La Commission Nationale de l’Informatique et des Libertés (CNIL) a clôturé l’année 2020 avec une amende de 20 000 euros à l’encontre la société française NESTOR spécialisée dans la préparation et la livraison de repas sur le lieu de travail (voir la décision complète CNIL, Décision SAN-2020-018, 8 Décembre 2020).

Plusieurs violations du Règlement Général sur la Protection des DonnéesRGPD ») et la Directive Vie privée et Communications électroniques (« Directive ePrivacy ») concernant le traitement des données à caractère personnel des clients et prospects ont été relevés par la CNIL, et notamment :

  • L’absence de consentement préalable des prospects à recevoir une communication électronique à des fins de marketing direct, en violation de l’Article L.34-5 du Code des Postes et des Communications Électroniques (« CPCE ») ;
  • Le manquement à l’obligation d’informer correctement les personnes concernées (Article 12 et 13 RGPD) soit :
    • Lors de la création de leur compte sur la plateforme de la société ;
    • Lors de la collecte indirecte de données via des sources externes.
  • L’incapacité à traiter correctement les demandes d’accès des personnes concernées (Article 15 RGPD).

Si l’amende apparait relativement limitée au regard du montant maximal de 20 millions d’euros ou de 4% du chiffre d’affaires pouvant être prononcé, cette décision reste une opportunité d’examiner de plus près les pratiques de web scraping et de marketing direct qui se développent rapidement.

(suite…)