La CNIL a infligé le 21 novembre 2019 une amende de 500.000 € à l’encontre d’une entreprise d’installation d’équipements d’isolation en raison du non-respect des règles édictées par le « RGPD » notamment au regard de ses méthodes de prospection téléphonique (CNIL, Délibération de la formation restreinte n°SAN-2019-010 du 21 novembre 2019 concernant la société Futura Internationale).
Cette lourde amende administrative assortie d’une astreinte ainsi que d’une sanction complémentaire de publication intervient compte tenu non seulement de la pluralité des manquements en cause mais aussi et surtout au regard de leur persistance et de leur gravité.
Ainsi, la CNIL relève cinq manquements aux obligations prévues par le Règlement européen relatif à la protection des données constitués par les pratiques de la société d’isolation lors de ses démarchages téléphoniques et du suivi de la relation client.
Cette décision étayée de la CNIL, même si elle reste susceptible de faire l’objet d’un recours devant le Conseil d’Etat, invite les entreprises qui réalisent des campagnes de prospection téléphonique à mettre en place un véritable process au cours des appels pour y intégrer le respect de la protection des données personnelles et à faire preuve d’une particulière vigilance lorsqu’elles sous-traitent cette mission.
1. La procédure à mettre en place lors d’un démarchage téléphonique.
Toute personne qui fait l’objet d’une prospection téléphonique (par l’entreprise elle-même ou via un centre d’appel sous-traitant) doit être destinataire d’une information relative à l’éventuel enregistrement de l’appel mais plus encore au traitement de ses données à caractère personnel. Cette information doit contenir, a minima, les détails de la finalité du traitement, de l’identité du responsable de traitement ainsi qu’une description des droits dont elle dispose.
En effet, la CNIL a sanctionné l’entreprise d’isolation pour ne pas avoir procédé à cette information au moment de la collecte des données, prenant toutefois acte de ce que la société communique désormais une information complète par email.
Aussi et à l’aune de cette décision, pour chaque démarchage téléphonique, le téléopérateur, devra, avant toute collecte de données :
indiquer que la conversation téléphonique est (susceptible) d’être enregistrée ;
fournir une information sommaire sur le traitement de données à caractère personnel en offrant à la personne la possibilité d’obtenir communication d’une information complète soit (i) par email (ii) soit par l’activation d’une touche sur le clavier téléphonique.
En pratique, il semble que chaque centre d’appel devra mettre en place un process au terme duquel le téléconseiller donne une sommaire information sur le traitement (finalité du traitement, identité du responsable de traitement, droits des personnes) et indique ensuite que la notice complète de ces informations est disponible soit par email soit par l’écoute d’un message pré-enregistré qu’il conviendra d’activer en cliquant sur une touche du clavier.
Au regard de la sanction de la CNIL, cette procédure semble indispensable pour chaque centre d’appels même si cela implique de mettre en œuvre de nouveaux mécanismes informatisés dès le début de la conversation téléphonique.
Outre cette procédure, il est également recommandé au centre d’appels de former les téléopérateurs au respect de la protection des données personnelles.
En effet, la restitution des informations collectées par les téléopérateurs à l’issue de la conversation dans le logiciel utilisé à cette fin est susceptible d’entrainer un manquement à l’obligation de traiter les données de manière adéquate, pertinente et limitée à ce qui est nécessaire au regard des finalités pour lesquelles elles sont collectées.
Les téléopérateurs dans le cadre d’une prospection commerciale ne peuvent donc pas inscrire dans le logiciel client des commentaires injurieux ou relatifs l’état de santé des personnes. La CNIL considère que les commentaires injurieux sont, par leur nature, inadéquats dans le cadre d’une relation commerciale et constituent un manquement à l’article 5-1 c) du RGPD.
Par ailleurs, les commentaires relatifs à l’état de santé des clients ou des prospects ne sont pas justifiés et donc non conformes au respect du RGPD s’ils ne sont pas nécessaires au regard de la prestation commerciale pour laquelle la personne est démarchée.
La CNIL va même plus loin s’agissant des données qui sont inscrites dans le logiciel client. Elle estime tout d’abord que les téléopérateurs doivent être informés sur l’obligation de collecter uniquement les données adéquates, par exemple par l’intermédiaire d’un bandeau contextuel à l’intention des utilisateurs du logiciel. Ce bandeau pourra ainsi mentionner les types de commentaires non autorisés ou indiquer une liste de commentaires appropriés.
Plus encore, la CNIL estime qu’un centre doit également mettre en place un mécanisme informatisé contraignant qui devra (i) soit empêcher l’enregistrement de certains commentaires en interdisant l’inscription de termes pré-enregistrés dans le logiciel (ii) soit procéder à une revue automatisée quotidienne des commentaires enregistrés afin que ceux qui sont pas adéquats et pertinents aux finalités du traitement soient supprimés.
2. La mise en place d’un mécanisme automatisé pour respecter le droit d’opposition.
Les missions de contrôle de la CNIL sont souvent initiées par une ou plusieurs plaintes de personnes estimant que le traitement de leurs données personnelles n’a pas été effectué conformément au RGPD.
