Publié le 11/04/2024
Les Faits
HUBSIDE.STORE, une filiale du groupe SFK, a été reconnue coupable de manquements graves au RGPD, à la suite d’un contrôle diligenté par la CNIL. En effet, pour promouvoir ses produits, l’entreprise a mis en place des campagnes de démarchage massives par téléphone et SMS, utilisant des fichiers de prospects achetés à des partenaires, sans s’assurer du consentement explicite des personnes concernées. Entre septembre 2020 et mai 2023, plus de 1,6 million de SMS et 3,2 millions d’appels téléphoniques ont été réalisés, ciblant environ 1,3 million de prospects.
Les Manquements au RGPD
La CNIL a identifié plusieurs violations du RGPD par HUBSIDE.STORE, parmi lesquelles :
- L’absence de consentement valide : HUBSIDE.STORE n’a pas pu démontrer avoir recueilli un consentement clair et non ambigu des personnes pour les démarchages par SMS et appels téléphoniques, contrairement à ce que le RGPD exige.
Pour rappel, selon l’article 29 du RGPD, le consentement doit être libre, spécifique, éclairé et univoque.
- Le défaut d’information : La société n’a pas informé correctement les personnes concernées sur l’usage de leurs données, ni sur leurs droits en matière de protection de données, ce qui est une obligation fondamentale sous le RGPD.
- La non-sécurisation des données : Bien que la CNIL n’ait pas retenu le manquement relatif à la sécurité des données, elle a souligné l’importance de mettre en œuvre des mesures adéquates pour assurer la confidentialité et l’intégrité des données personnelles.
La Sanction
En conséquence de ces manquements, la CNIL a infligé à HUBSIDE.STORE une amende administrative de 525 000 euros, détaillée comme suit : 200 000 euros pour non-respect de l’obligation de recueillir un consentement valide pour la prospection par voie électronique, et 325 000 euros pour les manquements aux obligations de base légale pour le traitement et d’information des personnes. Cette sanction est accompagnée d’une mesure de publicité, soulignant la gravité des faits et la nécessité de sensibiliser les autres entreprises à l’importance du respect du RGPD.
Leçons à Retenir
Cette décision est un rappel sévère que le respect du RGPD n’est pas optionnel. Les entreprises doivent s’assurer de la licéité de leurs traitements de données à caractère personnel, de l’information claire et transparente des personnes concernées, et de la mise en place de mesures de sécurité adéquates. Au-delà de l’aspect punitif, cette sanction vise à encourager toutes les entités à revoir leurs pratiques en matière de protection des données, afin de garantir les droits fondamentaux des individus dans l’ère numérique.