Prospection commerciale par courriel : la CNIL sanctionne un courtier en données à une amende de 80.000 Euros
Aux termes d’une délibération n°SAN-2025-002 du 15 mai 2025, la formation restreinte de la CNIL a prononcé une amende administrative de 80.000 Euros à l’encontre de la Société CALOGA pour divers manquements dans le cadre de démarchage par courriel de prospects, pour le compte de ses clients et à partir des bases de ses partenaires.
CNIL, Délibération SAN-2025-002, 15 mai 2025
La Société CALOGA réalise des opérations de prospection commerciale par courrier électronique à partir de données de prospects transmises par ses partenaires, pour le compte de ses clients annonceurs. Elle transmet également ces données à ses propres partenaires, afin que ceux-ci effectuent de la prospection commerciale pour leurs propres annonceurs.
En 2022, la CNIL a initié un contrôle de l’activité de la Société CALOGA, afin de vérifier la conformité des traitements mis en œuvre avec la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite Informatique et Libertés telle que modifiée, les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données dit « RGPD », et du Code des postes et des communications électroniques (CPCE).
A l’issue de ce contrôle, plusieurs manquements ont été relevés par la CNIL.
Manquement à l’obligation de recueillir le consentement des personnes concernées pour la mise en œuvre de la prospection commerciale par voie électronique.
La prospection commerciale fait l’objet d’un encadrement particulier par l’article 34-5 du CPCE, qui interdit la prospection directe au moyen de courriers électroniques lorsque la personne n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen.
L’article 4, paragraphe 11, du RGPD, définit quant à lui la notion de consentement comme toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.
Il appartient ainsi au responsable de traitement qui entend réaliser ou faire réaliser des opérations de prospection commerciale par voie électronique, de s’assurer qu’il a recueilli un tel consentement auprès des personnes concernées. Dans le cas où les données de prospects n’auraient pas été collectées directement auprès d’eux par le responsable de traitement, il revient à ce dernier de s’assurer de la validité du consentement initial avant de procéder à ses opérations.
Ainsi et dans de tels cas, la CNIL considère que « chacun des organismes impliqués doit, en fonction de sa responsabilité propre, s’assurer de la licéité des opérations auxquelles il participe dans cette chaîne de traitements », et donc que le consentement des personnes concernées à recevoir de la prospection directe ait été valablement recueilli depuis l’origine.
En l’occurrence, l’activité de la Société CALOGA s’apparentait bien à une chaîne de traitement de données, dès lors que la Société récupère les données de prospects auprès de ses partenaires primo-collectants, qui collectent eux-mêmes ces données en organisant des jeux-concours, des tests de produits et sondages, permettant ensuite leur transmission afin de réaliser des opérations de prospection commerciale.
La formation restreinte de la CNIL a donc procédé à une vérification du recueil du consentement faite par les partenaires primo-collectants, avant de relever que les formulaires de participation à ces jeux-concours ou toute opération de collecte, avaient une apparence trompeuse en ce qu’ils mettent particulièrement en valeur les boutons de type « CONTINUER » ou « VALIDER », que leur emplacement donne l’impression de devoir obligatoirement être cliqués pour terminer l’inscription, quand le lien permettant de participer au jeu sans consentir à la prospection n’est pas mis en avant.
Ces formulaires ne permettent donc pas aux personnes concernées d’exprimer leur consentement à l’utilisation de leurs données à des fins de prospection commerciale de manière libre et univoque
Ainsi, si la CNIL rappelle que ces formulaires ne sont pas imputables à la Société CALOGA qui ne recueille pas directement les données des prospects avant d’effectuer de la prospection commerciale par courrier électronique, cette dernière aurait toutefois dû s’assurer que leur consentement ait été valablement recueilli avant de réaliser ses opérations, ce qu’elle n’a pas suffisamment fait.
