Canal+ sanctionné par la Cnil pour prospection illégale et manquement à l’obligation d’information

La Cnil a décidé de sanctionner le groupe Canal+ d’une amende de 600 000 euros. Il est accusé d’avoir fait de la prospection illégale mais aussi d’avoir mal protégé les mots de passe de ses abonnés.

La Commission nationale de l’informatique et des libertés (Cnil) a annoncé ce jeudi 19 octobre infliger une amende de 600 000 euros au groupe Canal+. Dans son communiqué, la commission accuse le groupe de « ne pas avoir respecté ses obligations en matière de prospection commerciale et de droits des personnes. »

La décision remonte au 12 octobre dernier et la Cnil explique avoir reçu « plusieurs plaintes concernant les difficultés rencontrées par des personnes dans la prise en compte de leurs droits par la société GROUPE CANAL+ ». Et suite à des contrôles, la commission a constaté plusieurs manquements aux obligations du RGPD (règlement général sur la protection des données) et du CPCE (code des postes et des communications électroniques) par la chaîne cryptée.

Canal+ ne recueille pas le consentement des clients

Canal+ écope donc d’une amende de 600 000 euros, un montant « décidé au regard des manquements retenus, ainsi qu’en tenant compte de la coopération de la société et de l’ensemble des mesures qu’elle a prises au cours de la procédure pour se mettre en conformité », explique la Cnil.

Dans le détail, la commission explique que le groupe Canal+ réalise régulièrement des campagnes de prospection commerciale par voie électronique mais sans obtenir au préalable le consentement de ses prospects. En effet, la Cnil affirme que la chaîne cryptée n’a pas été en mesure de fournir des éléments démontrant l’obtention de ce consentement, ce qui constitue une infraction des articles L. 34.5 du CPCE et 7 du RGPD.

Lors de ses contrôles, la Cnil a obtenu deux exemples de formulaires types de collecte de données envoyés aux prospects par Canal+ et ces derniers « ne comportent aucune information sur l’identité des destinataires auxquels les données sont transmises ». La loi prévoit pourtant que « la liste des partenaires destinataires des données doit être tenue à la disposition des personnes au moment de recueillir leur consentement », ce qui n’a pas respecté la filiale de Vivendi.

Un manquement à l’obligation d’information

La Cnil accuse également le groupe Canal+ d’avoir manqué à l’obligation d’information des personnes qui créent un compte myCANAL. En effet, la politique de confidentialité à laquelle renvoyait le formulaire de collecte lors de la création du compte était imprécise sur les durées de conservation, ce qui enfreint l’article 13 du RGPD.

Le groupe a aussi manqué à l’obligation d’information des personnes lors des appels de démarchage téléphonique. « Le prestataire de la société en charge de la prospection téléphonique ne fournissait pas systématiquement toutes les informations exigées par le RGPD » explique la Cnil.

D’autres manquements similaires ont été constatés par la Cnil, notamment au niveau des modalités d’exercice des droits (article 12 du RGPD) en ne répondant pas à certains plaignants dans le délai d’un mois prévu par les textes ou au niveau du droit d’accès aux données (article 15 du RGPD) en ne faisant pas suite aux demandes d’accès.

Une sécurité insuffisante

Enfin, le groupe Canal+ a manqué à d’autres obligations prévues par le RGPD :

• le contrat de sous-traitance ne comportait pas toutes les mentions requises par le RGPD
• la sécurité des données personnelles n’était pas suffisante, en particulier pour les mots de passe des employés du groupe
• une violation de données a rendu accessibles certaines données d’abonnés à d’autres abonnés pendant une durée de 5 heures, et Canal+ n’en a pas notifiée la Cnil