Le groupe Canal+ a envoyé des emails commerciaux sans avoir le consentement des personnes ciblées. La CNIL le rappelle à l'ordre, souligne qu'il est responsable de l'encadrement de ses sous-traitants et lui inflige une amende de 600 000 euros, sanctionnant au passage d'autres manquements au RGPD.
Entre 2019 et 2021, la Commission nationale de l'informatique et des libertés (CNIL) a reçu plusieurs plaintes contre les pratiques commerciales du groupe Canal+. L'autorité chargée de la protection des données a effectué plusieurs contrôles et constaté plusieurs manquements au RGPD, notamment le fait de ne pas avoir recueilli de consentement pour la mise en œuvre d'une prospection commerciale par voie électronique. Bref, Canal+ a spammé ses utilisateurs sans leur demander leur avis. C'est le plus gros manquement mis en valeur par la délibération de la CNIL du 12 octobre dernier.
L'autorité reproche aussi au groupe Canal+ le manque d'informations données aux personnes concernées sur le traitement de leurs données personnelles et notamment lors d'appels passés par un sous-traitant de prospection commerciale du groupe.
Près de 4 millions de personnes contactées sans consentement
Si les plaintes sur lesquelles se repose la CNIL sont peu nombreuses (31 reçues et cinq retenues dans le cadre de la procédure), le nombre de personnes concernées est beaucoup plus important.
La formation restreinte de l'autorité qui s'est prononcée sur le sujet « note que 3 346 632 prospects dont les données ont été collectées auprès de […] et 588 324 auprès de […] ont fait l’objet de prospection par voie électronique au cours de l’année 2021 par le prestataire intervenant pour le compte de la société GROUPE CANAL +. Pour l’ensemble de ces prospects, la société n’est pas en mesure de fournir de pièces démontrant l’obtention d’un consentement valablement recueilli auprès des personnes, que ce soit par ses soins – ce qu’elle a précisé ne pas faire – ou par les primo-collectants » [ndlr : la CNIL est responsable du biffage des noms des sous-traitants de CANAL+].
En tout, ce sont donc près de 4 millions de personnes dont les données ont été collectées sans leur consentement par des sous-traitants de Canal+.
Plus précisément, si le groupe avait bien fourni des formulaires type de collecte de données à ses prestataires, ceux-ci ne donnaient « aucune information sur l’identité des partenaires concernés » par le partage des données personnelles (ces partenaires incluant Canal+).
Canal+ a bien tenté auprès de la CNIL de rejeter la faute sur ses prestataires en expliquant qu'il n'est pas destinataire des adresses emails « qui ne se trouvent pas dans sa base de données », mais la CNIL insiste sur le fait que « pour pouvoir se prévaloir d’un consentement valable recueilli par le primo-collectant, la société GROUPE CANAL + doit figurer dans la liste des partenaires auxquels les données sont transmises, dès lors que ces prestataires sous-traitants agissent pour son compte ».
D'ailleurs, en ce qui concerne sa relation avec ses prestataires, le groupe Canal+ se fait aussi taper sur les doigts par la rapporteure de la CNIL qui a constaté que « plusieurs contrats de sous-traitance relatifs à l’hébergement des données à caractère personnel, communiqués par la société, ne contenaient pas toutes les mentions prévues par [l'article 28 du RGPD] ». Ces contrats ont, de fait, été signés avant l'entrée en vigueur du RGPD et « n’ont pas depuis fait l’objet d’une mise à jour » pour les adapter au règlement.
Des démarchages téléphoniques irrespectueux du RGPD
Lors de sa mission de contrôle, la CNIL a aussi voulu vérifier que les appels téléphoniques de démarchages passés pour la création de ce fichier respectaient le droit et notamment le RGPD. Spoiler : pas toujours.
Canal+ a fourni un échantillon de 70 enregistrements d’appels téléphoniques effectués par un sous-traitant dans le cadre de campagnes de prospection. Après écoute par ses services, la CNIL a pu constater que « seize personnes démarchées par téléphone pour le compte de la société n’ont pas bénéficié d’une information complète dispensée dans les conditions prévues par l’article 14 [du RGPD] ». Et pour quatre appels entendus par l'autorité, « aucune information n’a été fournie ».
