Le 8 juin 2023, la CNIL a prononcé une sanction à l’égard de KG COM, en raison de multiples manquements, dont : un défaut de notification d’une violation de données, une atteinte au principe de minimisation et un traitement de données sensibles sans consentement.
Alertée par un article de presse du 1er octobre 2020, la CNIL, qui a pris connaissance d’une ayant affecté des données personnelles traitées par une société de voyance, KG COM, a diligenté un contrôle sur pièces, puis un contrôle en ligne, et enfin un contrôle sur place.
1. Principe de minimisation
La société enregistrait systématiquement les appels téléphoniques passés avec ses prospects, ainsi qu’entre ses voyants et ses clients, à des fins de contrôle qualité, de preuve de la souscription du contrat et « dans la perspective de réquisitions judiciaires ».
Pour la CNIL :
- l’enregistrement systématique de l’intégralité des conversations téléphoniques n’étaient pas justifié par la finalité de contrôle qualité, qui aurait pu être atteinte avec des enregistrements ponctuels et aléatoires ;
- l’enregistrement de la conversation ne peut servir de preuve de la souscription d’un contrat que dans l’hypothèse où il n’existe pas d’autres moyens moins intrusifs, ce qui n’étais pas le cas en l’espèce, l’article L221-16 du Code de la consommation imposant, au contraire, à la société, la conclusion d’un contrat signé sur un support durable ;
- « s’il est nécessaire que les responsables du traitement fassent droit aux réquisitions judiciaires qu’ils reçoivent concernant les données qu’ils traitent pour leurs propres besoins, ils n’ont en revanche pas à organiser, à l’avance, la collecte de données à caractère personnel dans la perspective de répondre à une potentielle réquisition judiciaire ».
2. Principe de conservation limitée
Les contrôles ont également mis en lumièreun manquement à l’obligation de conservation limitée. En effet, alors que la société affirmait conserver les données des clients 3 ans en base active à compter de la fin de la relation commerciale, la CNIL a toutefois constaté que les données de certains clients étaient conservées depuis plus de 5 ans en base active après la dernière consultation.
3. Défaut de base légale
La CNIL a appris que les données de cartes bancaires des clients étaient conservées au-delà du temps nécessaire à la transaction, afin que les clients n’aient pas à ressaisir leur numéro de carte lors de leurs achats ultérieurs. Pour la CNIL, ce traitement ne peut pas reposer sur la base légale de l’exécution contractuelle et nécessite le consentement des clients, ce qui n’était pas le cas en l’espèce.
4. Traitement de données sensibles sans consentement
Lors des consultations entre clients et voyants, ces derniers collectent des données relatives à la santé et l’orientation sexuelle des clients, sans que l’accord des clients ne soit, toutefois, recueilli. En effet, pour la CNIL, la simple expression de volonté de recevoir une prestation de voyance et de livrer spontanément des informations sensibles ne constitue pas un consentement univoque, ni, en l’absence d’information dédiée, éclairé, à voir lesdites informations être traitées. La CNIL en a conclu que le traitement de données sensibles, par la société, n’était pas conforme au RGPD.
5. Principe de transparence
La CNIL a relevé que les informations relatives aux traitements étaient accessibles depuis la page d’accueil du site internet de la société, mais n’étaient pas visibles dans le formulaire de création de compte dudit site. Par ailleurs, ces informations se trouvaient dans un document intitulé « CGV » comprenant à la fois des informations sur les conditions de vente, sur les conditions d’utilisation du site web, et sur les traitements de données à caractère personnel. Certaines informations, telles que la durée de conservation, le droit à la portabilité et le droit d’introduire une réclamation auprès de l’autorité de contrôle, faisaient défaut.
6. Obligation de sécurité
La CNIL a relevé de multiples manquements en matière de sécurité, notamment l’usage du protocole « http » au lieu de « https », ainsi que des mots de passes insuffisamment sécurisés.
En conséquence de l’ensemble de ces manquements, la CNIL a condamné la société KG COM au paiement d’une amende administrative de 150.000 €.
Source : ici
