Le 26 septembre 2024, la CNIL a sanctionné les sociétés de voyance COSMOSPACE et TELEMAQUE, notamment pour avoir traité des données sensibles, fournies spontanément par les personnes concernées, sans consentement valable.
Des sociétés de voyance traitant des données sensibles
La CNIL a procédé à des contrôles à l’égard des sociétés de voyance en ligne COSMOSPACE et TELEMAQUE, qui ont révélé plusieurs manquements, dont l’un était lié au traitement de données sensibles (orientation sexuelle, état de santé, etc.) communiquées spontanément par les personnes sollicitant une consultation.
Une conception large de la notion d’orientation sexuelle
La CNIL a constaté, au cours de ses contrôles, que les utilisateurs des sites web exploités par COSMOSPACE et TELEMAQUE pouvaient remplir un formulaire ayant pour objet de délivrer une prédiction sur leur compatibilité amoureuse avec une personne de leur choix, permettant ainsi d’en déduire leur orientation sexuelle.
La CNIL a donc considéré cette collecte d’informations comme un traitement de données sensibles, au sens de l’article 9 du RGPD.
Fournir spontanément des données sensibles n’est pas consentir à leur traitement
Outre les données liées à l’orientation sexuelle, collectées via le formulaire en ligne susvisé, les sociétés de voyance traitaient également des données sensibles dans le cadre des consultations réalisées par chat et par SMS.
La CNIL a rappelé que la fourniture de données sensibles spontanément par une personne concernée n’exempt pas le responsable du traitement de s’assurer du respect des conditions posées par l’article 9 du RGPD, à savoir, ici, recueillir le consentement de la personne qui fournit spontanément ses données :
« La formation restreinte relève donc, comme elle l’a déjà fait récemment à l’égard d’un autre organisme délivrant des prestations de voyance, que la simple volonté de recevoir ce type de prestation et le fait de livrer spontanément des informations sensibles ne constituent pas un consentement explicite des personnes concernées au traitement de leurs données, et que le responsable de traitement doit mettre à la disposition des personnes auprès desquelles il collecte des catégories particulières de données un moyen permettant de s’assurer qu’elles y consentent de manière explicite par un acte positif clair (CNIL, FR, 8 juin 2023, Sanction, SAN-2023-008, publié). »
Les deux sociétés, ayant ainsi violé l’article 9 du RGPD, ont été sanctionnées pour traitement de données sensibles illicite.
En raison de l’ensemble des manquements relevés, la CNIL a prononcé :
- une amende administrative de 250.000 euros à l’encontre de COSMOSPACE ;
- une amende administrative de 150.000 euros à l’encontre de TELEMAQUE.
Cette décision doit nous alerter sur la rigueur dont la CNIL fait preuve lorsqu’elle apprécie la notion de « données sensibles » et le respect des règles régissant leur traitement.