La CNIL poursuit sa démarche de répression de l’utilisation de données personnelles à des fins marketing lorsque cette utilisation ne respecte pas le RGPD, tout particulièrement lorsque la campagne marketing ne s’appuie pas sur une base légale éprouvée, et ce y compris lorsque la société en cause n’a pas procédé elle-même à la collecte initiale des données.
Dans le cadre de sa thématique consacrée à la prospection commerciale en 2022, la CNIL avait effectué un contrôle auprès d’un courtier en base de données qui constituait des fichiers de prospects (par acquisition de données collectées par d’autres courtiers et des éditeurs de sites de jeux-concours et de tests de produits), fichiers qu’il utilisait ensuite pour engager des campagnes marketing par courrier électronique pour le compte de ses clients, ou qu’il transmettait à des tiers partenaires pour qu’eux-mêmes les exploitent pour le compte de leurs propres clients.
Par délibération du 21 mai 2025, la CNIL a sanctionné cette société à hauteur de 80.000 € pour avoir procédé à des traitements de prospection sans le consentement des personnes concernées, et pour avoir transmis le fichier à des tiers partenaires également sans base légale.
Sur la qualification de responsable de traitement
La CNIL s’est d’abord interrogée sur la qualification à donner aux différents protagonistes de la chaîne d’approvisionnement et d’exploitation des données, en utilisant plusieurs critères dont la propriété de la base de données, les modalités de gestion de cette base, le choix des critères de segmentation ou encore les instructions données par l’annonceur…
En l’espèce, la CNIL a considéré que la société objet du contrôle décidait de la finalité des traitements ainsi que des moyens essentiels du traitement (sources et catégories de données collectées, durée de conservation…), et qu’elle était donc responsable de traitement (i) dans le cadre de la constitution de ces bases de données (acquises auprès de ses partenaires primo-collectants) et (ii) dans le cadre de leur exploitation aux fins de prospection commerciale. Et la CNIL a considéré que cette société était également responsable de traitement, conjointe cette fois, s’agissant des opérations de prospection commerciale menée pour le compte de ses clients annonceurs (eux-mêmes responsables conjoints).
De plus, la CNIL a considéré que c’est encore en tant que responsable de traitement que cette société transmettait des fichiers issus de ses bases de données à des partenaires afin qu’eux-mêmes réalisent des opérations de prospection commerciale pour le compte de leurs propres clients annonceurs.
La CNIL a donc estimé que la société contrôlée devait être regardée comme responsable de traitement tant pour les opérations de prospection commerciale électronique effectuées pour le compte de ses clients à partir de sa base de données (sans préjudice de la responsabilité conjointe desdits clients) que pour la transmission de données à ses partenaires afin qu’eux-mêmes exécutent des campagnes de prospection commerciale par voie électronique. C’est donc à cette société qu’il incombait de mobiliser une base légale robuste et plus généralement d’appliquer les exigences du RGPD.
Sur le manquement à l’article L. 34-5 du CPCE et à la nécessité du consentement de l’article 7 du RGPD
La société contrôlée prétendait baser ses traitements sur le consentement à recevoir de la prospection commerciale, figurant dans les mentions sous les formulaires de collecte utilisés par ses partenaires primo-collectants.
La CNIL a rappelé que la prospection commerciale par voie électronique est soumise d’une part à l’article L. 34-5 du Code des postes et des communications électroniques (qui pose que « est interdite la prospection directe au moyen de système automatisé de communications électroniques […] utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen »), et d’autre part à l’exigence d’un consentement conforme aux articles 4 §11 et 7 du RGPD exigeant un consentement libre, spécifique, éclairé, univoque et actif aux opérations envisagées.
La CNIL a ensuite estimé que le consentement recueilli via les formulaires de collecte ne répondait pas à ces exigences. En effet, certains de ces formulaires ne distinguaient pas les finalités entre participation au jeu-concours proposé d’une part et réutilisation des données aux fins de prospection commerciale d’autre part, en ne proposant qu’un bouton unique « Je participe » ou « Je valide ».
Ainsi, en acceptant de participer au jeu en ligne, la personne concernée consentait ipso facto à un autre traitement constitué par la réutilisation de ses données à des fins de prospection commerciale pour le compte de tiers : le caractère spécifique du consentement n’était donc pas respecté.
En outre, certains formulaires présentaient l’acceptation des finalités présentées de manière particulièrement proéminente, éclipsant la faculté de s’y opposer (« dark patterns »), ou présentaient des choix trompeurs ou dont les conséquences n’apparaissaient pas clairement. Ces formulaires ne permettaient donc pas de recueillir un consentement réellement libre ni éclairé.
La CNIL a ainsi écarté l’argumentaire de la société qui voulait reporter sur ses fournisseurs de données la responsabilité du défaut de consentement légal : il appartenait en toute hypothèse à la société contrôlée, qui utilisait les données collectées par ses fournisseurs pour sa propre prospection commerciale, de s’assurer qu’elle disposait d’une base légale conforme aux exigences du RGPD.
