Créée en 2015, NESTOR est une entreprise qui propose la livraison de repas au bureau.Du haut de ses 3.963 euros de capital social et avec son résultat net négatif, la société NESTOR est loin de ces multinationales qui étaient la cible des sanctions Cnil jusqu’à présent.
C'est à la suite de quatre plaintes de personnes non clientes qui avaient reçu des courriels de prospection de la part de Nestor, sans qu’elles aient fourni leur consentement préalable que la Cnil a effectué une série de contrôles en ligne et sur place.
A cette occasion, elle a relevé des manquements au RGPD parmi lesquels, l’absence de consentement lors de la collecte de données à des fins de prospection.
Non conformité qui coûtera 20.000 € à la petite pousse (Délibération de la formation restreinte du 8 décembre 2020).
NESTOR collectait les données de ses prospects selon deux canaux mais ne recueillait le consentement dans aucun cas de figure.
D’une part, NESTOR créait des listes de prospection à partir du service « Sales Navigator », qui recense l’ensemble des personnes travaillant dans une entreprise et une région, puis procédait à l’enrichissement de ce fichier, notamment en ajoutant l’adresse électronique professionnelle des personnes afin, dans un troisième temps de solliciter les personnes, identifiées au sein de ce fichier, susceptibles d’être intéressées par ses services.
D’autre part, elle collectait les données des personnes qui créaient un compte sur son site internet.
Or, l’article 34-5 du CPCE prévoit le principe selon lequel la prospection est interdite en l’absence de consentement préalable du destinataire, sauf dans le cadre de certaines exceptions.
Depuis le 17 février 2005, se fondant sur l’esprit de la loi qui était de protéger les consommateurs, la Cnil estime notamment que « des personnes physiques peuvent être prospectées par courrier électronique à leur adresse électronique professionnelle et au titre de la fonction qu’elles exercent dans l’organisme privé ou public qui leur a attribué cette adresse, sans leur accord préalable ».
Ainsi, dans un premier temps NESTOR a justifié l’absence de consentement par le fait qu’elle intervenait « strictement dans le cadre professionnel que constituent les déjeuners en entreprise (adresse de courriel professionnelle, livraison dans les locaux professionnels, aux heures d’exercice de l’activité professionnelle du client, etc.) ».
La Cnil ne semble pas considérer cet argument. Elle retient simplement que le consentement devait être recueilli, considérant certainement que les emails de NESTOR ne s’adressaient pas aux professionnels au titre des fonctions qu’ils exercent mais en leur qualité de consommateur. Nous pouvons regretter que la Cnil n’ait pas étayé ce point tant l’étendue voir la valeur contraignante de cette exception sont discutables.
Par ailleurs selon l’alinéa 4 de l’article 34-5 le consentement n’est pas nécessaire si la personne prospectée est déjà cliente de l'entreprise et la prospection concerne des produits ou services analogues à ceux déjà fournis par l’entreprise. En l’occurrence, NESTOR collectait les données des personnes via son site web, qu’elles aient effectivement passé commande ou non. La simple création d’un compte n’étant pas suffisante.
En l’absence de consentement, la formation restreinte de la Cnil a considéré que NESTOR n’était pas en conformité avec la loi et que l’ensemble des données ainsi collectées devaient être supprimées.
Ce qu’il faut retenir :
- Le RGPD s’impose à toute société, quelque soit sa taille et quelque soit la sensibilité des données qu’elle traite ;
- Avant de réaliser une opération de prospection par email, vérifier :
- Que les destinataires de vos emails de prospection sont bien des clients et non de simples visiteurs de vos services (i.e. ils doivent avoir acheté un produit ou un service) ;
- Que vous les contactiez sur leur adresse professionnelle et dans le cadre de leurs fonction ; ou à défaut
- De recueillir, préalablement, le consentement des personnes.
Lamia EL FATH, Avocat