Skip to main content
Données personnelles

Courtage de données et prospection commerciale : la CNIL rend une décision de sanction qui confirme avec force les principes à respecter

Imprimer

Délibération SAN-2025-001 du 15 mai 2025

Dans le cadre de son programme de contrôle pour l’année 2022, la CNIL avait annoncé concentrer une partie de ses investigations sur les pratiques de prospection commerciale, en particulier celles des intermédiaires spécialisés dans la constitution et la revente de fichiers de contacts, communément appelés courtiers en données ou data brokers. La première décision de sanction rendue publique par la CNIL en 2025 (le 21 mai), s’inscrit dans cette dynamique. Elle vient confirmer, à partir d’un cas concret, les conditions dans lesquelles les traitements liés à la prospection peuvent être mis en œuvre à partir de données collectées indirectement.

Les traitements en question

L’opérateur sanctionné propose à ses clients annonceurs deux types de services: d’une part, la réalisation de campagnes de prospection électronique pour le compte de ses clients (SMS, e-mails); d’autre part, la fourniture de segments de données aux fins de la réalisation, par les clients, d’opérations de prospection téléphonique ou postale. Dans les deux cas, les données personnelles en cause sont initialement collectées par plusieurs courtiers tiers, auprès desquels l’opérateur s’approvisionne. Ce dernier regroupe les données au sein d’une base de données unique qu’il contrôle entièrement.

En l’espèce, la CNIL a constaté que l’opérateur détermine les critères de constitution de sa base, les sources utilisées, les données collectées et les modalités de conservation. Il définit également, dans ses conditions contractuelles, les cas dans lesquels les données peuvent être exploitées par ses clients, à des fins de prospection. Dans ces conditions, il est qualifié de responsable de traitement tant pour la constitution de sa base et les opérations de prospection qu’il mène lui-même (pour ses clients), que pour la transmission de certaines données à ses clients aux fins de prospection téléphonique ou postale par ces derniers.

Au-delà de la responsabilité propre de l’opérateur, seule objet de la sanction, la formation restreinte a rappelé que chaque acteur intervenant dans la chaîne de traitement des données – qu’il s’agisse du primo-collectant, de l’opérateur sanctionné ou de ses clients – demeure responsable de la légalité des opérations auxquelles il participe. S’agissant des clients en particulier, la formation restreinte n’a pas exclu qu’ils puissent être considérés comme coresponsables de certains traitements, sans toutefois se prononcer expressément sur ce point.

Prospection par voie électronique : manquement à l’obligation de disposer d’un consentement valide

Les faits et l’analyse de la formation restreinte dans cette nouvelle affaire sont très proches de trois autres délibérations de la CNIL concernant des courtiers en données personnelles et leurs clients (délibérations SAN-2023-025 du 29 décembre 2023, SAN-2024-003 du 31 janvier 2024 et SAN-2024-004 du 4 avril 2024).

En l’espèce, l’opérateur fondait ses campagnes de prospection électronique sur le consentement obtenu, par ses partenaires courtiers, via des formulaires en ligne intégrés notamment à des jeux-concours et tests de produits en ligne. L’analyse de ces formulaires par la CNIL a révélé plusieurs défauts majeurs :

  • La plupart des formulaires étaient conçus autour d’un bouton unique (« JE PARTICIPE », « JE VALIDE », etc.), qui permettait à la fois de valider l’inscription au jeu et d’accepter la transmission des données à des partenaires. Un lien permettait de participer sans transmettre ses données, mais celui-ci était présenté en caractères plus petits, inséré dans un paragraphe sans mise en valeur particulière.
  • D’autres formulaires comportaient deux boutons (« JE VALIDE » / « JE REFUSE »), mais sans que les conséquences de chacun soient clairement expliquées. En particulier, le libellé « JE REFUSE » pouvait laisser croire que l’utilisateur renonçait à participer au jeu, alors qu’il s’agissait en réalité d’une participation sans transmission de ses données aux partenaires.

La formation restreinte a estimé sans surprise que ces formulaires, représentatifs de pratiques de design trompeur (dark patterns), ne permettaient pas aux utilisateurs d’exprimer un consentement libre, spécifique et univoque.

L’opérateur, bien que n’ayant pas conçu ces formulaires, aurait dû, en tant que responsable de traitement, s’assurer de la validité du consentement sur lequel il s’appuyait. La formation restreinte a rappelé ici qu’il n’est pas suffisant de se reposer seulement sur des dispositions contractuelles imposant aux fournisseurs de données d’obtenir un consentement valide. Il faut en outre procéder à des audits concrets et en tirer les bonnes conséquences. En l’espèce, des vérifications avaient été menées par l’opérateur, mais celles-ci avaient été assez tardives et, surtout, l’opérateur avait continué de recourir aux courtiers audités alors qu’il était manifeste que les formulaires de collecte employés étaient non conformes.

La CNIL a donc retenu un manquement aux dispositions de l’article L34-5 du Code des postes et communication électroniques, qui requiert le consentement préalable aux opérations de prospection par voie électronique.