Manquement à l’obligation de respecter le droit des personnes concernées au retrait du consentement
Conformément à la lecture combinée des articles L.34-5 du CPCE et de l’article 7, paragraphe 3 du RGPD, la personne concernée a le droit de retirer son consentement en matière de prospection électronique à tout moment, et en est informée préalablement. Ainsi, il est constant que le consentement ne devrait pas être considéré comme ayant été donné valablement si la personne concernée ne dispose pas d’une véritable liberté de choix, ou n’est pas en mesure de refuser ou retirer son consentement sans subir de préjudice.
En l’occurrence, la Société CALOGA stockait les données des prospects dans différentes bases de données (CALOGA, ZEPLAN, BASYLO et VOZEKO) et opérait sous ces marques. Elle proposait ainsi deux liens de désinscription dans ses courriels de prospection, l’un permettant de se désinscrire des listes d’un annonceur spécifique, l’autre des listes liées à l’une de ces marques.
Selon la CNIL, un tel système prête à confusion dès lors que le prospect pouvait légitimement penser, lors d’une désinscription des offres des annonceurs de CALOGA, que cette action valait pour toutes les bases de données de la Société, ce qui n’était pas le cas. Ainsi et en dépit d’une action positive des prospects sollicitant le retrait de leur consentement, ces derniers continuaient à recevoir des courriels de prospection.
Il n’était donc pas aussi simple pour un prospect de retirer son consentement que de le donner.
Manquement à l’obligation de disposer d’une base légale pour transmettre les données de prospects à des fins de prospection commerciale par voie électronique
Un traitement de données personnelles n’est licite que s’il repose sur l’une des 6 bases légales listées à l’article 6 du RGPD, parmi lesquelles le consentement de la personne concernée.
La CNIL a relevé que la Société CALOGA transmettait à ses partenaires des données de prospect à des fins de prospection commerciale par voie électronique sur la base de l’intérêt légitime, à partir de bases dont ses partenaires avaient ciblé, avec leurs propres outils, les segments qu’ils souhaitaient solliciter.
Or, selon la CNIL, l’administration de ces bases de données et les opérations constituent de nouveaux traitements de données à caractère personnel, mis en œuvre par d’autres responsables de traitement que la société CALOGA. Ainsi, cette dernière devait être regardée comme responsable du traitement de transmission de données de prospects à des partenaires afin que soit réalisée la prospection commerciale par voie électronique par ces derniers pour le compte de tiers.
Or, pour être licite, lorsque la transmission des données a pour finalité de permettre aux partenaires commerciaux de réaliser de la prospection nécessitant le recueil du consentement préalable des personnes concernées, l’organisme qui transmet les données doit recueillir le consentement des personnes concernées à cette transmission de leurs données.
Ainsi, la Société CALOGA ne pouvait effectuer cette transmission sur la base de l’intérêt légitime, mais sur celle du consentement : or, le consentement n’avait pas valablement été recueilli au moment de la collecte des données des prospects (cf. supra).
Manquement à l’obligation de conserver les données pour une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées
Aux termes de l’article 5, paragraphe 1, e) du RGPD, les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
Lorsque cette finalité est atteinte, les données doivent être supprimées, anonymisées ou encore faire l’objet d’un archivage intermédiaire lorsque leur conservation est nécessaire.
En l’occurrence, la Société CALOGA appliquait une durée de conservation de 12 mois maximum en base active courant à compter de la dernière action du prospect actif, puis de 4 années supplémentaires à compter du passage en prospect inactif, sans aucun tri ni archivage intermédiaire, conservant ainsi l’intégralité des données en base active sans restriction.
Surtout, la Société CALOGA considérait que la simple ouverture d’un courriel constituait une interaction du prospect justifiant un allongement du délai de conservation. Or, selon la CNIL, cette ouverture pouvait tout à fait résulter d’un geste involontaire du prospect et ne traduisait en tout état de cause pas une volonté claire de maintenir un lien avec la Société.
Pour l’ensemble de ces manquements, la formation restreinte de la CNIL prononce une amende administrative d’un montant de 80.000 Euros, aux termes d’une délibération rendue publique pour une durée de deux ans.
