Prospection commerciale : le recours à des courtiers en données n’exonère pas le démarcheur de sa responsabilité !

Le 31 janvier 2024, la formation restreinte de la Cnil a sanctionné la société FORIOU, en prononçant une amende administrative de 310 000 € à son encontre, au titre de divers manquements au RGPD, dont notamment la négligence dont la société a fait preuve lors de la réutilisation de données. En effet, la formation restreinte de la Cnil relève que la société n’a pas vérifié, avant de procéder à des campagnes de démarchage téléphonique, que les données achetées auprès de courtiers en données, avait été collectées de façon à garantir une base légale pour le traitement par ses soins desdites données à des fins de prospection par voie téléphonique.

 

Il est crucial de prendre des précautions spécifiques en cas de recours, pour l’achat de bases de données, à des courtiers en données (“data brokers”), en vue de leur réutilisation à des fins de prospection commerciale. Pour rappel, les règles à suivre dans ce domaine sont exposées ici sur le site de la Cnil. Il convient par ailleurs de souligner que la prospection commerciale, englobant de telles pratiques, a été identifiée comme l’une des priorités de contrôle de la Cnil en 2022, et que cette thématique a déjà donné lieu à de nombreuses sanctions de la formation restreinte de la Cnil en 2023 telles que celles prises à l’encontre de Canal + et de Tagada Media.

 

Dans cette décision à l’encontre de la société FORIOU, la formation restreinte de la Cnil sanctionne directement le ré-utilisateur de données provenant de courtiers en données sur le fondement d’un manquement à l’obligation de traiter les données de manière “licite” (cf. absence de base légale permettant à la société FORIOU de mettre en œuvre le traitement visant à des opérations de démarchage téléphonique).

 

*          *

*

 

La formation restreinte de la Cnil rappelle qu’en vertu de l’article 6 du RGPD, les actions de prospection commerciale par appel téléphonique ne peuvent être réalisées que sur la base légale de l’intérêt légitime de la société ou sur celle du consentement.

En l’espèce, la société FORIOU procède à des campagnes de démarchages téléphoniques pour promouvoir les programmes et carte de fidélité qu’elle commercialise. Ses opérations de prospections commerciales sont réalisées à partir de fichiers de prospects achetés auprès de plusieurs courtiers en données, collectant les données par l’intermédiaire de formulaire de participation à des jeux de concours en ligne et de tests de produits.

Toutefois, la formation restreinte de la Cnil précise que la société n’a pas identifié clairement la base légale sur laquelle elle se fondait pour procéder à ce type de traitements.  Elle a donc analysé successivement les deux types de bases légales susceptibles d’être applicables.

 

1. Sur la base légale de la poursuite des intérêts légitimes

 

La formation restreinte de la Cnil rappelle que, si la prospection commerciale par voie téléphonique peut être réalisée sur la base de l’intérêt légitime de la société, cette dernière doit s’assurer que le traitement ne heurte pas les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables. A cette fin, elle doit notamment s’assurer qu’elle est mentionnée, sur les formulaires de collecte de données, parmi les sociétés pouvant être destinataires desdites données.

En l’espèce, la société FORIOU se prévaut des engagements contractuels fournis par les courtiers en données à qui elle a recours, qui prévoient que la société doit être mentionnée, sur les formulaires de collecte de données, parmi les destinataires des données, et ajoute qu’elle procède à des contrôles réguliers relatifs à la conformité desdits formulaires de collecte de données et des fichiers livrés. Elle soutient donc qu’elle peut se prévaloir de la base légale de l’intérêt légitime pour effectuer ses opérations de démarchage téléphonique, et qu’elle ne peut être tenue responsable de l’absence de mention de sa dénomination parmi les destinataires des données sur les formulaires de collecte utilisés par les courtiers en données.

Toutefois, la formation restreinte de la Cnil rappelle qu’il appartenant à la société FORIOU, en sa qualité de responsable de traitement, de vérifier elle-même si les conditions lui permettant de réaliser des opérations de prospection commerciale étaient respectées, et que le fait d’avoir obtenu de la part des courtiers des engagements contractuels en ce sens ne l’exonérait pas de procéder à des audits et à des vérifications à ces fins (voir également en ce sens la sanction rendue à l’encontre de la société EDF par la formation restreinte de la Cnil qui avait considéré qu’un engagement contractuel de la part de son courtier en données de respecter le RGPD, et plus généralement les dispositions applicables en matière de traitements de données à caractère personnel, n’était pas une mesure suffisante pour que cet organisme soit exonéré de sa responsabilité).

La formation restreinte de la Cnil considère donc que la société ne peut pas se fonder sur la base légale de l’intérêt légitime puisque cette dernière n’est pas systématiquement mentionnée, sur les formulaires de collecte de données utilisés par les courtiers auxquels elle a recourt, dans la liste des partenaires susceptibles de démarcher ultérieurement par téléphone les personnes concernées. De ce fait, ces personnes ne peuvent légitimement s’attendre à recevoir des offres commerciales de la part de la société FORIOU.

