Les pratiques de transmission ou de revente de données par des courtiers en données (ou “data brokers”) à des partenaires, afin que ces derniers puissent les réutiliser à des fins de prospection commerciale, doit faire l’objet de précautions particulières. Pour mémoire, les règles à respecter en la matière sont présentées ici sur le site de la Cnil. D’ailleurs, la prospection commerciale, en ce incluant de telles pratiques, figurait parmi les thématiques prioritaires de contrôle de la Commission nationale de l’informatique et des libertés (cf. la “Cnil”) en 2022.
Dans ce contexte, la Cnil a décidé de contrôler la société TAGADAMEDIA, dont le cœur d’activités est d’exploiter des sites internet de jeux-concours et de tests de produits, par l’intermédiaire desquels elle collecte des données de prospects. Ces données sont ensuite transmises à des partenaires annonceurs effectuant des opérations de prospection commerciale. Par une délibération rendue le 29 décembre 2023, la formation restreinte de la Cnil a condamné TAGADAMEDIA à une amende administrative de 75 000 € au titre des différents manquements présentés ci-après.
1. Manquements relatifs à l’obligation de recueillir le consentement des prospects à la transmission de leurs données à des fins de prospection par des partenaires
La Cnil constate que la société TAGADAMEDIA collectait des données de prospects par l’intermédiaire de formulaires de participation à des jeux-concours en ligne. Ces données étaient ensuite transmises à des partenaires de la société TAGADAMEDIA, ces derniers utilisant ces données pour réaliser des opérations de prospection commerciale par voie postale, par téléphone, ou encore par courrier électronique.
A titre liminaire, il est rappelé que, si la prospection commerciale par courrier électronique est par principe soumise au recueil préalable du consentement des personnes concernées, lorsqu’un organisme souhaite transmettre des données à caractère personnel afin que ses partenaires puissent réaliser de la prospection commerciale par courrier postal ou par appel téléphonique (hors automate d’appel), la transmission des données peut en principe être fondée sur l’intérêt légitime de l’organisme qui les transmet. Dans un tel cas, les personnes concernées doivent être informées et mises en mesure de s’opposer de manière simple et gratuite à la transmission de leurs données, mais un consentement n’est pas nécessaire (cf. la page de la Cnil concernant la transmission de données à des partenaires).
Toutefois, en l’espèce, la Cnil précise que “aussi bien la politique de protection des données, accessible via les sites web, que le registre des activités de traitement de la société [TAGADAMEDIA], prévoient que la base légale de la transmission des données de prospects à des fins de prospection par voie électronique, téléphonique ou postale est le consentement“. Aussi, la société TAGADAMEDIA a fait le choix de fonder cette transmission des données de prospects (recueillies par l’intermédiaire de formulaires de participation à des jeux-concours en ligne) à des partenaires sur le consentement, et ce quel que soit le support ou canal utilisé pour la prospection par les partenaires (courrier électronique, téléphone ou courrier postal), ce dont il résulte qu’elle devait donc recueillir un tel consentement pour chacun de ces supports ou canaux.
Or, la Cnil relève que, si le fait de ne pas consentir à la transmission de ses données permettait bien à l’utilisateur d’empêcher la transmission de son adresse électronique, en revanche, malgré l’absence de consentement, l’adresse postale ou le numéro de téléphone de prospects a pu être transmis par la société TAGADAMEDIA à des partenaires à des fins d’opérations techniques et de qualification et ont été utilisées, dans certains cas, à des fins de prospection. Or, “lorsqu’un prospect ne consent pas à la transmission de ses données aux partenaires de la société [TAGADAMEDIA], celle-ci n’est pas autorisée à les transmettre, y compris à des fins de réalisation d’opérations techniques et de qualification” (ces opérations participant, selon la formation restreinte de la Cnil, à la réalisation des opérations de prospection commerciale des partenaires), ce dont il résulte qu’une telle transmission doit être considérée comme illicite.
