La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Philippe-Pierre CABOURDIN, président, M. Vincent LESCLOUS, vice-président, Mmes Laurence FRANCESCHINI et Isabelle LATOURNARIE-WILLEMS et M. Alain DRU, membres ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code des postes et des communications électroniques ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;
Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;
Vu la décision n° 2021-270C du 4 octobre 2021 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par les sociétés COSMOSPACE et TELEMAQUE ou pour leur compte, en tout lieu susceptible d’être concerné par leur mise en œuvre ;
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés du 16 novembre 2023 portant désignation d’un rapporteur devant la formation restreinte ;
Vu le rapport de Mme Sophie LAMBREMON, commissaire rapporteure, signifié à la société TELEMAQUE le 15 mars 2024 ;
Vu les observations écrites versées par la société TELEMAQUE le 12 avril 2024 ;
Vu la décision n° 2024-092C du 22 avril 2024 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de tout traitement accessible à partir du domaine " cosmospace.medium.fr " ou portant sur des données à caractère personnel collectées à partir de ce dernier ;
Vu la réponse de la rapporteure à ces observations, notifiée à la société le 30 avril 2024 ;
Vu les observations écrites versées par la société TELEMAQUE le 30 mai 2024 ;
Vu la clôture de l’instruction, notifiée à la société le 11 juin 2024 ;
Vu la demande de report de la séance formulée par la société le 18 juin 2024, et la réponse à cette demande adressée par le président de la formation restreinte à la société le 20 juin 2024 ;
Vu la demande de réouverture de l’instruction formulée par la société le 26 juin 2024, et la réponse à cette demande adressée par le président de la formation restreinte à la société le 27 juin 2024 ;
Vu les observations orales formulées lors de la séance de la formation restreinte du 4 juillet 2024 ;
Vu les autres pièces du dossier ;
Étaient présents, lors de la séance de la formation restreinte :
- Mme Sophie LAMBREMON, commissaire, entendue en son rapport ;
En qualité de représentants de la société TELEMAQUE :
- […] ;
La société TELEMAQUE ayant eu la parole en dernier ;
La formation restreinte a adopté la décision suivante :
I. FAITS ET PROCÉDURE
1. La société TELEMAQUE (FINZHOLD) (ci-après, " la société "), dont le siège social est situé 80 route des Lucioles à VALBONNE (06560), est une société par actions simplifiée ayant pour activité principale le développement et la fourniture de services informatiques et numériques. Au 30 novembre 2021, elle employait 43 salariés.
2. Entre mars 2021 et mars 2022, son chiffre d’affaires s’élevait à environ 9,6 millions d’euros, pour un résultat net de 973 486 euros. L’année suivante, ce chiffre s’élevait à environ 9,9 millions d’euros, pour un résultat net de 1,3 million d’euros.
3. La société a pour principal client la société COSMOSPACE, son partenaire historique, leurs rapports étant encadrés, d’une part, par un contrat de sous-traitance, d’autre part par un accord de responsabilité conjointe concernant le traitement de certaines données à caractère personnel.
4. Par ailleurs, la société TELEMAQUE exploite, pour son propre compte, un certain nombre de services numériques en lien avec les arts divinatoires. Elle édite à cet égard plusieurs sites web, parmi lesquels le site horoscope.fr, proposant notamment des services de voyance par SMS, par SVA (service correspondant à un numéro de téléphone surtaxé) ou par outil d’échange de messages textuels en ligne (ci-après, " chat "). En 2021, 7 401 clients uniques par mois en moyenne ont ainsi eu recours aux prestations proposées par SMS. Ce chiffre s’élève, pour les consultations par SVA, à 6 355 et, pour le " chat " en français, à 1 175. La société propose également, sur certains de ses sites web, des prestations de voyance personnalisées par téléphone, lesquelles sont assurées par la société COSMOSPACE.
5. Afin de promouvoir ses offres, la société TELEMAQUE réalise des campagnes de prospection commerciale par courriers électroniques et SMS, tant auprès de ses clients que de prospects dont les coordonnées ont été obtenues soit directement par ses soins (principalement par le biais de ses sites web), soit par la société COSMOSPACE. Pour ce faire, les deux sociétés ont mis en place une base de données commune ([…]), contenant les données de l’ensemble de leurs clients et prospects, ce qui représentait, au 6 octobre 2022, plus de 7 millions de fiches de contact pour plus d’1,5 million de personnes uniques.
6. La société a indiqué avoir, sur les trois premiers trimestres de l’année 2022, envoyé près de 4 millions de SMS et plus de 7,2 millions de courriers électroniques de prospection commerciale.
7. Le 15 novembre 2021, une délégation de la Commission nationale de l’informatique et des libertés (ci-après, " la CNIL " ou " la Commission ") a procédé à un contrôle en ligne à partir de cinq sites web édités par les sociétés COSMOSPACE et TELEMAQUE. Celui-ci avait pour but de vérifier le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après, " la loi Informatique et Libertés " ou " loi du 6 janvier 1978 modifiée ") et des autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France. Le procès-verbal dressé à l’issue a été notifié à la société TELEMAQUE le 22 novembre 2021.
8. Un contrôle sur place a également été réalisé les 7 et 8 décembre 2021 dans les locaux des sociétés susvisées. Les procès-verbaux afférents ont été notifiés à la société TELEMAQUE le 10 décembre 2021.
9. La société a communiqué à la délégation des éléments complémentaires les 20 décembre 2021, 26 janvier, 25 février, 30 mai, 5 août et 13 octobre 2022.
10. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 16 novembre 2023, désigné Mme Sophie LAMBREMON en qualité de rapporteure sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.
11. Conformément à l’article 56 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (ci-après, " le RGPD ") et au vu des éléments du dossier, la CNIL a, le 27 avril 2023, informé l’ensemble des autorités de contrôle européennes de sa compétence pour agir en tant qu’autorité de contrôle cheffe de file concernant les traitements transfrontaliers mis en œuvre par la société, résultant de ce que l’établissement principal de la société se trouve en France. Après échanges entre la CNIL et les autorités de protection des données européennes dans le cadre du mécanisme de guichet unique, il apparait que les autorités allemande, autrichienne, belge, chypriote, espagnole, grecque, hongroise, italienne, lettone, luxembourgeoise, néerlandaise, portugaise, tchèque et suédoise sont concernées par les traitements mis en œuvre, des personnes résidant dans ces Etats membres ayant eu recours aux services de voyance par " chat " proposés par la société.
12. Le 15 mars 2024, à l’issue de son instruction, la rapporteure a fait notifier à la société un rapport détaillant les manquements aux articles 5-1-e et 9-2 du RGPD et à l’article L. 34-5 du code des postes et des communications électroniques (ci-après, " le CPCE ") qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de prononcer à l’encontre de la société une amende administrative. Il proposait également que cette décision soit rendue publique mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
13. Le 12 avril 2024, la société a produit des observations en réponse au rapport de sanction.
14. Le 23 avril 2024, sur demande de la rapporteure et en application de l’article 39 du décret du 29 mai 2019, une délégation de la CNIL a procédé à un nouveau contrôle en ligne à partir du site web cosmospace.medium.fr. Le procès-verbal dressé à l’issue a été notifié à la société TELEMAQUE le 30 avril 2024.
