La Commission Nationale de l’Informatique et des Libertés (CNIL) a clôturé l’année 2020 avec une amende de 20 000 euros à l’encontre la société française NESTOR spécialisée dans la préparation et la livraison de repas sur le lieu de travail (voir la décision complète CNIL, Décision SAN-2020-018, 8 Décembre 2020).
Plusieurs violations du Règlement Général sur la Protection des Données (« RGPD ») et la Directive Vie privée et Communications électroniques (« Directive ePrivacy ») concernant le traitement des données à caractère personnel des clients et prospects ont été relevés par la CNIL, et notamment :
- L’absence de consentement préalable des prospects à recevoir une communication électronique à des fins de marketing direct, en violation de l’Article L.34-5 du Code des Postes et des Communications Électroniques (« CPCE ») ;
- Le manquement à l’obligation d’informer correctement les personnes concernées (Article 12 et 13 RGPD) soit :
- Lors de la création de leur compte sur la plateforme de la société ;
- Lors de la collecte indirecte de données via des sources externes.
- L’incapacité à traiter correctement les demandes d’accès des personnes concernées (Article 15 RGPD).
Si l’amende apparait relativement limitée au regard du montant maximal de 20 millions d’euros ou de 4% du chiffre d’affaires pouvant être prononcé, cette décision reste une opportunité d’examiner de plus près les pratiques de web scraping et de marketing direct qui se développent rapidement.
(suite…)