PROFILS SENIORS sanctionné par la CNIL pour manque de transparence
RSS CNIL - , 4/01/2016
La formation restreinte de la CNIL a prononcé un avertissement public à l’encontre de la société PROFILS SENIORS en raison de nombreux manquements à la loi « Informatique et Libertés ».
La société PROFILS SENIORS a pour activité la constitution d’une base de données de séniors qu’elle loue à des tiers effectuant de la prospection commerciale électronique.
En août 2013, la CNIL a reçu une plainte d’une personne dénonçant l’absence de réponse à ses demandes adressées à PROFIL SENIORS. Elle demandait l’accès à ses données personnelles et formulait son opposition à ce que ses données soient transmises à des tiers à des fins de prospection commerciale. Dans le cadre de l’instruction de cette plainte, la société PROFILS SENIORS a apporté une réponse satisfaisante. La CNIL a donc clôturé la plainte.
La Commission a ensuite effectué un contrôle sur place en 2015 afin de vérifier l’effectivité des mesures prises par la société et d’une manière générale la conformité de ses traitements à la loi « Informatique et Libertés ». Ce contrôle a permis de constater de nombreux manquements à la loi, ce qui a conduit à saisir la formation restreinte de la CNIL.
Sur la base des constatations effectuées, la formation restreinte a notamment relevé :
- que la finalité de la collecte des données indiquée par téléphone aux personnes concernées ne correspondait pas exactement à la réalité du traitement, ce qui devait conduire à considérer cette collecte comme déloyale. En effet, il ressort des éléments du dossier que les personnes appelées pensent participer à une enquête sur la consommation des ménages français, alors que l’appel vise également à constituer une base de données de seniors qui feront l’objet de prospection commerciale électronique par des tiers, partenaires de la société PROFILS SENIORS.
- que la société ne recueillait pas le consentement préalable des personnes à recevoir de la prospection commerciale par voie électronique, tel qu’exigé par les textes.
- que la société n’assurait pas la sécurité et la confidentialité des données personnelles qu’elle traitait et qu’il n’existait pas de contrat ou de clauses spécifiques avec ses sous-traitants permettant de leur imposer des conditions de sécurité et de confidentialité des données.
- que la société n’avait pas déclaré son traitement relatif à la collecte de données auprès de séniors, ni déposé une demande d’autorisation pour le transfert des données vers des sous-traitants situés dans des pays en dehors de l’Union européenne.