Le 15 mai 2025, la formation restreinte de la Cnil a sanctionné la société CALOGA d’une amende administrative de 80 000 € à son encontre, pour avoir démarché des prospects sans leur consentement et transmis leurs données à des partenaires sans base légale valable, considérant que la société avait manqué aux obligations prévues par le Code des postes et des communications électroniques (CPCE) et par le règlement général sur la protection des données (RGPD) en matière de prospection par voie électronique.
Ainsi que nous l’avions déjà évoqué dans notre article du 28 mai 2025 concernant la société SOLOCAL MARKETING SERVICES, dans notre article du 10 mars 2024 concernant la société Foriou ou encore dans notre article du 10 avril 2024 concernant la société Hubside.Store, il est crucial de prendre des précautions spécifiques en cas de recours, pour l’achat de bases de données, à des courtiers en données (“data brokers”), en vue de leur réutilisation à des fins de prospection commerciale.
Pour rappel, les règles à suivre dans ce domaine sont exposées ici sur le site de la Cnil. Il convient par ailleurs de souligner que la prospection commerciale, englobant de telles pratiques, avait été identifiée comme l’une des priorités de contrôle de la Cnil en 2022 (cf. année des contrôles effectués par la Cnil auprès de la société CALOGA), et que cette thématique avait déjà antérieurement donné lieu à de nombreuses sanctions de la formation restreinte de la Cnil en 2023 telles que celles prises à l’encontre de Canal + et de TagadaMedia.
Dans cette affaire, la Cnil rappelle que la société CALOGA procède à la vente de produits de marketing direct, laquelle recouvre deux types de prestations :
- d’une part, la société réalise des opérations de prospection par voie électronique (cf. envoi de courriers électroniques et de SMS) à destination de prospects, au bénéfice de ses clients ;
- d’autre part, la société transmet à ses clients des données de prospects, afin de permettre à ceux-ci de réaliser eux-mêmes des opérations de prospection par voie électronique.
L’ensemble de ces opérations est réalisé à partir de diverses bases de données de contacts constituées par la société CALOGA au moyen de données transmises et mises à jour régulièrement par plusieurs fournisseurs de données (ou « data brokers », également désignés « primo-collectants » dans la mesure où ces acteurs sont les premiers maillons de la chaîne et à l’origine de la collecte des données des prospects,).
* *
*
1. A titre liminaire, l’analyse de la responsabilité de la société CALOGA s’agissant des traitements concernés
Après avoir relevé que :
- dans l’écosystème de la prospection commerciale, la qualité à conférer aux différents acteurs de la chaîne en matière de responsabilité de traitement – à savoir l’annonceur pour le compte duquel la prospection électronique est adressée et l’intermédiaire intervenant entre lui et le primo-collectant, qui peut notamment être chargé de l’envoi des messages de prospection électronique pour l’annonceur – dépend d’un certain nombre de paramètres (comme par exemple la propriété de la base de données, ses modalités de constitution et de gestion, les choix opérés en matière de segmentation ou encore le degré et la précision des instructions données par l’annonceur) ; et que
- ces attributions et répartitions des responsabilités entre les différents acteurs peuvent varier en fonction des rôles et des actions menées par chacun, selon les cas d’espèce, devant par conséquent faire l’objet d’une analyse au cas par cas ;
la formation restreinte a considéré que la société CALOGA était responsable de traitement pour :
- la constitution de ses quatre bases de données de contacts dès lors qu’elle utilise les données à caractère personnel des internautes ayant accepté de rejoindre sa base pour mettre en œuvre des traitements dont elle a défini les finalités et les moyens, et qu’elle démarche les prospects présents dans ses bases de données en choisissant elle-même les segments qui seront démarchés ;
- les activités de prospection par voie électronique effectuées à partir des données contenues dans les bases au bénéfice de ses clients annonceurs en ce que les opérations sont réalisées à partir des données de la base de données constituée par CALOGA, données auxquelles les clients annonceurs n’ont d’ailleurs pas accès (nonobstant l’éventuelle responsabilité conjointe desdits clients et à l’exclusion de cas où la société CALOGA n’agirait qu’en qualité de sous-traitant) ;
- la transmission de données de prospects à des annonceurs à des fins d’utilisation par ces derniers pour la réalisation d’opérations de prospection par voie électronique, car elle réalise la transmission des données de prospects présents au sein des bases de données qu’elle a constituées.