15. Le même jour, la rapporteure a répondu aux observations du 12 avril 2024 de la société.
16. Le 30 mai 2024, la société a produit de nouvelles observations en réponse.
17. Le 11 juin 2024, la rapporteure a, en application du III de l’article 40 du décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi Informatique et Libertés (ci-après, " le décret du 29 mai 2019 "), informé la société et le président de la formation restreinte que l’instruction était close.
18. Le même jour, la société a été informée que le dossier était inscrit à l’ordre du jour de la formation restreinte du 4 juillet 2024.
19. La rapporteure et la société ont présenté des observations orales lors de la séance de la formation restreinte.
II. MOTIFS DE LA DECISION
A. Sur la procédure de coopération européenne
20. La rapporteure considère que la société met en œuvre des traitements de données à caractère personnel transfrontaliers dans la mesure où certains de ses clients accèdent aux services proposés depuis d’autres pays de l’Union. Elle relève ainsi que la société a transmis à la délégation un document faisant état du nombre de personnes ayant recours chaque mois à son service de voyance par " chat " en français, avec une répartition des clients par pays, qui atteste du caractère transfrontalier des traitements.
21. En défense, la société considère que c’est à tort que la CNIL a informé ses homologues européens de la procédure suivie à son encontre et que l’application du mécanisme de coopération n’a pas lieu d’être. Elle indique tout d’abord que les consultations par " chat " sont exclusivement délivrées en langue française. Ensuite, si elle admet qu’il peut arriver, " de manière exceptionnelle et marginale ", que certains clients français accèdent à ce service depuis l’étranger, elle estime que ceux-ci ne sont pas eux-mêmes étrangers, en se fondant sur les lieux de naissance des personnes concernées. La société considère que, compte tenu de ces éléments, seule l’autorité belge pourrait éventuellement être concernée.
22. La formation restreinte relève qu’il ressort des éléments du dossier que chaque mois, au cours de l’année 2022, plusieurs dizaines de personnes ont eu recours au service de voyance par " chat " proposé par la société depuis différents pays de l’Union européenne. Cette circonstance suffit à caractériser l’existence d’un traitement transfrontalier, dès lors qu’il affecte ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs Etats membres, au sens de l’article 4, paragraphe 23, b) du RGPD, nonobstant la langue dans laquelle ces personnes s’expriment, leur nationalité ou encore leur lieu de naissance.
23. En application de l’article 60, paragraphe 3 du RGPD, le projet de décision adopté par la formation restreinte a été transmis aux autres autorités de contrôle européennes compétentes, en vue de leur permettre d’effectuer des objections pertinentes et motivées sur les traitements et manquements qui les concernent, le 22 août 2024.
24. Au 19 septembre 2024, aucune de ces autorités n’avait formulé d’objection pertinente et motivée à l’égard de ce projet de décision, de sorte que, en application de l’article 60, paragraphe 6, du RGPD, ces dernières sont réputées l’avoir approuvé.
B. Sur la procédure suivie devant la formation restreinte
1) Sur le grief tiré de la méconnaissance du droit à un procès équitable
25. La société conteste la manière dont la procédure devant la CNIL aurait été menée, estimant en substance que la rapporteure n’aurait pas démontré que les manquements allégués sont établis et que son droit à un procès équitable n’aurait pas été respecté. Elle indique notamment n’avoir eu connaissance de la pièce intitulée " IMI REPORT – Numéro : […] – article 56 – identification de la LSA et des CSA ", par laquelle la CNIL informe les autorités de contrôle concernées de l’engagement d’une procédure de sanction, qu’après la clôture de l’instruction, et n’avoir ainsi pas été mise en mesure de présenter ses observations sur ce point.
26. Par ailleurs, la société considère que le refus opposé à sa demande de report de la séance du 4 juillet 2024 est injustifié.
27. La formation restreinte relève, en premier lieu, que pour établir son rapport, la rapporteure s’est fondée sur les éléments recueillis à l’occasion de contrôles menés dans le respect des dispositions de la loi Informatique et Libertés, et qu’elle a examiné les faits constatés à la lumière des règles applicables en matière de protection des données à caractère personnel. La formation restreinte considère ainsi qu’aucun élément n’est de nature à révéler un parti pris défavorable de la rapporteure envers la société.
28. En deuxième lieu, la formation restreinte rappelle que le principe du contradictoire implique le droit pour les parties de se voir communiquer et de pouvoir discuter de toute pièce ou observation présentée au juge en vue d’influencer sa décision (CEDH, Grande Chambre, 20 février 1996, Vermeulen c. Belgique, n° 19075/91).
29. La formation restreinte rappelle, d’une part, qu’en application de l’article 40-III du décret n° 2019-536 du 29 mai 2019, la décision de clore la procédure appartient à la rapporteure, lorsqu’elle estime le dossier en état. En l’espèce, il convient de relever que la rapporteure a pris cette décision le 10 juin 2024, considérant que le débat était épuisé après plusieurs échanges d’écritures avec la société, celle-ci ayant formulé ses observations en dernier. Ces échanges comportaient les pièces sur lesquelles la rapporteure s’est fondée pour caractériser les manquements qu’elle propose à la formation restreinte de retenir.
30. La formation restreinte note, d’autre part, que la pièce intitulée " IMI REPORT – Numéro : […] – article 56 – identification de la LSA et des CSA ", qui n’est qu’un document informatif dans le cadre de la procédure de coopération entre autorités de contrôle, constitue l’une des pièces figurant au dossier de la procédure. Elle relève que la société a été informée de la possibilité de prendre connaissance et copie de l’ensemble des pièces dudit dossier lors de la signification du rapport de sanction, le 15 mars 2024. Pour autant, la formation restreinte relève que la société n’a pas demandé à consulter ledit dossier et que ce n’est que le 21 juin 2024, soit dix jours après la clôture de la procédure, que la société a sollicité communication de cette pièce, qui lui a été transmise en réponse à sa demande le 24 juin 2024.
31. En tout état de cause, la formation restreinte relève que la société a pu présenter ses observations orales sur le document susvisé lors de la séance du 4 juillet 2024. La formation restreinte rappelle en outre que l’entier dossier de la procédure a également été mis à sa disposition avant la séance. Il résulte de ce qui précède que les membres de la formation restreinte ont pu disposer de l’ensemble des éléments leur permettant d’arrêter leur décision.
32. Dans ces conditions, la formation restreinte considère que le principe du contradictoire n’a pas été méconnu. S’agissant plus généralement de la conduite de la procédure, la formation restreinte relève qu’elle a été menée de manière régulière, la société ayant pu présenter ses observations, d’abord écrites dans le cadre de l’instruction, puis orales lors de la séance de la formation restreinte du 4 juillet 2024, dans le respect des règles procédurales définies aux articles 22 de la loi Informatique et Libertés, 39 à 45 du décret du 29 mai 2019 et 61 à 70-1 du règlement intérieur de la CNIL.
