HUBSIDE, filiale du très controversé « plus jeune milliardaire de France », sanctionnée par la CNIL

Un mois après avoir infligé une amende de 310 000 euros à FORIOU, la CNIL sanctionne sa société sœur HUBSIDE.STORE d’une seconde amende de 525 000 euros. Et ce, au terme d'une plainte enregistrée en 2020, qui lui a permis de découvrir un fichier d' « environ 1,3 million de prospects français et belges ».

Les deux entreprises ont été condamnées pour les mêmes motifs, résume la CNIL, « notamment pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées ».

• Un assureur de smartphones et tablettes écope d’une amende de 10 millions d’euros
• FORIOU, filiale du très controversé « plus jeune milliardaire de France », sanctionnée par la CNIL

Elles appartiennent toutes deux à Indexia Group (anciennement Sfam) du très controversé « plus jeune milliardaire de France », Sadri Fegaier, 44 ans. Celui-ci a bâti sa fortune sur des pratiques lui valant un procès pour « pratiques commerciales trompeuses », qui devrait avoir lieu cet automne, et où plus de 500 consommateurs se seraient portés partie civile.

La CNIL rappelle que HUBSIDE.STORE « procède à des campagnes de démarchage par téléphone et par SMS pour promouvoir les produits vendus dans ses boutiques (téléphones portables, ordinateurs, etc.) ». À cet effet, elle acquiert les données de prospects démarchés auprès de courtiers en données, éditeurs de sites de jeux-concours et de tests de produits, tout comme FORIOU.

Et, là encore, « l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte ne permettait pas de recueillir un consentement valide des personnes concernées ». Ce pourquoi HUBSIDE.STORE « ne pouvait donc procéder légalement » à ses opérations de prospection par SMS et téléphone.

En outre, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que, lors de ses opérations de démarchage téléphonique, la société ne permettait pas non plus aux personnes d’être suffisamment informées, en violation de l’article 14 du RGPD.

Elle a prononcé à son encontre une amende de 525 000 euros, rendue publique. Son montant, qui « représente environ 2 % » du chiffre d’affaires de la société, a « notamment été décidé au regard de la gravité des manquements retenus », de la responsabilité endossée par l’organisme utilisant les données collectées, et du fait que la société « avait massivement recours » à la prospection commerciale.

Quatre fichiers non conformes sur les sept examinés

Tout comme elle l'avait fait pour justifier la sanction de FORIOU, la CNIL déplore que les formulaires utilisés cumulent les dark patterns (interfaces truquées en français) poussant « fortement » les utilisateurs à accepter de confier leurs données personnelles, sans mesurer ce que cela implique réellement, et donc d'obtenir un « consentement valide, libre et univoque », conforme aux exigences du RGPD.

Dans sa délibération, la formation restreinte relève en outre que la proportion de fichiers non conformes parmi ceux examinés de manière aléatoire par la délégation (« soit quatre fichiers non conformes sur les sept examinés ») démontre l’insuffisance des mesures prises par la société pour s’assurer de la validité du consentement des personnes concernées.

La formation restreinte a de plus relevé que, « même si la société a imposé certaines exigences contractuelles à ses fournisseurs de données en amont, aucun contrôle effectif de ces exigences n’était opéré en aval ». L'entreprise affirme certes réaliser des contrôles sur les fichiers livrés, mais la formation restreinte « observe que la société ne produit aucun élément permettant d’en attester ».

Elle a aussi constaté « une proportion importante de fichiers de prospects non conformes », les personnes n'ayant pas été prévenues qu’elles pourraient recevoir des offres de prospection commerciale de la part de HUBSIDE.STORE.

En effet, les formulaires de jeux-concours à partir desquels les données des prospects étaient collectées renvoyaient certes à une liste nominative de partenaires, mais qui ne mentionnait pas « systématiquement » la société HUBSIDE.STORE dans la liste de ceux susceptibles de démarcher les personnes concernées.

Les contrôles réalisés ont enfin mis en évidence que les personnes démarchées par téléphone ne disposaient pas de toutes les informations nécessaires sur la collecte et l’utilisation de leurs données personnelles (« par exemple, l’identité et les coordonnées de l’organisme, les objectifs d’utilisation des données, les durées de conservation, la source des données, leurs droits ou encore leur possibilité d’adresser une plainte à la CNIL »).

97 boutiques, 706 employés, 1,4 M de SMS et 3,2 M d'appels

Dans sa délibération, la formation restreinte précise qu'au 31 mai 2023, la société employait 706 salariés et que le nombre de boutiques HUBSIDE.STORE était passé de 62 en septembre 2021 à 97 en mai 2023, « soit une augmentation de 56 % », réparties entre la France, la Belgique, le Portugal et l’Italie.

Elle ne précise pas combien travaillent dans ces magasins, ni combien sont dédiés à la prospection, sinon qu'HUBSIDE.STORE lui avait indiqué avoir envoyé « environ 1,4 million de SMS entre le mois de septembre 2020 et le mois de septembre 2021, et plus de 220 000 entre mai 2022 et mai 2023 ».

