Société de voyance en ligne condamnée par la CNIL : aurait-elle pu le prédire ?

120 000 euros, c’est le montant de l’amende écopée par cette société de voyance en ligne pour non-respect du RGPD !

Dans sa dernière délibération en date la CNIL nous démontre que plus aucun secteur d’activité n’échappe désormais à ses contrôles et aux sanctions qui peuvent en résulter.

La société KG COM qui est en cause dans cette affaire, exploite plusieurs sites web afin de proposer à ses clients des consultations de voyance via une interface de dialogue en ligne ou par téléphone. À la suite de la publication d’un article de presse en 2020 révélant l’existence d’une fuite de données personnelles impliquant la société, la CNIL a procédé à trois missions de contrôles.

Lors de ses investigations, la CNIL a relevé plusieurs manquements ayant menés au prononcé d’une amende de 120 000 euros au regard de la gravité de ceux-ci.

Quels types de données sont traitées par l’activité de voyance ?

La voyance, pratique ancestrale visant à prédire l’avenir d’une personne, n’est pas une activité réglementée en France. Les praticiens sont soumis aux mêmes règles que tout autre professionnel s’agissant du respect de la vie privée et la protection des données personnelles.

Toutefois, la CNIL nous indique que lors des consultations, les clients sont susceptibles de communiquer des données relatives à leur état de santé et à leur orientation sexuelle, qui sont notées sur des fiches conservées par les voyants.

Peut-on pour autant considérer que des données sensibles sont traitées/générées par l’activité de voyance ?

Pour mémoire, la notion de « donnée sensible » n’est pas définie précisément par le texte du RGPD. La CJUE dans sa récente jurisprudence[1] n’hésite pas à faire une interprétation large de la notion puisqu’elle estime que les données qui sont « susceptibles de dévoiler, de manière indirecte, des données sensibles » constituent des données sensibles au sens de l’article 9§1 du RGPD.

• Par exemple, la collecte de données relative à la déclaration d’impôts est susceptible de divulguer indirectement l’orientation sexuelle de la personne physique et donc être considéré comme un traitement portant sur une catégorie particulière de données.

Cette nouvelle théorie de « déduction intellectuelle » confirme l’interprétation exigeante de la protection des données personnelles et démontre que les acteurs doivent désormais s’interroger sur la qualification possible en donnée sensible et respecter dès lors les exigences de l’article 9.

Finalement, un grand nombre de données sont collectées durant les consultations de voyance qui peuvent directement comme indirectement concerner l’état de santé ou encore l’orientation sexuelle des personnes concernées.

Dans son analyse in concreto, la CNIL nous indique que :

• conformément à l’article 9 du RGPD, la société aurait dû recueillir un consentement préalable et explicite des clients au traitement de leurs données sensibles.
• la simple volonté de recevoir des prestations de voyance et de livrer spontanément des informations sensibles ne peut être considérée comme un consentement explicite.
• la société aurait dû également fournir une information spécifique sur la collecte de leurs données sensibles.

Un certain nombre d’autres manquements ont pu être constatés concernant :

• l’enregistrement systématique des appels téléphoniques,
• la conservation des données bancaires sans le consentement de la personne,
• l’obligation de notifier une violation de données,
• l’absence de bandeau d’information relatif aux cookies.

La CNIL nous indique que le montant de l’amende prend en en considération la situation financière de la société, qui a présenté un résultat net négatif sur l’année 2020 après une baisse importante de son chiffre d’affaires sur les dernières années, et a tenu compte de la structure de la société qui n’emploie que quelques salariés, pour retenir une amende dissuasive mais proportionnée.

Par conséquent, nul doute que la décision la CNIL aurait pu être lue dans une boule de cristal !

Nos prédictions en tant que praticiens nous indiquent que le meilleur moyen d’éviter toute sanction de l’autorité de contrôle c’est encore de préparer sa mise en conformité !

Claudia Weber, avocat fondateur et Céline Dogan, avocat collaboratrice | ITLAW Avocats

Besoin d’aide pour y voir plus claire dans les mentions d’informations, les transferts de vos données et vérifier si vous êtes conforme ?

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 27 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions et trouver les solutions adaptées à votre contexte et vos besoins.

ITLAW Avocats mobilise ses talents et son expertise en matière de protection des données personnelles,  de projets informatiques complexes, de contrats, d’innovation et de propriété intellectuelle  ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes.

[1] CJUE, 1^er aout 2022 C-184/20