Sanction de la CNIL contre COSMOSPACE et TELEMAQUE

La Commission nationale de l’informatique et des libertés (CNIL) a récemment infligé des sanctions significatives aux sociétés COSMOSPACE et TELEMAQUE, qui exercent dans le secteur de la voyance en ligne. Le 26 septembre 2024, ces entreprises ont été condamnées à des amendes de respectivement 250 000 et 150 000 euros.

Cette décision fait suite à des manquements graves en matière de protection des données personnelles, en particulier dans la collecte et la conservation de données sensibles, ainsi qu’à des pratiques non conformes pour la prospection commerciale.

Cet article revient sur les infractions relevées, les principes du RGPD en cause et les enseignements pour les entreprises soumises aux mêmes obligations.

Contexte et nature des infractions

COSMOSPACE et TELEMAQUE proposent des services de voyance par téléphone et par chat et SMS. La CNIL a initié des contrôles en 2021 et a révélé plusieurs infractions aux règles de protection des données. Il s’agissait notamment de la conservation de données sensibles sans consentement explicite des utilisateurs, des durées de conservation excessives des données clients et de l’envoi de messages de prospection non sollicités.

Les infractions reprochées par la CNIL sont particulièrement préoccupantes dans un contexte de voyance, où les échanges peuvent révéler des informations sensibles, comme les orientations sexuelles, les croyances religieuses ou encore l’état de santé des clients. Au total, la base de données commune aux deux sociétés regroupait des informations sur plus de 1,5 million de personnes.

Les manquements constatés par la CNIL

COSMOSPACE enregistrait systématiquement tous les appels entre voyants, clients et standardistes, en invoquant des raisons de qualité de service, de formation, et pour répondre à d’éventuelles réquisitions judiciaires. Cependant, la CNIL a jugé cette collecte excessive. Elle a rappelé que seules certaines conversations auraient dû être enregistrées pour contrôler la qualité et former les employés, et que l’enregistrement intégral n’était pas justifié. Ainsi, la société a méconnu le principe de minimisation des données prévu à l’article 5-1-c du RGPD.

COSMOSPACE et TELEMAQUE conservaient les données de leurs clients pendant six ans après la fin de la relation commerciale, notamment pour les démarcher ultérieurement. La CNIL a souligné qu’une durée de trois ans serait plus appropriée et a rappelé aux sociétés qu’elles n’avaient pas prouvé la nécessité d’une conservation aussi longue. La CNIL a exigé un archivage sélectif et sécurisé de ces données.

Dans le cadre de leurs prestations de voyance, les clients des sociétés pouvaient être amenés à partager des informations sensibles comme leur orientation sexuelle, leurs convictions religieuses ou leur état de santé. Ces informations étaient collectées sans consentement explicite des clients. La CNIL a rappelé que la simple volonté d’accéder à des services de voyance ne peut être interprétée comme un consentement explicite au traitement de données sensibles.

Enfin, les sociétés COSMOSPACE et TELEMAQUE faisaient usage d’une base de données commune pour leurs campagnes de prospection par voie électronique. Ces données collectées proviennent des formulaires présents sur leurs sites respectifs. Cependant, la CNIL a considéré que la collecte se faisait sans le consentement éclairé des clients.

Enseignements pour les entreprises

Ce cas rappelle aux entreprises, quelle que soit leur taille, l’importance de respecter les exigences du RGPD, en particulier dans les secteurs traitant des données sensibles. Les sociétés doivent s’assurer de plusieurs points :

• collecter les données de manière proportionnée, en limitant le traitement à ce qui est strictement nécessaire ;
• définir une durée de conservation en adéquation avec la finalité du traitement ;
• obtenir un consentement explicite pour tout traitement de données sensibles ;
• s’assurer que la prospection commerciale est réalisée avec le consentement préalable et explicite des clients.

Résumé des points clés

• Sanctions : la CNIL a infligé des amendes de 250 000 euros et 150 000 euros aux sociétés COSMOSPACE et TELEMAQUE pour des infractions graves au RGPD et au CPCE.
• Collecte excessive : COSMOSPACE enregistrait l’intégralité des appels téléphoniques, une pratique jugée excessive par la CNIL.
• Durée de conservation disproportionnée : les deux sociétés conservaient les données des clients pendant six ans, bien au-delà des recommandations de la CNIL.
• Consentement manquant pour les données sensibles : des informations sensibles étaient collectées sans consentement explicite des clients.
• Prospection non conforme : des campagnes de prospection commerciale étaient menées sans consentement clair des personnes concernées.

En appliquant des sanctions dissuasives, la CNIL réaffirme son engagement à garantir le respect des droits des citoyens en matière de données personnelles.

Pour tous vos besoins juridiques, consultez notre annuaire d’avocats ou déposez votre demande directement et gratuitement en ligne sur notre page dédiée.