La formation restreinte considère en effet que, dans ces conditions, la protection des intérêts des personnes concernées prime sur les intérêts légitimes de la société et que cette dernière ne peut alors pas se prévaloir de cette base légale. 

 

2. Sur la base légale du consentement

 

La formation restreinte de la Cnil vérifie ensuite si la société FORIOU peut se fonder, pour son traitement de démarchage téléphonique, sur la base légale du consentement des personnes concernées.

A cet égard, elle relève que les courtiers en données auxquels la société fait appel collectent des données par l’intermédiaire de formulaires, dont la conception ne permet pas aux utilisateurs de manifester clairement leur consentement et les incite fortement à accepter la transmission de leurs données.

La société, quant à elle, soutient que même si les manquements existent, ils ne sont représentatifs ni d’une volonté de méconnaitre ses obligations, ni d’une pratique généralisée.

 

S’agissant de l’élément intentionnel du manquement, la formation restreinte de la Cnil indique que cet élément peut être pris en compte pour ce qui concerne la détermination de la sanction encourue (et notamment pour ce qui concerne le montant de l’amende administrative pouvant être prononcée) mais qu’il est sans incidence sur la caractérisation du manquement, ce dernier pouvant résulter d’une négligence.

 

S’agissant de l’élément matériel, c’est-à-dire des formulaires de collecte des données, la formation restreinte de la Cnil considère que l’apparence trompeuse de ces formulaires ne permet pas de recueillir un consentement libre et univoque, conforme aux exigences du RGPD, qui permettrait de fonder les opérations de prospection de la société.

 

Exemples de formulaires :

courtiers démarchage téléphonique 1

courtiers démarchage téléphonique 2

En effet, la formation restreinte relève que, sur ces formulaires, l’utilisateur peut soit cliquer sur un bouton permettant à la fois de valider sa participation au jeu et d’accepter que ses données soient utilisées pour lui envoyer les offres des partenaires de la société à l’origine de la collecte des données, soit cliquer sur un lien de type « Cliquez ici » ou « Voir ici » lui permettant de continuer (c’est-à-dire de valider le formulaire) mais sans recevoir les offres des partenaires.

En outre, s’agissant de l’aperçu global des interfaces, la formation restreinte de la Cnil précise, s’agissant des boutons “JE VALIDE” , “VALIDER” ou encore “JE REPONDS AUX QUESTIONS POUR POSTULER”, que :

  • ces boutons se distinguent des autres informations délivrées par leur taille et leur couleur ;
  • l’intitulé de ces bouton évoque davantage la conclusion du parcours plutôt qu’une transmission de données à des partenaires ;
  • leur emplacement donne l’impression qu’ils doivent obligatoirement être cliqués pour terminer l’inscription et participer au jeu-concours ;
  • le lien permettant de participer au jeu sans accepter la transmission de données et la réception d’offres de partenaires est présenté dans le corps du texte, d’une taille nettement inférieure et sans mise en valeur particulière.

 

Par conséquent, la formation restreinte de la Cnil considère que l’apparence trompeuse de ces formulaires rend impossible le recueil d’un consentement conforme aux exigences du RGPD et est dépourvu de caractère libre et univoque. Elle ajoute que la proportion de fichiers non conformes parmi ceux examinés de manière aléatoire (soit 4 fichiers non conformes sur 7), démontre l’insuffisance des mesures prises par la société pour s’assurer de la validité du consentement donné par les personnes concernées.

Enfin, la formation restreinte rappelle également que le consentement peut être recueilli directement au moment de la collecte initiale des données par le courtier, pour le compte de l’organisme qui réalisera les opérations de prospection commerciale, mais qu’a défaut il convient à l’organisme destinataire des données et souhaitant les réutiliser à des fins de prospection, de recueillir lui-même un tel consentement, ce que la société FORIOU n’a pas fait.

 

La formation restreinte de la Cnil en conclut donc que la société FORIOU a réalisé des opérations de démarchage téléphonique en l’absence de base légale, et qu’un manquement à l’article 6 du RGPD est constitué. 

 

*            *

*

 

Malgré le caractère non intentionnel de la violation du RGPD de la société FORIOU, la sanction prononcée par la formation restreinte de la Cnil dans cette affaire n’est pas négligeable et représente environ 1 % du chiffre d’affaires de la société soit 310 000 euros.

 

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

 

*            *

*

 

AGIL’IT se tient à votre disposition pour vous accompagner dans le cadre de la mise et/ou du maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel ou encore en matière de prospection (ex: revue et négociation des documents contractuels à conclure avec vos partenaires, analyse de conformité des traitements de données à caractère personnel ayant vocation à être mis en œuvre, audit des formulaires de collecte et du process de transmission des données le cas échéant,…).

 

 

Par AGIL’IT – Pôle ITData & Cyber

Laure LANDES-GRONOWSKI, Avocate associée