[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"article_320":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":7,"wordCount":8,"readTime":9,"title":10,"nbDownloads":11,"excerpt":7,"lang":12,"url":13,"intro":14,"featured":15,"state":16,"author":17,"authorId":18,"datePublication":24,"dateCreation":25,"dateUpdate":26,"mainCategory":27,"categories":42,"metaDatas":48,"imageUrl":49,"imageThumbUrls":50,"id":58},false,"L'**autorité de protection des données italienne** (Garante per la protezione dei dati personali) a infligé **une sanction de 12,250,000 euros** à l'encontre de la **société Vodafone** pour des pratiques commerciales abusives dues à l'absence de consentement préalable et au non respect de la documentation requise par le RGPD.\r\n\r\nSelon le [communiqué de presse](https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9485754), il s'agissait de \"*critiques majeures de nature \"structurelle\" liées à la violation non seulement des exigences en matière de consentement, mais aussi des principes clés tels que la responsabilité et la protection des données par conception*\".\r\n\r\nL'autorité a reproché à Vodafone d'**utiliser des faux numéros de téléphone ou des numéros non enregistrés dans le registre national consolidé des opérateurs de communication pour passer les appels marketing**. Cette pratique serait liée à la sollicitation de centres d'appels non autorisés.\r\n\r\n### Absence de consentement éclairé\r\n\r\nD'autres violations pourraient être établies en ce qui concerne le traitement de listes de contacts achetées à des fournisseurs externes. Ces listes avaient été obtenues par des partenaires commerciaux de Vodafone auprès d'autres sociétés et avaient été transférées à Vodafone sans le consentement libre, informé et spécifique requis des utilisateurs.\r\n\r\nPour rappel, le consentement tel que défini par le RGPD doit être :\r\n\r\n1. **libre**\r\n2. **éclairé**\r\n3. **spécifique**\r\n4. **non équivoque**\r\n\r\nAjoutons qu'il doit être **documenté** au sein des processus internes.\r\n\r\nEn matière de fichiers marketing, la **directive ePrivacy** prévoit que le consentement doit être receuilli avant de traiter des données pour une démarche de prospection.\r\n\r\n### Une sécurité insuffisante\r\n\r\nLes mesures de sécurité en matière de gestion des ressources des clients ont également été jugées inadéquates.\r\n\r\nÀ cet égard, plusieurs plaintes et alertes avaient été soumises à la Garante par des clients qui avaient été contactés par des opérateurs prétendant agir au nom de Vodafone et demandant que des identifiants leur soient envoyés via WhatsApp - très probablement à des fins de spamming, de phishing ou d'autres activités frauduleuses.\r\n\r\nVodafone est également reprise sur **un manquement à l'article 33 du RGPD pour ne pas avoir notifié une violation de données**.\r\n\r\n> [**Découvrez comment la documentation des violations de données est facilitée avec l'application DASTRA.**](https://www.dastra.eu/fr/product-features/data-breach)\r\n\r\n### Absence de documentation\r\n\r\nLa CNIL italienne retient un manquement important à l'obligation de documentation de sa conformité. **Cette obligation est prévue par l'article 5.2 du RGPD**.\r\n\r\nLe Garante a ordonné à Vodafone de mettre en place des systèmes pour démontrer que le traitement à des fins de télémarketing est conforme aux exigences de consentement. Vodafone devra en outre fournir la preuve que les accords contractuels ne sont activés qu'à la suite d'appels de télémarketing passés par son propre réseau de vente par l'intermédiaire de numéros enregistrés auprès du registre national des opérateurs de télécommunications.