Si l'entreprise se défend en expliquant que pour certains appels trop courts, le téléconseiller n'a tout simplement pas eu le temps de fournir les informations aux personnes appelées et ne reconnait que six appels problématiques, la CNIL relève que « dans tous les cas visés par le rapport [...], le téléconseiller avait entamé la discussion sur les offres proposées par GROUPE CANAL +. Ainsi, même si l’appel était bref, le téléconseiller avait initié une démarche de prospection ».
Manque de sécurisation et de notification d'une violation des données
Mais les mauvaises pratiques de Canal+ constatées par la CNIL ne concernent pas seulement un manque d'information des prospects. À l'époque, l'autorité a aussi pu remarquer que les mots de passe des collaborateurs du groupe étaient stockés « hachée au moyen de l’algorithme MD4 » qui était « déjà réputé obsolète et insuffisamment robuste pour assurer la confidentialité des mots de passe à la date des constatations faites par la délégation ».
La CNIL « prend note que, depuis février 2023, la société utilise une nouvelle version de Windows Server qui a recours à un algorithme conforme à l’état de l’art » mais considère quand même qu'il y a eu manquement à l'article 32 du RGPD sur l'obligation de sécurité des données des utilisateurs.
Deuxième remarque de la CNIL sur le manque de sécurité, l'autorité a constaté que Canal+ « a été informée par des abonnés, le 5 février 2020, d’une violation de données. A la suite d’une mise à jour de l’espace client CANAL +, des abonnés accédant à leur compte ont pu visualiser les informations relatives à d’autres abonnés ».
Or, cette violation des données ne lui a pas été notifiée. Si Canal+ argue que la perte temporaire de confidentialité n'a duré « que 5 heures 35 minutes » et s'appuie sur les recommandations du Comité européen de la protection des données (CEPD) et de l’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (ENISA) pour se justifier, l'autorité considère que le groupe aurait dû l'en informer quand même.
Droits d'accès et de suppression bafoués
L'autorité épingle enfin le groupe sur le droit d'accès et de suppression des données. Certaines personnes ayant saisi la CNIL ont vu leurs demandes d'accès restées lettre morte. Concernant les demandes de suppression de données, le groupe aurait bien suivi les demandes, mais n'aurait tout simplement pas avisé les personnes concernées que leurs demandes avaient été prises en compte.
Comme habituellement, l'autorité précise que le groupe Canal+ peut faire un recours auprès du Conseil d'État dans un délai de deux mois.
Commentaires (27)
#1
4 millions de personnes contactées sans consentement… 600k ça fait à peine 15ct par tête (sachant que l’amende couvre en plus d’autres éléments)
est-ce que ça reste assez dissuasif ?
#1.1
Je me suis fait la même réflexion… L’amende est tellement faible que c’est plutôt une incitation à frauder ! Il aurait fallu au moins 1 euro par personne pour que ce soit un peu dissuasif. Quel signal envoyé par la CNIL au secteur du démarchage
#1.2
C’est ridicule. L’amende devrait être par donnée. Un nom ? 1€. Un nom et un numéro de téléphone ? 1 + 1€. Non seulement ça écrémerait les données récoltées « au cas où » mais en plus ils réfléchiraient à fournir plus que le stricte minimum aux sous-traitants.
#2
CANAL PLUS a des attitudes commerciales très agressives et limites. Ma compagne s’est abonnée récemment, elle s’est retrouvée avec des bouquets en options qu’elle n’a pas souscrite de manière explicite ou bien fourni gratuitement pendant 2 mois sans possibilité d’annuler à la commande qu’il faudra ensuite ne surtout pas oublier d’enlever sous peine de facturation. Le prix des abonnements sur leurs site est aussi affiché qu’avec le “tarif bienvenu” de la 1ere année etc, je me souviens d’Orange qui s’était fait sanctionner pour bien moins que ça. Merci pour cet article.
#2.1
J’ai pote qui à également été victimes des escroc…. services de C+
Il n’y a qu’à voir les multiples témoignages de mécontentement https://fr.trustpilot.com/review/www.canalplus.fr
C’est édifiant
#3
A quand la même chose pour le harcèlement téléphonique pour les offres Free?
