Le siège polonais de Canal+, ici en photo © uslatar / Shutterstock.com
Le siège polonais de Canal+, ici en photo © uslatar / Shutterstock.com

La CNIL a annoncé ce jeudi 19 octobre avoir infligé une amende de 600 000 euros au groupe Canal+, accusé de ne pas avoir respecté ses obligations en matière de prospection commerciale et de droits des personnes.

La Commission nationale de l'informatique et des libertés (CNIL) n'aime pas, comme vous, le démarchage téléphonique. Le gendarme des données a révélé avoir sanctionné le groupe Canal+ quelques jours auparavant d'une amende de 600 000 euros.

Le mastodonte audiovisuel français avait fait l'objet de plaintes en matière de prospection commerciale. Il a été épinglé pour divers autres manquements.

Canal+ a manqué à ses obligations

L'autorité a constaté que le groupe Canal+ avait enfreint plusieurs dispositions du Règlement général sur la protection des données (RGPD) et du Code des postes et des communications électroniques (CPCE). L'amende infligée à l'entreprise tient en tout cas compte de la coopération de cette dernière pour se conformer aux réglementations. Autrement dit : la sanction aurait pu être bien plus lourde. Alors, que s'est-il passé ?

Le groupe a commencé par omettre de recueillir le consentement adéquat des personnes pour la prospection commerciale par voie électronique, exigée notamment par le RGPD. Canal+ n'a pas fourni de preuves de consentement valable pour y échapper.

De plus, les formulaires de collecte des données ne mentionnaient pas clairement les destinataires des informations, une exigence encore une fois essentielle du consentement. D'autres manquements à l'obligation d'information aux droits des personnes ont également été relevés. Parlons notamment des lacunes dans les politiques de confidentialité et des retards dans le traitement des demandes.

Le logo Canal+ © Canal+
Le logo Canal+ © Canal+

Mots de passe, sécurité, démarchage pas vraiment fait dans les règles… Les reproches de la CNIL sont nombreux

Les vérifications de la CNIL ont aussi révélé des manquements à l'obligation de respecter les contrats de sous-traitance, conformément au RGPD. Le gendarme des données, qui a eu accès à des dizaines d'enregistrements d'appels téléphoniques de sous-traitants, a pu constater, lit-on dans la délibération, qu'au moins 16 personnes démarchées n'ont pas bénéficié d'une information complète. Les téléconseillers ont alors affirmé pour certains « ne pas avoir eu le temps de fournir ces informations, car le prospect a raccroché trop vite ». D'autres ont évoqué le cas de personnes déjà abonnées à Canal+.

La CNIL nous parle aussi d'une sécurité des données personnelles insuffisante, justifiée par un stockage inadéquat des mots de passe des employés de l'entreprise. Au moment du contrôle, les mots de passe étaient stockés sous une forme hachée, au moyen de l'algorithme MD4, jugé non conforme par l'autorité. A aussi été pointée du doigt une violation de données, qui a exposé des informations d'abonnés pendant 5 heures sans que cela soit signalé à la CNIL.

Le groupe Canal+ a désormais la tâche de rectifier ces nombreux manquements pour éviter de futures sanctions. L'affaire met en tout cas en évidence l'importance du respect des droits des personnes et des règles de prospection commerciale, surtout à l'ère du RGPD. Elle servira peut-être de rappel aux acteurs du secteur.

Source : CNIL