\r\n\r\n### Absence de procédure de gestion des droits\r\n\r\nLe Garante souligne que Vodafone n'a pas mis en place de procécure pour gérer les droits des personnes. L'autorité retient un manquement aux articles 15 et 21 du RGPD sur le droit d'accès et le droit d'opposition.\r\n\r\n> [**DASTRA vous permet de centraliser et gérer les droits des personnes facilement à travers un registre et un widget exportable.**](https://www.dastra.eu/fr/product-features/data-subject-requests)\r\n\r\n### Sanction financière de 12 millions d'euros\r\n\r\nAu regard des manquements, la CNIL italienne a prononcé une sanction de plus de 12,250,000 euros, ce qui correspond à **5% du chiffre d'affaires de la société**.\r\n\r\nL'autorité pouvait sanctionner à hauteur de 4% du CA ou 20 000 000 euros du CA.\r\n\r\n#### Elements agravants\r\n\r\n**L'article 83 du RGPD** impose de prendre en compte des mesures aggravantes et atténuantes pour évaluer la sanction.L'autorité a pris en compte les éléments suivants pour pondérer sa sanction :\r\n\r\n**Facteurs aggravants :**\r\n\r\n- **la gravité des infractions** en raison de l’omniprésence particulière des contacts illicites dans le contexte des activités de télémarketing (potentiellement préjudiciables à divers droits fondamentaux et, en particulier, au droit à la protection des données personnelles, au droit à la tranquillité personnelle et au droit à la vie privée), du niveau de préjudice réellement subi par les parties intéressées qui ont été constamment exposées à des appels à la perturbation, aux difficultés croissantes qu’elles rencontrent pour endiguer le phénomène, à la multiplicité des comportements commis par Vodafone en violation de plusieurs dispositions du Règlement\r\n- **la durée des infractions**, en raison de la nature permanente et toujours en vigueur des infractions ; plus de six mois pour certaines infractions mentionnées\r\n- **le très grand nombre de personnes concernées**\r\n- **la nature significativement négligente dans la conduite de Vodafone**\r\n- **la récurrence spécifique des manquements** (art. 83, paragraphe 2(c) du règlement) et l’adoption antérieure par l’Autorité de mesures correctives et de sanction similaires en ce qui concerne les traitements de la même espèce\r\n\r\n**Facteurs atténuants :**\r\n\r\n- l'adoption de **mesures visant à atténuer les conséquences des violations** (art. 83, par. 2, lit.c) du Règlement), en particulier la mise en œuvre des procédures d’audit des partenaires du réseau de vente, la mise en place d’outils de contrôle dans les plateformes de gestion des campagnes promotionnelles et le renforcement des mesures de sécurité pour l’accès aux bases de données des entreprises\r\n- **la coopération avec l’Autorité** (article 83(2)f) du Règlement) au cours de l’enquête préliminaire\r\n\r\n**Facteurs supplémentaires :**\r\n\r\n- la **marge de temps importante accordée à tous les responsables de traitements afin de leur permettre une adaptation complète et cohérente des systèmes et procédures à la nouvelle législation européenne**, en vigueur dès le 25 mai 2016 et pleinement opérationnelle à partir du 25 mai 2018\r\n- l’**attention particulière que le législateur a consacrée à la régulation du phénomène du télémarketing**, également avec des interventions réglementaires récemment adoptées\r\n- la **position de Vodafone sur le marché des télécommunications** et la **valeur économique globale de l’entreprise**\r\n\r\n> Dastra vous permet de tenir votre [**registre**](https://www.dastra.eu/fr/data-processing) et d'embarquer l'ensemble des collabarateurs dans son édition. ","\u003Cp>L'\u003Cstrong>autorité de protection des données italienne\u003C/strong> (Garante per la protezione dei dati personali) a infligé \u003Cstrong>une sanction de 12,250,000 euros\u003C/strong> à l'encontre de la \u003Cstrong>société Vodafone\u003C/strong> pour des pratiques commerciales abusives dues à l'absence de consentement préalable et au non respect de la documentation requise par le RGPD.