May 14, 2024
L’Information Commissioner’s Office (ICO), l’autorité britannique chargée de la protection des données, a récemment pris des mesures strictes à l’encontre de trois sociétés de services financiers. La somme cumulée de ces trois amendes s’élève à 170 000 livres sterling pour avoir enfreint les règles de marketing direct prévues par le règlement de 2003 sur la protection de la vie privée et les communications électroniques (Privacy and Electronic Communications Regulations 2003 – PECR). Dans cet article, nous nous pencherons sur les détails de ces amendes, en analysant à la fois le raisonnement qui les sous-tend et l’impact potentiel sur les entreprises et les particuliers.
Cas 1: Digivo Media Ltd (Rid My Debt)
- Amende : 50 000 livres sterling.
- Infraction : Envoi de plus de 415 000 SMS non sollicités entre le 24 mars 2021 et le 7 septembre 2021.
- Infraction : Envoi de SMS marketing offrant des « conseils gratuits » ou un « pack gratuit » sans consentement valable, ce qui constitue une violation flagrante du règlement PECR.
Digivo Media Limited, qui opère sous le nom de Rid My Debt, s’est vu infliger une lourde amende de 50 000 livres sterling en raison d’une grave violation de l’article 22 du règlement de 2003 relatif à la protection de la vie privée et des communications électroniques (directive CE) (PECR). L’ICO a pris des mesures en vertu de l’article 55A de la loi de 1998 sur la protection des données, soulignant l’importance du respect du règlement PECR. Entre le 24 mars 2021 et le 7 septembre 2021, Digivo a inondé les consommateurs de 415 041 messages textuels marketing non sollicités, en violation directe du PECR.
L’ICO, dans son évaluation, a souligné que le principal problème était l’absence de consentement approprié pour l’envoi de messages textuels de marketing. Digivo n’a pas pu invoquer l’exemption relative à l’opt-in (qui donne la possibilité de s’opposer aux communications marketing plutôt que d’y consentir) parce qu’elle n’a pas donné aux personnes la possibilité de s’y opposer lors de la collecte de leurs données à caractère personnel.
Digivo n’a pas non plus obtenu un consentement libre, spécifique et éclairé pour les messages. Les personnes qui ont reçu les messages étaient des utilisateurs du site web de Digivo, à qui il était demandé de cocher une case obligatoire pour accepter d’être contactés lorsqu’ils soumettaient un formulaire de demande de services. Le consentement était donc une condition préalable à l’exécution d’un service et n’était donc pas donné librement. En outre, la case à cocher et l’avis de confidentialité du site web n’indiquaient pas clairement la nature commerciale des communications à recevoir, ce qui rendait le consentement non éclairé. Par conséquent, les communications commerciales ont été effectuées en violation du règlement PECR.
La gravité de cette violation est soulignée et aggravée par le grand nombre de plaintes reçues, la vulnérabilité financière des abonnés et l’énorme quantité de messages envoyés. L’ICO a conclu que Digivo avait délibérément et par négligence enfreint les règles. Elle connaissait ou aurait dû connaître les risques encourus, mais n’a pas pris les mesures nécessaires pour éviter de nouvelles violations. En réponse, l’ICO a imposé une amende de 50 000 livres sterling pour souligner l’importance du respect du règlement PECR et pour décourager le marketing direct non désiré.
Cas 2: MCP Online Ltd (MCP)
- Amende : 55 000 livres sterling
- Infraction : Passer 20 939 appels non sollicités de services financiers sur les retraites à des personnes enregistrées auprès du Telephone Preference Service (TPS).
- Infraction : Appels marketing en direct à des personnes enregistrées auprès du TPS sans que ces personnes aient informé de manière proactive l’entreprise qu’elles ne s’opposaient pas à leurs communications, ce qui est contraire aux dispositions légales en vigueur.
L’ICO est tenu par le PECR de tenir un registre des numéros de téléphone répertoriés par le Telephone Preference Service (TPS) des personnes qui ont indiqué qu’elles ne souhaitaient pas recevoir d’appels de prospection commerciale. Le règlement 21 du PECR interdit les appels aux personnes inscrites au TPS à moins qu’elles n’aient notifié à l’appelant qu’elles ne s’opposent pas à recevoir des appels de prospection commerciale pour le moment. Le règlement 24 du PECR impose la transmission d’informations spécifiques (telles que le nom de la personne) lors d’appels de prospection directe.
La société MCP Online Ltd (MCP) a été condamnée à une amende de 55 000 livres sterling pour avoir enfreint les articles 21 et 24 du règlement de 2003 sur la protection de la vie privée et les communications électroniques (directive CE) (PECR). Le manquement de MCP a été identifié par l’ICO comme une infraction à la section 55A de la loi de 1998 sur la protection des données, qui a consisté à passer 20 939 appels à des utilisateurs enregistrés du service de préférence téléphonique (TPS) au sujet des pensions sans leur autorisation.
MCP a fait l’objet d’une enquête pour diverses activités entre le 1er janvier 2022 et le 28 septembre 2022, au cours de laquelle il a été découvert qu’il y avait eu des tentatives délibérées de dissimuler ses activités de marketing, qu’il n’y avait pas eu de participation à l’enquête et qu’il n’y avait pas eu de mesures appropriées ou d’empêchement de l’infraction.
L’ICO a finalement déterminé que MCP avait effectué des appels commerciaux auprès de personnes enregistrées auprès du TPS, sans que ces personnes aient clairement et positivement notifié qu’elles acceptaient de passer outre leur enregistrement auprès du TPS et de recevoir des appels de la part de MCP. MCP n’a pas non plus fourni d’informations aux particuliers comme l’exige le règlement 24 du PECR.
