Dans une délibération du 12 octobre 2023 rendue publique ce 19 octobre, la CNIL a prononcé une amende de 600 000 € à l'encontre du groupe de télévision Canal+ pour des manquements en série. Le régulateur a en effet considéré que cette société a enfreint plusieurs obligations prévues par le RGPD et le code des postes et des communications électroniques. « Le montant de cette amende a été décidé au regard des infractions retenus, ainsi qu’en tenant compte de la coopération de la société et de l’ensemble des mesures qu’elle a prises au cours de la procédure pour se mettre en conformité », a expliqué l'instance.

Qu'est-il reproché à Canal+ ? En premier lieu une carence à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique et également d'autres relatifs à l'obligation d'information et au respect de l'exercice des droits. Cela inclut une imprécision des durées de conservation des données recueillies lors de la création d'un compte MyCanal, un démarchage téléphonique ne fournissant pas systématiquement toutes les informations exigées par le RGPD ainsi que l'absence de réponse à des plaignants, non-respect de droit d'accès aux données. « Lors des contrôles, la CNIL a constaté qu’un contrat de sous-traitance ne comportait pas toutes les mentions requises par le RGPD », indique par ailleurs la commission.

Une violation de données non notifiée

La formation restreinte de la CNIL a également épinglé Canal+ pour ne pas avoir assuré la sécurité des données personnelles. « La rapporteure considère que le stockage des mots de passe des collaborateurs de la société dans l’application […] sous une forme hachée au moyen de l’algorithme MD4 n’est pas conforme à l’état de l’art », précise l'organisme dans sa délibération. En outre, ses vérifications ont permis de constater l’existence d’une violation de données qui ne lui a pas été notifiée. Celle-ci était relative à une perte temporaire de confidentialité de certaines données pendant 5h35 concernant 10 154 abonnés potentiellement visualisables par 777 autres abonnés. « Plusieurs personnes ont indiqué à la société avoir eu effectivement accès aux données de tiers », a précisé la CNIL.

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.