33. En troisième et dernier lieu, s’agissant du refus opposé à la demande formulée par la société le 18 juin 2024 tendant à ce que la séance du 4 juillet 2024 soit reportée en raison de l’indisponibilité de son conseil, la formation restreinte observe qu’une telle décision appartient au président de la formation restreinte qui, en l’espèce, a notamment considéré que la société avait présenté par deux fois ses observations en réponse au rapport et réponse de la rapporteure et disposait par ailleurs d’un délai suffisant pour s’organiser, ainsi qu’il l’a indiqué dans son courrier du 20 juin 2024. La formation restreinte note à cet égard que la société était représentée lors de la séance du 4 juillet 2024, le conseil désigné ayant été substitué par l’un de ses confrères. En conséquence, au vu de l’ensemble de ce qui précède, la société n'est pas fondée à soutenir que la procédure suivie à son encontre aurait méconnu son droit à un procès équitable
2) Sur le contrôle en ligne du 23 avril 2024
34. La société considère que les pièces relatives au contrôle en ligne réalisé le 23 avril 2024 à partir du site web cosmospace.medium.fr doivent être écartées des débats, dans la mesure où ce site n’appartient pas à la société TELEMAQUE.
35. La formation restreinte relève que, par décision n° 2021-270C du 4 octobre 2021, la présidente de la CNIL a chargé le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par les sociétés COSMOSPACE et TELEMAQUE.
36. En application de cette décision, une délégation de la CNIL a procédé, le 15 novembre 2021, à un contrôle en ligne à partir de plusieurs sites web édités par ces deux organismes. Les constatations réalisées ont permis de relever que la société COSMOSPACE mettait en œuvre, sur son site web cosmospace.medium.fr, un formulaire lui permettant de collecter les données des utilisateurs à des fins de prospection commerciale.
37. Dans le cadre de ses échanges avec la délégation de contrôle, la société TELEMAQUE a indiqué avoir mis en place, avec son partenaire la société COSMOSPACE, une base de données commune leur permettant d’adresser des courriels et SMS de prospection indifféremment aux clients et prospects de l’une ou de l’autre des sociétés.
38. Dans son rapport, notifié à la société TELEMAQUE le 15 mars 2024, la rapporteure a fait valoir que cette dernière ne pouvait, pour réaliser ses opérations de prospection, se prévaloir du consentement recueilli par la société COSMOSPACE via le formulaire mis en œuvre sur son site cosmospace.medium.fr, au motif qu’aucune liste de partenaires (mentionnant la société TELEMAQUE) n’était aisément accessible. Elle a considéré qu’un manquement à l’article L. 34-5 du CPCE était ainsi constitué.
39. Dans ses observations en réponse du 12 avril 2024, la société TELEMAQUE a répondu sur ce point et a notamment indiqué que, depuis le contrôle en ligne du 15 novembre 2021, le formulaire présent sur le site cosmospace.medium.fr avait été modifié. Elle a, à cet égard, fourni une capture d’écran de ce nouveau formulaire.
40. Dans le cadre des pouvoirs qui lui sont attribués par l’article 39, alinéa 4 du décret du 29 mai 2019, la rapporteure a sollicité la réalisation d’un nouveau contrôle, dans l’objectif de vérifier la conformité du formulaire évoqué par la société TELEMAQUE dans ses observations en réponse.
41. Par décision n° 2024-092C du 22 avril 2024, la présidente de la CNIL a chargé le secrétaire général de procéder ou de faire procéder à une mission de vérification de tout traitement accessible à partir du domaine " cosmospace.medium.fr " ou portant sur des données à caractère personnel collectées à partir de ce dernier.
42. C’est dans ces conditions qu’une délégation de la CNIL a procédé à un nouveau contrôle en ligne, de ce site le 23 avril 2024.
43. La formation restreinte relève que la décision de contrôle du 22 avril 2024 ne vise ni la société TELEMAQUE, ni la société COSMOSPACE, mais bien le domaine cosmospace.medium.fr, à partir duquel des données traitées par la société TELEMAQUE sont collectées.
44. Dans ces conditions, il n’y a pas lieu d’écarter les pièces relatives au contrôle en ligne du 23 avril 2024.
C. Sur les manquements constatés
1) Sur le manquement à l’obligation de définir et de respecter une durée de conservation proportionnée à la finalité du traitement en application de l’article 5-1-e du RGPD
45. Aux termes de l’article 5, paragraphe 1, e) du RGPD, les données à caractère personnel doivent être " conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (…) ".
46. En application de ces dispositions, il incombe au responsable de traitement de définir une durée de conservation conforme à la finalité du traitement. Lorsque cette finalité est atteinte, les données doivent être supprimées ou anonymisées, ou faire l’objet d’un archivage intermédiaire pour une durée déterminée lorsque leur conservation est nécessaire, par exemple pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses notamment.
47. A cet égard, la formation restreinte a rappelé à plusieurs reprises que la durée de conservation des données à caractère personnel doit être déterminée en fonction de la finalité poursuivie par le traitement. Lorsqu’elles ne sont plus nécessaires au besoin de la finalité pour laquelle elles ont été collectées, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire lorsque leur conservation est nécessaire, par exemple pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses. Cet archivage intermédiaire nécessite tout d’abord de réaliser un tri des données pertinentes à archiver, au regard des finalités justifiant la conservation de ces données (obligations légale ou comptable, finalité contentieuse, etc.), puis d’opérer une séparation avec la base active, qui peut être physique – via un transfert des données au sein d’une base d’archives dédiée – ou logique – via la mise en place de mesures techniques et organisationnelles garantissant que seules les personnes ayant un intérêt à traiter les données en raison de leurs fonctions puissent y accéder (CNIL, FR, 8 septembre 2022, Sanction, n° SAN-2022-018, publié ; CNIL, FR, 29 décembre 2023, Sanction, n° SAN-2023-023, publié).
48. La rapporteure relève qu’en l’espèce la société conserve les données de ses clients pendant une durée de six ans à compter de la fin de la relation commerciale, considérant que cette durée correspond au délai de prescription des délits en matière pénale (la société ayant précisé recevoir régulièrement des réquisitions judiciaires auxquelles elle doit faire droit) et arguant de la nécessité de conserver ces données pour des raisons fiscales et comptables, à des fins de recouvrement ainsi que pour la gestion des litiges. Elle note que la société a ainsi fourni à la délégation les informations relatives au compte client le plus ancien figurant dans sa base de données […] (dédiée aux échanges par " chat "), révélant que la personne concernée n’avait consommé aucune prestation de la société depuis le 6 novembre 2016, soit depuis plus de cinq ans au moment du contrôle sur place. La rapporteure considère, d’une part, que la nécessité de répondre aux réquisitions judiciaires qui lui sont adressées ne saurait justifier, en soi, que la société organise la conservation des données à l’issue de la relation commerciale à cette seule fin. D’autre part, s’agissant des autres finalités invoquées, la rapporteure estime que la société aurait dû, à l’issue de la relation commerciale, effectuer un tri des données afin de ne conserver que celles strictement nécessaires à la poursuite desdites finalités – et non l’ensemble des données traitées – et procéder à l’archivage intermédiaire de ces seules données, pour en limiter l’accès aux seules personnes ayant le besoin d’en connaître.
