Trois organismes ont été mis au pilori par le gendarme des données personnelles, en ce qu’ils transmettaient à leurs partenaires des données personnelles à des fins de prospection commerciales sans recueillir le consentement des personnes concernées.
Si le RGPD est devenu un argument de poids pour se débarrasser des démarcheurs, qu’ils viennent de Free, de CPF Truc ou de Banque Bidule, la Cnil vient de donner aux amateurs de ce raisonnement quelques cartouches supplémentaires. Le gendarme des données personnelles vient en effet d’annoncer avoir mis en demeure trois organismes spécialisés dans la prospection commerciale.
Saisie de plusieurs plaintes, la Cnil a mené des contrôles auprès de certaines entreprises eu égard à la transmission entre partenaires de données personnelles. Ainsi, chez l’un des mis en cause (et en demeure), le régulateur a constaté qu’il transmettrait des données à caractère personnel à des partenaires sans en informer les personnes concernées.
Référentiel en date de février
Les trois organismes mis en demeure se passent en outre du consentement des personnes dont ils collectent les données à transmettre lesdites données à des partenaires désireux de contacter ces prospects potentiels par email ou SMS. Un manquement flagrant à l’article 6 du RGPD. Les trois sociétés ont trois mois pour rentrer dans le rang et se mettre en conformité, sous peine de sanction. Ces mises en demeure s’inscrivent dans la publication par la Cnil en février d’un référentiel relatif à la gestion des activités commerciales
Pour Ola Mohty, juriste et experte RGPD chez Data Legal Drive, « le délai de trois mois conférés par la CNIL pour se mettre en conformité semble adapté au vu de la nouveauté de la règle. La collecte du consentement des prospects lors de la transmission des données à des tiers souhaitant les réutiliser à des fins commerciales n'est toutefois pas toujours imposée. En effet, lorsque la prospection se fait sur le fondement de l'intérêt légitime, la transmission des données peut être réalisée ». Ce qui, aux yeux de la Cnil, n’était manifestement pas le cas ici.