En outre, aux termes d’une analyse détaillée des formulaires de collecte de données utilisés, la Cnil relève que le consentement à une telle transmission des données n’a pas été obtenu de manière valable par la société TAGADAMEDIA dans la mesure où il n’était pas suffisamment éclairé et libre (cf. information insuffisante) et où les prospects étaient incités fortement à donner leur consentement (cf. design trompeur ou “dark pattern”). Les reproductions approximatives par la Cnil des formulaires de collecte utilisés par TAGADAMEDIA, qui figurent dans le communiqué accompagnant la publication de cette sanction à l’encontre de la société TAGADAMEDIA, sont particulièrement éclairantes pour mieux comprendre et visualiser les manquements reprochés.
A cet égard, les formulaires utilisés initialement par la société TAGADAMEDIA étaient les suivants :
Pour la Cnil, s’agissant du premier formulaire comportant un unique bouton “Je valide” (qui était “sur fond vert avec une flèche“), celui-ci est particulièrement mis en évidence par rapport au lien par lequel le participant pouvait refuser d’y consentir qui figure dans le “texte inscrit en caractères d’une taille nettement inférieure à celle utilisée pour les boutons“.
La Cnil considère que ce formulaire ne permet pas aux personnes concernées d’exprimer de manière valable un choix reflétant leurs préférences en matière de transmission de données à des fins de prospection commerciale. Elle précise que “L’aperçu global de l’interface met particulièrement en valeur le bouton ” JE VALIDE ” qui, par sa taille et sa couleur se distingue des autres informations délivrées. De même, son intitulé évoque davantage la conclusion du parcours utilisateur qu’une transmission de données à des partenaires. Enfin, son emplacement et l’usage du verbe valider donnent l’impression de devoir obligatoirement être cliqué pour terminer l’inscription et participer au jeu-concours. A contrario, le lien hypertexte permettant de participer au jeu sans accepter la transmission de ses données est présenté dans le corps du texte, en caractères d’une taille nettement inférieure à celle utilisée pour les boutons et sans mise en valeur particulière, de sorte qu’il n’apparait pas intuitif qu’il est possible de participer sans cliquer sur le bouton ” JE VALIDE “ et donc sans transmettre ses données à des tiers à des fins de prospection. Le consentement recueilli est donc privé de son caractère univoque et libre“.
S’agissant du second formulaire, la Cnil relève qu’il comporte deux boutons, à savoir “un bouton ” JE VALIDE “, écrit en blanc sur fond rouge, et un bouton ” JE REFUSE “, écrit en noir sur fond gris et dont la taille de police est inférieure à celle du bouton” et que “Au-dessus de ces boutons, un texte inscrit en caractères d’une taille nettement inférieure à celle utilisée pour les boutons précise qu’en cliquant sur le bouton ” JE VALIDE “, l’utilisateur accepte que les données collectées soient utilisées pour lui envoyer les offres des partenaires de la société” mais qu’il n’est aucunement mentionné les conséquences du clic sur le bouton “JE REFUSE”.
Pour les mêmes raisons que pour le premier formulaire, la Cnil considère que ce second formulaire ne permet pas de recueillir un consentement univoque et libre de l’utilisateur et, qu’au surplus, “en l’absence de toute précision sur les conséquences liées au fait de cliquer sur le bouton ” JE REFUSE “, le recueil du consentement n’est pas éclairé“.
Les formulaires de collecte ainsi utilisés ont été ajustés comme suit par la société TAGADAMEDIA au cours de la procédure de contrôle, sans pour autant permettre de répondre aux exigences applicables permettant de recueillir un consentement valable :
Malgré les ajustements effectués par TAGADAMEDIA, la Cnil considère que, même si l’apparence des boutons est identique (libellé des boutons écrits en blanc sur un fond rouge), “les termes choisis incitent fortement les utilisateurs à cliquer en tout premier lieu sur ” J’ACCEPTE “ placé avant le bouton ” ÉTAPE SUIVANTE “” et que la terminologie du bouton “ETAPE SUIVANTE” laisse penser qu’il existe “un séquençage entre ces deux boutons, le premier constituant un préalable au second“.
Il en résulte un manquement, par la société TAGADAMEDIA, à son obligation de disposer d’une base légale pour les traitements mis en œuvre telle que résultant notamment de l’article 6 du RGPD.
Cette appréciation de la Cnil des modalités de recueil du consentement s’inscrit dans l’esprit de ses recommandations en matière d’utilisation de cookies concernant les modalités de recueil du consentement à l’utilisation de cookies, aux termes desquelles elle insiste notamment sur la nécessité de s’assurer que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre.