49. En défense, la société fait valoir que, compte tenu de la nature de ses activités et de la forte possibilité que les prestations fournies soient contestées, la durée pratiquée de six ans est nécessaire pour assurer sa défense " face à une éventuelle action civile, consumériste ou pénale ". Elle soutient par ailleurs qu’elle s’exposerait à une sanction pénale si elle n’était pas en mesure de répondre aux réquisitions judiciaires qu’elle reçoit.
50. En outre, la société confirme conserver l’ensemble des données en base active et ne procéder à aucun tri ni aucun archivage intermédiaire.
51. Premièrement, la formation restreinte rappelle que, s’il est nécessaire que les responsables du traitement fassent droit aux réquisitions judiciaires qu’ils reçoivent concernant les données qu’ils traitent pour leurs propres besoins, ils n’ont en revanche pas à organiser, à l’avance, la conservation de données à caractère personnel dans la perspective de répondre à une potentielle réquisition judiciaire. Ainsi, la société ne peut valablement soutenir qu’elle s’exposerait à une quelconque sanction pénale dans l’hypothèse où elle serait dans l’incapacité de répondre aux réquisitions reçues, en raison du fait qu’elle ne dispose plus des données demandées.
52. Deuxièmement, la formation restreinte relève que les données des clients de la société sont collectées pour une finalité déterminée, à savoir la gestion de la relation commerciale. Si, une fois cette finalité atteinte, la conservation de certaines données peut être justifiée au regard d’autres finalités, par exemple les finalités précontentieuses ou contentieuses invoquées par la société, la formation restreinte considère en revanche que la société se doit, à l’issue de la relation commerciale, d’effectuer un tri pour supprimer les données qui ne sont plus nécessaires et ne conserver que celles devant l’être au regard de ces finalités, en procédant à leur archivage intermédiaire pour en limiter l’accès aux personnes ayant le besoin d’en connaître en raison de leurs fonctions. La formation restreinte note que la société a confirmé ne procéder à aucun archivage intermédiaire et conserver l’ensemble des données de ses clients en base active pendant une durée de six ans à compter de la fin de la relation commerciale, ne mettant ainsi en place aucun accès différencié en fonction des finalités poursuivies et des données en cause. Une telle pratique ne permet pas de respecter le principe de limitation posé à l’article 5, paragraphe 1, e) du RGPD.
53. Troisièmement, la formation restreinte entend rappeler que, si la conservation des données des clients à des fins de prospection commerciale est possible – le cas échéant en base active, après avoir opéré un tri des données nécessaires au regard de cette finalité, la durée de cette conservation doit être limitée. A cet égard, la délibération n° 2021-131 du 23 septembre 2021 portant adoption d’un référentiel relatif aux traitements mis en œuvre aux fins de gestion des activités commerciales recommande une durée maximale de trois ans à compter de la fin de la relation commerciale. La formation restreinte relève qu’en l’espèce, la société n’apporte aucun élément permettant de justifier la conservation des données pendant une durée de six ans.
54. Par conséquent, la formation restreinte relève que le fait, pour la société, de conserver les données de ses clients en base active pendant une durée de six ans à l’issue de la relation commerciale constitue un manquement aux dispositions de l’article 5, paragraphe 1, e) du RGPD.
2) Sur le manquement à l’obligation de recueillir le consentement préalable des personnes concernées à la collecte de catégories particulières de données en application de l’article 9 du RGPD
55. En vertu de l’article 9, paragraphe 1 du RGPD, " le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits ", sauf si ces traitements relèvent de l’une des conditions prévues au paragraphe 2, a) à j) du même article.
56. Parmi ces conditions, il est notamment prévu que le traitement puisse avoir lieu " si la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée " (article 9, paragraphe 2, a)).
57. La rapporteure observe que la société ne recueille pas le consentement préalable et explicite de ses clients ou prospects à la collecte de données sensibles. Elle vise, d’une part, les données relatives à l’orientation sexuelle des utilisateurs du site web horoscope.fr, recueillies par le biais d’un formulaire destiné à délivrer une prédiction sur leur compatibilité amoureuse et, d’autre part, les données sensibles recueillies dans le cadre des consultations de voyance par " chat " ou SMS (orientation sexuelle, données de santé, etc.).
58. En défense, s’agissant des données collectées par le biais du formulaire figurant sur le site web horoscope.fr, la société considère que les données en cause ne peuvent être qualifiées de données sensibles et que le fait de traiter à la fois la civilité et la date de naissance d’une personne est une pratique courante dans de nombreux domaines.
59. S’agissant des données recueillies dans le cadre des consultations par " chat " ou SMS, la société affirme ne procéder à aucun traitement de données sensibles, et notamment à aucune collecte volontaire de telles données. Elle fait notamment valoir que les voyants ne posent aucune question relative à ce type de données, et affirme avoir mis en place des procédures afin que celles qui pourraient être spontanément délivrées par les clients ne soient mentionnées dans aucun fichier informatique ou papier. Elle souligne en outre que ses conditions générales interdisent la divulgation d’informations sensibles et que les clients qui communiqueraient de telles données s’inscriraient en violation de ces conditions. Elle ajoute ne faire aucun usage de ces données et ne délivrer aucun service sur cette base.
60. Enfin, la société considère qu’en tout état de cause, dans l’hypothèse où il serait considéré que des catégories particulières de données sont traitées par la société, l’exception fondée sur l’article 9-2, e) du RGPD devrait alors trouver à s’appliquer, s’agissant d’informations manifestement rendues publiques par les personnes concernées.
61. Premièrement, la formation restreinte relève que la société procède bien au traitement de catégories particulières de données (dites données sensibles), au sens de l’article 9 du RGPD.
62. D’une part, elle note que la société propose aux utilisateurs de son site web horoscope.fr de remplir un formulaire destiné à délivrer une prédiction gratuite sur leur compatibilité amoureuse avec une personne de leur choix. Doivent ainsi être renseignés le sexe, la date, l’heure et la ville de naissance, ainsi que l’adresse de courrier électronique de l’utilisateur, mais également le sexe et la date de naissance de son/sa partenaire.
63. La formation restreinte relève tout d’abord que ces informations, en ce qu’elles se rapportent à une personne physique identifiée ou identifiable – notamment grâce à la fourniture de l’adresse de courrier électronique, ainsi que de la date, de l’heure et la ville de naissance –, constituent des " données à caractère personnel " au sens de l’article 4, paragraphe 1 du RGPD.
