Un magasin Hubside.StoreHubside.Store

HUBSIDE down

HUBSIDE, filiale du très controversé « plus jeune milliardaire de France », sanctionnée par la CNIL

Un magasin Hubside.StoreHubside.Store

Abonnez-vous pour tout dévorer et ne rien manquer.

Déjà abonné ? Se connecter

Abonnez-vous

Un mois après avoir infligé une amende de 310 000 euros à FORIOU, la CNIL sanctionne sa société sœur HUBSIDE.STORE d’une seconde amende de 525 000 euros. Et ce, au terme d'une plainte enregistrée en 2020, qui lui a permis de découvrir un fichier d' « environ 1,3 million de prospects français et belges ».

Les deux entreprises ont été condamnées pour les mêmes motifs, résume la CNIL, « notamment pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées ».

Elles appartiennent toutes deux à Indexia Group (anciennement Sfam) du très controversé « plus jeune milliardaire de France », Sadri Fegaier, 44 ans. Celui-ci a bâti sa fortune sur des pratiques lui valant un procès pour « pratiques commerciales trompeuses », qui devrait avoir lieu cet automne, et où plus de 500 consommateurs se seraient portés partie civile.

La CNIL rappelle que HUBSIDE.STORE « procède à des campagnes de démarchage par téléphone et par SMS pour promouvoir les produits vendus dans ses boutiques (téléphones portables, ordinateurs, etc.) ». À cet effet, elle acquiert les données de prospects démarchés auprès de courtiers en données, éditeurs de sites de jeux-concours et de tests de produits, tout comme FORIOU.

Et, là encore, « l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte ne permettait pas de recueillir un consentement valide des personnes concernées ». Ce pourquoi HUBSIDE.STORE « ne pouvait donc procéder légalement » à ses opérations de prospection par SMS et téléphone.

En outre, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que, lors de ses opérations de démarchage téléphonique, la société ne permettait pas non plus aux personnes d’être suffisamment informées, en violation de l’article 14 du RGPD.

Elle a prononcé à son encontre une amende de 525 000 euros, rendue publique. Son montant, qui « représente environ 2 % » du chiffre d’affaires de la société, a « notamment été décidé au regard de la gravité des manquements retenus », de la responsabilité endossée par l’organisme utilisant les données collectées, et du fait que la société « avait massivement recours » à la prospection commerciale.

Quatre fichiers non conformes sur les sept examinés

Tout comme elle l'avait fait pour justifier la sanction de FORIOU, la CNIL déplore que les formulaires utilisés cumulent les dark patterns (interfaces truquées en français) poussant « fortement » les utilisateurs à accepter de confier leurs données personnelles, sans mesurer ce que cela implique réellement, et donc d'obtenir un « consentement valide, libre et univoque », conforme aux exigences du RGPD.

Dans sa délibération, la formation restreinte relève en outre que la proportion de fichiers non conformes parmi ceux examinés de manière aléatoire par la délégation (« soit quatre fichiers non conformes sur les sept examinés ») démontre l’insuffisance des mesures prises par la société pour s’assurer de la validité du consentement des personnes concernées.

La formation restreinte a de plus relevé que, « même si la société a imposé certaines exigences contractuelles à ses fournisseurs de données en amont, aucun contrôle effectif de ces exigences n’était opéré en aval ». L'entreprise affirme certes réaliser des contrôles sur les fichiers livrés, mais la formation restreinte « observe que la société ne produit aucun élément permettant d’en attester ».

Elle a aussi constaté « une proportion importante de fichiers de prospects non conformes », les personnes n'ayant pas été prévenues qu’elles pourraient recevoir des offres de prospection commerciale de la part de HUBSIDE.STORE.

En effet, les formulaires de jeux-concours à partir desquels les données des prospects étaient collectées renvoyaient certes à une liste nominative de partenaires, mais qui ne mentionnait pas « systématiquement » la société HUBSIDE.STORE dans la liste de ceux susceptibles de démarcher les personnes concernées.