Pour un autre courtier de données, l’opérateur n’avait jamais obtenu de réponse à ses demandes de vérification concernant les conditions de recueil du consentement. Faute d’éléments transmis, il n’était pas en mesure d’en apporter la preuve – tout en continuant d’utiliser les données fournies par ce courtier. La formation restreinte a, en conséquence, retenu une violation de l’article 7 du RGPD, qui impose au responsable de traitement de démontrer l’existence d’un consentement valable lorsqu’il constitue la base légale du traitement.

Transmission de données à des fins de prospection postale ou téléphonique : usage partiellement valide de l’intérêt légitime

L’opérateur proposait à ses clients l’accès à des segments ciblés issus de sa base de données, en vue de permettre à ces derniers de mener eux-mêmes des campagnes de prospection par voie postale ou téléphonique. Ces transmissions étaient fondées sur l’article 6, paragraphe 1, f) du RGPD, relatif à l’intérêt légitime.

La formation restreinte a mené une analyse différenciée selon la provenance des données concernées.

D’une part, certaines données étaient issues d’un annuaire téléphonique, partenaire de l’opérateur :

  • La CNIL a relevé que celles-ci sont publiées par des opérateurs téléphoniques dans le cadre d’obligations réglementaires (en application notamment de l’article R.10 du Code des postes et communications électroniques) et qu’elles ont vocation à être librement consultables par des tiers, sauf opposition des personnes concernées. La réutilisation de ces données à des fins de prospection commerciale peut, dans ce contexte, être raisonnablement anticipée par les personnes concernées qui ne se sont pas opposées (l’éditeur de l’annuaire ayant garanti avoir expurgé les « opt-out » des données transmises à l’entité contrôlée par la CNIL).

La formation restreinte a estimé que, s’agissant de ces données spécifiques, les conditions pour se fonder sur l’intérêt légitime sont réunies : la finalité poursuivie est licite, le traitement est nécessaire, et les droits des personnes ne paraissent pas prévaloir.

  • La formation a cependant expressément rappelé que la validité du recours à l’intérêt légitime en l’espèce ne dispensait pas du respect des autres obligations du RGPD, en particulier en matière d’information des personnes concernées et de droit d’opposition.  

Elle a en particulier souligné que, lorsque les données font l’objet de transmissions successives – du collecteur initial à l’intermédiaire, puis à ses propres clients –, les personnes concernées doivent être informées de l’existence de ces destinataires indirects. Cette information peut être assurée soit par le collecteur initial, soit par les destinataires successifs, à condition qu’elle permette aux personnes de comprendre l’étendue de la circulation de leurs données.

Dans le cas examiné, la formation restreinte n’a pas pu établir avec certitude si l’information relative aux destinataires de second rang avait été correctement fournie, mais elle n’a pas retenu de manquement sur ce point, le grief examiné portant uniquement sur la base légale du traitement. Elle a toutefois précisé que cette absence de manquement ne vaut pas validation des pratiques d’information mises en œuvre et invite l’opérateur à réévaluer ses modalités d’information à ce sujet.

D’autre part, certaines données étaient issues des inscriptions aux jeux-concours et tests produits :

  • La formation restreinte a d’abord rappelé que le consentement recueilli par les primo-collectant n’était pas valable, en raison de la conception des formulaires utilisés. Cette base légale ne pouvait donc être mobilisée pour la transmission de ces mêmes données aux clients de l’opérateur.
  • En outre, si les personnes pouvaient avoir été informées de la transmission de leurs données à l’opérateur intermédiaire, aucune information ne leur avait été fournie sur une possible retransmission de ces données à des tiers, en l’occurrence les clients annonceurs. Dans ce contexte, les personnes ne pouvaient raisonnablement anticiper une telle réutilisation, ce qui excluait la possibilité de fonder ces traitements sur l’intérêt légitime. Dès lors, la transmission des données issues de ces jeux-concours ne reposait sur aucune base légale conforme au RGPD.

Sanctions prononcées

La CNIL a prononcé à l’encontre de l’opérateur une amende administrative de 900 000 euros, ainsi qu’une injonction de mise en conformité dans un délai de neuf mois, sous peine d’une astreinte de 10 000 euros par jour de retard. La CNIL a notamment retenu la négligence de l’opérateur, qui avait continué pendant plusieurs mois à utiliser les données de ses partenaires alors que ses propres vérifications mettaient en lumière que ces derniers recouraient à des moyens illicites de collecte. La décision est également rendue publique par la CNIL.

Cette décision met en évidence les exigences de vigilance qui s’imposent aux entreprises recourant aux services de courtiers en données. La CNIL réaffirme, à travers cette décision très motivée, que l’externalisation de certaines opérations de traitement ne permet pas aux responsables de traitement de se dédouaner du respect des règles qui leurs sont applicables, notamment en matière de base légale, d’information des personnes et de capacité à démontrer la licéité des traitements.

Imprimer

Articles sur le même sujet

Données personnelles Consentement multi-terminaux aux cookies: la CNIL dévoile un projet de recommandation

Consentement multi-terminaux aux cookies: la CNIL dévoile un projet de recommandation


Données personnelles Traitements de données et blockchain : le CEPD publie son projet de lignes directrices

Traitements de données et blockchain : le CEPD publie son projet de lignes directrices


Données personnelles Vérification de l’âge des personnes concernées, le CEPD publie une déclaration

Vérification de l’âge des personnes concernées, le CEPD publie une déclaration


Close Menu