#3.1
#4
SFR fait pareil : mailing commercial non sollicité et l’action de désinscription en bas de chaque mail n’est jamais respecté, ça fait 20 fois en 6 mois que je me désabonne sans que cela ne change rien.
#4.1
Il ne faut pas cliquer sur les liens de désabonnement : soit ils ne sont reliés à rien donc tu n’es pas désinscrit, soit par cette action tu indiques que tu as reçu et consulté le spam, donc ton adresse est “validée” pour les prochains envois !
Et puis on n’a pas à se désinscrire quand on ne s’est pas inscrit. La seule solution c’est l’e-mail au DPO en demandant à être désinscrit (à lui de faire le nécessaire techniquement) puis un mois après, si rien n’a changé tu fais une plainte à la CNIL.
#4.2
Je comprends pas cette histoire de “savoir si une adresse est valide”… si j’envoie un mail et qu’il y a un problème (adresse non valide, problème de serveur…) j’ai toujours un mail “postmaster” en retour qui m’informe du problème.
#4.3
Par “valide” j’entends “valide pour la campagne de spam”. L’adresse peut exister (donc pas de postmaster), mais être abandonnée, ou le message tombé dans les spams. Si tu cliques, cela indique que l’e-mail a été reçu, ouvert, lu, et que tu as fais une action de clic dessus. Donc tu envoies le signal qu’on peut t’en envoyer d’autres.
#4.4
Ok, je comprends mieux. C’est vraiment malsain comme façon de faire je trouve.
#4.5
C’est pour la même raison qu’il faut bloquer le téléchargement des images et autres contenus externes dans le client mail. Sinon, c’est une indication que le mail a été ouvert. Il y a même la technique du pixel invisible pour cela (une image de 1 pixel par 1 pixel que l’on ne voit pas mais qui est hébergée sur un serveur contrôlé par le spammeur).
#5
Ce serait beaucoup plus rapide de faire la liste des boîtes qui effectivement désinscrivent les gens le demandant que l’inverse.
Ce lien de désinscription en bas des emails, ça doit être une private joke entre tous les services marketings du monde. Et ils en rigolent ensemble dans les colloques.
#6
Et au passage, ce lien, si il est cliqué depuis un mail piège (pas un simple SPAM) permet de récupérer des infos voir de compromettre le poste client.
#7
Ca c’est un peu un mythe récurrent. C’est probablement vrai dans certains cas pour du spam qui vient de services que tu n’as jamais utilisé, mais c’est totalement faux pour les services qui te connaissent déjà. Et encore, même pour la 1ere catégorie, mon expérience personnelle me fait dire que ce lien fonctionne dans une écrasante majorité des cas.
La piste du mail au DPO est intéressante, je n’y ai jamais songé. Mais comment trouve-t-on “facilement” son contact ? C’est quasiment toujours des courriers postaux, pas des adresses mail, et je n’ai pas non plus envie de payer un timbre pour contacter le dpo d’une entreprise à qui je paye déjà un service.
#7.1
Tout est expliqué ici :
https://www.cnil.fr/fr/comprendre-mes-droits/le-droit-dopposition-refuser-lutilisation-de-vos-donnees
J’ai fait plusieurs dizaines de plaintes à la CNIL, j’ai toujours trouvé une adresse électronique pour joindre le DPO. Les mentions légales (ou la page de la politique de confidentialité) l’indiquent dans 99% des cas. Je n’ai jamais eu besoin de le faire par courrier postal.
Si l’info n’est nulle part, c’est problématique car le site ne respecte pas la législation, donc pour moi c’est déjà une erreur de faire confiance à ce site et d’utiliser leurs services (ça signifie qu’en cas de pépin on n’a pas de garantie, donc il ne faut s’en prendre qu’à soi-même si on leur donne des infos).
Pour l’e-mail validé lors du clic de désinscription, je t’assure que ce n’est pas un mythe, pour avoir travaillé (en presta) chez une de ces boîtes marketing dont l’activité principale est de collecter les données personnelles, par tous les moyens (j’en suis vite parti d’ailleurs, car je n’approuvais pas ces pratiques).