Les contrôles réalisés ont enfin mis en évidence que les personnes démarchées par téléphone ne disposaient pas de toutes les informations nécessaires sur la collecte et l’utilisation de leurs données personnelles (« par exemple, l’identité et les coordonnées de l’organisme, les objectifs d’utilisation des données, les durées de conservation, la source des données, leurs droits ou encore leur possibilité d’adresser une plainte à la CNIL »).

97 boutiques, 706 employés, 1,4 M de SMS et 3,2 M d'appels

Dans sa délibération, la formation restreinte précise qu'au 31 mai 2023, la société employait 706 salariés et que le nombre de boutiques HUBSIDE.STORE était passé de 62 en septembre 2021 à 97 en mai 2023, « soit une augmentation de 56 % », réparties entre la France, la Belgique, le Portugal et l’Italie.

Elle ne précise pas combien travaillent dans ces magasins, ni combien sont dédiés à la prospection, sinon qu'HUBSIDE.STORE lui avait indiqué avoir envoyé « environ 1,4 million de SMS entre le mois de septembre 2020 et le mois de septembre 2021, et plus de 220 000 entre mai 2022 et mai 2023 ».

S’agissant de la prospection téléphonique, la société a en outre indiqué avoir émis « environ 3,2 millions d’appels entre mai 2022 et mai 2023, à destination d’environ 1,3 million de prospects ».

La société a par ailleurs indiqué conserver les données des clients de ses points de vente en Europe, « soit 104 391 personnes en novembre 2021 », pendant une durée de cinq ans à compter de la date de clôture du contrat, conformément aux délais légaux de prescription.

Elle affirme n’effectuer de la prospection qu’auprès d’individus domiciliés en France, « afin de générer du trafic dans ses points de vente situés en France ». La CNIL a cela dit découvert que l'entreprise avait sous-traité des prestations de prospection téléphonique ciblant des ressortissants belges, « afin de promouvoir des boutiques situées en Belgique », à SFAM (l'ancien nom d'Indexia).

La CNIL avait en effet été saisie d'une plainte (n°20010737) visant plusieurs sociétés du groupe SFK (la maison mère d'Indexia Group) en juillet 2020. Sa présidente avait ensuite décidé, en juin 2021, de « procéder à une mission de vérification des traitements mis en œuvre par la société SFK GROUP ou par ses filiales ». Un premier contrôle dans les locaux de la société avait été effectué en septembre 2021.

La CNIL invite les clients floués à faire valoir leurs droits

La formation restreinte souligne que « les manquements commis par la société portent sur des obligations touchant aux principes fondamentaux de la protection des données à caractère personnel ».

Elle relève en outre que le manquement à l’obligation d’information des personnes « apparait structurel, dans la mesure où, sur les dizaines d’enregistrements d’appels fournis par la société, aucun ne répond aux exigences d’information prévues à l’article 14 du RGPD ».

Et ce, alors qu'HUBSIDE.STORE, en tant que filiale de la société SFK GROUP, « dispose de ressources humaines, financières et techniques suffisantes » pour s’assurer du respect des règles relatives à la protection des données à caractère personnel.

S’agissant du montant de l’amende, la formation restreinte rappelle que les violations relevées concernent des manquements à des principes susceptibles de faire l’objet d’une amende administrative « pouvant s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial » de l’exercice précédent, le montant le plus élevé étant retenu.

Elle ne précise pas, par contre, ce pourquoi elle a finalement décidé de ne lui infliger une amende ne représentant qu' « environ 2 % » du chiffre d’affaires de la société. Mais elle considère que « la gravité de certains des manquements en cause, de la position de la société sur le marché, de la portée des traitements et du nombre de personnes concernées » justifie la publicité de cette sanction :

« Elle relève également que cette mesure a notamment vocation à informer les personnes concernées par les opérations de prospection de la société. Cette information leur permettra, le cas échéant, de faire valoir leurs droits. »

Elle conclut que cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

« La situation est gravissime. Tout s'effondre »

L'entreprise traverse par ailleurs de nombreuses difficultés. « Indexia : procès, risque de liquidation judiciaire, impayés, "tout s'effondre" selon les syndicats », titrait ainsi France Bleu la semaine passée, au sujet des procédures judiciaires qui se multiplient vis-à-vis de la maison mère et de ses filiales.

