La sanction de 75 000 euros infligée à TAGADAMEDIA par la CNIL est un bon rappel de certaines exigences strictes du RGPD en matière de traitement des données personnelles.
Le cas de Tagadamedia
La CNIL a constaté que TAGADAMEDIA collectait des données personnelles via des formulaires de jeux-concours et de tests de produits, pour ensuite pouvoir en faire commerce. La CNIL a cependant considéré comme la pratique de TAGADAMEDIA allait à l’encontre des principes clés du RGPD qui exigent transparence, légitimité et consentement explicite pour le traitement (et surtout pour la revente) des données personnelles.
En effet, par des artifices visuels, les utilisateurs étaient poussés à accepter le traitement de leurs données, et notamment leur revente, car ils n’étaient pas en capacité de voir le bouton refuser sans réaliser une action.
Règles de récolte et de revente de données
Obtenir un consentement clair
Le consentement doit être donné par la personne concernée de manière libre, spécifique, éclairée et univoque. Elle doit donc avoir été informée de ce à quoi elle consent, des implications, être en mesure de refuser, et n’accepter que par la réalisation d’une action positive (cocher une case par exemple).
Transparence dans la collecte
Les individus doivent être informés de l’usage de leurs données, et des éventuels transferts ou cas de réutilisation des données.
Limitation de l’usage
Les données collectées doivent être utilisées uniquement pour les fins explicitement consenties par les personnes concernées. La personne saisissant ses données doit donc avoir explicitement consentie à ce que ses données puissent être revendues ou partagées, sans quoi la revente ou le partage seront illicites.
Ce cas souligne l’importance de respecter les règles en matière de récolte du consentement univoque, explicite et clair de la part des personnes concernées.
La société Tagadamedia a été sanctionnée par une amende de 75 000 €, ainsi qu’une obligation de se mettre en conformité sous un délai d’un mois, sous peine d’être sanctionné de nouveau à 1000 € par jour de retard.
Cette sanction représente, selon la CNIL, 1,6 % du chiffre d’affaire de la société, et est donc très proche du maximum que la CNIL pouvait infliger (2 % du chiffre d’affaire).
La décision de la CNIL est un rappel crucial de l’importance de la conformité RGPD. Elle souligne l’urgence pour les entreprises de revoir leurs pratiques de traitement des données et de se conformer aux normes établies pour protéger les droits des individus.