Analyse des amendes de l’ICO pour marketing direct illégal

L’Information Commissioner’s Office (ICO), l’autorité britannique de protection des données, a récemment pris des mesures sévères contre trois sociétés de services financiers. Le montant cumulé de ces trois amendes s’élève à 170,000 £ pour violation des règles de marketing direct en vertu du Règlement de 2003 sur la vie privée et les communications électroniques (PECR). Dans cet article, nous approfondirons ces amendes, en analysant les raisons qui les sous-tendent et en explorant leur impact potentiel sur les entreprises et les particuliers.

Digivo Media Limited, exerçant sous le nom de Rid My Debt, s’est vu infliger une lourde amende de 50,000£ pour violation grave du règlement 22 du Règlement de 2003 sur la vie privée et les communications électroniques (Directive CE) (PECR). L’ICO a pris des mesures en vertu de l’article 55A de la loi de 1998 sur la protection des données, soulignant l’importance du respect du PECR. Entre le 24 mars 2021 et le 7 septembre 2021, Digivo a inondé ses consommateurs de 415,041 SMS marketing non sollicités, en violation directe du PECR.

Le principal problème résidait dans l’absence de consentement approprié pour l’envoi de SMS marketing. Digivo ne pouvait pas utiliser l’exemption de consentement facultatif (offrant la possibilité de s’opposer aux communications marketing plutôt que de les accepter) car elle ne permettait pas aux personnes de se désinscrire lors de la collecte de leurs données personnelles.

Digivo n’a pas non plus obtenu de consentement libre, spécifique et éclairé pour les messages. Les personnes ayant reçu les messages étaient des utilisateurs de son site web; il leur était demandé de cocher une case obligatoire pour accepter d’être contactées lors de la soumission d’un formulaire de demande de services. Le consentement était alors une condition préalable à la prestation d’un service et, par conséquent, n’était pas donné librement. De plus, la case à cocher et la déclaration de confidentialité du site web n’étaient pas claires sur la nature marketing des communications reçues, rendant le consentement non éclairé. Par conséquent, les communications marketing ont été effectuées en violation du PECR.

La gravité de cette violation est soulignée et aggravée par le grand nombre de plaintes reçues, la vulnérabilité financière des abonnés et l’énorme quantité de messages envoyés. L’ICO a constaté que Digivo avait délibérément et par négligence enfreint les règles. L’entreprise connaissait ou aurait dû connaître les risques encourus, mais n’a pas pris les mesures nécessaires pour prévenir de nouvelles violations. En réponse, l’ICO a infligé une amende de 50,000£ afin de souligner l’importance du respect des règles PECR et de décourager le marketing direct non sollicité.

Conformément au PECR, l’ICO est tenu de tenir un registre des numéros de téléphone du Service de Préférence Téléphonique (TPS) des personnes ayant indiqué ne pas vouloir recevoir d’appels marketing. L’article 21 du PECR interdit les appels aux personnes inscrites au TPS, sauf si elles ont informé l’appelant qu’elles ne s’opposent pas à recevoir d’appels marketing pour le moment. L’article 24 du PECR impose la soumission d’informations spécifiques (comme le nom de la personne) lors d’appels marketing directs.

La société MCP Online Ltd (MCP) a été condamnée à une amende de 55,000£ pour violation des articles 21 et 24 du Règlement de 2003 sur la confidentialité et les communications électroniques (Directive CE) (PECR). L’ICO a identifié cette violation comme une infraction à l’article 55A de la loi de 1998 sur la protection des données, impliquant 20 939 appels téléphoniques sans autorisation adressés à des utilisateurs enregistrés du Service de Préférences Téléphoniques (TPS) concernant des pensions.

MCP a fait l’objet d’une enquête pour diverses activités entre le 1er janvier 2022 et le 28 septembre 2020. Il a été révélé des tentatives délibérées de dissimulation de ses activités marketing, une absence de participation à l’enquête et un manquement à prendre les mesures appropriées ou à prévenir la violation.

L’ICO a finalement déterminé que MCP avait effectué des appels marketing à des personnes inscrites au TPS, sans notification claire et explicite de leur part indiquant qu’elles accepteraient de passer outre leur inscription au TPS et de recevoir des appels de MCP. MCP a également omis de fournir les informations requises par le Règlement 24 PECR.

La gravité de l’infraction a été aggravée par le mépris de MCP pour le statut d’inscription au TPS ou au CTPS, les nombreuses violations et le comportement agressif envers les plaignants. Le fait que MCP n’ait pas répondu aux avertissements ni aux tentatives de contact suggère que la violation était délibérée.

L’ICO a infligé une sanction pécuniaire de 55,000£, tenant compte de circonstances aggravantes telles que le port volontaire du masque et une violation grave des articles 21 et 24 du PECR. Cette sanction peut être considérée comme un moyen d’encourager le respect du PECR et de dissuader toute violation similaire. La sanction a été infligée compte tenu du caractère délibéré et de la gravité de la violation commise par MCP.

Une amende de 65,000£ a été infligée à la société de traitement et d’hébergement de données Argentum Data Solutions Limited (ADS) pour violation grave des articles 22 et 23 du Règlement de 2003 sur la confidentialité et les communications électroniques (Directive CE) (PECR). La violation chez ADS, qui impliquait l’envoi et l’autorisation d’envoi par des tiers de plus de 2,3 millions de SMS de marketing direct sans consentement valable, a fait l’objet d’une enquête de l’ICO en vertu de l’article 55A de la loi de 1998 sur la protection des données.

Sans l’autorisation préalable du destinataire, l’article 22 du PECR interdit expressément la transmission de communications non sollicitées à des fins de marketing direct. En violation du PECR, ADS a envoyé 24,309 SMS entre le 1er janvier 2021 et le 31 janvier 2022, et a autorisé l’utilisation de sa plateforme pour l’envoi de 2,306,114 messages supplémentaires, portant le total à 2,330,423 SMS à des fins de marketing direct.

Bien qu’ADS ait invoqué son intérêt légitime comme fondement juridique de l’utilisation des coordonnées des destinataires pour l’envoi de ces communications, l’ICO a estimé que le consentement du destinataire aurait dû constituer le fondement juridique. ADS n’a pu fournir aucune preuve de ce consentement. De plus, ADS n’a pas respecté l’article 23 du PECR, qui exige l’identification sans ambiguïté de l’expéditeur dans les communications de marketing direct.

L’ICO a conclu que le comportement d’ADS était délibéré, car l’entreprise a envoyé intentionnellement des SMS de marketing direct sans preuve de consentement et a permis des pratiques similaires chez ses clients. ADS a également affirmé à l’ICO avoir effectué des vérifications préalables sur ses clients utilisant ses services de messagerie, sans préciser lesquelles. L’ICO a constaté qu’un client figurait sur la liste des administrateurs disqualifiés de la Société et qu’ADS n’était pas en mesure ou ne souhaitait pas fournir les justificatifs nécessaires à ses obligations de vérification préalable. La gravité de l’infraction, identifiée par l’ICO, a été aggravée par le manque de coopération d’ADS tout au long de l’enquête, son incapacité à prendre les mesures appropriées pour mettre fin aux violations et le caractère trompeur des messages. En raison du comportement flagrant d’ADS, et afin d’encourager le respect du PECR et de dissuader le marché de ne pas se conformer aux règles régissant les communications marketing électroniques non sollicitées, l’ICO a infligé à ADS une amende de 65,000£.