement éclairé des personnes dont les données ont été recueillies par la société TELEMAQUE, un manquement à l’article L. 34-5 du CPCE est constitué.

139. La formation restreinte relève néanmoins que, depuis les derniers contrôles réalisés, il apparait que la société TELEMAQUE a de nouveau modifié le formulaire visé. Il résulte des derniers éléments communiqués que le texte accompagnant la case à cocher permettant de recueillir le consentement des utilisateurs à l’utilisation de leurs données à des fins de prospection commerciale vise désormais explicitement la société COSMOSPACE (“ je donne mon consentement exprès pour recevoir des offres de voyance par téléphone, email, SMS ou WhatsApp par la société Télémaque et ses partenaires Cosmospace, […], […] et […] “). Si la formation restreinte prend acte de cette mise en conformité, le manquement apparait néanmoins constitué pour le passé.

III. SUR LE PRONONCÉ DE MESURES CORRECTRICES ET LEUR PUBLICITÉ

140. Aux termes de l’article 20 de la loi n° 78-17 du 6 janvier 1978 modifiée, “ lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […] 7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 “.

141. L’article 83 du RGPD prévoit en outre que “ chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives “, avant de préciser les éléments devant être pris en compte pour décider s'il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.

142. La société soutient tout d’abord n’avoir commis aucune négligence, les manquements relevés découlant, selon elle, d’une application et d’une interprétation différentes des textes. Elle considère qu’en tout état de cause, la proposition de sanction est disproportionnée au regard d’autres décisions rendues par la formation restreinte. Elle estime ainsi que doivent être pris en compte certains critères tels que sa situation économique, son niveau de conformité, la longueur de la procédure, l’absence de mise en demeure préalable ainsi que sa coopération totale. Enfin, elle considère que la mesure de publicité proposée est injustifiée, dans la mesure où aucun manquement grave n’a été relevé, qu’aucune plainte n’a été déposée et que, s’il s’agit de créer un précédent dans le secteur de la voyance, la CNIL a déjà rendu une décision le 8 juin 2023.

143. En premier lieu, la formation restreinte rappelle que, si l’imposition d’une amende administrative est conditionnée à l’établissement d’une violation fautive de la part de l’organisme poursuivi, cette faute peut découler d’un comportement délibéré mais également d’une négligence, en application de l’alinéa b) de l’article 83, paragraphe 2 du RGPD (CJUE, Grande Chambre, 5 décembre 2023, Deutsche Wohnen SE e.a., C-807/21 ; CJUE, Grande Chambre, 5 décembre 2023, Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos e.a., C-683/21).

144. La formation restreinte considère qu’en l’espèce, les manquements commis par la société révèlent une négligence certaine de sa part. En effet, la formation restreinte souligne, d’une part, que les règles rappelées dans la présente délibération font l’objet d’une interprétation constante de la part de la CNIL. A titre d’exemple, si le référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales a été publié peu de temps après les opérations de contrôle, les recommandations qu’il contient n’apparaissent pas nouvelles, la CNIL ayant déjà adopté, depuis 2005, la norme simplifiée NS-048 (contenant notamment des préconisations sur la durée de conservation des données des clients à des fins de prospection) et, depuis 2014, la norme simplifiée NS-057 (s’agissant des enregistrements des conversations téléphoniques). D’autre part, la formation restreinte relève que la multiplicité des manquements relevés témoigne d’une négligence dans la mise en œuvre des traitements réalisés par la société.

145. En deuxième lieu, la formation restreinte considère qu’il y a lieu de faire application du critère prévu à l’alinéa a) de l’article 83, paragraphe 2 du RGPD relatif à la nature, à la gravité et à la durée de la violation, compte tenu de la nature, de la portée du traitement et du nombre de personnes concernées.

146. La formation restreinte relève tout d’abord que les manquements aux articles 5-1-c, 5-1-e et 9 du RGPD concernent les principes fondamentaux de la protection des données et sont ainsi susceptibles de faire l’objet d’une amende pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel de l’exercice précédent de la société – soit le montant maximal prévu par les textes -, en application de l’article 83, paragraphe 5 du RGPD. A cet égard, les lignes directrices sur le calcul des amendes administratives adoptées par le comité européen de la protection des données rappellent qu’à “ travers cette distinction, le législateur a donné une première indication de la gravité de la violation, de manière abstraite. Plus la violation est grave, plus l’amende est susceptible d’être élevée “ (point 50).

147. La formation restreinte note ensuite que les manquements relevés sont susceptibles de concerner un nombre important de personnes, la base de données commune aux sociétés COSMOSPACE et TELEMAQUE comprenant plus de 1,5 million de contacts uniques ayant le statut de prospect ou de client. En particulier, s’agissant du manquement à l’article L. 34-5 du CPCE, la formation restreinte entend souligner que la société COSMOSPACE a massivement recours à l’envoi de messages de prospection commerciale puisqu’elle a indiqué avoir adressé, au cours des trois premiers trimestres 2022, plus de 85 000 SMS et plus de 7,3 millions de courriels à près de 54 000 personnes (soit un courriel tous les deux jours), dont les coordonnées ont été recueillies par la société TELEMAQUE.

