Skip to main content

Prospection commerciale sans consentement : sanction de la Cnil

La Cnil inflige à la société Nestor une amende de 20.000 € pour avoir adressé des courriels de prospection sans avoir préalablement recueilli le consentement des prospects et pour avoir manqué à plusieurs obligations du RGPD.Saisie de plusieurs plaintes, la Commission nationale de l’informatique et des libertés (Cnil) a effectué des contrôles en mai 2019 et février 2020 auprès de la société Nestor, spécialisée dans la préparation et la livraison de repas à destination d’employés de bureaux.

La Cnil inflige à la société Nestor une amende de 20.000 € pour avoir adressé des courriels de prospection sans avoir préalablement recueilli le consentement des prospects et pour avoir manqué à plusieurs obligations du RGPD.Saisie de plusieurs plaintes, la Commission nationale de l’informatique et des libertés (Cnil) a effectué des contrôles en mai 2019 et février 2020 auprès de la société Nestor, spécialisée dans la préparation et la livraison de repas à destination d’employés de bureaux.
Elle a constaté plusieurs manquements concernant le traitement de données personnelles de prospects et de clients :- un manquement à l’obligation de recueillir le consentement des personnes lors d’une prospection par courriel : depuis 2017, 653.033 prospects ont reçu des messages électroniques de prospection de la part de la société sans y avoir consenti, en violation de l’article L. 34-5 du le code des postes et des communications électroniques (CPCE) ;- un manquement à l’obligation d’information des personnes : le formulaire permettant de s’inscrire sur le site web de la société ne comportait pas l’ensemble des informations exigées par le règlement 2016/679 du 27 avril 2016 (RGPD), la politique de confidentialité des données du site web était incomplète et aucune information relative à la protection des données personnelles n’était fournie aux personnes créant un compte sur l’application mobile ;- un manquement à l’obligation de respecter le droit d’accès des personnes : la société a manqué à son obligation de fournir une copie des données personnelles qu’elle détenait dans sa base de données ainsi qu’une information relative à la source de ces données à deux personnes l’ayant sollicitée ;- un manquement à l’obligation d’assurer la sécurité des données personnelles, en n’imposant pas un mot de passe robuste lors de la création d’un compte.
Dans une délibération n° SAN-2020-018 du 8 décembre 2020, la formation restreinte de la Cnil a donc prononcé une amende de 20.000 € et décidé de rendre publique sa décision. Elle a également enjoint à la société de mettre ses traitements en conformité avec le CPCE et le RGPD et d’en justifier sous un délai de trois mois à compter de la notification de la délibération, sous astreinte de 500 € par jour de retard.