64. La formation restreinte rappelle ensuite que, dans un arrêt du 1er août 2022, la Cour de justice de l’Union européenne (ci-après, " la CJUE ") a considéré que, même si les données en cause ne constituent pas, par nature, des données sensibles, elles doivent être considérées comme telles dès lors qu’elles sont susceptibles de dévoiler, de manière indirecte, l’orientation sexuelle de la personne concernée (CJUE, Grande Chambre, 1er août 2022, Vyriausioji tarnybinės etikos komisija, n° C184-20).
65. En l’espèce, le fait que la société collecte à la fois le sexe de la personne concernée et celui de son/sa partenaire, dans un contexte de compatibilité amoureuse, permet d’en déduire l’orientation sexuelle de cette personne. Dès lors, les données recueillies doivent être qualifiées de données sensibles, au sens de l’article 9 du RGPD.
66. D’autre part, la formation restreinte note qu’il ressort des enregistrements transmis à la délégation de contrôle que, lors des consultations par " chat " ou SMS, les clients peuvent communiquer aux voyants certaines données sensibles, telles que des données révélant leur orientation sexuelle ou concernant leur santé. Quand bien même la société indique ne pas utiliser ces données pour une finalité spécifique, il apparait que celles-ci font bien l’objet d’un traitement, dans la mesure où elles sont collectées (via l’enregistrement des échanges par " chat " ou SMS), conservées, susceptibles d’être consultées (par exemple, en cas de contestation) et in fine supprimées. Différentes opérations de traitement visées à l’article 4, paragraphe 2 du RGPD sont ainsi effectuées en lien avec ces données.
67. Deuxièmement, la formation restreinte considère que le traitement de données sensibles recueillies à l’occasion de consultations de voyance ne peut intervenir que sur la base du consentement explicite des personnes concernées au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, en application de l’article 9, paragraphe 2, a), du RGPD, aucune des autres conditions prévues au titre de l’article 9-2-b) à j) du RGPD n’étant mobilisable au cas d’espèce (CNIL, FR, Sanction, 8 juin 2023, SAN-2023-008, publié).
68. En effet, contrairement à ce qu’indique la société en défense, la formation restreinte relève qu’elle ne peut soutenir que le traitement mis en œuvre porterait " sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée " (article 9, paragraphe 2, e) du RGPD). S’agissant de cette exception, les lignes directrices 8/2020 sur le ciblage des utilisateurs de medias sociaux adoptées le 13 avril 2021 par le Comité européen de la protection des données (ci-après, " le CEPD ") rappellent qu’elle implique que " les responsables de traitement puissent démontrer que la personne concernée a clairement manifesté son intention de les rendre publiques ", ce qui n’est pas le cas d’une conversation privée intervenant entre un voyant et un client.
69. S’agissant du consentement requis en application de l’article 9, paragraphe 2, a), du RGPD, la formation restreinte rappelle que le caractère explicite du consentement s’analyse au cas par cas et dépend du contexte du traitement des données sensibles. Lorsque le service demandé par l’utilisateur implique nécessairement le traitement de données sensibles, il est cependant nécessaire que l’utilisateur ait pleinement conscience de ce que ses données sensibles seront traitées et parfois conservées par le responsable de traitement, ce qui implique une information explicite sur ce point lors du recueil du consentement.
70. La formation restreinte rappelle que selon l’article 4, alinéa 11, du RGPD, la notion de consentement s’entend comme toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.
71. D’une part, la formation restreinte considère que le caractère explicite du consentement prévu à l’article 9, paragraphe 2, a) du RGPD suppose de permettre à la personne concernée de manifester, par une action positive, son assentiment au traitement de données sensibles, attestant de la matérialité de son consentement.
72. À titre d’éclairage, la formation restreinte rappelle que dans ses lignes directrices sur le consentement au sens du règlement 2016/679 du 10 avril 2018, le CEPD indique que " le RGPD stipule qu’une " déclaration ou un acte positif clair " est une condition sine qua non d’un consentement " standard ". Dès lors que les exigences pour un consentement " standard " dans le RGPD sont déjà portées à un niveau supérieur à celles de la directive 95/46/CE, il convient de préciser quels efforts complémentaires un responsable du traitement devrait entreprendre afin d’obtenir le consentement explicite d’une personne concernée conformément au RGPD. Le terme explicite se rapporte à la façon dont le consentement est exprimé par la personne concernée. Il implique que la personne concernée doit formuler une déclaration de consentement exprès. Une manière évidente de s’assurer que le consentement est explicite serait de confirmer expressément le consentement dans une déclaration écrite. Le cas échéant, le responsable du traitement pourrait s’assurer que la déclaration écrite est signée par la personne concernée afin de prévenir tout doute potentiel et toute absence potentielle de preuve à l’avenir. Une telle déclaration signée n’est toutefois pas la seule façon d’obtenir le consentement explicite […] " (lignes directrices 2016/679 WP259 rev.01 du 10 avril 2018, page 21).
73. La formation restreinte souligne qu’elle a, à plusieurs reprises, adopté des mesures correctrices à l’encontre de responsables de traitement ne recueillant pas le consentement explicite des personnes pour collecter et traiter leurs données " sensibles ", notamment dans ses délibérations n° 2016-405 du 15 décembre 2016 et n° 2016-406 du 15 décembre 2016 ainsi que dans sa délibération n° SAN-2017-006 du 27 avril 2017 dans laquelle elle a considéré que " le renseignement spontané de telles données n’exonère pas la société de l’obligation de recueillir le consentement exprès des personnes qui doivent être en mesure de manifester par une action positive leur assentiment au traitement de données sensibles, attestant ainsi que le consentement est donné en toute connaissance de cause ".
74. La formation restreinte relève donc, comme elle l’a déjà fait récemment à l’égard d’un autre organisme délivrant des prestations de voyance, que la simple volonté de recevoir ce type de prestation et le fait de livrer spontanément des informations sensibles ne constituent pas un consentement explicite des personnes concernées au traitement de leurs données, et que le responsable de traitement doit mettre à la disposition des personnes auprès desquelles il collecte des catégories particulières de données un moyen permettant de s’assurer qu’elles y consentent de manière explicite par un acte positif clair (CNIL, FR, 8 juin 2023, Sanction, SAN-2023-008, publié).
75. D’autre part, la formation restreinte rappelle que le consentement recueilli au titre de l’article 9, paragraphe 2, a) précité, du RGPD doit se lire à la lumière de la définition posée à l’article 4, paragraphe 11 précité du RGPD, ce qui implique que, pour consentir valablement, la personne concernée soit, au préalable, pleinement éclairée sur le caractère particulier des données qu’elle communique, notamment en ce que celles-ci peuvent révéler son état de santé et son orientation sexuelle, ainsi que sur l'usage qui sera fait de ces données.
76. En l’espèce, la formation restreinte note que la société ne délivre aucune information spécifique aux personnes concernées s’agissant de la collecte et du traitement des données recueillies à partir du formulaire figurant sur le site horoscope.fr et ne recueille pas leur consentement de manière explicite pour le traitement de ces données.
