GDPR: Two-person small business is fined €7,300

La CNIL sanctionne une entreprise accusée d'envoyer des e-mails indésirables en français. La société est condamnée à une amende de 7 300 € par la CNIL pour violation du RGPD le 31 décembre 2020.

La CNIL est l'Autorité de Protection des Données fédérale pour la France. L'autorité est basée à Paris et est chargée de faire respecter le RGPD pour la France.

La CNIL exige que les entreprises recueillent le consentement avant d'envoyer des e-mails de prospection et qu'elles soient en mesure de prouver ce consentement.

La très petite entreprise, qui emploie seulement deux personnes, a envoyé des e-mails de prospection commerciale sans preuve du consentement préalable.

Cinq manquements ont été identifiés suite à des vérifications effectuées par l'autorité de contrôle CNIL :

1. Un manquement à l'obligation de recueillir le consentement avant d'envoyer des e-mails de prospection (article L. 34-5 du CPCE)
2. Un manquement au principe de la minimisation des données (article 5.1.c du RGPD)
3. Un manquement en termes de durée de conservation des données (article 5.1.e du RGPD)
4. Un manquement à l'obligation d'information correcte des personnes (article 14 du RGPD)
5. Un manquement au droit d'opposition des personnes (article 21 du RGPD)

La société doit se conformer dans un délai de 2 mois, sinon elle s'expose au paiement d'une amende de 1 000 € par jour de retard.