2. Sur le manquement par la société CALOGA à l’obligation de recueillir le consentement des personnes concernées pour la mise en œuvre de prospection par voie électronique au bénéfice de clients annonceurs
Pour mémoire, en vertu de l’article 6 du RGPD et de l’article L.34-5 du Code des postes et des communications électroniques, les actions de prospection par voie électronique (cf. email ou sms) à l’attention de particuliers ne peuvent être réalisées qu’après avoir obtenu le consentement du destinataire de ces prospections (consentement qui doit être univoque, spécifique, libre et informé). A cet égard, la formation restreinte de la Cnil rappelle que lorsque les données des prospects n’ont pas été collectées directement auprès d’eux par le responsable du traitement ayant pour finalité la réalisation des opérations de prospection, ce consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte du responsable de traitement qui doit s’assurer de la validité et de la preuve dudit consentement.
En l’espèce, la société CALOGA procède à des campagnes de prospection par voie électronique au bénéfice de ses clients annonceurs. Ses opérations de prospections commerciales sont réalisées à partir de fichiers de prospects achetés auprès de plusieurs courtiers en données, collectant les données par l’intermédiaire de formulaires de participation à des jeux de concours en ligne et de tests de produits (les primo-collectants).
En tant que responsable des opérations de prospection par voie électronique qu’elle réalise, la société CALOGA doit s’assurer que le consentement des personnes concernées à recevoir de telles prospections a été valablement obtenu. Si elle a fait le choix de ne pas recueillir elle-même ce consentement et de se prévaloir de celui recueilli par ses partenaires, il lui appartient en tout état de cause de garantir la licéité de ces opérations de prospection en s’assurant de la validité du consentement recueilli par les primo-collectants dont elle entend se prévaloir.
A cet égard, la formation restreinte considère que l’apparence trompeuse des formulaires dont elle a pu avoir connaissance mis en œuvre par les courtiers en données pour la collecte des données et le recueil du consentement ne permet pas de recueillir un consentement valable, qui permettrait de fonder les opérations de prospection réalisées par la société CALOGA.
Illustrations données par la Cnil de formulaires non conformes utilisés par les courtiers en données (à titre d’exemples)
Selon la formation restreinte de la Cnil, en l’espèce, la mise en valeur des boutons entraînant l’utilisation de ses données à des fins de prospection commerciale (par leur taille, leur couleur, leur intitulé et leur emplacement), comparée aux liens hypertextes permettant de participer au jeu sans accepter cette utilisation (d’une taille nettement inférieure et se confondant avec le corps du texte) pousse fortement l’utilisateur à accepter.
En effet, l’aperçu global des interfaces met particulièrement en valeur les boutons de type « CONTINUER » ou « VALIDER MA PARTICIPATION » qui, par leur taille – nettement supérieure au reste des mentions – et leur couleur – qui tranche avec le fond utilisé –, se distinguent des autres informations délivrées.
Par conséquent, dans la mesure où les formulaires mis en œuvre par les primo-collectants examinés par la Cnil ne permettaient pas de recueillir un consentement valide, la formation restreinte a considéré qu’un manquement à l’obligation de recueillir le consentement des personnes concernées à recevoir de la prospection par voie électronique était caractérisé.
3. Sur le manquement à l’obligation de permettre le retrait du consentement aussi simplement qu’il est possible de le donner
La formation restreinte a constaté que les personnes concernées n’avaient pas la possibilité de se désinscrire en un seul clic de l’ensemble des bases de données de la société CALOGA auxquelles elles s’étaient pourtant inscrites en un clic.
Elle a ainsi rappelé que le CPCE impose, en cas de réalisation d’opérations de prospection directe qui nécessitent le consentement du destinataire, de prévoir le droit de la personne concernée à retirer son consentement aussi facilement qu’elle l’a donné.
