Le 15 mai 2025, la formation restreinte de la Cnil a sanctionné la société SOLOCAL MARKETING SERVICES (ou « SOMS »), en prononçant une amende administrative de 900 000 € à son encontre, au titre de divers obligations prévues par le Code des postes et des communications électroniques (CPCE) et par le RGPD, notamment en matière de recueil et de preuve du consentement pour la réalisation d’opérations de prospection commerciale par voie électronique.
Ainsi que nous l’avions déjà évoqué dans notre article du 10 mars 2024 concernant la société Foriou ou encore dans notre article du 10 avril 2024 concernant la société Hubside.Store, il est crucial de prendre des précautions spécifiques en cas de recours, pour l’achat de bases de données, à des courtiers en données (“data brokers”), en vue de leur réutilisation à des fins de prospection commerciale.
Pour rappel, les règles à suivre dans ce domaine sont exposées ici sur le site de la Cnil. Il convient par ailleurs de souligner que la prospection commerciale, englobant de telles pratiques, avait été identifiée comme l’une des priorités de contrôle de la Cnil en 2022 (cf. année des contrôles effectués par la Cnil auprès de la société SOMS), et que cette thématique avait déjà antérieurement donné lieu à de nombreuses sanctions de la formation restreinte de la Cnil en 2023 telles que celles prises à l’encontre de Canal +[1] et de TagadaMedia.
Dans cette affaire, la Cnil rappelle que la société SOMS procède à la vente de produits de marketing direct, laquelle recouvre deux types de prestations :
- d’une part, la société réalise des opérations de prospection commerciale par voie électronique (cf. envoi de courriers électroniques et de SMS) à destination de prospects, au bénéfice de ses clients ;
- d’autre part, la société transmet à ses clients des données de prospects, afin de permettre à ceux-ci de réaliser eux-mêmes des opérations de prospection commerciale par voie postale et téléphonique.
L’ensemble de ces opérations est réalisé à partir d’une base de données constituée par la société SOMS au moyen de données transmises et mises à jour régulièrement par une quinzaine de fournisseurs de données (ou « data brokers », également désignés « primo-collectants »).
* *
*
1. A titre liminaire, l’analyse de la responsabilité de la société SOMS s’agissant des traitements concernés
Après avoir relevé que :
- dans l’écosystème de la prospection commerciale, la qualité à conférer aux différents acteurs de la chaîne en matière de responsabilité de traitement – à savoir l’annonceur pour le compte duquel la prospection électronique est adressée et l’intermédiaire intervenant entre lui et le primo-collectant, qui peut notamment être chargé de l’envoi des messages de prospection électronique pour l’annonceur – dépend d’un certain nombre de paramètres (comme par exemple la propriété de la base de données, ses modalités de constitution et de gestion, les choix opérés en matière de segmentation ou encore le degré et la précision des instructions données par l’annonceur) ; et que
- ces attributions et répartitions des responsabilités entre les différents acteurs peuvent varier en fonction des rôles et des actions menées par chacun, selon les cas d’espèce, devant par conséquent faire l’objet d’une analyse au cas par cas ;
la formation restreinte a considéré que la société SOMS était responsable de traitement pour :
- la constitution et l’administration de la base de données qu’elle utilise à des fins de prospection par voie électronique au bénéfice de ses clients, notamment car elle définit les données qui figurent dans la base ainsi que les durées de conservation et les finalités afférentes ;
- les opérations de prospection commerciale par voie électronique réalisées, à partir de la base de données susvisée, au bénéfice de ses clients annonceurs ; et
- la transmission de données de prospects à des annonceurs à des fins d’utilisation par ces derniers pour la réalisation d’opérations de prospection par voie postale et par téléphone, car elle détermine les finalités et les moyens de ces opérations (cf. transmission d’un segment ciblé de données, issues d’une base qu’elle a elle-même constituée et dont elle est propriétaire, et pour laquelle elle détermine contractuellement l’usage pouvant en être fait).
