Le 12 octobre 2023, la CNIL a infligé une amende de 600 000 € à l’entreprise de médias Groupe Canal+ pour non-respect de ses obligations de prospection commerciale applicables au titre du Code des postes et des communications électroniques et de plusieurs obligations du Code des Postes et des Communications Electroniques. Règlement général de l’UE sur la protection des données (« RGPD »).
Arrière-plan
La CNIL a reçu plusieurs plaintes de particuliers affirmant avoir des difficultés à faire prendre en compte leurs droits par Groupe Canal+. À la suite de ces plaintes, la CNIL a ouvert une enquête sur les pratiques de Groupe Canal+ en matière de confidentialité et de protection des données.
La décision et la sanction de la CNIL
Les principaux enseignements des enquêtes de la CNIL sont les suivants :
- Groupe Canal+ n’a pas été en mesure de fournir la preuve d’un consentement valable des individus pour l’envoi de communications de marketing direct. Par ailleurs, les formulaires utilisés par les partenaires commerciaux de l’entreprise pour collecter des données personnelles étaient muets sur le fait que les données personnelles seraient partagées avec Groupe Canal+ à des fins marketing. La CNIL rappelle que la liste des partenaires destinataires des données doit être mise à la disposition des personnes au moment du recueil de leur consentement, pour que celui-ci soit valable. Enfin, la CNIL a estimé que les mesures mises en œuvre par Groupe Canal+ auprès de ses fournisseurs de données pour s’assurer de la validité du recueil du consentement étaient insuffisantes ;
- Groupe Canal+ ne fournissait pas d’informations appropriées aux personnes créant un compte MyCanal sur le traitement de leurs données. Par ailleurs, Groupe Canal+ ne fournissait pas les informations appropriées aux individus lors de prospections téléphoniques ;
- Groupe Canal+ ne répondait pas aux demandes de droits des personnes concernées dans un délai d’un mois, comme le prescrit le RGPD, et ignorait certaines demandes d’accès ;
- Groupe Canal+ n’a pas mis en place de mesures appropriées pour assurer la sécurité des données personnelles et n’a pas conclu d’accords contractuels appropriés avec tous ses sous-traitants ; et
- Groupe Canal+ n’a pas notifié à la CNIL une violation de données personnelles ayant exposé les données de ses abonnés à d’autres abonnés pendant une durée de cinq heures.
Au vu de ces infractions, la CNIL a infligé une amende de 600 000 € à Groupe Canal+. Selon la CNIL, ce montant est justifié par la nature des infractions constatées, ainsi que par le manque de coopération et de réactivité de Groupe Canal+ pour se mettre en conformité quant aux infractions qui lui sont reprochées.
Lisez la décision (en français) et le communiqué de presse (en anglais et en français).