77. De la même manière, dans le cadre des consultations par " chat " ou SMS, aucune information relative au traitement de telles données n’est délivrée, ni aucun consentement recueilli.
78. Dès lors, la formation restreinte considère que la société ne fournit pas aux personnes concernées une information spécifique et ne recueillie pas leur consentement de manière explicite, de sorte qu’elle ne peut se prévaloir de l’exception à l’interdiction de collecter et traiter des catégories particulières de données prévue à l’article 9, paragraphe 2, a) du RGPD.
79. En conséquence, la formation restreinte considère qu’en l’absence de recueil du consentement préalable et explicite des clients à la collecte de leurs données sensibles, et d’une information spécifique à ce sujet, un manquement à l’article 9 du RGPD est constitué.
3) Sur le manquement à l’obligation de recueillir le consentement des personnes concernées pour la mise en œuvre de prospection commerciale par voie électronique en application de l’article L. 34-5 du CPCE
80. Aux termes de l’article L. 34-5 du CPCE, " est interdite la prospection directe au moyen de système automatisé de communications électroniques […], d'un télécopieur ou de courriers électroniques utilisant les coordonnées d'une personne physique […] qui n'a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen. Pour l'application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe […] ".
81. Aux termes de l’article 4, paragraphe 11 du RGPD, on entend par " consentement " de la personne concernée " toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ".
82. En application des dispositions combinées des articles L. 34-5 du CPCE et 4, paragraphe 11 du RGPD, l’organisme qui fait réaliser des opérations de prospection commerciale par voie électronique doit disposer d’un consentement libre, spécifique, éclairé et univoque des personnes concernées.
83. La rapporteure relève que la société a indiqué procéder à des opérations de prospection commerciale par voie électronique à destination de prospects dont les données ont été recueillies par son partenaire, la société COSMOSPACE. Elle considère que la société TELEMAQUE ne dispose pas, pour réaliser ces opérations, du consentement éclairé des personnes concernées. Elle estime en effet que, lorsque la société COSMOSPACE collecte ces données par l’intermédiaire d’un formulaire présent sur son site web cosmospace.medium.fr, aucune liste des partenaires auxquels les données sont susceptibles d’être transmises n’est aisément accessible et que, dès lors, les personnes concernées ne peuvent s’attendre à recevoir des messages de prospection de la part de la société TELEMAQUE puisqu’elles n’y ont pas valablement consenti.
84. En défense, la société considère, en premier lieu, que l’accord de responsabilité conjointe signée avec la société COSMOSPACE permet aux deux sociétés d’adresser des courriels et SMS indifféremment aux clients et prospects de l’une et de l’autre.
85. En deuxième lieu, la société soutient qu’une liste de partenaires était bien accessible depuis le formulaire visé, et qu’aucun manquement ne peut donc être retenu.
86. En troisième lieu, la société indique que, depuis les contrôles réalisés, le formulaire visé a évolué et que la liste des partenaires susceptibles d’adresser des courriels de prospection aux personnes concernées est désormais présentée conformément aux préconisations de la rapporteure.
87. En quatrième et dernier lieu, la société considère qu’en tout état de cause, il apparait " quasiment impossible " de présenter aux utilisateurs une liste des partenaires, et encore moins une liste à jour. Selon elle, le fait de faire apparaître en clair une telle liste constitue une atteinte au secret des affaires et est en contradiction avec les clauses contractuelles (notamment les clauses de confidentialité) la liant à ses partenaires.
88. La formation restreinte rappelle que lorsque les données des prospects n’ont pas été collectées directement auprès d’eux par l’organisme qui prospecte, le consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte de l’organisme qui réalisera les opérations de prospection ultérieures. À défaut, il revient à l’organisme qui prospecte de recueillir un tel consentement avant de procéder à des actes de prospection (CNIL, FR, 24 novembre 2022, Sanction, n°SAN-2022-021, publié ; CNIL, FR, 4 avril 2024, Sanction, n° SAN-2024-004, publié).
89. En outre, pour que le consentement soit éclairé, les personnes doivent notamment être clairement informées de l’identité du prospecteur pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées. Pour ce faire, une liste exhaustive et mise à jour des partenaires doit être tenue à la disposition des personnes au moment du recueil de leur consentement, par exemple directement sur le support de collecte ou, si celle-ci est trop longue, via un lien hypertexte renvoyant vers ladite liste à jour et les politiques de confidentialité des prestataires et fournisseurs (CNIL, FR, 24 novembre 2022, Sanction, SAN-2022-021, publié ; CNIL, FR, 12 octobre 2023, Sanction, SAN-2023-015, publié).
90. En l’espèce, il ressort de l’instruction que les sociétés TELEMAQUE et COSMOSPACE ont mis en place une base de données commune ([…]), contenant l’ensemble des données à caractère personnel de leurs clients et prospects, ce qui représentait, au 6 octobre 2022, plus de 7 millions de fiches de contact pour 1,5 million de personnes uniques (un même client ou prospect pouvant avoir plusieurs fiches, en fonction de son mode de prise de contact). Ces deux sociétés ont toutes deux confirmé traiter ces données, notamment à des fins de prospection commerciale, et ce indépendamment de la société ayant collecté lesdites données. Au cours des trois premiers trimestres 2022, la société TELEMAQUE a ainsi indiqué avoir envoyé plus 2,6 millions de SMS et plus de 1,3 millions de courriels à plus de 163 000 personnes dont les coordonnées ont été recueillies par la société COSMOSPACE dans le cadre de ses services de voyance ou sur ses sites web.
91. La formation restreinte relève par ailleurs que, pour l’envoi de courriers électroniques et SMS aux personnes dont les données ont été recueillies par la société COSMOSPACE, la société TELEMAQUE a indiqué ne pas recueillir le consentement préalable des personnes concernées, estimant que ce recueil aurait déjà été effectué pour son compte lors de la collecte des données par la société COSMOSPACE.
92. En premier lieu, s’agissant de l’accord de responsabilité conjointe existant entre les sociétés TELEMAQUE et COSMOSPACE, et dont la société se prévaut dans ce cadre, la formation restreinte rappelle que, malgré le statut de responsables conjoints défini contractuellement par les deux sociétés pour la gestion de leur base de données commune contenant les données de leurs clients et prospects, chaque société est responsable des opérations effectuées pour son propre compte à partir de cette base, notamment les opérations de prospection commerciale (CNIL, FR, 28 décembre 2021, Sanction, SAN-2021-021, publié).
93. Dès lors, l’existence d’un tel accord n’exonère pas les sociétés signataires de la nécessité de disposer du consentement libre, spécifique, éclairé et univoque des personnes concernées pour l’utilisation de leurs données à des fins de prospection commerciale par voie électronique, lorsque celles-ci n’ont pas été recueillies directement par l’organisme prospecteur.