Le 24 avril, l'entreprise sera face au tribunal de commerce de Paris suite à une assignation de l'URSSAF, qui demande sa liquidation judiciaire et a engagé des poursuites judiciaires afin de récupérer une somme de 11,76 millions d'euros.

« Tout s'effondre », déplore Yohan Sybelin, du syndicat SUD : « On n'a pas de prime d'intéressement depuis un an, on n'a plus de salaire, les tickets restaurants sont de plus en plus en retard, on rembourse de moins en moins les clients. Et de plus en plus de clients font des actions en justice. »

« Aujourd'hui on se demande si c'est une affaire de semaines, de jours… on n'a pas la sensation que c'est une affaire de mois en tout cas » souligne à France Bleu Nicolas Zeimetz, délégué CFDT de la SFAM Roanne. « Il y a aussi les clients à qui on pense. Si demain, l'entreprise part en liquidation judiciaire, ce seront les premières victimes », souligne Yohan Sybelin.

Me Emma Léoty, qui représente plus de 400 clients, explique de son côté avoir déposé une requête devant le tribunal mi-mars pour saisir près de 3 millions d'euros et les placer sur un compte séquestre pour garantir les remboursements.

« Cela correspond à la somme des prélèvements indus que réclament mes clients, sur les années 2019, 2022 et 2023 » précise-t-elle au Dauphiné Libéré. Or, 45.000 euros seulement ont pu être récupérés et placés mardi 2 avril sous séquestre.

Des employés ont appelé à manifester et une cinquantaine de dossiers ont par ailleurs été déposés aux prudhommes par d'anciens salariés pour obtenir leurs primes d'intéressement. « La situation est gravissime. Quand vous avez un PDG qui vous dit : vous aurez de toutes façons l'intéressement et si c'est pas par moi, c'est par les AGS (NDLR : un fond de garantie des salaires en cas notamment de liquidation judiciaire) c'est quand même grave. Est-ce qu'on n'est pas face à une boîte qui organise son insolvabilité ? » s'inquiète Nicolas Zeimetz, délégué CFDT à la SFAM.

Commentaires (17)


entreprise qui ne merite que de fermer avec un PDG voyou !! Mais il est clair qu'il a organisé la "fin".
"« Il y a aussi les clients à qui on pense. Si demain, l'entreprise part en liquidation judiciaire, ce seront les premières victimes », souligne Yohan Sybelin."

:reflechis:

Les clients étant les premières victimes depuis l'existence de ces entreprises, c'est quand même beau d'arriver à tenir pareils propos.

:bravo:
Je trouve intéressant que la CNIL dise qu'une société ne peut pas faire confiance aveuglément aux courtiers de données.

La CNIL affirme que l'on ne peut pas se cacher derrière une décharge du brocker dans le contrat qui dit "c'est bon, fait confiance", mais que la société doit mettre en place des audits.
Oui, c'est un bon début.

Ensuite, il n'y a qu'à prendre la liste des partenaires de quelques sites et descendre chez chacun d'eux pour voir s'ils ont fait les vérifications qu'ils demandent ici. Et dans le cas contraire, 2 % du CA d'amende pour plusieurs centaines de sociétés.
Voilà bien une entreprise que je ne vais pas pleurer.
Moi non plus.

Par contre, parler de son propriétaire comme "le plus jeune milliardaire de France" dessert le propos je trouve.

fred42

Moi non plus.

