Le groupe audiovisuel Canal+ a écopé d'une amende de 600 000 € de la Commission nationale de l'informatique et des libertés (Cnil). Elle découle de plusieurs manquements constatés au regard du Règlement général sur la protection des données et du Code des postes et des communications électroniques.
À la suite de plaintes de clients, Canal+ n'a par exemple pas été en mesure de prouver l'obtention d'un consentement préalable et valable des personnes pour de la prospection commerciale par voie électronique.
D'autres manquements retenus portent sur l'obligation d'information les personnes lors des appels de démarchage téléphonique, ou encore lors de la création d'un compte MyCanal. Notamment, pour une information précise sur les durées de conservation des données.
Aussi pour la sécurité et la confidentialité
Canal+ se fait également épingler pour la sécurité des données personnelles, et plus particulièrement des employés. Le stockage des mots de passe n'était pas suffisamment sécurisé et reposait sur du hachage avec l'algorithme MD4.
En outre, le groupe n'avait pas notifié à la Cnil une violation de données. Elle a parmi à des abonnés d'avoir accès à des données d'autres abonnés.
L'incident de confidentialité a duré un peu plus de 5 heures. Le nombre de personnes touchées par la violation est de 10 154. A priori non sensibles, certaines de leurs données ont pu être consultables par 777 autres abonnés.
La Cnil souligne que le montant de l'amende a été décidé en tenant compte de la coopération du groupe Canal+ et des mesures prises pour une mise en conformité.