\u003C/p>\r\n\u003Cp>Selon le \u003Ca href=\"https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9485754\" rel=\"nofollow\">communiqué de presse\u003C/a>, il s'agissait de \"\u003Cem>critiques majeures de nature \"structurelle\" liées à la violation non seulement des exigences en matière de consentement, mais aussi des principes clés tels que la responsabilité et la protection des données par conception\u003C/em>\".\u003C/p>\r\n\u003Cp>L'autorité a reproché à Vodafone d'\u003Cstrong>utiliser des faux numéros de téléphone ou des numéros non enregistrés dans le registre national consolidé des opérateurs de communication pour passer les appels marketing\u003C/strong>. Cette pratique serait liée à la sollicitation de centres d'appels non autorisés.\u003C/p>\r\n\u003Ch3 id=\"absence-de-consentement-eclaire\">Absence de consentement éclairé\u003C/h3>\r\n\u003Cp>D'autres violations pourraient être établies en ce qui concerne le traitement de listes de contacts achetées à des fournisseurs externes. Ces listes avaient été obtenues par des partenaires commerciaux de Vodafone auprès d'autres sociétés et avaient été transférées à Vodafone sans le consentement libre, informé et spécifique requis des utilisateurs.\u003C/p>\r\n\u003Cp>Pour rappel, le consentement tel que défini par le RGPD doit être :\u003C/p>\r\n\u003Col>\r\n\u003Cli>\u003Cstrong>libre\u003C/strong>\u003C/li>\r\n\u003Cli>\u003Cstrong>éclairé\u003C/strong>\u003C/li>\r\n\u003Cli>\u003Cstrong>spécifique\u003C/strong>\u003C/li>\r\n\u003Cli>\u003Cstrong>non équivoque\u003C/strong>\u003C/li>\r\n\u003C/ol>\r\n\u003Cp>Ajoutons qu'il doit être \u003Cstrong>documenté\u003C/strong> au sein des processus internes.\u003C/p>\r\n\u003Cp>En matière de fichiers marketing, la \u003Cstrong>directive ePrivacy\u003C/strong> prévoit que le consentement doit être receuilli avant de traiter des données pour une démarche de prospection.\u003C/p>\r\n\u003Ch3 id=\"une-securite-insuffisante\">Une sécurité insuffisante\u003C/h3>\r\n\u003Cp>Les mesures de sécurité en matière de gestion des ressources des clients ont également été jugées inadéquates.\u003C/p>\r\n\u003Cp>À cet égard, plusieurs plaintes et alertes avaient été soumises à la Garante par des clients qui avaient été contactés par des opérateurs prétendant agir au nom de Vodafone et demandant que des identifiants leur soient envoyés via WhatsApp - très probablement à des fins de spamming, de phishing ou d'autres activités frauduleuses.\u003C/p>\r\n\u003Cp>Vodafone est également reprise sur \u003Cstrong>un manquement à l'article 33 du RGPD pour ne pas avoir notifié une violation de données\u003C/strong>.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>\u003Ca href=\"https://www.dastra.eu/fr/product-features/data-breach\">\u003Cstrong>Découvrez comment la documentation des violations de données est facilitée avec l'application DASTRA.\u003C/strong>\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch3 id=\"absence-de-documentation\">Absence de documentation\u003C/h3>\r\n\u003Cp>La CNIL italienne retient un manquement important à l'obligation de documentation de sa conformité. \u003Cstrong>Cette obligation est prévue par l'article 5.2 du RGPD\u003C/strong>.\u003C/p>\r\n\u003Cp>Le Garante a ordonné à Vodafone de mettre en place des systèmes pour démontrer que le traitement à des fins de télémarketing est conforme aux exigences de consentement. Vodafone devra en outre fournir la preuve que les accords contractuels ne sont activés qu'à la suite d'appels de télémarketing passés par son propre réseau de vente par l'intermédiaire de numéros enregistrés auprès du registre national des opérateurs de télécommunications.