La société NESTOR sanctionée par la CNIL


La société NESTOR est une société par actions simplifiée créée en février 2015 et immatriculée au registre du commerce et des sociétés de Nanterre sous le numéro 809 743 263 (ci-après la « Société »). Elle fournit des services de traiteurs et de restauration à emporter.

 

Plusieurs plaintes ont été déposées auprès de la CNIL qui a pris l’initiative d’effectuer des contrôles : un premier en mai 2019 et un deuxième en février 2020 auprès de la société NESTOR.

 

Lors de ses contrôles, la CNIL a constaté de nombreux manquements concernant le traitement de données personnelles de prospects et de clients.

 

La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a considéré que la Société avait manqué à des obligations prévues par le code des postes et des communications électroniques (ci-après « CPCE ») et le Règlement Général de Protection des Données personnelles (ci-après « RGPD »).

 

Quels sont les différents manquements de NESTOR ? Quelles mesures mettre en place pour pallier ces manquements et s'assurer une bonne conformité au RGPD ?

Un manquement à l'obligation d'information des personnes

(Articles 12 et 13 du RGPD)

Tout d’abord, la CNIL pointe les défaillances du formulaire de collecte qui permet de s’inscrire sur le site web de la Société car il ne comporte pas l’ensemble des informations exigées par les articles 12 et 13 du RGPD et ne renvoie pas à une page dédiée qui contiendrait les informations manquantes.

 

Par ailleurs, la CNIL indique que la politique de confidentialité de NESTOR était incomplète, trop générale et imprécise.

 

Enfin, aucune information relative à la protection des données personnelles n’était fournie aux personnes créant un compte via l’application mobile de la Société.

 

Cependant, la Société a mis en place des mesures afin d’assurer une conformité avec le RGPD, au cours de la procédure de vérification de la CNIL.

 

Dans le but de pallier ce manque d’informations, il est nécessaire pour la Société de mettre à jour le formulaire de collecte de données permettant aux utilisateurs de s’inscrire sur le site web, conformément aux article 12 et 13 du RGPD.

 

Il faut également compléter la politique de confidentialité afin que cette dernière contienne l’ensemble des données récoltées et y faire référence au sein du formulaire de collecte des données (via l’insertion d’un lien par exemple).

Un manquement au respect du droit d'accès des personnes

(Article 15 du RGPD)

La Société doit respecter le droit d’accès des personnes et/ou utilisateurs du site web à leurs données personnelles collectées.

 

En effet, la Société a manqué à son obligation de fournir une copie des données personnelles qu’elle détenait dans sa base de données ainsi qu’une information relative à la source de ces données aux personnes l’ayant sollicité.

 

Il est nécessaire de souligner qu’une réponse partielle aux demandes d’accès d’utilisateurs ne répond pas aux obligations de l’article 15 du RGPD et constitue un manquement au respect du droit d’accès de la personne concernée.

 

Afin de respecter le droit d’accès, il convient de communiquer l’intégralité des données à caractère personnel collectées par la société ou l’organisme.

Un manquement à l'obligation d'assurer la sécurité des données

(Article 32 du RGPD)

Conformément à l’article 32 du RGPD, le responsable de traitement et le sous-traitant sont chargés de mettre en œuvre les mesures techniques permettant de garantir un niveau de sécurité adapté au risque.

 

Or, la société NESTOR n’imposait pas l’utilisation d’un mot de passe robuste lors de la création d’un compte sur son site web ou par le biais de son application mobile.

 

Néanmoins, au cours de la procédure concernant ce point, la Société a pris des dispositions afin de pallier ce manquement.

 

Le RGPD rappelle strictement la nécessité de privilégier la sécurité du traitement notamment par le biais de plusieurs processus, tels que :

  • la pseudonymisation et le chiffrement des données à caractère personnel ;
  • des moyens permettant de garantir la confidentialité, l’intégralité, la disponibilité et la résilience constante des systèmes et des services de traitement ;
  • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Un manquement à l'obligation de recueillir le consentement des personnes lors d'une prospection par courriel

(Article L. 34-5 du CPCE)

A la suite de son contrôle, la CNIL a recensé 653 033 prospects ayant reçu des messages électroniques de prospection de la part de NESTOR, sans y avoir consenti au préalable, depuis l’année 2017.

 

Les personnes concernées sont des personnes ayant créé un compte sur le site ou via l’application de la Société sans avoir passé commande ou dont les données avaient été collectées sur Internet.

 

Or, en vertu de l’article L. 34-5 du code des postes et des communications électroniques (CPCE), de telles opérations sont soumises au consentement préalable des personnes concernées.

 

La CNIL explique que la société NESTOR méconnaissait ses obligations et que l’ensemble des données ainsi collectées devaient être supprimées.

 

A ce titre, la Société a mis en place des mesures pour assurer sa mise en conformité avec le CPCE, à savoir :

  • cesser de collecter des données sur Internet ;
  • mettre en place un système de recueil de consentement à l’envoi de courriels de prospection lorsqu’un utilisateur créé un compte aussi bien sur le site web, que via l’application mobile.

 

Néanmoins, la CNIL a tout de même prononcé une injonction à l’encontre de la Société afin que cette dernière justifie de la suppression de l’ensemble des données qui ont été collectées sans le consentement des prospects.

La sanction prononcée

La CNIL a prononcé une amende de 20.000 euros à l’encontre de la société NESTOR pour l'ensemble des manquements évoqués ci-dessus.

 

La Société a été contrainte de mettre, l’ensemble de ses traitements, en conformité avec le CPCE et le RGPD et d’en justifier dans un délai de trois mois à compter de la notification de la délibération rendue par la CNIL, sous astreinte de 500 euros par jour de retard.

 

Au sein de sa décision, l'organe de la CNIL a pris en considération plusieurs facteurs :

  • le nombre de manquements et leur gravité ;
  • le grand nombre de prospects ayant reçu des messages électroniques de prospection sans y avoir consenti ;
  • les conséquences de la crise sanitaire, liée à la COVID-19, sur la situation financière de la société NESTOR.

Conclusion

Au regard du RGPD, le respect de l'information et de la transparence quant au traitement des données personnelles sont des obligations essentielles qui doivent être prise en compte par toutes les personnes qui collectent et traitent des données personnelles.

 

Pour plus de précisions sur la décision du 8 décembre 2020 rendue par la CNIL à l'encontre de la société NESTOR, vous pouvez la consulter en cliquant ICI !



Chez PLR Avocats, nous nous efforçons de tenir une veille juridique régulière pour nos clients concernant l'évolution et le respect des règles en matière de protection des données personnelles.

 

Nous accompagnons les entreprises dans leur mise en conformité avec le RGPD afin que celle-ci soit pleinement efficace et opposable à la CNIL.

 

PLR Avocats prend également en charge les missions du DPO.

 

Pour nous contacter, c'est ICI !


Articles similaires