Par sa délibération rendue le 12 octobre 2023, la CNIL a sanctionné le Groupe Canal + pour divers manquements relatifs notamment à la prospection commerciale, à l’information des personnes et aux obligations en matière de violation de données.
Concernant le manquement à l’obligation de recueillir le consentement des personnes concernées pour la mise en œuvre de la prospection commerciale par voie électronique (Article L 34-5 CPCE et Article 7 RGPD)
Pour la réalisation d’opérations de prospection commerciale par voie électronique, le Groupe Canal + a fait appel à des prestataires, chargés, pour son compte, de la collecte de données personnelles.
La CNIL considère que le Groupe Canal + a manqué à son obligation de recueillir le consentement des personnes, ce dernier, que ce soit par ses soins ou par les primo collectant, n’étant pas en mesure de rapporter la preuve de l’obtention, au préalable, d’un consentement valablement exprimé par les prospects.
En effet, les formulaires types de collecte de données des prospects, mis à disposition par les partenaires du Groupe Canal + (avec lesquels ce dernier a conclu des contrats répartissant les responsabilités entre eux), prévoyait la possibilité, en cochant une case, de consentir à recevoir de la prospection commerciale par des partenaires sans mentionner l’identité desdits partenaires (dont le Groupe Canal + fait partie).
La CNIL considère ainsi qu’il appartenait au Groupe Canal + de s’assurer de la collecte d’un consentement éclairé des personnes concernées et le fait qu’aucun contrôle ne soit exercé par le Groupe Canal + sur les formulaires de recueil de consentement utilisés par ses prestataires démontre l’absence de mesures suffisantes mises en place.
Concernant le manquement à l’obligation d’informer les personnes concernées du traitement de leur données à caractère personnel (Article 13 et Article 14 du RGPD)
- Dans le cadre de l’information fournie aux utilisateurs lors de la création d’un compte pour le service MyCanal :
La CNIL considère que l’information relative à la durée de conservation des données personnelles des utilisateurs n’est pas suffisamment détaillée et constitue donc un manquement à l’article 13 du RGPD. En effet, celle-ci se limitait à affirmer, de manière générique, que la durée de conservation des données était liée à la poursuite de certaines finalités (respect d’obligations légales, comptables, fiscales) ou à la durée de l’abonnement, sans indiquer les durées précises applicables.
- Dans le cadre de l’information fournie aux prospects lors des appels de démarchage téléphonique :
Un échantillon d’enregistrements d’appels effectués par des prestataires, pour le compte du Groupe Canal + , dans le cadre des campagnes de prospection, a été mis à disposition de la CNIL. Elle relève que certains prospects n’ont bénéficié d’aucune information et que d’autres ont bénéficié d’une information limitée (uniquement certains points de l’article 14 du RGPD) sans leur donner la possibilité d’obtenir une information plus complète (par exemple par l’activation d’une touche sur le clavier téléphonique) constituant ainsi un manquement à l’article 14 du RGPD.
Concernant le manquement aux obligations relatives aux modalités d’exercice des droits des personnes concernées (Article 12 et Article 15 du RGPD)
La CNIL rappelle la nécessité de traiter les demandes d’exercices des droits des personnes concernées dans les délais impartis et relève un manquement (non structurel) aux articles 12 et 15 du RGPD par le Groupe Canal + pour ne pas : (i) avoir informé les personnes concernées des mesures prises à la suite de leur demande d’exercice de droits (suppression et opposition) ; (ii) avoir traité une demande d’effacement dans les délais imposés par le RGPD ; (iii) avoir donné suite à une demande d’accès.
Concernant le manquement à l’obligation de sécurité (Article 32 du RGPD)
La CNIL rappelle que la mise en place d’une politique d’authentification robuste constitue une mesure élémentaire de sécurité qui participe généralement au respect des obligations de l’article 32 du RGPD.
Elle relève que l’algorithme MD4, utilisé par le Groupe Canal + pour le stockage des mots de passe des collaborateurs au moment des contrôles, était déjà réputé obsolète et insuffisamment robuste pour assurer la confidentialité des mots de passe (et cela avait déjà était indiqué par la CNIL et l’ANSSI).
La CNIL considère ainsi que l’utilisation de cette fonction de hachage ne permet donc pas de garantir la sécurité des données personnelles concernées et que la robustesse des mesures de sécurité périphériques ne suffit pas à compenser l’utilisation de l’algorithme MD4.
Concernant le manquement à l’obligation de notifier à la CNIL une violation de données personnelles (Article 33 du RGPD)
A la suite de la mise à jour de l’espace client CANAL+, des abonnés accédant à leur compte ont pu visualiser les informations relatives à d’autres abonées (10 154 personnes). Le Groupe Canal+ a cependant considéré qu’aucune notification de violation de données n’était nécessaire dans la mesure où seuls 7 abonnées auraient eu accès aux données pendant une durée de 5 heures et 35 minutes.
La CNIL considère que cet accès illégitime constitue bel et bien une violation de données devant lui être notifiée dans les conditions prévues à l’article 35 du RGPD.