2. Sur le manquement par la société SOMS à l’obligation de recueillir le consentement des personnes concernées (et à pouvoir le démontrer) pour la mise en œuvre de prospection commerciale par voie électronique au bénéfice de clients tiers
Pour mémoire, en vertu de l’article 6 du RGPD et de l’article L.34-5 du Code des postes et des communications électroniques, les actions de prospection commerciale par voie électronique (cf. email ou sms) à l’attention de particuliers ne peuvent être réalisées qu’après avoir obtenu le consentement du destinataire de ces prospections (consentement qui doit être univoque, spécifique, libre et informé). A cet égard, la formation restreinte de la Cnil rappelle que lorsque les données des prospects n’ont pas été collectées directement auprès d’eux par le responsable du traitement ayant pour finalité la réalisation des opérations de prospection, ce consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte du responsable de traitement qui doit s’assurer de la validité et de la preuve dudit consentement.
En l’espèce, la société SOMS procède à des campagnes de prospection commerciale par voie électronique au bénéfice de ses clients annonceurs. Ses opérations de prospections commerciales sont réalisées à partir de fichiers de prospects achetés auprès de plusieurs courtiers en données, collectant les données par l’intermédiaire de formulaires de participation à des jeux de concours en ligne et de tests de produits (les primo-collectants).
En tant que responsable des opérations de prospection commerciale par voie électronique qu’elle réalise, la société SOMS doit s’assurer que le consentement des personnes concernées à recevoir de telles prospections a été valablement obtenu. Si elle a fait le choix de ne pas recueillir elle-même ce consentement et de se prévaloir de celui recueilli par ses partenaires, il lui appartient en tout état de cause de garantir la licéité de ces opérations de prospection en s’assurant de la validité du consentement recueilli par les primo-collectants dont elle entend se prévaloir.
A cet égard, la formation restreinte considère que l’apparence trompeuse des formulaires dont elle a pu avoir connaissance mis en œuvre par les courtiers en données pour la collecte des données et le recueil du consentement ne permet pas de recueillir un consentement libre et univoque, qui permettrait de fonder les opérations de prospection réalisées par la société SOMS.
Illustrations données par la Cnil de formulaires non conformes utilisés par les courtiers en données (à titre d’exemples)
Selon la formation restreinte de la Cnil, en l’espèce, la mise en valeur des boutons entraînant l’utilisation de ses données à des fins de prospection commerciale (par leur taille, leur couleur, leur intitulé et leur emplacement), comparée aux liens hypertextes permettant de participer au jeu sans accepter cette utilisation (d’une taille nettement inférieure et se confondant avec le corps du texte) pousse fortement l’utilisateur à accepter.
En effet, l’aperçu global des interfaces met particulièrement en valeur les boutons de type « JE PARTICIPE » ou « JE VALIDE » qui, par leur taille – nettement supérieure au reste des mentions – et leur couleur – qui tranche avec le fond utilisé –, se distinguent des autres informations délivrées.
La formation restreinte note par ailleurs que certains des formulaires mis en œuvre par des éditeurs de jeux-concours en ligne primo-collectants font figurer non pas un seul bouton, mais deux boutons dont l’un intitulé « JE VALIDE » et l’autre intitulé « JE REFUSE ». Or, si les informations figurant au-dessus du bouton « JE VALIDE » précisent bien qu’en cliquant sur ce bouton, l’utilisateur accepte que ses données soient transmises à des partenaires à des fins de prospection commerciale, il apparait en revanche que cet utilisateur n’est pas mis en mesure de comprendre les conséquences d’un clic sur le bouton « JE REFUSE ».
Par ailleurs, la société SOMS n’a pas été en mesure de fournir à la Cnil la preuve du consentement des personnes dont les données lui ont été transmises par l’un de ses principaux fournisseurs. La Cnil n’a ainsi pas pu examiner les formulaires de collecte mis en œuvre par ce fournisseur et, donc, la validité du consentement des personnes concernées. En outre, après avoir constaté que son partenaire n’était pas en capacité de lui fournir cette preuve, la société SOMS a attendu près de 17 mois pour cesser d’utiliser les données transmises.
