Prospection commerciale : la CNIL durcit le ton contre les acteurs du marketing digital
Maxime Moisant
10/06/2025
S’il est bien connu des acteurs du marketing que protection des données personnelles et prospection commerciale n’ont jamais fait bon ménage, la sanction du 15 mai 2025 rendue à l’encontre de la société CALOGA consolide la position de la CNIL et impose des pratiques exigeantes en matière de courtage de données et de prospection électronique.
I. Anatomie d’une affaire de courtage de données
Une chaîne de traitements aux implications multiples
CALOGA, société créée en 2000, illustre la complexité de l'écosystème du data broking français. En effet, son modèle économique repose sur deux activités :
· La prospection directe : envoi de courriels publicitaires pour le compte d'annonceurs tiers ;
· Le courtage de données : transmission de bases de données prospects à des partenaires pour leurs propres campagnes.
Pour alimenter ses activités, la société possédait quatre bases de données distinctes (CALOGA, ZEPLAN, BASYLO, VOZEKO) comptant chacune plus d'un million d'enregistrements, constituées via des partenaires « primo-collectants » qui organisaient jeux-concours et tests produits en tout genre.
L'ampleur des traitements concernés
L’importance des chiffres révélés par la CNIL soulignent la grande ampleur des opérations :
· Plus de 6 millions de messages de prospection envoyés en 2022 ;
· Plus de 2,8 millions de prospects dans les bases de données ;
· Des transmissions mensuelles de millions de données vers ses partenaires.
II. La CNIL renforce ses positions
Clarification de la notion de responsabilité dans l'écosystème publicitaire
L’autorité de contrôle française consacre une doctrine du « cas par cas » particulièrement pertinente et précise les critères de qualification du responsable de traitement :
· Propriété effective des bases de données ;
· Maîtrise des modalités de constitution et de gestion ;
· Choix des segmentations et critères de ciblage ;
· Degré d'instruction donné par l'annonceur.
Elle rappelle enfin ne pas être contrainte par la qualification retenue par les parties au contrat et impose une analyse in concreto de leurs relations.
Renforcement des critères de validité du consentement
Réaffirmant que le consentement doit être « libre, spécifique, éclairé et univoque », en s'appuyant notamment sur l'arrêt Planet49 de la CJUE (2019) et la décision Google du Conseil d'État (2020), la CNIL établit que ses recommandations relatives aux cookies sont transposables à la prospection commerciale, les règles générales du consentement n'ayant « pas vocation à différer en fonction du secteur concerné. »
Condamnation des dark patterns dans les formulaires
Condamnation des dark patterns dans les formulaires
L'analyse des 3 653 formulaires révèle des pratiques douteuses et trompeuses, dont :
· Boutons d'acceptation visuellement mis en valeur (taille, couleur, emplacement) ;
· Liens de refus noyés dans le texte, en petits caractères ;
· Terminologie ambigüe (« Je valide » vs « J'autorise ») ;
· Architecture trompeuse suggérant l'obligation de consentir pour participer.
Responsabilité en cascade : l'obligation de vérification des primo-collectants
Soulignant l’insuffisance de l’outil contractuel comme mesure de sécurité, l’autorité de protection des données pose une obligation positive de contrôle des mécanismes de recueil du consentement par les partenaires primo-collectants.
Cette exigence impose donc aux data brokers :
· Des audits techniques des formulaires de collecte ;
· Des vérifications régulières des pratiques des primo-collectants ;
· La cessation immédiate des traitements en cas de non-conformité constatée.
· La cessation immédiate des traitements en cas de non-conformité constatée.
III. Les enseignements opérationnels à tirer
Sur le dispositif de retrait du consentement
Le mécanisme de retrait du consentement doit refléter le principe selon lequel « il doit être aussi simple de retirer son consentement que de le donner ». Aussi convient-il d’implémenter un dispositif de désinscription globale en un clic lorsque l'inscription s'est faite de manière unifiée.
Ne constituent pas des pratiques conformes :
· Consentement unique pour un enregistrement dans deux bases de données distinctes ;
· Dispositif complexe de retrait du consentement, reposant sur plusieurs démarches distinctes ;
· Confusion organisée dans la dénomination des bases de données.
Sur le déclenchement du délai de conservation des données à des fins de prospection commerciale
L'ouverture d'un courriel ne constitue pas une interaction valable pour faire courir le délai de conservation des données de prospection. La CNIL tient compte du fait qu’une ouverture de mail peut résulter d'un « simple accident de navigation » et ne traduit pas une « volonté de rester en contact. »
Constituent des interactions valables :
· Clic sur lien URL renvoyant vers un produit/service ;
· Demande active de documentation ;
· Tout acte positif démontrant un intérêt de sa part.
Sur le dispositif d’archivage intermédiaire
Les données conservées doivent faire l’objet d’un tri actif et d’un archivage différencié selon leurs finalités :
· Suppression des données inutiles (date naissance, code postal, etc.) ;
· Archivage sécurisé des données nécessaires (ex : preuve du consentement) ;
· Limitation d'accès aux seules personnes ayant besoin d'en connaître.
Sur l’utilisation de l’intérêt légitime comme base légale à la transmission des données
L’intérêt légitime ne constitue pas une base légale valable pour transmettre des données personnelles à des fins de prospection commerciale.
Le consentement préalable des personnes concernées doit être spécifiquement collecté et conservé avant de réaliser cette opération.
IV. Une sanction mesurée
Le calcul de l’amende
80 000 euros, c’est l’amende prononcée par la CNIL – rappelons le maximum théorique de 20 millions d'euros ou 4% du CA mondial – avec pour justification :
· La cessation d'activité de l'entreprise ;
· Sa situation financière déficitaire (quelques milliers d'euros de CA en 2023) ;
· Sa taille réduite (9 salariés en 2021).
La CNIL justifie cette amende également au regard des faits et des pratiques suivantes :
· Nombre massif de personnes concernées (2,8 millions) ;
· Caractère systémique des manquements ;
· Bénéfice financier tiré des violations ;
· Négligence caractérisée malgré les procédures de contrôle.
V. Nos conseils pour votre conformité RGPD
Pour les data brokers et courtiers
· Auditez votre dispositif de recueil du consentement des primo-collectants ;
· Implémentez un mécanisme de désinscription unifié et symétrique ;
· Instaurez un dispositif de conservation avec archivage différencié des données ;
· Mettez à jour vos contrats RGPD avec des clauses techniques et suffisamment détaillées ;
· Mettez à jour votre dispositif de contrôle interne et documentez sa bonne exécution par les métiers.
Pour les primo-collectants
· Eliminez les dark patterns de vos formulaires de recueil du consentement ;
· Procédez à des tests utilisateurs pour valider l’ergonomie des interfaces ;
· Documentez vos choix de conception ;
· Sensibilisez vos équipes marketing sur les exigences du consentement RGPD à l’aune des exigences récentes de la CNIL.
Pour les annonceurs
· Renforcez le contrôle de la Due diligence de vos prestataires ;
· Auditez les bases de données utilisées pour détecter les défauts de conformité ;
· Vérifiez la traçabilité de l'origine du consentement ;
· Mettez à jour vos contrats RGPD avec des clauses de garantie de conformité de vos prestataires.
