L’autorité de contrôle italienne compétente en matière de protection des données a prononcé une sanction à l’encontre d’une société qui avait procédé à des opérations illicites de prospection téléphonique.
L’autorité de contrôle italienne, la « GPDP », a reçu un nombre important de plaintes l’informant que la société Sky Italia, éditrice d’un service de bouquet de télévision par satellite, procédait à des appels téléphoniques de prospection, d’une part, sans délivrer aux personnes prospectées une information quant au traitement de données réalisés et, d’autre part, sans recueillir son consentement.
Sky Italia procédait en effet à des opérations de prospection téléphonique, en utilisant des données transmises par des prestataires, dont le contrat prévoyait :
- que ces prestataires sélectionneraient, dans leur propre base de données, les coordonnées de personnes ayant consenti au traitement de leurs données à des fins de prospection par des tiers ;
- que ces prestataires adresseraient des sollicitations commerciales aux personnes dont les données ont ainsi été sélectionnées, pour le compte de Sky Italia.
Sky Italia se voyait également communiquée des données de la part de ses prestataires, qu’elle utilisait afin de procéder elle-même à des opérations de prospection téléphonique.
Sky Italia considérait que ses prestataires étaient responsables du traitement et étaient donc en charge de veiller à ce que les personnes concernées soient informées du traitement et aient donné leur consentement aux opérations de prospection commerciales envisagées.
En conséquence, lorsque Sky Italia contactait les personnes concernées aux fins de prospection, elle ne leur délivrait pas d’information quant au traitement de leurs données à caractère personnel.
En pratique, dans un certain nombre de cas, les personnes faisant l’objet de sollicitations commerciales n’avaient donné leur consentement que s’agissant du transfert de leurs données à Sky Italia, mais pas pour que Sky Italia procède à des opérations de prospection avec leurs données à caractère personnel.
Pour l’autorité de contrôle, le consentement donné par les personnes concernées aux prestataires concernait la communication des données à des tiers et non la possibilité pour Sky Italia d’utiliser ces données à des fins promotionnelles. L’autorité italienne précise que Sky Italia aurait dû vérifier que ce consentement, aux fins de prospection, était bien collecté par elle ou par ses partenaires.
Afin de mener à bien ses activités de télémarketing, Sky Italia, au début de chaque appel téléphonique, aurait dû fournir à la personne prospectée une information quant au traitement de ses données, incluant la source desdites données, et, seulement après avoir obtenu le consentement, réaliser l’opération de prospection commerciale.
Enfin, Sky Italia aurait dû contrôler l’activité de ses prestataires en charge des opérations de prospection, ceux-ci devant, selon l’autorité de contrôle italienne, être qualifiés de sous-traitant, y compris s’agissant de leur mission de sélection des données à caractère personnel parmi celles figurant dans leurs propres bases de données.
L’autorité italienne a enjoint à Sky Italia de corriger l’ensemble de ces manquements et l’a condamné à une amende d’un montant de 3.296.326 euros.
Lien vers la décision : https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9706389