Les sociétés de voyance à distance, Cosmospace et Télémaque, ont été lourdement sanctionnées par la CNIL (Commission Nationale de l’Informatique et des Libertés) pour des manquements graves à la protection des données personnelles. La CNIL a infligé une amende de 250 000 euros à Cosmospace et de 150 000 euros à Télémaque, en raison de violations liées à la collecte et à la conservation de données sensibles sans le consentement explicite des utilisateurs.
Manquements relatifs à la collecte de données sensibles
La CNIL a relevé que Cosmospace et Télémaque collectaient des données sensibles, incluant l’orientation sexuelle et l’état de santé de leurs clients, sans obtenir leur consentement explicite, ce qui constitue une violation de l’article 9 du RGPD. Ces données étaient recueillies notamment lors de consultations de voyance par téléphone, chat ou SMS, ainsi que via des formulaires en ligne visant à prédire la compatibilité amoureuse des utilisateurs.
La CNIL a rappelé que la simple participation à ces services ne peut en aucun cas être considérée comme un consentement implicite. Un accord préalable clair et explicite aurait dû être demandé aux clients avant de collecter et de traiter ces informations sensibles.
Conservation excessive des données personnelles
Un autre manquement important relevé concerne la durée de conservation des données. La CNIL recommande une conservation maximale de trois ans après la fin de la relation commerciale, mais les deux sociétés conservaient les données de leurs clients pendant une durée excessive de six ans. Ce non-respect de l’article 5-1-e du RGPD expose les utilisateurs à des risques inutiles liés à la conservation prolongée de leurs informations personnelles, et contrevient aux bonnes pratiques de minimisation des données.
Dans le cas de Télémaque, la société n’a pas limité l’accès à ces données conservées pendant six ans, ne procédant à aucun tri entre les données pertinentes et celles qui auraient dû être archivées ou supprimées.
Enregistrement systématique des appels téléphoniques
Cosmospace a été sanctionnée pour avoir enregistré de manière systématique l’intégralité des appels téléphoniques entre ses voyants, clients et standardistes. La société justifiait ces enregistrements par le besoin de contrôler la qualité du service ou encore de répondre à des réquisitions judiciaires. Toutefois, la CNIL a jugé que cette pratique constituait un manquement à l’obligation de minimiser les données (article 5-1-c du RGPD).
Les enregistrements auraient dû être limités à un échantillon représentatif pour contrôler la qualité, et seuls les appels nécessaires à la gestion contractuelle ou légale auraient dû être conservés. De plus, la CNIL a rappelé que dans les cas de détresse psychologique, les employés peuvent activer manuellement l’enregistrement, plutôt que de systématiquement enregistrer toutes les conversations.
Manquement à l’obligation de recueillir le consentement pour la prospection commerciale
La CNIL a également pointé du doigt la manière dont les sociétés Cosmospace et Télémaque procédaient à leurs campagnes de prospection commerciale. En effet, les deux sociétés partageaient une base de données commune, utilisée pour envoyer des messages promotionnels par email et SMS, sans que les personnes concernées n’aient donné leur accord préalable.
La présentation des formulaires en ligne ne permettait pas aux utilisateurs de comprendre clairement que leurs données pourraient être utilisées à des fins de prospection commerciale. Ce défaut de transparence et d’information constitue un manquement à l’article L.34-5 du CPCE (Code des Postes et Communications Électroniques), qui exige le consentement explicite pour toute prospection par voie électronique.
Conséquences et gravité des sanctions
La CNIL a jugé les violations particulièrement graves en raison de la sensibilité des données traitées et du nombre de personnes concernées – la base de données commune aux deux sociétés comportant les informations de plus de 1,5 million de clients. De plus, la situation financière des sociétés a été prise en compte pour déterminer le montant des amendes, qui se veulent dissuasives mais proportionnées.
Ces décisions font suite à des enquêtes approfondies menées par la CNIL et mettent en lumière l’importance de respecter les règles du RGPD en matière de protection des données personnelles, surtout lorsqu’il s’agit de données sensibles comme la santé ou l’orientation sexuelle.