#8
C’est marrant, l’unique fois ou j’ai sollicité la CNIL, il y a maintenant quelques années, c’était justement pour Canal+.
Il n’avait pas tenu compte de mon recommandé de désabonnement + demande de suppression des listes de prospection. Je me faisais harceler par téléphone.
La CNIL est intervenu et Canal+ m’a envoyer un courrier m’indiquant que c’était fini, et ce fut le cas
Y a Zalando que j’aurais bien voulu signaler a la CNIL…Activité inhabituelle sur mon compte, blabla, compte supprimé sans possibilité d’avoir l’historique de mes commandes. Et bien sur, aucune de mes données n’a été exposé !
Le truc qui tient pas debout…
Mais comme la CNIL semble dépassée j’ai jamais fait
En tout cas, heureux qu’il se mange une amende…. Après je dirais presque, passer quelques centaines de milliers d’€ ça doit faire régir et changer en interne. Même si la somme peut sembler dérisoire par rapport au chiffre d’affaire, elle reste suffisante pour ne pas être cachée sous le tapis, et ils doivent se savoir surveiller aussi maintenant…
#9
Il ne faut jamais cliquer sur se désinscrire sur un mail de spam (ni aucun autre lien) : ça confirme que ton adresse est valide. (la plupart des spams sont sur des adresses au hasard)
Si tu as été client SFR ou autre, tu vas sur le site de SFR cherche la rubrique données personnelles et utilisent l’option désinscrire là-bas.
#9.1
Je faisais juste une réponse légèrement humoristique à Nozalys.
En réalité, j’arrive assez bien à gérer les spams et les mailings de fournisseurs.
Mais c’est très gentil de vous soucier de mon bien-être numérique. Merci beaucoup.
#10
Il y’a une catégorie de spam, où les boites sont françaises: elles récupèrent illégalement ton adresse mail et ensuite font genre que tu t’es inscrit volontairement à la mailing-list des “bons plans conso” : dans ce cas le lien désinscrire peut fonctionner. Je préfère perso ne pas prendre le risque !
#11
Pour moi ce n’est pas mieux chez Free dont je ne suis plus client depuis plus de 5 ans mais je subis encore leur démarchage par téléphone.
#12
j’ai saisi la CNIL pour ça (ainsi que les appels quotidiens de SFR ou je disais de ne pas me rappeler), et ça a très bien fonctionné. Plus rien depuis ;)
Je pense, hélas, que c’est la seule chose à faire pour que le nb de dossiers identique s’accumulent, qu’ils se fassent sanctionner et que la pratique cesse.
#13
Je suis un peu perdu, et circonspect par rapport à l’intérêt légitime.
Clairement, un grand nombre de sociétés s’assoient sur le consentement en indiquant l’intérêt légitime (et parfois ils vont très loin dans ce qu’ils classent intérêt légitime, j’ai récemment regardé les contrats des opticiens, c’est affolant)
Et la CNIL elle même semble accepter cette pratique : https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique
La seule condition est qu’il y ait eu vente préalable. Donc pour réactiver d’anciens clients, ça marche.
Après, ici on parle de prospects… mais ça dépend de l’origine des dits prospects.
Je trouve ça très détestable à l’heure du RGPD…
En attendant, on peut mettre une case à cocher pour le consentement, ne pas obtenir ce consentement, mais quand même envoyer des mails au titre de l’intérêt légitime. Par contre, un clic en bas du mail et c’est (sensé) être terminé
#14
Canal sont des salopards de première. Leurs méthodes marketing sont honteuses. Je pense entre autres aux personnes âgées qui se font bien bananer.
Société à éviter absolument de manière générale.
#15
Un démarcheur vient justement de m’appeler pour me proposer canal+ parce que je reçois la TV grace à Bouygues.
Alors que j’avais bien précisé ne pas être intéressé lors de l’appel précédent il y a moins d’une semaine.
Ça devient un brin agressif.
#16
A quand les peine plancher pour les sanctions de la CNIL ? Parce que là c’est ridicule…