Panorama rapide de l’actualité « Nouvelles technologies » de la semaine du 16 octobre 2023

Données

Prospection commerciale, la CNIL sanctionne la société GROUP CANAL+ à une amende de 600 000 euros

• La CNIL a constaté plusieurs manquements de la société GROUPE CANAL + (éditrice de chaînes et distributrice d’offres de télévision payante) au RGPD ainsi qu’aux dispositions du code des postes et des communications électroniques (CPCE). A ce titre, une amende à hauteur de 600 000 euros a été prononcée à l’encontre de la société.
  Certains de ces manquements résultent d’une insuffisance dans la mise en conformité des sous-traitants employés par la société. La société GROUPE CANAL + a notamment manqué à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (CPCE, art. L. 34-5 ; RGPD, art. 7). CANAL + n’a pas été en mesure de fournir des éléments démontrant qu’elle avait obtenu au préalable un consentement des personnes concernées par ses campagnes de prospection commerciale par voie électronique.
  En effet, les formulaires types de collecte de données utilisés par la société (transmis par les prestataires auprès desquels elle récupère ces données) ne précisent pas l’identité des destinataires auxquels les données sont transmises. A défaut de cette précision, un consentement éclairé et valable ne saurait être accordé.
  Des manquements à l’obligation d’information (RGPD, art. 13 et 14) et au respect de l’exercice des droits (RGPD, art. 12 et 15) ont également été constatés par la CNIL. Lors de la création d’un compte MyCanal par un utilisateur, la politique de confidentialité à laquelle renvoyait le formulaire de collecte lors de la création du compte était imprécise sur les durées de conservation (RGPD, art. 13). Également, dans le cadre du démarchage téléphonique organisé par la société, le prestataire chargé de ce démarchage ne fournissait pas systématiquement toutes les informations exigées par le RGPD. Enfin, la société ne répondait pas à certaines réclamations dans le délai d’un mois prévu par le RGPD (RGPD, art. 12) et ne faisait pas droit à certaines demandes d’accès (RGPD, art. 15). Le dernier point noir visé par la CNIL est un manquement à l’obligation de sécurité des données et de notification à la CNIL en cas d’incident. (CNIL, Délib. de la formation restreinte n° SAN-2023-015 du 12 oct. 2023)

Paiement en ligne : le Comité européen de protection des données et le contrôleur européen de la protection des données ont adopté un avis commun sur le règlement établissant l’euro numérique le 17 octobre 2023

• Le 29 juin 2023, la Commission a sollicité un avis conjoint de l’EDPB et du CEPD en vertu de l’article 42, §2, du règlement (UE) 2018/1725 ("RPUE") concernant deux propositions de règlements intégrées dans le "paquet monnaie unique". Ce paquet législatif comprend :
  - une proposition de règlement sur l’émission de l’euro numérique ;
  - une proposition de règlement concernant la prestation de services numériques en euros par des prestataires de services de...