Elle y fait d’ailleurs référence dans sa décision de sanction à l’égard de la société TAGADAMEDIA et indique que ses travaux en matière de cookies “peuvent utilement servir à apprécier de manière plus générale les conditions de recueil d’un consentement libre, univoque, spécifique et éclairé, et servir de référence en matière de prospection commerciale lorsqu’elle est fondée sur le recueil du consentement” (cf. notamment les lignes directrices de la Cnil en matière de cookies et autres traceurs et sa recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux cookies et autres traceurs).
Cette décision est l’occasion de rappeler que la présentation et la terminologie employée sur les formulaires de collecte de données doit faire l’objet d’une vigilance accrue pour permettre le recueil d’un consentement valable et la licéité de la transmission des données ainsi collectées à des partenaires à des fins de prospection.
2. Manquements relatifs à l’obligation de mettre en œuvre un registre des activités de traitement
Lors de son contrôle, la Cnil constate que la société TAGADAMEDIA partage un registre des activités de traitement, pour des traitements relatifs aux ressources humaines ou aux activités de prospection, avec une autre société dont elle avait fait l’acquisition. Ce registre ne précise pas, pour les activités de ressources humaines ou de prospection, si c’est la société TAGADAMEDIA ou l’autre société qui agit en qualité de responsable de traitement.
Or, la Cnil considère que la société TAGADAMEDIA aurait dû, au regard du nombre de données traitées et de son activité, veiller au caractère exhaustif, précis et à jour de son registre des activités de traitement. Partant, un manquement à l’article 30 du RGPD imposant la tenue d’un registre des traitements est constitué.
3. Manquements relatifs à l’obligation d’assurer la sécurité des données à caractère personnel ?
En l’espèce, le rapporteur a relevé lors de son contrôle qu’ “il existe un seul compte administrateur de la base de données. Il est partagé par Monsieur […] et le directeur technique“, et a considéré que cette utilisation de comptes non individuels n’était pas conforme aux exigences en matière de sécurité. Toutefois, l’authentification et l’accès à la base données en question était effectuée en pratique via une connexion au VPN au moyen de clés d’authentification individuelles. Aussi, la Cnil considère, au regard du nombre restreint de personnes accédant au compte d’administration et de leur qualité, que ces mesures permettent d’imputer les accès et actions effectuées au sein de la base de données par un compte administrateur partagé en cas de nécessité.
Pour la Cnil, “compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques” […] la société TAGADAMEDIA “avait mis en œuvre les mesures techniques appropriées afin de garantir un niveau de sécurité adapté au risque“. Aussi, aucun manquement à l’obligation de sécurité des données à caractère personnel prévue à l’article 32 du RGPD n’est caractérisé.
* *
*
Au regard des différents manquements constatés, la formation restreinte de la Cnil prononce, à l’encontre de la société TAGADAMEDIA, une amende administrative d’un montant de 75 000 euros et décide de rendre publique sa décision.
Elle prononce également à l’encontre de la société TAGADAMEDIA une injonction de mettre en œuvre sur les sites qu’elle édite un formulaire de collecte des données de prospects permettant de recueillir un consentement libre, spécifique, éclairée et univoque quant à la transmission de leurs données à caractère personnel à des partenaires à des fins de prospection. Cette injonction est assortie d’une astreinte de 1 000 euros par jour de retard à l’issue d’un délai d’un mois suivant la notification de la délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte de la Cnil dans ce délai.
Malgré la coopération de la société TAGADAMEDIA et ses actions de mise en conformité au cours de la procédure de contrôle, la sanction prononcée par la Cnil dans cette affaire n’est pas négligeable puisqu’elle représente environ 1,6 % du chiffre d’affaires de la société TAGADAMEDIA. En outre, le montant de l’astreinte est particulièrement élevé.
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.
* *
*
AGIL’IT se tient à votre disposition pour vous accompagner dans le cadre de la mise et/ou du maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel ou encore en matière de prospection. Notamment, nous pouvons vous accompagner dans le cadre de la revue de vos formulaires de collecte de données et du process de transmission des données à des partenaires le cas échéant.
Par AGIL’IT – Pôle IT, Data & Cyber
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate manager