Par contre, parler de son propriétaire comme "le plus jeune milliardaire de France" dessert le propos je trouve.
Plutot Tiramisu ou Salade de fruit, le dessert ? :patapay:

Thoscellen

Plutot Tiramisu ou Salade de fruit, le dessert ? :patapay:
:sm:

J'ai cru avoir fait une faute, mais non.
Je suis perplexe. Les courtiers de données sont les vampires modernes.

Cependant dans ce passage :
[...]
Et, là encore, « l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte ne permettait pas de recueillir un consentement valide des personnes concernées ». Ce pourquoi HUBSIDE.STORE « ne pouvait donc procéder légalement » à ses opérations de prospection par SMS et téléphone.

En outre, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que, lors de ses opérations de démarchage téléphonique, la société ne permettait pas non plus aux personnes d’être suffisamment informées, en violation de l’article 14 du RGPD.
[...]
Autant sur la seconde partie, la société est clairement en défaut. Autant sur la 1ere, Je me dis que la bonne fois aurait pu être retenu. (Si j'achète un vase chez un antiquaire reconnu et qu'il s'agisse d'un objet volé ; Le fait qu'on me condamne de recèle me mettrait chagrin).

Suis-je trop naïf ?
Comme tu l'as dit toi-même : "Les courtiers de données sont les vampires modernes."

À partir de là, les comparer à un antiquaire reconnu n'est pas pertinent.

fred42

Comme tu l'as dit toi-même : "Les courtiers de données sont les vampires modernes."

À partir de là, les comparer à un antiquaire reconnu n'est pas pertinent.
Je suis d'accord. Cependant (pour le moment) ils sont "légitimes" d'où ma comparaison.
D'ailleurs dans ce contexte la CNIL peut aussi poursuivre ses "entrerprises" ; Je ne suis pas sûr que ce soit le cas ?

RuMaRoCO

Je suis d'accord. Cependant (pour le moment) ils sont "légitimes" d'où ma comparaison.
D'ailleurs dans ce contexte la CNIL peut aussi poursuivre ses "entrerprises" ; Je ne suis pas sûr que ce soit le cas ?
Je ne sais pas trop ce que tu veux dire par légitimes.

Par contre, je suis à peu près sûr que la plupart viole le RGPD :
- abus d"intérêt légitime" pré-coché, à plein d'endroits différents pour arriver au point suivant
- dark partern : il est toujours plus facile de tout accepter que de tout refuser
- information insuffisante sur les traitements induits par le "tout accepter"

Et j'en oublie sûrement.

fred42

Je ne sais pas trop ce que tu veux dire par légitimes.

Par contre, je suis à peu près sûr que la plupart viole le RGPD :
- abus d"intérêt légitime" pré-coché, à plein d'endroits différents pour arriver au point suivant
- dark partern : il est toujours plus facile de tout accepter que de tout refuser
- information insuffisante sur les traitements induits par le "tout accepter"

Et j'en oublie sûrement.
On est sur la même longueur d'onde à leurs propos.
Ce que j'entends pas ""légitime"" c'était [un peu en mode avocat du diable] que leurs commerces (aux courtiers) n'ont pas (encore) été condamnés ni interdit et ils sont des personnes morales reconnus fiscalement et commercialement parlant
Une entreprise est censée organiser régulièrements des audits pour ce genre de données sensibles, pour être sûr qu'il n'y ait pas de problème légal.
C’est ce groupe qui vendait des assurances mobiles un peu cachées (notamment à la Fnac car « le plus jeune milliardaire de France » y avait pris des parts)
Ils prélevaient petit à petit des grosses sommes d’argent dans le temps en espérant que ça ne se voit pas.

Des gros voleurs. Ils méritent juste de fermer.
Sauf qu'à ne faire que ceci permettra au véreux en chef de recommencer plus tard & ailleurs.

"Bien mal acquis profite différemment", en somme.

Berbe

Sauf qu'à ne faire que ceci permettra au véreux en chef de recommencer plus tard & ailleurs.

"Bien mal acquis profite différemment", en somme.
La « véritable » expression est « bien mal acquis ne profite qu’après ».
Fermer