Délibération de la CNIL contre Canal + : manquement au RGPD et au CPCE 

Publié par le dans , | Consulté 100 Fois

Dans une délibération du 12 octobre 2023, publiée le 19 octobre, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé une sanction pécuniaire rendue publique de 600 000 euros à l’égard du GROUPE CANAL + en raison d’une série d’infractions constatées. En effet, la société GROUPE CANAL +, éditrice de chaînes et distributrice d’offres de télévision payante, a fait l’objet de diverses plaintes reçues par la CNIL s’agissant de manquement au Règlement général sur la protection des données (RGPD) et au Code des postes et des communications électroniques (CPCE). 

Créée le 8 octobre 1998, la société GROUPE CANAL + est une SA à directoire avec pour domaine d’activité la télécommunication par satellite. Elle est une société de télévision payante qui opère dans le secteur audiovisuel : à titre d’exemple, elle distribue des chaînes de télévision payantes et des services de télévision par abonnement. 

Le GROUPE CANAL + fut sanctionné pour divers manquements :
•  Un manquement à l’obligation de recueillir le consentement des personnes concernées ;
• Un manquement à l’obligation d’informer les personnes concernées et au respect de l’exercice des droits ;
•  Un manquement à l’obligation d’encadrer les traitements effectués par un sous-traitant par un contrat ;
•  Un manquement à l’obligation d’assurer la sécurité des données personnelles ;
•  Un manquement à l’obligation de notifier à la CNIL une violation de données.

L’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique

La prospection commerciale est une activité relevant du droit de la consommation et de la protection des données. Celle-ci consiste à identifier, contacter et convaincre des prospects ou clients potentiels afin de promouvoir des produits ou services. Généralement, la prospection s’effectue par l’envoi de courriels, d’appels téléphoniques, de courriers et de SMS. 

Les articles L. 34-5 du CPCE et 7 du RGPD disposent de la nécessité du consentement des personnes concernées dans le traitement de données à caractère personnel. Par ailleurs, ledit consentement doit être libre, spécifique, éclairé et sans équivoque. 

Le GROUPE CANAL+ mène fréquemment des campagnes de prospection commerciale par le biais de communications électroniques sans obtenir le consentement préalable des personnes concernées. En effet, suite aux contrôles de la CNIL, la société GROUPE CANAL + a remis deux formulaires de collecte de données de prospects fournis par ses partenaires commerciaux, auprès desquels elle acquiert les données. Il s’est avéré que lesdits documents ne précisent pas l’identité des destinataires des données recueillies et notamment pour ce qui nous intéresse, celle de la société GROUPE CANAL +. Pour qu’un consentement soit valable, il est indispensable d’identifier les destinataires des données récoltées.

L’obligation d’information, le respect de l’exercice des droits et l’obligation d’encadrer les traitements effectués par un sous-traitant par un contrat

Les informations transmises aux personnes concernées par le traitement de leurs données personnelles sont insuffisantes selon la délibération de la CNIL. 

C’est le cas s’agissant tout d’abord de la durée de conservation des données à caractère personnel. Celle-ci constitue une information qui doit être délivrée à la personne concernée par la collecte de ses données. En ce sens, le Règlement général sur la protection des données prévoit, en son article 13, que cette durée doit être fournie par le responsable de traitement à la personne concernée, afin de garantir un traitement équitable et transparent des données. Or, lors de la création d’un compte MyCanal, la politique de confidentialité ne renvoie pas à une durée de conservation précise mais uniquement à des critères permettant de fixer cette durée. 

Ensuite, lorsqu’une demande est formulée par une personne concernée au responsable de traitement, celui-ci dispose d’un délai d’un mois pour répondre. Cette règle est prévue par l’article 12 du Règlement général sur la protection des données. Or, après investigation, il s’est avéré que la société ne respectait pas toujours ce délai.
De la même manière, le droit d’accès des personnes concernées à leurs données personnelles a été violé par la société GROUPE CANAL +. Le RGPD prévoit en son article 15 que toute personne a le droit de consulter la totalité des données la concernant dans un fichier en contactant directement les détenteurs de ces données et de recevoir une copie de ces informations gratuitement.

Enfin, la délibération de la CNIL a révélé un manquement à l’obligation d’information lors des démarchages téléphoniques par les sous-traitants du GROUPE CANAL + et notamment de l’enregistrement de l’appel téléphonique et du droit de s’y opposer. En effet, un échantillon d’enregistrements transmis à la CNIL révèle une insuffisance voire une absence d’information d’enregistrement ou du droit d’opposition aux personnes concernées. 

L’obligation d’assurer la sécurité des données personnelles et de notifier une violation des données à la CNIL 

Une série de mesures techniques et organisationnelles sont prévues par le Règlement général sur la protection des données (article 32) afin de garantir une sécurité appropriée lors du traitement des données personnelles des personnes concernées.
L’investigation de la CNIL a dévoilé que la société GROUPE CANAL+ n’assurait pas une sécurité suffisante lors du traitement automatisé de données des employés de la société. En effet, celle-ci assurait cette sécurité par l’utilisation de la fonction de hachage, à l’aide de l’algorithme MD4, des mots de passe des collaborateurs. Cet algorithme est considéré comme obsolète et insuffisamment robuste pour assurer la confidentialité des mots de passe. Pour rappel, la forme hachée consiste, par des algorithmes mathématiques, à prendre en entrée un ensemble de données (tel qu’un mot de passe) et produire une empreinte de taille fixe en sortie. 

La faille de sécurité a dévoilé une violation de donnée à caractère personnel. En effet, il s’est avéré que certaines données à caractère personnel de 10 154 abonnés ont été rendues accessibles pendant 5 heures et 35 minutes à 777 autres abonnés.
Par ailleurs, cette violation n’a pas fait l’objet par le GROUPE CANAL + d’une notification à l’autorité de contrôle compétente, soit la CNIL, dans les « meilleurs délais » comme le prévoit l’article  33 du Règlement général sur la protection des données. 

Finalement, la CNIL souligne l’importance du respect du Règlement Général sur la Protection des Données par les responsables de traitement et par les sous-traitants auxquels ils font appel, et ce afin d’assurer une sécurité optimale.

Sources :
• Le Règlement général sur la protection des données – RGPD
• CNIL – Délibération SAN-2023-015 du 12 octobre 2023
• CNIL –  Prospection commerciale et droits des personnes : sanction de 600 000 euros à l’encontre du GROUPE CANAL+
• L’Annuaire des Entreprises – Groupe Canal + SA