\u003C/p>\r\n\u003Ch3 id=\"absence-de-procedure-de-gestion-des-droits\">Absence de procédure de gestion des droits\u003C/h3>\r\n\u003Cp>Le Garante souligne que Vodafone n'a pas mis en place de procécure pour gérer les droits des personnes. L'autorité retient un manquement aux articles 15 et 21 du RGPD sur le droit d'accès et le droit d'opposition.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>\u003Ca href=\"https://www.dastra.eu/fr/product-features/data-subject-requests\">\u003Cstrong>DASTRA vous permet de centraliser et gérer les droits des personnes facilement à travers un registre et un widget exportable.\u003C/strong>\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch3 id=\"sanction-financiere-de-12-millions-deuros\">Sanction financière de 12 millions d'euros\u003C/h3>\r\n\u003Cp>Au regard des manquements, la CNIL italienne a prononcé une sanction de plus de 12,250,000 euros, ce qui correspond à \u003Cstrong>5% du chiffre d'affaires de la société\u003C/strong>.\u003C/p>\r\n\u003Cp>L'autorité pouvait sanctionner à hauteur de 4% du CA ou 20 000 000 euros du CA.\u003C/p>\r\n\u003Ch4 id=\"elements-agravants\">Elements agravants\u003C/h4>\r\n\u003Cp>\u003Cstrong>L'article 83 du RGPD\u003C/strong> impose de prendre en compte des mesures aggravantes et atténuantes pour évaluer la sanction.\u003Cbr />\r\nL'autorité a pris en compte les éléments suivants pour pondérer sa sanction :\u003C/p>\r\n\u003Cp>\u003Cstrong>Facteurs aggravants :\u003C/strong>\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cstrong>la gravité des infractions\u003C/strong> en raison de l’omniprésence particulière des contacts illicites dans le contexte des activités de télémarketing (potentiellement préjudiciables à divers droits fondamentaux et, en particulier, au droit à la protection des données personnelles, au droit à la tranquillité personnelle et au droit à la vie privée), du niveau de préjudice réellement subi par les parties intéressées qui ont été constamment exposées à des appels à la perturbation, aux difficultés croissantes qu’elles rencontrent pour endiguer le phénomène, à la multiplicité des comportements commis par Vodafone en violation de plusieurs dispositions du Règlement\u003C/li>\r\n\u003Cli>\u003Cstrong>la durée des infractions\u003C/strong>, en raison de la nature permanente et toujours en vigueur des infractions ; plus de six mois pour certaines infractions mentionnées\u003C/li>\r\n\u003Cli>\u003Cstrong>le très grand nombre de personnes concernées\u003C/strong>\u003C/li>\r\n\u003Cli>\u003Cstrong>la nature significativement négligente dans la conduite de Vodafone\u003C/strong>\u003C/li>\r\n\u003Cli>\u003Cstrong>la récurrence spécifique des manquements\u003C/strong> (art. 83, paragraphe 2(c) du règlement) et l’adoption antérieure par l’Autorité de mesures correctives et de sanction similaires en ce qui concerne les traitements de la même espèce\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>\u003Cstrong>Facteurs atténuants :\u003C/strong>\u003C/p>\r\n\u003Cul>\r\n\u003Cli>l'adoption de \u003Cstrong>mesures visant à atténuer les conséquences des violations\u003C/strong> (art. 83, par. 2, lit.c) du Règlement), en particulier la mise en œuvre des procédures d’audit des partenaires du réseau de vente, la mise en place d’outils de contrôle dans les plateformes de gestion des campagnes promotionnelles et le renforcement des mesures de sécurité pour l’accès aux bases de données des entreprises\u003C/li>\r\n\u003Cli>\u003Cstrong>la