La CNIL précisait ainsi que dans la mesure où la société avait « fait le choix de ne pas recueillir elle-même ce consentement et de se prévaloir de celui recueilli par ses partenaires, le fait de s’assurer de la validité dudit consentement passe nécessairement par un contrôle des mécanismes de recueil mis en œuvre par les primo-collectants ».
La CNIL a considéré que la société n’avait pas suffisamment éprouvé la conformité des consentements ainsi recueillis, malgré les engagements contractuels de ses partenaires fournisseurs, et qu’elle n’avait pas cessé de réutiliser les données malgré le caractère lacunaire des mentions d’information des formulaires de collecte. La CNIL rappelle ici que les acteurs de la chaîne de traitement ne sauraient se contenter des engagements contractuels de leurs cocontractants, mais devaient vérifier eux-mêmes, dans les faits, la réalité et la portée des consentements recueillis, notamment au moyen d’audits.
La CNIL a donc considéré que compte tenu de ces constatations, la société contrôlée avait collecté et exploité les données collectées sans consentement valable des personnes concernées au sens de l’article 7 du RGPD, et donc sans base légale.
De surcroît, la CNIL a constaté que contrairement aux dispositions du RGPD, il n’était pas aussi simple de retirer son consentement que de le donner initialement. En effet, la CNIL a observé que si les prospects peuvent donner leur consentement (non-conforme) à recevoir les offres de partenaires de la société en un seul clic, en revanche ils ne pouvaient ensuite se désabonner, en cliquant sur le lien de désinscription lors de la réception d’un courriel, que du seul fichier du partenaire au nom duquel le courriel était envoyé, et non pas de l’ensemble des bases de la société (à laquelle il fallait alors envoyer un courrier). La CNIL en a déduit un autre manquement à l’article 7 du RGPD.
Sur le manquement à l’obligation de recueillir un consentement aux fins de transmission des données à des tiers à des fins de prospection commerciale
S’agissant des transmissions de données par la société contrôlée à des tiers partenaires, aux fins qu’eux-mêmes réalisent des campagnes de prospection marketing pour le compte de leurs propres clients annonceurs, la société contrôlée présentait ces destinataires comme ses sous-traitants, ne nécessitant pas de consentement spécifique puisque les sous-traitants sont réputés agir uniquement pour le compte du responsable de traitement.
La CNIL a au contraire estimé que ces partenaires destinataires n’intervenaient pas en qualité de sous-traitants de la société, mais bien en tant que responsables de traitement autonomes, qui choisissaient eux-mêmes les segments de fichiers qui les intéressaient pour leurs campagnes. La société aurait donc dû disposer d’une base légale spécifique l’autorisant à transmettre les données à ces tiers, en l’espèce un consentement là encore libre, éclairé, et portant spécifiquement sur cette transmission… ce que ne permettait absolument pas le consentement initialement recueilli via les formulaires initiaux.
La société contrôlée était donc responsable de traitement s’agissant de la transmission des données, et avait agi là encore sans disposer de base légale, faute d’avoir recueilli un consentement spécifique pour cette transmission. En la matière, l’intérêt légitime (invoqué par la société) ne pouvait être retenu.
Il était constant que dans les formulaires de collecte initiale, rien ne mentionnait le fait que la société qui allait les obtenir était susceptible, en outre, de les retransmettre à d’autres destinataires afin qu’eux-mêmes les utilisent pour la prospection marketing de leurs clients finaux.
Enfin et pour compléter l’ampleur des manquements constatés, la CNIL a relevé que la société conservait les données collectées pendant une durée excessive (5 ans en base active après la collecte, sans tri ni archivage intermédiaire, en se basant qui plus est sur la simple ouverture du courriel sans interaction positive de la part de la personne concernée).
La sanction prononcée
La CNIL a prononcé une amende administrative de 80.000 € contre la société défaillante, au motif notamment que le défaut de base légale, constaté à plusieurs titres, constituait un manquement aux principes essentiels de la protection des données personnelles, et au regard du nombre très important de personnes concernées (2.8 millions de prospects).
La CNIL a souligné que contrairement à ce qu’affirmait la société, les règles applicables aux traitements de prospection commerciale par voie électronique, et en particulier les critères applicables au consentement à recueillir, étaient établies de longue date. On doit d’ailleurs constater que la CNIL a modéré le montant de la sanction au regard du fait que la société avait cessé son activité. La CNIL a cependant décidé de publier sa décision, afin qu’elle ait valeur d’exemple. A noter que dans une affaire extrêmement similaire, une autre société, toujours sen activité quant à elle, s’est vue appliquer une sanction de 900.000 €, témoignant de l’attention que la CNIL porte au strict respect des règles du RGPD et du CPCE applicables à la prospection commerciale par voie électronique, et tout particulièrement au recueil de consentements spécifiques, éclairés et aisément révocables.
Thomas Beaugrand, Counsel
L’activité de Thomas Beaugrand porte sur le droit du numérique, le droit de la data et le droit de l’e-commerce.
Une question ?
