Javascript is required
logo-dastralogo-dastra

Vodafone : décryptage de la sanction de 12,25 millions d'euros par la CNIL italienne pour marketing téléphonique abusif

Vodafone : décryptage de la sanction de 12,25 millions d'euros par la CNIL italienne pour marketing téléphonique abusif
Jérôme de Mercey
Jérôme de Mercey
2 décembre 2020

L'autorité de protection des données italienne (Garante per la protezione dei dati personali) a infligé une sanction de 12,250,000 euros à l'encontre de la société Vodafone pour des pratiques commerciales abusives dues à l'absence de consentement préalable et au non respect de la documentation requise par le RGPD.

Selon le communiqué de presse, il s'agissait de "critiques majeures de nature "structurelle" liées à la violation non seulement des exigences en matière de consentement, mais aussi des principes clés tels que la responsabilité et la protection des données par conception".

L'autorité a reproché à Vodafone d'utiliser des faux numéros de téléphone ou des numéros non enregistrés dans le registre national consolidé des opérateurs de communication pour passer les appels marketing. Cette pratique serait liée à la sollicitation de centres d'appels non autorisés.

Absence de consentement éclairé

D'autres violations pourraient être établies en ce qui concerne le traitement de listes de contacts achetées à des fournisseurs externes. Ces listes avaient été obtenues par des partenaires commerciaux de Vodafone auprès d'autres sociétés et avaient été transférées à Vodafone sans le consentement libre, informé et spécifique requis des utilisateurs.

Pour rappel, le consentement tel que défini par le RGPD doit être :

  1. libre
  2. éclairé
  3. spécifique
  4. non équivoque

Ajoutons qu'il doit être documenté au sein des processus internes.

En matière de fichiers marketing, la directive ePrivacy prévoit que le consentement doit être receuilli avant de traiter des données pour une démarche de prospection.

Une sécurité insuffisante

Les mesures de sécurité en matière de gestion des ressources des clients ont également été jugées inadéquates.

À cet égard, plusieurs plaintes et alertes avaient été soumises à la Garante par des clients qui avaient été contactés par des opérateurs prétendant agir au nom de Vodafone et demandant que des identifiants leur soient envoyés via WhatsApp - très probablement à des fins de spamming, de phishing ou d'autres activités frauduleuses.

Vodafone est également reprise sur un manquement à l'article 33 du RGPD pour ne pas avoir notifié une violation de données.

Découvrez comment la documentation des violations de données est facilitée avec l'application DASTRA.

Absence de documentation

La CNIL italienne retient un manquement important à l'obligation de documentation de sa conformité. Cette obligation est prévue par l'article 5.2 du RGPD.

Le Garante a ordonné à Vodafone de mettre en place des systèmes pour démontrer que le traitement à des fins de télémarketing est conforme aux exigences de consentement. Vodafone devra en outre fournir la preuve que les accords contractuels ne sont activés qu'à la suite d'appels de télémarketing passés par son propre réseau de vente par l'intermédiaire de numéros enregistrés auprès du registre national des opérateurs de télécommunications.

Absence de procédure de gestion des droits

Le Garante souligne que Vodafone n'a pas mis en place de procécure pour gérer les droits des personnes. L'autorité retient un manquement aux articles 15 et 21 du RGPD sur le droit d'accès et le droit d'opposition.

DASTRA vous permet de centraliser et gérer les droits des personnes facilement à travers un registre et un widget exportable.

Sanction financière de 12 millions d'euros

Au regard des manquements, la CNIL italienne a prononcé une sanction de plus de 12,250,000 euros, ce qui correspond à 5% du chiffre d'affaires de la société.

L'autorité pouvait sanctionner à hauteur de 4% du CA ou 20 000 000 euros du CA.

Elements agravants

L'article 83 du RGPD impose de prendre en compte des mesures aggravantes et atténuantes pour évaluer la sanction.
L'autorité a pris en compte les éléments suivants pour pondérer sa sanction :

Facteurs aggravants :

  • la gravité des infractions en raison de l’omniprésence particulière des contacts illicites dans le contexte des activités de télémarketing (potentiellement préjudiciables à divers droits fondamentaux et, en particulier, au droit à la protection des données personnelles, au droit à la tranquillité personnelle et au droit à la vie privée), du niveau de préjudice réellement subi par les parties intéressées qui ont été constamment exposées à des appels à la perturbation, aux difficultés croissantes qu’elles rencontrent pour endiguer le phénomène, à la multiplicité des comportements commis par Vodafone en violation de plusieurs dispositions du Règlement
  • la durée des infractions, en raison de la nature permanente et toujours en vigueur des infractions ; plus de six mois pour certaines infractions mentionnées
  • le très grand nombre de personnes concernées
  • la nature significativement négligente dans la conduite de Vodafone
  • la récurrence spécifique des manquements (art. 83, paragraphe 2(c) du règlement) et l’adoption antérieure par l’Autorité de mesures correctives et de sanction similaires en ce qui concerne les traitements de la même espèce

Facteurs atténuants :

  • l'adoption de mesures visant à atténuer les conséquences des violations (art. 83, par. 2, lit.c) du Règlement), en particulier la mise en œuvre des procédures d’audit des partenaires du réseau de vente, la mise en place d’outils de contrôle dans les plateformes de gestion des campagnes promotionnelles et le renforcement des mesures de sécurité pour l’accès aux bases de données des entreprises
  • la coopération avec l’Autorité (article 83(2)f) du Règlement) au cours de l’enquête préliminaire

Facteurs supplémentaires :

  • la marge de temps importante accordée à tous les responsables de traitements afin de leur permettre une adaptation complète et cohérente des systèmes et procédures à la nouvelle législation européenne, en vigueur dès le 25 mai 2016 et pleinement opérationnelle à partir du 25 mai 2018
  • l’attention particulière que le législateur a consacrée à la régulation du phénomène du télémarketing, également avec des interventions réglementaires récemment adoptées
  • la position de Vodafone sur le marché des télécommunications et la valeur économique globale de l’entreprise

Dastra vous permet de tenir votre registre et d'embarquer l'ensemble des collabarateurs dans son édition. Venez tester simplement et directement Dastra sur notre site.


A propos de l'auteur
Jérôme de Mercey
Jérôme de Mercey

Cofondateur de Dastra

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.