Par conséquent, dans la mesure où les formulaires mis en œuvre par les primo-collectants examinés par la Cnil ne permettaient pas de recueillir un consentement valide, et où la société SOMS ne pouvait pas démontrer la preuve du recueil valable du consentement par l’ensemble desdits primo-collectants (et ce malgré des clauses contractuelles avec ces derniers leur imposant le recueil d’un tel consentement), la formation restreinte a considéré qu’un manquement à l’obligation de recueillir le consentement des personnes concernées à recevoir de la prospection commerciale par voie électronique était caractérisé.
3. Sur le défaut de base légale pour la transmission de données de prospects à des partenaires afin qu’ils réalisent eux-mêmes de la prospection par voie postale ou par téléphone
La formation restreinte a indiqué devoir traiter ce manquement selon la provenance des données.
En effet, la société SOLOCAL ayant indiqué que les données transmises à ses partenaires proviennent soit d’un opérateur téléphonique et éditeur d’annuaire, soit d’éditeurs de jeux-concours en ligne, il convenait donc de dissocier les deux situations.
La formation restreinte rejette tout d’abord le grief concernant les données provenant de l’opérateur téléphonique et éditeur d’annuaire pour lesquelles une base légale est existante pour la transmission de données, bien qu’elle précise que cela ne valide pas pour autant les conditions d’information des personnes sur les transmissions successives de leurs données à divers partenaires.
En revanche, concernant les données provenant des autres fournisseurs (collectant de telles données via des jeux-concours en ligne), pour la transmission desquelles la société SOMS souhaita se prévaloir du fondement de l’intérêt légitime, la formation restreinte relève qu’aucune information n’était délivrée quant à une éventuelle retransmission desdites données par la société SOMS à d’autres organismes. La formation restreinte ne conteste pas que l’information à fournir puisse se limiter à des catégories de destinataires lorsqu’il n’est pas possible de faire autrement mais elle estime néanmoins indispensable que l’information fournie permette aux personnes d’apprécier les conséquences de leur choix quant à cette transmission, en les informant de l’étendue de celle-ci, ce qui n’apparaissait pas être le cas en l’espèce et ne permettait donc pas de caractériser l’intérêt légitime de la société SOMS à un tel traitement de données.
Dès lors, la formation restreinte de la Cnil a considéré que le traitement visé ne disposait pas de base légale, ce qui constitue un manquement à l’article 6 du RGPD.
* *
*
Considérant la négligence de la société dont les manquements concernent les principes de base d’un traitement de données à caractère personnel et affectent un volume de données équivalent à la moitié de la population française, et tenant compte de la position historique de la société sur le marché ainsi que l’avantage financier tiré par cette dernière, la formation restreinte prononce une sanction représentant environ 1 % du chiffre d’affaires de la société, soit une amende administrative de 900 000 euros.
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.
* *
*
AGIL’IT se tient à votre disposition pour vous accompagner dans le cadre de la mise et/ou du maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel ou encore en matière de prospection (ex: revue et négociation des documents contractuels à conclure avec vos partenaires, analyse de conformité des traitements de données à caractère personnel ayant vocation à être mis en œuvre, audit des formulaires de collecte et du process de transmission des données le cas échéant,…).
Par AGIL’IT – Pôle IT, Data & Cyber
Laure LANDES-GRONOWSKI, Avocate associée
[1] Dans cette affaire, cette décision de la formation restreinte de la Cnil a fait l’objet d’un recours devant le Conseil d’Etat qui a décidé, le 5 mai 2025, de renvoyer les questions suivantes à la CJUE afin de clarifier certains points :
- en cas de recueil d’un consentement à des fins de prospection par des tiers, ces derniers doivent-ils tous être nommément désignés afin que le consentement soit informé et donc valide ?
- dans l’hypothèse où il conviendrait de retenir que le consentement, donné par la personne concernée, à un primo-collectant, à ce que ses données soient utilisées par une catégorie de destinataires pour réaliser de la prospection commerciale par voie électronique peut être considéré comme un consentement éclairé, le degré de précision de la notion de “catégorie” de destinataires revêt-il une importance ou celle-ci peut-elle, se contenter de renvoyer à tout “partenaire” du primo-collectant ?
