Vitaline se met à m'envoyer une newsletter après onze mois de silence depuis ma commande. Je n'y ai pas consenti durant ma commande, ce qui n'est pas conforme au RGPD. Recevoir la newsletter onze mois après, ça ressemble à la création d'une newsletter postérieurement à ma commande et à l'abonnement forcé de tous les clients, y compris passé, ce qui constitue un détournement de finalité pour une dont le consentement est obligatoire (l'inscription à une newsletter n'est pas nécessaire à l'exécution du contrat puisque ma commande s'est bien déroulée sans elle, et cela ne valide pas les critères de l'intérêt légitime).
Du coup, hop, plainte à la CNIL (ÉDIT DU 16/09/2022 : j'ai versé un complément à ma plainte après avoir capté que ces emails contiennent deux autres manquements au RGPD. FIN DE L'ÉDIT.) :
Bonjour,
Le 18/08/2021, j'ai passé commande auprès de la marque Vitaline de la société commerciale Source Nutrition, ci-après Vitaline. À ce titre, j'ai bien reçu les emails de confirmation de ma commande et de suivi de la livraison, qui répondent à la finalité de l'exécution du contrat. C'est ma dernière interaction consentie avec cette société.
Entre août 2021 et juillet 2022, j'ai reçu aucun email en provenance de Vitaline. Je peux l'affirmer, car j'ai dédié une adresse emails dérivée à ce commerçant (<CENSURE>+vitaline @ <CENSURE>). La PJ 1 contient une extraction des journaux de mon serveur emails personnel entre le 01/09/2021 et le 31/08/2022 qui atteste cela.
Le 08/07/2022, le 27/07/2022, le 26/08/2022 et le 31/08/2022, j'ai reçu un email en provenance de « bounces-40pyk-newsletter=vitaline.fr@ie.d.sender-sib.com ». Je n'ai pas conservé les emails du 08/07 et du 27/07, mais vous trouverez les deux autres dans la PJ 2.
Je n'ai pas pu consentir à recevoir cette newsletter. Je suis vigilant lors du passage de commande et je refuse systématiquement.Donc, soit il s'agit d'un dark pattern qui m'a échappé lors de ma commande, soit il s'agit d'une réutilisation d'une donnée personnelle, mon adresse emails, pour une finalité à laquelle je n'ai pas consenti, qui n'est pas nécessaire à l'exécution d'un contrat, et qui ne répond pas aux critères de l'intérêt légitime. Dans les deux cas, ce n'est pas conforme au RGPD.
Le début de l'envoi de cette newsletter quasiment onze mois après ma commande tend à montrer que la deuxième hypothèse est la bonne : être inscrit à une newsletter commerciale et rien recevoir pendant onze mois est improbable. Une explication plus crédible est que la newsletter n'existait probablement pas lors de ma commande, qu'elle a été créée par la suite, et que tous les clients, y compris passés, y ont été abonnés de force.
J'ai cliqué sur les liens de désinscription contenus dans les emails du 26/08/2022 et du 31/08/2022. J'estime avoir exercé mon droit d'opposition.Je n'ai pas envie de contacter leur pseudo-DPO :
- aucun DPO avouera une réutilisation en douce de données personnelles, il préférera débiter les navrantes excuses habituelles ;
- dans sa politique de confidentialité, Vitaline renvoie vers une adresse « contact@ », à laquelle j'ai écrit en août 2021 (immédiatement après ma commande, pour signaler des fautes de frappe dans leur brochure), sans retour à ce jour (filtre anti-spam ?) ;
- une adresse emails générique signifie trop souvent qu'il n'y a pas de DPO ni même de personne compétente en interne.
En tout état de cause, je vous rappelle l'arrêt TS 1039/2022 dans lequel le Tribunal Supremo espagnol a jugé qu'une APD peut agir même si la personne physique concernée par un traitement de données personnelles n'a pas fait valoir ses droits auprès du responsable du traitement en question.
Les faits relatés ci-dessus, inscription forcée à une newsletter (opt-out), réutilisation d'une donnée personnelle pour une finalité facultative non consentie, et un premier envoi d'emails onze mois après la dernière interaction consentie, constituent des manquements au RGPD qui justifient à eux seuls le dépôt d’une plainte pour sanction auprès de l’autorité de contrôle que vous êtes.Bonne journée.