La Cnil ne manque pas de lucidité. La commission nationale de l'informatique et des libertés a épinglé deux sites de voyance, Cosmospace (voyance en ligne) et Telemaque (voyance par chat et SMS), en leur infligeant respectivement 250 000 € et 150 000 € d'amende. Le montant de ces amendes a tenu compte à la fois de la gravité des manquements retenus, du nombre de personnes concernées – la base de données commune aux deux sociétés contenant les données de plus d’1,5 million de personnes – ainsi que de la sensibilité des données traitées et de la situation financière de Cosmopace et de Telemaque.
"Les contrôles réalisés par la Cnil en 2021 ont permis de révéler plusieurs manquements, concernant la collecte de données sensibles sans consentement préalable et explicite (état de santé, orientation et vie sexuelle, convictions religieuses), la conservation des données pendant une durée excessive, l’envoi de messages de prospection à des personnes n’ayant pas manifesté leur consentement ainsi que, s’agissant de la société Cosmospace, l’enregistrement systématique des appels téléphoniques", fait savoir l'instance. La Cnil a par exemple sanctionné Cosmospace pour enregistrer systématiquement l’intégralité des appels téléphoniques passés entre les voyants, les clients et les standardistes, ce qui n'était pas justifié au regard des finalités selon la Cnil, constituant un manquement à l’obligation de minimiser les données personnelles collectées et utilisées (article 5-1-c du RGPD).
Une prospection commerciale enfreignant l'article L.34-5 du CPCE
Dans le cadre de ses enquêtes, la Cnil a aussi constaté que Telemaque conservait par exemple les données de ses clients en base active pendant une durée de six ans, sans en restreindre l’accès et sans opérer aucun tri parmi celles-ci constituant une infraction au regard de l'article 5-1 du RGPD. Les utilisateurs des sites web mis en œuvre par les Cosmospace et Telemaque pouvaient par ailleurs remplir un formulaire ayant pour objet de délivrer une prédiction sur leur compatibilité amoureuse avec une personne de leur choix, permettant ainsi d’en déduire leur orientation sexuelle. Elles auraient dû recueillir un consentement préalable et explicite des clients au traitement de leurs données sensibles (article 9 du RGPD).
Cosmospace et Telemaque ont également mis en place une base de données commune regroupant l’ensemble des données de leurs clients et prospects, collectées via des formulaires figurant sur leurs sites, pour réaliser leurs campagnes de démarchage par mail et SMS. "La formation restreinte considère que l’apparence de ces formulaires ne permettait pas aux personnes concernées d’être clairement informées que leurs données pourraient être utilisées indifféremment par l’une ou l’autre de ces sociétés", explique la Cnil qui relève ici un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (article L.34-5 du CPCE aka code des postes et des communications électroniques).