Retex : exercice de droits et défaut de consentement au démarchage
Paul Fouquet
16/09/2025
L’expérience d’une demande d’exercice de droits RGPD est aujourd’hui commune à un grand nombre de professionnels, et beaucoup ont été confrontés à des situations complexes à traiter -en particulier lorsqu’elles soulèvent un grave défaut de conformité du responsable de traitement-.
De telles circonstances placent souvent le Délégué à la protection des données dans une posture délicate où il doit à la fois satisfaire la demande tout en veillant à ne pas générer de risques juridiques supplémentaires pour l’organisme qu’il représente, et encore moins compromettre la relation de confiance des demandeurs.
Un subtil jeu d’équilibriste, dont nous vous livrons le témoignage à travers ce retour d’expérience sur une demande d’exercice des droits relative à du démarchage commercial, laquelle a remis en cause tout un modèle économique fondé sur l’absence de consentement !
I. Retour sur les faits
Notre responsable de traitement, que nous appellerons « la Marque », est un acteur du commerce en ligne spécialisé dans la vente de vêtements, dont l’activité repose sur sa plateforme d’achat en ligne et le démarchage commercial.
Habituée à un flux quotidien de 20 à 50 demandes d’exercice de droits qui portent quasi exclusivement sur la cessation du démarchage commercial, la Marque reçoit la demande d’un particulier qui affirme être la cible de publicités régulières alors qu’il n’a jamais acheté sur sa plateforme, ni donné son consentement spécifique à la réception de publicités liées à celle-ci.
Le demandeur exige :
· La preuve de son consentement aux opérations de démarchage commercial ;
· Le retrait de ses données depuis les listes de démarchage ;
· La suppression complète de ses données traitées par la Marque.
II. Les enjeux pour la plateforme de e-commerce
Investiguons la conformité RGPD de la plateforme en ligne via son processus d’achat : la réalisation d’une commande nécessite la création d’un compte, dont le formulaire intègre une case à cocher dédiée au consentement à des fins de démarchage commercial, qui prend effet une fois l’acte d’achat effectué.
Ce constat d’absence d’irrégularité étant fait -et doublé de la confirmation du service IT sur l’absence de bug-, nous orientons les recherches du côté des listes de démarchage … et parvenons à l’identifier !
Mais comment ses données se sont-elles trouvées dans les listes de démarchage sans la création préalable d’un compte client ?
Plusieurs pistes de réponses :
· La plateforme de e-commerce n’ayant pas été mise en conformité RGPD dès sa conception, il est possible que les données soient antérieures ;
· La Marque étant associée à des courtiers en données, il est possible que les données aient été collectées et fournies par eux ;
· La Marque étant membre d’un groupe de sociétés avec leurs propres plateformes de e-commerce, il est possible qu’elles aient joué le même rôle que les courtiers.
Au terme de nos investigations, le résultat est le même : alors que la Marque traite ces données à des fins de démarchage commercial, elle ne dispose d'aucune preuve sur le consentement du demandeur à être démarché.
· Pour les personnes qui ne sont pas déjà clientes, la publicité par courrier électronique n’est possible qu’à la condition d’avoir préalablement recueilli leur consentement explicite ;
· Pour les personnes qui sont déjà clientes, la publicité par courrier électronique est possible sans recueil préalable du consentement et à condition que la prospection concerne des produits ou services similaires fournis par la même entreprise ;
· Ces obligations s’étendent aux courtiers en données qui doivent collecter la preuve du consentement au recueil et au partage des données à des fins de démarchage commercial par des entités partenaires.
Vous l’avez compris, la Marque est en infraction car elle se trouve dans l’incapacité totale de prouver la licéité de son activité de démarchage commercial.
En interne, c’est un tremblement de terre : tout un business model à revoir !
Mais pour l’heure, tâchons de garder la tête froide pour répondre au demandeur.
III. La gestion de la demande : une approche pragmatique pour diminuer les risques
En premier lieu, il faut garder en tête qu’une réponse doit être émise dans un délai d’un mois -pouvant être prolongé de deux mois supplémentaires en cas de situation complexe-, faute de quoi la Marque se trouverait en violation de ses obligations RGPD.
Invoquer la situation complexe pour gagner du temps n’aurait servi à rien, en l’absence totale de preuve du consentement.
La stratégie du responsable de traitement a donc été d’apporter une réponse rapide et efficace afin de satisfaire le demandeur dans ses principales exigences -ne plus être démarché et obtenir la suppression de ses données-.
La considération apportée au demandeur a permis de désamorcer la situation tout en garantissant le respect des obligations du RGPD :
- Suppression des données : la demande a été traitée dans les délais, avec une confirmation écrite, ce qui limite le risque de sanction pour non-respect du droit à la suppression des données ;
- Demande de pièce d’identité : la demande de vérification de l’identité du demandeur -qui ne disposait pas d’un compte client permettant de s’en assurer-, a permis de lui apporter considération et assurance du sérieux de notre procédure ;
- Preuve de la réponse : la conservation de l’échange (email envoyé et accusé de réception) constitue une trace de la diligence de la Marque, utile en cas de contrôle ultérieur.
Si cette réponse a permis d’éviter toute insistance du demandeur, en revanche, elle n’efface en rien le défaut de conformité du responsable de traitement, qui risquait une double sanction en cas de plainte :
· Au titre du RGPD, la CNIL peut prononcer une amende pouvant aller jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros pour absence de consentement préalable et défaut de preuve du consentement ;
· Au titre du RGPD, la CNIL peut prononcer une amende pouvant aller jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros pour absence de consentement préalable et défaut de preuve du consentement ;
· Au titre du code de la consommation, la DGCCRF peut prononcer une amende allant jusqu’à 375 000 € et pouvant être multipliée par 5 en cas de récidive, pour démarchage commercial illicite.
A cela se serait ajouté :
· L’atteinte à la réputation suscitée par la mise en publicité de la sanction de l’une ou l’autre de ces autorités ;
· La précipitation dans l’élaboration d’un business model Privacy by design, avec les conséquences financières et humaines que cela implique.
IV. Notre conseil : anticiper pour ne pas subir
Ce retour d’expérience rappelle une évidence : le RGPD n’est pas une case à cocher, mais une culture à adopter.
Le risque de sanction tenait à une plainte, que la Marque a ainsi évité par le sérieux et le pragmatisme apporté à la demande d’exercice de droits.
Mais le prochain demandeur aurait pu être plus insistant -risque grave et hautement probable que la Marque a décidé de réduire à zéro en engageant des mesures de remédiation salutaires pour son activité.
Et vous, êtes-vous prêt à prendre ce risque ? Un DPO externe n’est pas seulement un "pompier" pour éteindre les incendies, mais un partenaire stratégique pour :
· Sécuriser vos traitements et éviter les sanctions.
· Gagner la confiance de vos clients en transparence.
· Optimiser vos processus pour réduire les coûts cachés de la non-conformité.
Ne laissez pas le hasard décider de votre conformité, agissez !