coopération avec l’Autorité\u003C/strong> (article 83(2)f) du Règlement) au cours de l’enquête préliminaire\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>\u003Cstrong>Facteurs supplémentaires :\u003C/strong>\u003C/p>\r\n\u003Cul>\r\n\u003Cli>la \u003Cstrong>marge de temps importante accordée à tous les responsables de traitements afin de leur permettre une adaptation complète et cohérente des systèmes et procédures à la nouvelle législation européenne\u003C/strong>, en vigueur dès le 25 mai 2016 et pleinement opérationnelle à partir du 25 mai 2018\u003C/li>\r\n\u003Cli>l’\u003Cstrong>attention particulière que le législateur a consacrée à la régulation du phénomène du télémarketing\u003C/strong>, également avec des interventions réglementaires récemment adoptées\u003C/li>\r\n\u003Cli>la \u003Cstrong>position de Vodafone sur le marché des télécommunications\u003C/strong> et la \u003Cstrong>valeur économique globale de l’entreprise\u003C/strong>\u003C/li>\r\n\u003C/ul>\r\n\u003Cblockquote>\r\n\u003Cp>Dastra vous permet de tenir votre \u003Ca href=\"https://www.dastra.eu/fr/data-processing\">\u003Cstrong>registre\u003C/strong>\u003C/a> et d'embarquer l'ensemble des collabarateurs dans son édition.\u003C/p>\r\n\u003C/blockquote>\r\n",null,1025,6,"Vodafone : décryptage de la sanction de 12,25 millions d'euros par la CNIL italienne pour marketing téléphonique abusif",0,"fr","sanction-vodafone-guarante-rgpd","L'autorité de protection des données italienne (Garante per la protezione dei dati personali) a infligé une sanction de 12,250,000 euros à l'encontre de la société Vodafone pour des pratiques commerciales abusives dues à l'absence de consentement préalable et au non respect de la documentation requise par le RGPD. Décryptage....",true,"Published",{"id":18,"displayName":19,"avatarUrl":20,"bio":21,"blogUrl":22,"color":7,"userId":18,"creationDate":23},31,"Jérôme de Mercey","https://static.dastra.eu/tenant-10/avatar/31/Zuh7XFZe5EnnTo/design-sans-titre-2-150.png","COO/cofounder","https://www.dastra.eu","2021-11-15T12:57:57","2020-12-02T12:50:35.506","2020-12-02T14:45:09.0869781","2026-01-22T09:56:08.1783",{"id":28,"name":29,"description":30,"url":31,"color":32,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":33},2,"Blog","A list of curated articles provided by the community","article","#28449a",[34,36,39],{"lang":12,"name":29,"description":35},"Une liste d'articles rédigés par la communauté",{"lang":37,"name":29,"description":38},"es","Una lista de artículos escritos por la comunidad",{"lang":40,"name":29,"description":41},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[43],{"id":28,"name":29,"description":30,"url":31,"color":32,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":44},[45,46,47],{"lang":12,"name":29,"description":35},{"lang":37,"name":29,"description":38},{"lang":40,"name":29,"description":41},[],"https://static.dastra.eu/content/5c4aa45e-4bc4-40b9-8af6-9a24fe87acfd/garante-vodafone-1000.PNG",[51,52,53,54,55,56,57],"https://static.dastra.eu/content/5c4aa45e-4bc4-40b9-8af6-9a24fe87acfd/garante-vodafone-1000.webp","https://static.dastra.eu/content/5c4aa45e-4bc4-40b9-8af6-9a24fe87acfd/garante-vodafone.webp","https://static.dastra.eu/content/5c4aa45e-4bc4-40b9-8af6-9a24fe87acfd/garante-vodafone-1500.webp","https://static.dastra.eu/content/5c4aa45e-4bc4-40b9-8af6-9a24fe87acfd/garante-vodafone-800.webp","https://static.dastra.eu/content/5c4aa45e-4bc4-40b9-8af6-9a24fe87acfd/garante-vodafone-600.webp","https://static.dastra.eu/content/5c4aa45e-4bc4-40b9-8af6-9a24fe87acfd/garante-vodafone-300.webp","https://static.dastra.eu/content/5c4aa45e-4bc4-40b9-8af6-9a24fe87acfd/garante-vodafone-100.webp",320]