CNIL – KG COM – SAN-2023-008

Par /

CNIL – KG COM – SAN-2023-008

Décision

Autorité:
CNIL ou équivalent
Numéro:
SAN-2023-008
Nom:
KG COM
Date:
8 juin 2023
Pays:
France
Lien:
Cliquer ici

Contexte

Le 1er octobre 2020, un article de presse, paru sur le site web du média Numerama, a révélé l’existence d’une violation de données à caractère personnel concernant les données conservées sur le serveur de KG COM. Selon cet article, la base de données de la société ne faisant pas l’objet de mesures de sécurité particulières, celle-ci était librement accessible sur Internet jusqu’au 23 juillet 2020. De nombreuses données, dont des données d’identification et des données de contact, auraient ainsi été exposées. Le 21 janvier 2021, une délégation de contrôle de la CNIL a procédé à des contrôles.

Le 7 juillet 2022, à l'issue de l'instruction, la rapporteure a fait notifier à la société KG COM un rapport détaillant les manquements aux dispositions du RGPD et de la loi Informatique et Libertés qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de prononcer à l’encontre de la société une amende administrative.


Apport(s)

Minimisation - Finalité de contrôle qualité - Enregistrement systématique des appels téléphoniques entre téléopérateurs et prospects - Caractère excessif
  • Extrait(s) pertinent(s)26. S’agissant de l’enregistrement intégral et systématique des appels téléphoniques à des fins de contrôle de la qualité du service, la formation restreinte considère que la finalité visant à contrôler la qualité du service fourni par les téléopérateurs et les voyants peut être atteinte par un moyen moins intrusif.

    27. À cet égard, elle relève que la mise en place d’un enregistrement ponctuel et aléatoire de seulement quelques conversations téléphoniques permet à la personne chargée du suivi du contrôle qualité de disposer des éléments nécessaires à l’évaluation de la qualité des services proposés par la société.

    28. Dès lors que le contrôle de la qualité du service peut être réalisé par échantillonnage, la formation restreinte considère que l’instauration d’un dispositif d’enregistrement systématique des appels téléphoniques passés, d’une part, entre les téléopérateurs et les prospects, et d’autre part, entre les voyants et les clients, est excessive au regard de la finalité poursuivie.
  • Article(s) du RGPD Article 5 – Principes relatifs au traitement
  • Fait référence à
  • Autres informations
Minimisation - Finalité probatoire - Enregistrement systématique des appels téléphoniques entre téléopérateurs et prospects - Caractère excessif
  • Extrait(s) pertinent(s)31. La formation restreinte considère qu’un responsable du traitement qui souhaite enregistrer des conversations téléphoniques à des fins probatoires doit démontrer qu’il ne dispose pas d’autres moyens moins intrusifs pour prouver que le contrat conclu à distance a bien a été conclu avec la personne concernée.

    33. [...] L’article L.221-16 du code de la consommation prévoit que, lorsque le professionnel contacte un consommateur par téléphone en vue de conclure un contrat portant sur la vente d’un bien ou sur la fourniture d’un service, ce dernier n’est engagé par cette offre qu’après l’avoir signée et acceptée sur un support durable.

    34. La formation restreinte considère donc que, dès lors que la preuve de la souscription d’un contrat conclu à distance, à la suite d’un démarchage téléphonique, peut être apportée par la confirmation écrite de l'offre, l’enregistrement des conversations téléphoniques, passées entre les téléopérateurs et les prospects, à des fins de preuve de la formation du contrat, n’apparaît pas nécessaire.
  • Article(s) du RGPD Article 5 – Principes relatifs au traitement
  • Fait référence à
  • Autres informations


Références

Cette décision cite...
> CNIL – Facebook – SAN-2017-006
27 avril 2017
> CNIL – Infogreffe – SAN-2022-018
8 septembre 2022

Cette décision est citée par...

Signaler une erreur / Faire une suggestion

Retour en haut