La gravité de l’infraction a été exacerbée par le fait que MCP n’a pas tenu compte du statut d’enregistrement du TPS ou du CTPS, par les nombreuses violations et par le comportement agressif à l’égard des plaignants. Le fait que MCP n’ait pas répondu aux avertissements ou aux tentatives de contact suggère que l’infraction était délibérée.
L’ICO a infligé une sanction financière de 55 000 livres sterling en tenant compte des circonstances aggravantes telles que le masquage délibéré et une violation grave des règles 21 et 24 du règlement PECR ; ce prélèvement peut être considéré comme un moyen d’encourager le respect du règlement PECR et de dissuader toute infraction similaire. La sanction a été imposée en raison de la nature délibérée et de la gravité de l’infraction commise par MCP.
Cas 3: Argentum Data Solutions Ltd
- Amende : 65 000 livres sterling
- Infraction : Envoi et autorisation à des tiers d’envoyer plus de 2,3 millions de messages textuels de marketing direct sans consentement valable.
- Infraction : Absence d’identification de l’expéditeur, d’options de refus et de promotion de divers services, en violation des lignes directrices du PECR.
Une sanction financière de 65 000 livres sterling a été imposée à la société de traitement et d’hébergement de données Argentum Data Solutions Limited (ADS) pour une violation majeure des règlements 22 et 23 du règlement de 2003 sur la protection de la vie privée et des communications électroniques (directive CE) (PECR). L’infraction commise par ADS, qui a consisté à envoyer et à permettre à des tiers d’envoyer plus de 2,3 millions de SMS de marketing direct sans consentement valable, a fait l’objet d’une enquête de l’ICO en vertu de l’article 55A de la loi de 1998 sur la protection des données (Data Protection Act 1998).
Sans l’autorisation préalable du destinataire, il est expressément interdit par le règlement 22 du PECR de transmettre des communications non sollicitées à des fins de marketing direct. En violation du PECR, ADS a envoyé 24 309 SMS entre le 1er janvier 2021 et le 31 janvier 2022, et a permis l’utilisation de sa plateforme pour l’envoi de 2 306 114 messages supplémentaires, pour un total de 2 330 423 SMS à des fins de marketing direct.
Bien que l’ADS ait fait référence à son intérêt légitime comme base juridique pour l’utilisation des coordonnées des destinataires afin de leur envoyer de telles communications, l’ICO a considéré que la base juridique aurait dû être fondée sur le consentement du destinataire. ADS n’a pas été en mesure de fournir la preuve que ce consentement avait été donné. En outre, l’ADS n’a pas respecté le règlement 23 du PECR, qui exige une identification sans ambiguïté de l’expéditeur dans les communications de marketing direct.
L’ICO a déterminé que la conduite d’ADS était délibérée puisqu’ils ont délibérément envoyé des messages SMS de marketing direct sans preuve de consentement et ont permis à leurs clients d’adopter des pratiques similaires. ADS a également affirmé à l’ICO qu’ils effectuaient des contrôles de diligence raisonnable sur leurs clients qui utilisaient leurs services de messagerie sans préciser quels contrôles étaient effectués. L’ICO a noté qu’un client figurait sur la liste de la société en tant qu’administrateur disqualifié et qu’ADS n’a pas pu ou n’a pas voulu fournir les documents justificatifs de ses obligations en matière de diligence raisonnable. La gravité de l’infraction a été identifiée par l’ICO et exacerbée par le manque de coopération d’ADS tout au long de l’enquête, son incapacité à prendre les mesures appropriées pour mettre fin aux violations, et le caractère trompeur des messages. En raison du comportement flagrant d’ADS et afin d’encourager le respect du PECR et de dissuader le marché de ne pas se conformer aux règles régissant les communications commerciales électroniques non sollicitées, l’ICO a infligé à ADS une amende de 65 000 livres sterling.
Les raisons derrière les sanctions : les principaux enseignements
Impact sur les entreprises et les particuliers
Les amendes substantielles ont un effet dissuasif puissant et témoignent de l’engagement de l’ICO à sanctionner les entreprises qui ne respectent pas la réglementation en matière de protection de la vie privée. Ces amendes sont un message clair pour les entreprises : elles doivent réévaluer leurs stratégies de marketing et s’aligner sur les lignes directrices du PECR afin d’éviter de nuire à leur réputation et de conserver la confiance de leurs clients.
Les entreprises en infraction s’exposent non seulement à des sanctions financières, mais aussi à une atteinte potentielle de leur réputation, qui pourrait affecter la confiance des consommateurs et l’image de marque. Il est conseillé aux entreprises de mettre l’accent sur le respect des normes de protection de la vie privée afin de minimiser les conséquences négatives, car le respect de ces normes est essentiel pour préserver une image positive de l’entreprise.
Les amendes renforcent le droit des consommateurs à la vie privée et à la protection contre les communications commerciales non sollicitées. Une application plus stricte encourage les consommateurs à croire que les organismes de réglementation protègent activement leurs intérêts, ce qui contribue à créer un environnement numérique plus fiable et plus sûr.
L’accent mis sur le consentement donne aux consommateurs plus de pouvoir sur leurs données personnelles et garantit leur contrôle sur les communications qu’ils reçoivent. Les sanctions soulignent à quel point il est important que les entreprises valorisent et respectent les choix des clients afin de créer un environnement numérique où la protection de la vie privée est une priorité absolue.