94. En second lieu, s’agissant de la validité du consentement recueilli par la société COSMOSPACE, et dont la société TELEMAQUE se prévaut pour fonder ses opérations de prospection commerciale par voie électronique, la formation restreinte observe qu’il ressort des constatations réalisées lors du contrôle en ligne du 15 novembre 2021 que le formulaire mis en œuvre par la société COSMOSPACE à partir du site web cosmospace.medium.fr comportait une case à cocher autorisant sans distinction la prospection par la société COSMOSPACE, pour son propre compte, et celle susceptible d’être réalisée par ses partenaires, sans les identifier.
95. En effet, la formation restreinte relève d’abord que le texte accompagnant cette case (" en cochant cette case, vous acceptez de recevoir vos prédictions, offres et promotions exclusives par mail, téléphone et SMS de la part de Cosmospace et de ses partenaires ") ne mentionnait pas la société TELEMAQUE et qu’il ne comportait pas davantage de lien URL permettant d’accéder à la liste des partenaires auxquels les données étaient susceptibles d’être transmises. La formation restreinte observe ensuite que, si un lien intitulé " en savoir plus sur le traitement de vos données personnelles et vos droits " permettait bien d’obtenir des informations complémentaires en lien avec l’existence de partenaires, ces informations n’étaient toutefois pas facilement accessibles. En effet, ce lien était situé plus loin sur le formulaire d’inscription, à la fin d’une mention informant les personnes concernées de leur possibilité de se désinscrire pour ne plus recevoir d’emails ou de SMS. En utilisant le lien " en savoir plus sur le traitement de vos données personnelles et vos droits ", il était possible d’accéder à une page du même nom, mentionnant que " le traitement des données à caractère personnel collectées par medium.fr est géré par la société COSMOSPACE et par son partenaire la société TELEMAQUE ". Ce lien, situé à distance de la case à cocher, ne permettait pas aux utilisateurs d’être informés clairement de l’identité du prospecteur auquel les données étaient susceptibles d’être transmises. En outre, si les informations figurant sur la page " en savoir plus sur le traitement de vos données personnelles et vos droits " mentionnaient bien l’existence de la société TELEMAQUE, en sa qualité de partenaire de la société COSMOSPACE, les termes utilisés ne faisaient nullement référence à la notion de prospection commerciale, si bien que les utilisateurs ne pouvaient, même à la lecture de ce texte, s’attendre à être démarchés par la société TELEMAQUE.
96. Il ressort de l’ensemble de ces éléments que la société TELEMAQUE ne pouvait se prévaloir, pour réaliser ses opérations de prospection commerciale, du consentement recueilli par la société COSMOSPACE par le biais du formulaire mis en œuvre sur le site cosmospace.medium.fr au moment du contrôle en ligne du 15 novembre 2021, celui-ci ne permettant pas la manifestation d’un consentement éclairé pour le compte de la société TELEMAQUE.
97. La formation restreinte note que, dans le cadre de ses observations écrites du 12 avril 2024, la société a indiqué que le formulaire figurant sur le site cosmospace.medium.fr avait été modifié depuis les opérations de contrôle, et avant l’engagement de la procédure de sanction, présentant sa nouvelle version comme conforme aux exigences requises en matière de consentement pour pouvoir mener les opérations de prospection visées à l’article L. 34-5 du CPCE.
98. Or, la formation restreinte relève que ledit formulaire ne permettait pas davantage aux personnes concernées de manifester leur consentement de manière éclairée.
99. Un contrôle en ligne réalisé le 23 avril 2024 a en effet permis de constater que la case à cocher permettant de recueillir le consentement était accompagnée du texte " je donne mon consentement exprès(3) pour recevoir des offres de voyance par téléphone, email, SMS ou Whatsapp ". La formation restreinte observe, d’une part, que si la liste des partenaires figurait désormais sur la même page que le formulaire, seul un chiffre accolé au terme " exprès ", mentionné sous la forme d’un exposant, en très petit caractère et peu lisible, renvoyait à une note de bas de page, située à distance du formulaire (et sur une partie non visible de la page lorsque le formulaire était affiché), dans laquelle figurait ladite liste. La formation restreinte considère que, compte tenu de ces éléments, l’utilisateur pouvait aisément ne pas voir ce chiffre, ne pas y prêter attention ou ne pas s’y attarder et, dès lors, ne pas se référer au contenu de la note.
100. D’autre part, la formation restreinte relève que, dans cette seconde formulation accompagnant la case à cocher, ne figurait plus aucune référence à la notion de " partenaires ", la seule mention " je donne mon consentement exprès pour recevoir des offres de voyance par téléphone, email, SMS ou Whatsapp " laissant entendre à l’utilisateur que ces offres émaneraient exclusivement de la société COSMOSPACE.
101. Il apparait dès lors que, pour ces deux formulaires, le consentement recueilli par la société COSMOSPACE n’apparaissait pas suffisamment éclairé pour permettre à la société TELEMAQUE de s’en prévaloir dans le cadre de ses opérations de prospection commerciale par voie électronique.
102. Dans ces conditions, la formation restreinte considère que, faute pour la société TELEMAQUE de disposer, pour réaliser ses opérations de prospection commerciale par voie électronique, du consentement éclairé des personnes dont les données ont été recueillies par la société COSMOSPACE, un manquement à l’article L. 34-5 du CPCE est constitué.
103. La formation restreinte relève néanmoins que, depuis les derniers contrôles réalisés, il apparait que la société COSMOSPACE a de nouveau modifié le formulaire visé. Il résulte des derniers éléments communiqués que le texte accompagnant la case à cocher permettant de recueillir le consentement des utilisateurs à l’utilisation de leurs données à des fins de prospection commerciale vise désormais explicitement la société TELEMAQUE (" je donne mon consentement exprès pour recevoir des offres de voyance par téléphone, email, SMS ou WhatsApp par la société Cosmospace et ses partenaires Telemaque, […], […] et […] "). Si la formation restreinte prend acte de cette mise en conformité, le manquement apparait néanmoins constitué pour le passé.
III. SUR LE PRONONCÉ DE MESURES CORRECTRICES ET LEUR PUBLICITÉ
104. Aux termes de l’article 20 de la loi n° 78-17 du 6 janvier 1978 modifiée, " lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […] 7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 ".
105. L’article 83 du RGPD prévoit en outre que " chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives ", avant de préciser les éléments devant être pris en compte pour décider s'il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.
106. La société soutient tout d’abord n’avoir commis aucune négligence, les manquements relevés découlant, selon elle, d’une application et d’une interprétation différentes des textes. Elle considère qu’en tout état de cause, la proposition de sanction est disproportionnée au regard d’autres décisions rendues par la formation restreinte. Elle estime ainsi que doivent être pris en compte certains critères tels que son niveau de conformité, la longueur de la procédure, l’absence de mise en demeure préalable ainsi que sa coopération totale. Enfin, elle considère que publicité de la décision serait injustifiée, dans la mesure où aucun manquement grave n’a été relevé, qu’aucune plainte n’a été déposée et que, s’il s’agit de créer un précédent dans le secteur de la voyance, la CNIL a déjà rendu une décision le 8 juin 2023.
