21 novembre 2023

Le Groupe Canal+ sanctionné d’une amende de 600 000 euros par la CNIL

La décision n’est pas passée inaperçue dans les actualités. Le 12 octobre 2023, la Commission nationale de l’informatique et des libertés (CNIL) a infligé au Groupe Canal+ une amende de 600 000 euros. La CNIL a sanctionné le groupe de médias pour ne pas avoir respecté ses obligations en lien avec le Règlement général sur la protection des données (RGPD) et le Code des postes et des communications électroniques (CPCE). Ces manquements concernent, notamment, la prospection commerciale et la sécurité des données.

La CNIL, garante du respect du RGPD en France

Publicité, jeux en ligne, applications sur mobile, banque, santé : la CNIL agit dans tous les secteurs de la société. Cette autorité administrative indépendante régule les données à caractère personnel. La Commission nationale de l’informatique et des libertés joue un rôle important en matière de cybersécurité en :

  • aidant les particuliers à maîtriser leurs données personnelles et à exercer leurs droits ;
  • accompagnant la conformité des organismes publics et privés ;
  • anticipant les nouveaux usages et en contribuant à l’innovation ;
  • contrôlant et sanctionnant les organismes non conformes au RGPD et à la Loi Informatique et Libertés.

La CNIL possède un pouvoir d’injonction. Elle peut ordonner une mise en conformité ou l’accès à la demande d’une personne qui souhaite exercer l’un de ses droits.

Prospection téléphonique, conservation des données, exercice des droits : la CNIL a reçu 31 plaintes

La sanction de la CNIL à l’encontre du Groupe Canal+ résulte d’un long processus de vérifications mené par la commission. De novembre 2019 à janvier 2021, la CNIL a reçu 31 plaintes. Des abonnés ou non abonnés exprimaient des difficultés à faire valoir leurs droits auprès du groupe de médias, spécialisé dans le sport et le cinéma.

La CNIL a, alors, effectué plusieurs contrôles auprès de la société pour vérifier qu’elle respectait bien la Loi Informatique et Libertés et le Règlement général sur la protection des données (RGPD). Entré en application en 2018, le RGPD encadre le traitement des données de manière égalitaire en France et dans l’Union européenne. La CNIL a relevé des infractions, en particulier, concernant le recueil du consentement, le respect de l’exercice des droits et la sécurité des données personnelles.

Prospection commerciale : des manquements dans le recueil du consentement des personnes démarchées

Le groupe de médias n’a pu prouver à la CNIL que les personnes qu’elle démarchait par prospection électronique, via des prestataires, avaient au préalable exprimé leur consentement au démarchage. Or, c’est une obligation édictée par le CPCE.

Canal+ a remis à la CNIL des formulaires types de collecte de data des prospects. Mais aucune information sur le destinataire des données n’est mentionnée. C’est là que le bât blesse. Pour que le consentement soit éclairé, une liste des destinataires des données doit être tenue à disposition.

Données : des manquements à l’obligation d’information et au respect de l’exercice des droits

Lors de ses vérifications, la CNIL a noté d’autres problèmes liés au RGPD. Quand ils créaient un compte MyCanal, les internautes étaient renvoyés vers une politique de confidentialité incomplète. Le document ne précisait pas la durée de conservation de leurs data. En outre, le prestataire, assurant la prospection téléphonique pour Canal+, ne fournissait pas systématiquement aux clients potentiels toutes les informations prévues par le RGPD.

Le RGPD prévoit également qu’une requête d’abonnés ou non-abonnés doit obtenir une réponse dans un délai d’un mois. La CNIL a constaté que la société Canal+ n’avait pas respecté cette disposition. Enfin, l’entreprise n’a pas répondu à certaines requêtes d’accès aux données.

Un manquement à l’obligation d’encadrer par un contrat les traitements effectués par une société sous-traitante

Le règlement général sur la protection des données est clair : « Le traitement effectué par un sous-traitant pour le compte d’un responsable de traitement est régi par un contrat ou tout autre acte juridique formalisé ». Ce contrat mentionne l’objet, la durée, la nature, la finalité du traitement. Il définit le type de donnée à caractère personnel, les catégories de personnes concernées, les obligations et droits du responsable de traitement.

Il précise surtout les conditions dans lesquelles le sous-traitant effectue les opérations de traitement de données. La CNIL a constaté que plusieurs contrats de sous-traitance ne contenaient pas toutes les mentions prévues par le RGPD.

Un manquement à l’obligation d’assurer la sécurité des données

La CNIL appuie sa sanction sur un autre manquement : l’obligation de sécurité. Le stockage des mots de passe des collaborateurs de Canal+ n’était pas conforme. La société utilisait l’algorithme MD4, obsolète et peu robuste pour assurer la confidentialité des données. Pire, une vulnérabilité de cet algorithme de hachage cryptographique a été mise au jour depuis longtemps. Depuis février 2023, cependant, la société Canal+ utilise une version de Windows Server en lieu et place de MD4. Elle garantit la non-divulgation des données à caractère personnel.

Un manquement à l’obligation de signaler à la CNIL toute violation de données

La sanction de la CNIL est liée à un dernier manquement. Canal+ a omis de signaler une violation de données. Le 5 février 2020, des abonnés ont signalé un problème. Après une mise à jour de l’espace client, lorsqu’ils accédaient à leur compte, ils pouvaient visualiser des informations d’autres abonnés. 10 154 clients ont ainsi eu accès pendant cinq heures à l’adresse postale et au numéro de téléphone de 777 autres clients de la société. Toutefois, l’entreprise a décidé de ne pas signaler cette divulgation de données à la CNIL. Elle aurait dû le faire en respect du RGPD.

Le montant de l’amende de la CNIL à l’encontre de Canal+ (600 000 euros) a tenu compte de la coopération de la société et des mesures prises pour se mettre en conformité. Le média peut déposer un recours devant le Conseil d’État dans un délai de deux mois à compter de la notification de la décision de la CNIL.

Une amende de 150 millions d’euros à l’encontre de Google

La société de médias française n’est pas la première à être sanctionnée par la CNIL. En décembre 2021, la commission a infligé une amende de 150 millions d’euros à Google. L’entreprise américaine rendait le refus des cookies plus difficile que leur acceptation. La CNIL avait alors usé de son pouvoir d’injonction pour que la société se mette en conformité.

Les métiers de la cybersécurité vous intéressent ? Rejoignez les campus de la Cyber Management School à Paris, Lyon, Lille, Bordeaux, Aix-Marseille, Rennes, Toulouse, Montpellier et Nantes. Nous vous conseillons également la lecture des articles suivants :

Plus

d'articles

12 septembre 2024

Le réseau social chinois TikTok est largement surveillé par les experts en cybersécurité. Les autorités ont également lancé de nombreux […]

3 septembre 2024

L’histoire de la cybersécurité est ponctuée par des incidents et des attaques marquantes. Toutes ont eu d’importantes répercussions sur leur […]

6 août 2024

Les GAFAM sont eux aussi touchés par les risques de cybermenaces de plus en plus avancées. Aussi, les géants du […]

5 août 2024

La cybersécurité est devenue une préoccupation majeure dans notre monde de plus en plus connecté. Les cyberattaques se multiplient et […]

26 juillet 2024

Le cyberespace est une source d’inspiration pour de nombreux films, bien avant que la cybersécurité soit au cœur des préoccupations […]

18 juillet 2024

Les tentatives d’attaques par SMS frauduleux sont en recrudescence. Les escroqueries par « smishing » fonctionnent sur les utilisateurs non avertis. Cette […]