En l’espèce, en ce qu’un prospect peut être inscrit dans une ou plusieurs bases de données de la société CALOGA en un seul clic, il devrait pouvoir être désinscrit de toutes ces bases en un seul clic également. Cependant, selon le processus établi par CALOGA, lorsqu’il souhaite retirer son consentement à recevoir des offres d’annonceurs adressées par la société CALOGA et issues des différentes bases auxquelles il est inscrit, il doit faire une demande spécifique de désinscription pour toutes les bases de données de la société dans lesquelles il est inscrit, ce qui nécessite plusieurs démarches et clics sur différents liens de désinscription contenus dans les courriels distincts de prospection ou d’envoyer un courriel à une adresse dédiée. Il n’était donc pas aussi facile pour un prospect de retirer son consentement que de le donner. De plus, la formation restreinte retient que la société CALOGA a intitulé une de ses quatre bases de données (ou marques) « CALOGA », ce qui porte à confusion puisque le prospect, en cliquant sur le lien de désinscription intitulé « ne plus recevoir aucune offre des annonceurs de CALOGA », pouvait légitimement penser que sa demande valait pour se désinscrire de toutes les bases de données de la société.
La formation restreinte a considéré que cette procédure n’était pas conforme à l’obligation imposée par l’article 7 du RGPD de laisser aux personnes concernées la possibilité de retirer leur consentement aussi facilement qu’elles l’ont donné.
4. Sur le manquement à l’obligation de disposer de base légale pour la transmission de données de prospects à des partenaires afin qu’ils réalisent eux-mêmes de la prospection par voie électronique
La société CALOGA considérait que les partenaires à qui elle transmettait des données de prospects agissaient en qualité de responsables de traitement et qu’elle n’était que « simple » sous-traitant, ce dont il résultait qu’elle n’avait pas à s’assurer de disposer du consentement des prospects à recevoir de la prospection par voie électronique pour transmettre les données de ces derniers à ses partenaires.
La formation restreinte considère cependant que la société CALOGA doit être considérée comme responsable du traitement et rappelle que l’organisme qui transmet des données à des tiers dans un objectif de prospection par voie électronique par ces tiers doit recueillir le consentement des personnes concernées. La formation restreinte rappelle également que l’intérêt légitime ne peut en l’espèce fonder le traitement de transmission des données car ces dernières sont transmises pour servir uniquement à des opérations pour lesquelles le droit applicable exige un consentement.
Or, la société CALOGA ne disposait pas d’un consentement valable de la part des personnes concernées.
Dès lors, la formation restreinte de la Cnil a considéré que le traitement visé ne disposait pas de base légale, ce qui constitue un manquement à l’article 6 du RGPD.
5. Sur le manquement à l’obligation de ne conserver les données que pour une durée proportionnée à la finalité poursuivie
Pour rappel, en vertu de l’article 5 du RGPD, les données personnelles doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Une fois cette finalité atteinte, les données doivent être supprimées, anonymisées ou faire l’objet d’un archivage intermédiaire.
La formation restreinte rappelle, dans sa délibération à l’encontre de la société CALOGA, les recommandations de la Cnil en la matière (cf. référentiel « gestion commerciale ») et notamment que les données à caractère personnel relatives à un prospect non-client ne peuvent être conservées que pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect.
La société CALOGA conservait les données pendant une durée de 4 ans sans procéder à un tri ou un archivage intermédiaire des données alors que les prospects étaient considérés comme inactifs passé un délai d’un an sans interaction. De plus, la société considérait que l’ouverture d’un courriel constituait une interaction du prospect pour définir le point de départ de la durée de conservation, ce qui est contraire à la doctrine de la Cnil.
Par conséquent, la formation restreinte a considéré que cette durée de conservation excessive et incontrôlée des données constituait un manquement au RGPD.
* *
*
Considérant les nombreux manquements susvisés de la part de la société CALOGA à ses obligations résultant notamment du RGPD, la formation restreinte prononce à l’encontre de cette dernière une amende administrative de 80 000 euros.
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.
* *
*
AGIL’IT se tient à votre disposition pour vous accompagner dans le cadre de la mise et/ou du maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel ou encore en matière de prospection (ex: revue et négociation des documents contractuels à conclure avec vos partenaires, analyse de conformité des traitements de données à caractère personnel ayant vocation à être mis en œuvre, audit des formulaires de collecte et du process de transmission des données le cas échéant,…).
Par AGIL’IT – Pôle IT, Data & Cyber
Laure LANDES-GRONOWSKI, Avocate associée