En l’espèce, pour la prospection téléphonique le manquement qui peut être le plus alertant pour une personne démarchée est le non-respect de son droit d’opposition lorsqu’elle a déjà exprimé à l’entreprise qui prospecte qu’elle ne souhaite pas être contactée.
En effet, l’article 21 du RGPD prévoit que lorsque des données personnelles sont collectées à des fins de prospection, la personne concernée a le droit de s’y opposer à tout moment. Dès lors, il incombe au responsable de traitement de faciliter l’exercice des droits de la personne et notamment son droit de s’opposer à cette prospection.
Au regard de ce texte et de la délibération de la CNIL, tout centre d’appels doit mettre en place un mécanisme automatisé permettant une prise en compte effective du droit d’opposition exprimé par les personnes faisant l’objet d’un démarchage téléphonique. Un téléopérateur doit donc disposer d’une case, d’un bandeau ou d’un espace de commentaire lui permettant d’inscrire que la personne ne souhaite plus être contactée.
Ce mécanisme doit être centralisé et efficient afin que les prochains utilisateurs du logiciel ne recontactent pas la personne qui s’y est opposée.
La mention du droit d’opposition doit être précisément renseignée afin de permettre une identification suffisante des personnes ayant exprimé leur refus d’être démarchées par téléphone.
Par exemple, une liste d’exclusion sous forme de tableau des personnes qui se sont opposées au démarchage n’est pas suffisante. Le centre d’appels doit mettre en place un processus automatisé qui permettrait de vérifier que le numéro qui va être contacté n’est pas celui d’une personne qui figure sur la liste d’opposition.
En effet, la CNIL estime que seul un processus automatisé présente un caractère suffisamment efficace pour garantir le respect du droit d’opposition dans le cadre d’une prospection commerciale. Elle précise que pour constituer la liste d’opposition et ce processus automatisé, les noms, prénoms et numéros de téléphone suffisent et que l’adresse postale n’est pas nécessaire s’il s’agit d’une prospection téléphonique.
En revanche, s’il s’agissait d’une prospection postale, l’adresse postale serait nécessaire et respectivement l’adresse email dans le cadre d’une prospection électronique. Dans ces derniers exemples, le numéro de téléphone ne serait quant à lui plus nécessaire.
En tout état de cause, cette décision de la CNIL invite tout opérateur économique à mettre en place, en amont de chaque prospection commerciale et ce, quelle qu’en soit la forme, un mécanisme automatisé qui permettra d’interconnecter la liste des personnes susceptibles d’être démarchées avec celle des personnes s’étant d’ores et déjà opposées à la prospection afin d’alerter l’opérateur économique avant le démarchage pour assurer un respect efficace du droit d’opposition.
3. Le recours à des clauses contractuelles types dans le cadre d’une prospection réalisée par un centre d’appel situé hors de l’Union européenne.
Lorsqu’une entreprise sous-traite sa prospection téléphonique à un centre d’appel situé en dehors de l’Union européenne, elle doit se poser la question de l’encadrement du transfert des données personnelles hors de l’Union européenne.
Aux termes de l’article 44 du RGPD, un responsable de traitement ne peut transférer des données personnelles en dehors de l’Union européenne à un sous-traitant que si celui-ci se situe dans un Etat considéré comme assurant un niveau de protection adéquat (exemples de pays considérés comme ayant un niveau de protection adéquat : Argentine, Suisse, Israël, Japon, Nouvelle-Zélande).
Si un responsable de traitement choisit un sous-traitant situé dans un pays n’assurant pas un niveau de protection adéquat, il doit alors prévoir des garanties appropriées conformément aux dispositions de l’article 46 du RGPD.
Ainsi, la relation entre le responsable de traitement et le centre d’appels qu’il désigne comme sous-traitant doit être encadrée par des clauses contractuelles qui ont été adoptées soit par la Commission européenne soit par une autorité de contrôle (la CNIL en France ou ses homologues européennes).
Ces clauses doivent être signées par les deux parties et être soumises au droit de l’Etat membre où l’exportateur de données (le responsable de traitement) est établi, donc nécessairement au droit d’un Etat membre de l’Union européenne.
Ainsi, le contrat sécurisant la relation entre un exportateur de données situé dans l’Union européenne et le sous-traitant situé en dehors de l’Union européenne ne pourra pas être soumis au droit du pays tiers où est installé le sous-traitant.
Si la relation commerciale était soumise au droit d’un Etat qui n’est pas considéré comme assurant un niveau de protection adéquat pour la protection des données personnelles alors l’exportateur de données manquerait à l’obligation d’encadrer le transfert des données hors de l’Union européenne telle que prévue par l’article 44 du RGPD.
Il est donc recommandé à une entreprise lorsqu’elle sous-traite le démarchage téléphonique hors de l’Union européenne d’être particulièrement vigilante lors de la contractualisation de ce service afin que le cadre juridique mis en œuvre soit conforme aux dispositions des articles 44 à 50 du RGPD.
Discussion en cours :
Article très intéressant consacrant (enfin) quelques explications aux modalités de la prospection téléphonique !