107. En premier lieu, la formation restreinte rappelle que, si l’imposition d’une amende administrative est conditionnée à l’établissement d’une violation fautive de la part de l’organisme poursuivi, cette faute peut découler d’un comportement délibéré mais également d’une négligence, en application de l’alinéa b) de l’article 83, paragraphe 2 du RGPD (CJUE, Grande Chambre, 5 décembre 2023, Deutsche Wohnen SE e.a., C-807/21 ; CJUE, Grande Chambre, 5 décembre 2023, Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos e.a., C-683/21).
108. La formation restreinte considère qu’en l’espèce, les manquements commis par la société révèlent une négligence certaine de sa part. En effet, la formation restreinte souligne, d’une part, que les règles rappelées dans la présente délibération font l’objet d’une interprétation constante de la part de la CNIL. A titre d’exemple, si le référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales a été publié peu de temps après les opérations de contrôle, les recommandations qu’il contient n’apparaissent pas nouvelles, la CNIL ayant déjà adopté, depuis 2005, la norme simplifiée NS-048 (contenant notamment des préconisations sur la durée de conservation des données des clients à des fins de prospection). D’autre part, la formation restreinte relève que la multiplicité des manquements relevés témoigne d’une négligence dans la mise en œuvre des traitements réalisés par la société.
109. En deuxième lieu, la formation restreinte considère qu’il y a lieu de faire application du critère prévu à l’alinéa a) de l’article 83, paragraphe 2 du RGPD relatif à la nature, à la gravité et à la durée de la violation, compte tenu de la nature, de la portée du traitement et du nombre de personnes concernées.
110. La formation restreinte relève tout d’abord que les manquements aux articles 5-1-e et 9 du RGPD concernent les principes fondamentaux de la protection des données et sont ainsi susceptibles de faire l’objet d’une amende pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel de l’exercice précédent de la société – soit le montant maximal prévu par les textes –, en application de l’article 83, paragraphe 5 du RGPD. A cet égard, les lignes directrices sur le calcul des amendes administratives adoptées par le CEPD rappellent qu’à " travers cette distinction, le législateur a donné une première indication de la gravité de la violation, de manière abstraite. Plus la violation est grave, plus l’amende est susceptible d’être élevée " (point 50).
111. La formation restreinte note ensuite que les manquements relevés sont susceptibles de concerner un nombre important de personnes, la base de données commune aux sociétés TELEMAQUE et COSMOSPACE comprenant plus de 1,5 million de contacts uniques ayant le statut de prospect ou de client. En particulier, s’agissant du manquement à l’article L. 34-5 du CPCE, la formation restreinte entend souligner que la société TELEMAQUE a massivement recours à l’envoi de messages de prospection commerciale puisqu’elle a indiqué avoir adressé, au cours des trois premiers trimestres 2022, plus de 2,6 millions de SMS et plus de 1,3 millions de courriels à plus de 163 000 personnes dont les coordonnées ont été recueillies par la société COSMOSPACE.
112. Par ailleurs, la formation restreinte relève que certains des manquements en cause ont pour effet de priver de licéité les traitements effectués. Il en va ainsi du manquement à l’article 9 du RGPD, la collecte des données " sensibles " étant, par principe, interdite, ainsi que du manquement à l’article L. 34-5 du CPCE, les opérations de prospection commerciale menées n’étant licites que si le responsable de traitement dispose d’un consentement valide.
113. La formation restreinte souligne en outre que les personnes ayant recours aux prestations de voyance à distance proposées par la société sont susceptibles de se trouver dans une situation de vulnérabilité, pouvant les amener à abaisser leur seuil de vigilance et à communiquer facilement certaines données les concernant, notamment des données sensibles. Dans ces conditions, le respect des exigences relatives au recueil du consentement est primordial.
114. La formation restreinte entend enfin insister sur le caractère potentiellement très intrusif de certains des traitements en cause, notamment l’envoi de messages de prospection commerciale, dont la fréquence et la multiplicité sont susceptibles d’engendrer une véritable gêne pour les destinataires, pendant une durée particulièrement longue.
115. En troisième lieu, la formation restreinte entend faire application du critère prévu à l’alinéa g) de l’article 83, paragraphe 2 du RGPD, relatif aux catégories de données à caractère personnel concernées par la violation, dans la mesure où le manquement à l’article 9 du RGPD concerne spécifiquement le recueil de données sensibles.
116. En quatrième lieu, la formation restreinte entend tenir compte du degré de coopération avec l’autorité de contrôle dont la société a fait preuve, en application de l’alinéa f) de l’article 83, paragraphe 2 du RGPD. Il apparait en effet que, à la suite de la réception des observations en réponse de la rapporteure, la société s’est mise en conformité s’agissant du manquement à l’article L. 34-5 du CPCE.
117. La formation restreinte considère que l’ensemble de ces éléments justifient le prononcé d’une amende administrative.
118. S’agissant du montant de l’amende, la formation restreinte rappelle que les violations relevées sont susceptibles de faire l’objet, en vertu de l’article 83 du RGPD, d’une amende administrative pouvant s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.
119. Elle considère que l’activité de la société et sa situation financière doivent notamment être prises en compte. Elle relève à cet égard que la société TELEMAQUE a réalisé, au titre de l’année 2021/2022, un chiffre d’affaires d’environ 9,6 millions d’euros, pour un bénéfice de 973 486 euros. L’année suivante, ce chiffre d’affaires s’est élevé à 9,9 millions d’euros, pour un résultat net de 1,3 million d’euros.
120. Au regard de la responsabilité de la société, de ses capacités financières et des critères pertinents de l’article 83, paragraphe 2 du RGPD évoqués ci-avant, la formation restreinte estime qu’une amende de cent cinquante mille (150 000) euros apparaît justifiée.
121. S’agissant de la publicité de la sanction, la formation restreinte considère que celle-ci se justifie au regard de la gravité de certains des manquements en cause, de la position de la société sur le marché, de la portée des traitements et du nombre de personnes concernées.
122. Elle relève également que cette mesure a notamment vocation à informer les personnes concernées par les traitements mis en œuvre par la société, qu’il s’agisse des prospects ou des clients. Cette information leur permettra, le cas échéant, de faire valoir leurs droits.
123. Enfin, elle estime que cette mesure est proportionnée dès lors que la décision n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide de :
• prononcer une amende administrative à l’encontre de la société TELEMAQUE d’un montant de cent cinquante mille (150 000) euros pour manquements aux articles 5-1-e) et 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et L. 34-5 du code des postes et communications électroniques, qui se décompose comme suit :
cent mille (100 000) euros pour manquement aux articles 5-1-e) et 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
cinquante mille (50 000) euros pour manquement à l’article L. 34-5 du code des postes et des communications électroniques ;
• rendre publique, sur le site web de la CNIL et sur le site web de Légifrance, sa délibération, qui ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication.
Le président
Philippe-Pierre CABOURDIN
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.