Après avoir reçu plusieurs plaintes, et effectué une enquête, la CNIL, le gendarme français de la vie privée, vient de sanctionner Nestor, startup de livraisons de repas aux salariés, concernant le traitement des données personnelles de prospects et de clients. Après avoir effectué deux contrôles en 2019 et 2020, elle vient d'infliger à l’entreprise une amende de 20 000 euros, pour trois manquements, dont celui de n’avoir pas respecté le consentement des personnes lors de l'envoi de mails de prospection.
Sa faute ? Avoir envoyé, depuis 2017, des courriels à 653 033 personnes, qui n'avaient pas donné leur accord. Selon un communiqué de la CNIL, les personnes sollicitées avaient en effet "créé un compte sur le site ou l’application de la société, sans avoir jamais passé commande, ou que leurs données "avaient été collectées sur Internet". Mais en tout cas, elles n'avaient jamais donné leur consentement pour l'usage effectué par Nestor. Un manquement aux obligations du RGPD (Règlement général sur la protection des données personnelles) et du Code des postes et des communications électroniques.
Injonction à supprimer les données collectées
Nestor a depuis indiqué à la CNIL avoir cessé de collecter des données sur Internet et mis en place un système de recueil du consentement à l’envoi de ces mails de prospection lors de la création d’un compte. Mais la formation restreinte de la CNIL a tout de même prononcé une amende. Le montant demeure assez dérisoire car elle a "tenu compte des conséquences de la crise sanitaire de la Covid-19 sur la situation financière de Nestor" , comme le signale son communiqué.
Celle-ci est accompagnée "d’une injonction à l’encontre de la société afin qu’elle justifie de la suppression de l’ensemble des données personnelles collectées sans le consentement des prospects" .