148. Par ailleurs, la formation restreinte relève que certains des manquements en cause ont pour effet de priver de licéité les traitements effectués. Il en va ainsi du manquement à l’article 9 du RGPD, la collecte des données “ sensibles “ étant, par principe, interdite, ainsi que du manquement à l’article L. 34-5 du CPCE, les opérations de prospection commerciale menées n’étant licites que si le responsable de traitement dispose d’un consentement valide.

149. La formation restreinte souligne en outre que les personnes ayant recours aux prestations de voyance à distance proposées par la société sont susceptibles de se trouver dans une situation de vulnérabilité, pouvant les amener à abaisser leur seuil de vigilance et à communiquer facilement certaines données les concernant, notamment des données sensibles. Dans ces conditions, le respect des exigences relatives au recueil du consentement est primordial.

150. La formation restreinte entend enfin insister sur le caractère potentiellement très intrusif de certains des traitements en cause, notamment l’enregistrement intégral et systématique des conversations téléphoniques (tant à l’égard des salariés que des clients de la société) et l’envoi de messages de prospection commerciale, dont la fréquence et la multiplicité sont susceptibles d’engendrer une véritable gêne pour les destinataires, pendant une durée particulièrement longue.

151. En troisième lieu, la formation restreinte entend faire application du critère prévu à l’alinéa g) de l’article 83, paragraphe 2 du RGPD, relatif aux catégories de données à caractère personnel concernées par la violation.

152. A cet égard, si le manquement à l’article 9 du RGPD concerne spécifiquement le recueil de données sensibles, la formation restreinte relève que le manquement à l’article 5, paragraphe 1, c) est également susceptible de porter sur de telles données, dans la mesure où les enregistrements réalisés peuvent potentiellement contenir des informations relatives à l’orientation ou à la vie sexuelle des personnes concernées, à leurs convictions religieuses ou encore à leur santé.

153. En quatrième lieu, la formation restreinte entend tenir compte du degré de coopération avec l’autorité de contrôle dont la société a fait preuve, en application de l’alinéa f) de l’article 83, paragraphe 2 du RGPD. Il apparait en effet que, à la suite de la réception des observations en réponse de la rapporteure, la société s’est mise en conformité s’agissant du manquement à l’article L. 34-5 du CPCE.

154. La formation restreinte considère que l’ensemble de ces éléments justifient le prononcé d’une amende administrative.

155. S’agissant du montant de l’amende, la formation restreinte rappelle que les violations relevées sont susceptibles de faire l’objet, en vertu de l’article 83 du RGPD, d’une amende administrative pouvant s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.

156. Elle considère que l’activité de la société et sa situation financière doivent notamment être prises en compte. Elle relève à cet égard que la société COSMOSPACE a réalisé, au titre de l’année 2021/2022, un chiffre d’affaires d’environ 26,4 millions d’euros, pour un bénéfice de plus 0,5 million d’euros. L’année suivante, ce chiffre d’affaires s’est élevé à 26,6 millions d’euros, pour un résultat net déficitaire de 1,46 million d’euros.

157. Au regard de la responsabilité de la société, de ses capacités financières et des critères pertinents de l’article 83, paragraphe 2 du RGPD évoqués ci-avant, la formation restreinte estime qu’une amende de deux cent cinquante mille (250 000) euros apparaît justifiée.

158. S’agissant de la publicité de la sanction, la formation restreinte considère que celle-ci se justifie au regard de la gravité de certains des manquements en cause, de la position de la société sur le marché, de la portée des traitements et du nombre de personnes concernées.

159. Elle relève également que cette mesure a notamment vocation à informer les personnes concernées par les traitements mis en œuvre par la société, qu’il s’agisse des prospects ou des clients. Cette information leur permettra, le cas échéant, de faire valoir leurs droits.

160. Enfin, elle estime que cette mesure est proportionnée dès lors que la décision n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication. 

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

• prononcer une amende administrative à l’encontre de la société COSMOSPACE d’un montant de deux cent cinquante mille (250 000) euros pour manquements aux articles 5-1-c), 5-1-e), 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et L.34-5 du code des postes et communications électroniques, qui se décompose comme suit :

 deux cent mille (200 000) euros pour manquement aux articles 5-1-c), 5-1-e) et 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;

 cinquante mille (50 000) euros pour manquement à l’article L.34-5 du code des postes et des communications électroniques ;

• rendre publique, sur le site web de la CNIL et sur le site web de Légifrance, sa délibération, qui ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication.

Le président

Philippe-Pierre CABOURDIN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.