La CNIL a prononcé, le 8 juin dernier, une amende administrative d’un montant de 150 000 euros à l’encontre de KG COM, société spécialisée dans la voyance par chat et par téléphone. A cette occasion, la CNIL s’est montrée intransigeante sur l’application des règles qu’elle avait déjà rappelées à de nombreuses reprises au cours de ces dernières années. Que faut-il en retenir ?
ENREGISTREMENTS DES APPELS TÉLÉPHONIQUES
- L’enregistrement ponctuel et aléatoire de seulement quelques conversations téléphoniques suffit au contrôle de la qualité du service.
- L’enregistrement des conservations à des fins de preuve de la souscription du contrat n’est possible que pour les contrats souscrits à l’oral et uniquement lorsque les professionnels n’ont pas d’obligation d’adresser au consommateur une confirmation écrite de l’offre.
- La collecte de données dans la perspective de répondre à une potentielle réquisition judiciaire n’est pas justifiée.
CONSERVATION DES DONNÉES DANS LE CADRE DE LA GESTION COMMERCIALE
- A l’issue de la relation commerciale, lorsque le responsable du traitement a besoin de conserver les données, il est recommandé de les conserver en base archive.
CONSENTEMENT
- La simple volonté de recevoir une prestation de services et le fait de livrer spontanément des informations sensibles dans ce cadre ne constituent pas un consentement explicite.
INFORMATION DES PERSONNES
- Les informations qui doivent être a minima fournies avant l’enregistrement d’un appel sont : (i) le fait que la conversation est susceptible d’être enregistrée, (ii) le droit de s’opposer à cet enregistrement, (iii) le fait que les données collectées lors de l’appel sont traitées par la société. La personne doit pouvoir ensuite accéder à une information plus détaillée, en appuyant par exemple sur une touche du clavier.
CONTRATS CONCLUS AVEC LES SOUS-TRAITANTS :
- Il est important de s’assurer de la signature effective des contrats et de leur exhaustivité au regard de l’article 28 du RGPD.
SÉCURITÉ
- Les mots de passe doivent respecter les prérequis de l’ANSSI confirmés par la CNIL dans la délibération n° 2022-100 du 21 juillet 2022.
- L’utilisation d’un protocole HTTP est à proscrire puisqu’il n’est pas sécurisé et rend le site internet plus vulnérable aux attaques. Il est recommandé d’utiliser un protocole HTTPS.
- En cas de violation de données, le principe est celui de la notification à l’autorité de contrôle. L’absence de notification n’est possible que par exception, lorsque la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes.
Partager l’article