S’agissant de la prospection téléphonique, la société a en outre indiqué avoir émis « environ 3,2 millions d’appels entre mai 2022 et mai 2023, à destination d’environ 1,3 million de prospects ».

La société a par ailleurs indiqué conserver les données des clients de ses points de vente en Europe, « soit 104 391 personnes en novembre 2021 », pendant une durée de cinq ans à compter de la date de clôture du contrat, conformément aux délais légaux de prescription.

Elle affirme n’effectuer de la prospection qu’auprès d’individus domiciliés en France, « afin de générer du trafic dans ses points de vente situés en France ». La CNIL a cela dit découvert que l'entreprise avait sous-traité des prestations de prospection téléphonique ciblant des ressortissants belges, « afin de promouvoir des boutiques situées en Belgique », à SFAM (l'ancien nom d'Indexia).

La CNIL avait en effet été saisie d'une plainte (n°20010737) visant plusieurs sociétés du groupe SFK (la maison mère d'Indexia Group) en juillet 2020. Sa présidente avait ensuite décidé, en juin 2021, de « procéder à une mission de vérification des traitements mis en œuvre par la société SFK GROUP ou par ses filiales ». Un premier contrôle dans les locaux de la société avait été effectué en septembre 2021.

La CNIL invite les clients floués à faire valoir leurs droits

La formation restreinte souligne que « les manquements commis par la société portent sur des obligations touchant aux principes fondamentaux de la protection des données à caractère personnel ».

Elle relève en outre que le manquement à l’obligation d’information des personnes « apparait structurel, dans la mesure où, sur les dizaines d’enregistrements d’appels fournis par la société, aucun ne répond aux exigences d’information prévues à l’article 14 du RGPD ».

Et ce, alors qu'HUBSIDE.STORE, en tant que filiale de la société SFK GROUP, « dispose de ressources humaines, financières et techniques suffisantes » pour s’assurer du respect des règles relatives à la protection des données à caractère personnel.

S’agissant du montant de l’amende, la formation restreinte rappelle que les violations relevées concernent des manquements à des principes susceptibles de faire l’objet d’une amende administrative « pouvant s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial » de l’exercice précédent, le montant le plus élevé étant retenu.

Elle ne précise pas, par contre, ce pourquoi elle a finalement décidé de ne lui infliger une amende ne représentant qu' « environ 2 % » du chiffre d’affaires de la société. Mais elle considère que « la gravité de certains des manquements en cause, de la position de la société sur le marché, de la portée des traitements et du nombre de personnes concernées » justifie la publicité de cette sanction :

« Elle relève également que cette mesure a notamment vocation à informer les personnes concernées par les opérations de prospection de la société. Cette information leur permettra, le cas échéant, de faire valoir leurs droits. »

Elle conclut que cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

« La situation est gravissime. Tout s'effondre »

L'entreprise traverse par ailleurs de nombreuses difficultés. « Indexia : procès, risque de liquidation judiciaire, impayés, "tout s'effondre" selon les syndicats », titrait ainsi France Bleu la semaine passée, au sujet des procédures judiciaires qui se multiplient vis-à-vis de la maison mère et de ses filiales.

Le 24 avril, l'entreprise sera face au tribunal de commerce de Paris suite à une assignation de l'URSSAF, qui demande sa liquidation judiciaire et a engagé des poursuites judiciaires afin de récupérer une somme de 11,76 millions d'euros.

« Tout s'effondre », déplore Yohan Sybelin, du syndicat SUD : « On n'a pas de prime d'intéressement depuis un an, on n'a plus de salaire, les tickets restaurants sont de plus en plus en retard, on rembourse de moins en moins les clients. Et de plus en plus de clients font des actions en justice. »

« Aujourd'hui on se demande si c'est une affaire de semaines, de jours… on n'a pas la sensation que c'est une affaire de mois en tout cas » souligne à France Bleu Nicolas Zeimetz, délégué CFDT de la SFAM Roanne. « Il y a aussi les clients à qui on pense. Si demain, l'entreprise part en liquidation judiciaire, ce seront les premières victimes », souligne Yohan Sybelin.

Me Emma Léoty, qui représente plus de 400 clients, explique de son côté avoir déposé une requête devant le tribunal mi-mars pour saisir près de 3 millions d'euros et les placer sur un compte séquestre pour garantir les remboursements.

« Cela correspond à la somme des prélèvements indus que réclament mes clients, sur les années 2019, 2022 et 2023 » précise-t-elle au Dauphiné Libéré. Or, 45.000 euros seulement ont pu être récupérés et placés mardi 2 avril sous séquestre.

Des employés ont appelé à manifester et une cinquantaine de dossiers ont par ailleurs été déposés aux prudhommes par d'anciens salariés pour obtenir leurs primes d'intéressement. « La situation est gravissime. Quand vous avez un PDG qui vous dit : vous aurez de toutes façons l'intéressement et si c'est pas par moi, c'est par les AGS (NDLR : un fond de garantie des salaires en cas notamment de liquidation judiciaire) c'est quand même grave. Est-ce qu'on n'est pas face à une boîte qui organise son insolvabilité ? » s'inquiète Nicolas Zeimetz, délégué CFDT à la SFAM.