Par Haas Avocats
La société CALOGA, qui opère depuis 2000 dans la prospection commerciale électronique et le courtage en données, réalisait de la prospection en utilisant des bases de données collectées par des partenaires (primo-collectants) via des jeux-concours ou tests de produits.La délibération de la CNIL, adoptée le 15 mai 2025 et publiée le 27 mai 2025, met en évidence plusieurs manquements graves. L'instruction menée par la CNIL a révélé des manquements majeurs relatifs à la prospection commerciale électronique et au courtage en données. Ces manquements touchent des principes fondamentaux de la protection des données, y compris le consentement, la base légale des traitements et la limitation de la durée de conservation.
| MANQUEMENTS | DESCRIPTION |
| Manquement au recueil du consentement valable pour la prospection électronique[1]
|
La CNIL rappelle que la prospection directe par email sans consentement préalable du destinataire est interdite par le Code des postes et des communications électroniques (CPCE)[2]. Un consentement valable doit être une manifestation de volonté libre, spécifique, informée et univoque[3]. Or, elle a constaté qu’au moins 21 formulaires combinaient la validation de la participation au jeu et le consentement aux offres commerciales. Le design de ces formulaires était jugé trompeur[4], mettant en valeur les boutons de validation du jeu ("JE PARTICIPE", "VALIDER") et rendant le lien pour participer sans accepter les offres des partenaires moins visibles et moins intuitif. Bien que CALOGA ne crée pas ces formulaires, la CNIL a rappelé qu'en tant que responsable du traitement utilisant ces données pour ses propres campagnes, il lui incombait de s'assurer de la validité du consentement sur lequel elle se fondait. CALOGA effectuait des vérifications, mais pas assez fréquemment, et surtout, elle n'a pas tiré les conséquences des non-conformités constatées, continuant d'utiliser les données collectées via des formulaires non conformes. |
| Manquement à la base légale[5] pour la transmission des données à des tiers |
En tant que courtier en données, CALOGA transmettait régulièrement des données de prospects actifs à d'autres partenaires. Or, la CNIL a rappelé que, pour la transmission de données à des tiers à des fins de prospection électronique, la transmission elle-même doit reposer sur la base légale du consentement. Le référentiel CNIL sur la gestion commerciale confirme cette position, justifiée par la nature intrusive de la prospection et le principe de parallélisme des finalités. CALOGA soutenait que ses partenaires étaient des sous-traitants ou que la transmission relevait de son intérêt légitime. La CNIL a rejeté cet argument, considérant les partenaires destinataires comme des responsables de traitement distincts. Ainsi, CALOGA aurait dû obtenir le consentement spécifique des prospects pour cette transmission à des tiers à des fins de prospection. |
| Manquement à la limitation de la durée de conservation[6] |
Ce principe impose de conserver les données pour une durée n'excédant pas celle nécessaire à la finalité du traitement. Or, CALOGA appliquait une durée de conservation de 12 mois après la "dernière action" (incluant l'ouverture d'un email) pour considérer un prospect comme "actif". Après 12 mois sans interaction, les données étaient considérées "inactives" mais conservées en base active pendant quatre années supplémentaires à des fins "probatoires". Cette pratique a conduit à conserver en base active les données de plus de 13,5 millions d'adresses email collectées ou inactives depuis plus de trois ans. La CNIL a jugé que conserver les données de prospects "inactifs" pendant quatre ans en base active, sans les trier ni les archiver avec des accès restreints, constitue un manquement au principe de limitation de la durée de conservation. Les justifications de CALOGA (contraintes FAI, délais de prescription) ont été écartées. |
La CNIL a choisi d'imposer une amende administrative et de rendre publique sa délibération. La décision d'imposer une amende est justifiée par plusieurs critères[7]. Les manquements sont considérés comme particulièrement graves, car ils portent atteinte aux principes fondamentaux de la protection des données et du traitement licite (absence de consentement valable, durée de conservation excessive). L'étendue du traitement est significative, touchant un nombre très élevé de personnes (plus de 2,8 millions de prospects en base, 6 millions de messages envoyés en 2022), et le caractère systémique des manquements liés au consentement (sur de nombreux formulaires) accentue la gravité.
Le caractère des violations est jugé comme "fortement négligent". Les règles sur la prospection et le consentement étaient établies depuis longtemps, et malgré des procédures de vérification, CALOGA n'a pas pris les mesures correctrices nécessaires et a continué d'exploiter les données illégalement collectées.
D'autres circonstances pertinentes ont été prises en compte, notamment l'avantage financier certain tiré des violations (rémunération pour la fourniture de données). Cependant, la CNIL a également considéré que la société avait cessé son activité et a pris en compte sa situation financière difficile (résultats déficitaires en 2023 et 2024).
Au vu de l'ensemble de ces éléments, la CNIL a estimé qu'une amende de 80 000 euros était justifiée. Concernant la publicité de la sanction, la CNIL la juge nécessaire et proportionnée. Elle se justifie par la gravité des manquements, la position de CALOGA sur le marché et le nombre important de personnes concernées. L'objectif est d'informer les personnes dont les données ont été traitées illégalement et les partenaires commerciaux, afin que les personnes puissent faire valoir leurs droits. La mesure est proportionnée car la décision sera anonymisée après un délai de deux ans à compter de sa publication.
Cette décision de la CNIL à l’encontre de CALOGA illustre la fermeté croissante des autorités de régulation face aux pratiques abusives en matière de traitement des données personnelles.
Elle souligne l’importance, pour tous les acteurs du numérique, de veiller rigoureusement au respect des principes de consentement, de transparence et de limitation de la conservation des données.
Si cette affaire marque un tournant pour les courtiers en données, elle soulève également une question plus large : dans un écosystème où les données personnelles deviennent une ressource centrale, comment garantir un équilibre durable entre innovation commerciale et respect des droits fondamentaux des individus ? La réponse dépendra autant de l’évolution des pratiques professionnelles que de la vigilance continue des régulateurs… et des personnes concernées elles-mêmes.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Article l. 34-5 du CPCE
[2] L’article L. 34-5 du CPCE
[3] Article 4(11) du RGPD
[4] Dark pattern
[5] Article 6 du RGPD
[6] Article 5(1)(e) du RGPD
[7] Article 83(2) du RGPD