Image de brgfx sur Freepik
La CNIL a infligé une amende de 150 000 Euros à une société (KG COM) exploitant plusieurs sites web spécialisés dans la voyance en ligne et par téléphone.
La CNIL, lors d’un contrôle a relevé plusieurs un enregistrement systématique des appels téléphoniques, une collecte de données de santé et d’informations relatives à l’orientation sexuelle, la conservation des données bancaires sans le consentement de la personne, ainsi que des manquements aux règles relatives aux cookies.
Afin de déterminer le montant de la sanction, la CNIL a pris en compte le nombre particulièrement élevé de manquements aux règles relatives à la protection des données, la sensibilité des données personnelles en cause (données de santé, informations sur l’orientation sexuelle) et le nombre de personnes concernées.
- L’enregistrement systématique des appels téléphoniques, y compris au motif d’un « contrôle qualité du service » constitue un manquement à l’obligation de minimiser les données personnelles collectées et utilisées (article 5.1.c du RGPD)
- L’utilisation des données bancaires constitue un manquement à l’obligation de disposer d’une base légale pour l’utilisation des données bancaires (article 6 du RGPD)
En effet, la conservation de données bancaire en vue d’achats ultérieurs doit être consentie par les personnes qu’elle vise.
La conservation des données bancaires est autorisée, sans consentement, en vue d’un intérêt légitime (lutte contre la fraude).
- Les fiches rédigées pas les voyants dans lesquelles figurent des données particulières (orientation sexuelle et l’état de santé) constituent un manquement à l’obligation de recueillir un consentement préalable et explicite au recueil de données (article 9 du RGPD).
- Les mots de passe faible et l’absence de sécurisation via un protocole HTTPS qui a permis un piratage et une fuite des données constitue un manquement à l’obligation d’assurer la sécurité des données (article 32 du RGPD)
- L’absence de notification de violation des données constitue un manquement à l’obligation de notifier les violations de données à la CNIL (article 33 du RGPD). En effet, la société n’a pas notifié à la CNIL cette violation.
- L’absence de bandeau informatif relatif aux cookies constitue un manquement aux obligations liées à l’utilisation des cookies (article 82 de la loi Informatique et Libertés).