Canal+ écope d’une amende de 600 000 euros du gendarme français des données personnelles, qui a constatés de nombreux manquements au RGPD, notamment dans le démarchage commercial du groupe.
La Cnil met Canal+ à l’amende. Une douloureuse de 600 000 euros, pour être précis. Entre fin 2019 et début 2021, la Cnil a été saisie de 31 plaintes relatives à la prospection par voie téléphonique, la transmission de données bancaires et de l’exercice des droits à l’encontre de la chaîne payante. Menant contrôles en ligne et sur pièces, le gendarme des données personnelles a mis au jour plusieurs manquements.
Le groupe réalise notamment des campagnes de prospection commerciale par voie électronique. Mais les formulaires types de collecte de données des prospects consultés par la Cnil ne comportaient aucune information sur l’identité des destinataires des données fournies par les prospects, échouant donc à recueillir un consentement éclairé des personnes. D’autant que l’entreprise n’avait pas mis en place les mesures suffisantes à s’assurer que le consentement a été valablement donné à ses fournisseurs.
Une violation de données non notifiée
Mais ce n’est là que la partie émergée de l’iceberg, puisque la Cnil a relevé de nombreux autres manquements, notamment à l’information des personnes lors de la création d’un compte MyCanal ou lors des appels de démarchage téléphonique. L’entreprise enfreignait également le RGPD en ne répondant pas dans les délais impartis aux modalités d’exercice des droits des plaignants, voire en ne donnant pas suite aux demandes d’accès. S’y ajoutent des traitements par des prestataires qui ne comportaient pas toutes les mentions requises par le RGPD.
Surtout, on apprend de la décision de la Cnil que Canal+ a été victime d’un incident de sécurité. « Les vérifications de la CNIL ont permis de constater l’existence d’une violation de données, qui a rendu accessibles certaines données d’abonnés à d’autres abonnés pendant une durée de 5 heures, et qui n’a pas été notifiée à la CNIL » écrit le régulateur. Alors que le stockage des mots de passe des employés de la société n’était pas suffisamment sécurisé, autre manquement constaté, le bât blesse.