Prospection commerciale : la CNIL confirme sa position en matière de collecte de données et de réutilisation de fichiers de prospects
Ce qu’il faut retenir
Après les amendes prononcées en 2022 et 2023 à l’encontre de responsables de traitement, la CNIL affirme sa jurisprudence en matière de constitution et d’utilisation de fichiers de prospects par les “data brokers” et les annonceurs. Deux nouvelles amendes ont été prononcées à l’encontre d’un courtier en données et d’un annonceur, mettant l’accent sur la validité du consentement et sur la responsabilité des sociétés réutilisatrices des bases de données.
Dans sa communication du 15 février 2022, la CNIL indiquait que, parmi les thématiques prioritaires de contrôle de conformité pour l’année 2022, figurait la prospection commerciale. Cette démarche suivait la publication d’un nouveau référentiel relatif à la “gestion commerciale”, couvrant notamment l’activité de prospection commerciale. La focalisation de la CNIL sur cette activité était en réalité antérieure, puisqu’une recommandation avait été publiée en décembre 2018, après l’entrée en application du RGPD. (1)
Après les amendes administratives prononcées en 2022 et 2023 à l’encontre de responsables de traitement suite à des enquêtes ayant débuté dès 2019-2020, (2) la CNIL affirme sa jurisprudence en matière de constitution et d’utilisation de fichiers de prospects par les courtiers en données (“data brokers”) et les annonceurs. Deux nouvelles amendes ont été prononcées à l’encontre d’un courtier en données le 29 décembre 2023 et d’un annonceur le 31 janvier 2024. Ces deux délibérations mettent l’accent sur la validité du consentement et sur la responsabilité des sociétés réutilisatrices des bases de données. (3)
1. Les délibérations Tagadamedia et Foriou
La formation restreinte de la CNIL a rendu deux délibérations à un mois d’intervalle, la première à l’encontre de la société Tagadamedia et la seconde à l’encontre de la société Foriou.
La société Tagadamedia édite des sites web de jeux-concours et de tests de produits, par le biais desquels elle collecte des données de prospects. Les bases constituées sont ensuite louées à des annonceurs pour des campagnes de prospection commerciale. Des newsletters sont également adressées à des prospects inscrits sur ces bases de données.
Les formulaires de collecte de données utilisés ont été considérés comme trompeurs dans leur design, invalidant le consentement des utilisateurs et privant ainsi le traitement de base légale.
La société Tagadamedia a été sanctionnée à hauteur de 75.000 euros.
La société Foriou a pour activité la commercialisation et la gestion de programmes de fidélité. Elle organise des campagnes de démarchage téléphonique à partir de bases de prospects achetées auprès de courtiers en données.
Comme pour Tagadamedia, les formulaires de collecte utilisés par les courtiers, fournisseurs des bases de données à la société Foriou ont été considérés comme trompeurs, invalidant le consentement des personnes inscrites. En qualité de responsable du traitement, il revenait à Foriou de contrôler la validité des traitements et des conditions de recueil du consentement pour les bases utilisées.
La formation restreinte de la CNIL a prononcé une sanction de 310.000 euros à son encontre.
2. Des formulaires de collecte ne permettant pas de recueillir un consentement valable
La société Tagadamedia, comme les courtiers qui fournissaient les bases de données à la société Foriou, collectent des données de prospects par l’intermédiaire de formulaires de participation à des jeux-concours en ligne. Les bases de données sont ensuite “vendues” à des annonceurs qui procèdent à des opérations de prospection commerciale par l’envoi d’emails publicitaires, de démarchage téléphonique ou par voie postale. La base légale de la prospection par email est le consentement, ou l’intérêt légitime pour la prospection par téléphone ou voie postale.
L’article 6 du RGPD dispose que “Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; (…) f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel (…).”
Dans un arrêt du 19 juin 2020, le Conseil d’Etat a précisé, que “le consentement spécifique requis par les dispositions de l’article 6 du RGPD ne peut résulter que d’un consentement exprès de l’utilisateur, donné en toute connaissance de cause après une information adéquate sur l’usage qui sera fait de ses données personnelles (…)” collectées par le biais des formulaires de participation à des jeux-concours. (4)
Les types de formulaires de collecte utilisés par ces sociétés étaient similaires, et correspondaient à la pratique largement utilisée. Sous les champs de saisie des coordonnées étaient positionnés un ou deux boutons permettant aux utilisateurs de valider leur inscription (participation au jeu) et de partager leurs données, ou de refuser le partage de leur données. Outre le texte de ces boutons, les formulaires affichaient des cases à cocher et un texte confirmant que l’utilisateur avait lu et accepté le règlement du jeu, avait lu et accepté la politique de protection des données et le partage des données avec des partenaires, y compris un lien vers la liste des partenaires, ou la possibilité de refuser de partager les données avec des tiers. A première vue, ces formulaires pouvaient paraître conformes au RGPD et aux exigences requises en matière de prospection commerciale.
Toutefois, selon la CNIL, les formulaires utilisés ne permettaient pas aux utilisateurs de donner leur consentement conformément aux exigences figurant à l’article 4 du RGPD, qui définit le consentement comme une manifestation de volonté libre, spécifique, éclairée et univoque. Le design des formulaires, affichant des typographies de tailles différentes, avec la mise en avant d’un bouton “J’accepte” (ou équivalent), en gros caractères et éventuellement en couleur, et les textes relatifs à l’acceptation ou au refus de partager les données, en caractères nettement plus petits, est considéré comme potentiellement trompeur et ne remplissant pas les exigences requises pour le recueil d’un consentement valable.
Sont également considérés comme trompeurs, le fait de ne pas préciser les conséquences liées au fait de cliquer sur un bouton “Je refuse”, ainsi que le fait d’utiliser deux boutons de même taille, mais accompagnés de textes explicatifs de taille nettement inférieure.
Faisant référence à sa recommandation de 2020 relative aux cookies, la commission rappelle, qu’afin de ne pas induire les utilisateurs en erreur, les formulaires ne devraient pas intégrer de design potentiellement trompeur, “laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre. Il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture et mis en évidence de manière identique.” (5) Elle indique en outre que, si l’information ne permet pas d’exprimer un consentement ou un refus facilement compréhensible et ne nécessitant pas d’efforts de concentration ou d’interprétation de la part de l’utilisateur, le consentement ne peut être considéré comme univoque et libre.
En conséquence, la formation restreinte a considéré que la société Tagadamedia d’une part, la société Foriou d’autre part, ne disposaient pas d’un consentement valide, au sens des articles 4 et 6 du RGPD, de la part des utilisateurs pour permettre à des partenaires, ou dans le cas de Foriou, lui permettre, de réaliser des opérations de prospection commerciale.
3. La responsabilité des sociétés réutilisatrices des bases de données
Selon la CNIL, les annonceurs utilisant des bases de données de prospects ont l’obligation de s’assurer de la validité du consentement des personnes avant de procéder à des opérations de prospection commerciale.
La société Foriou “achetait” des bases de données auprès de courtiers pour pouvoir mener ses propres actions de prospection commerciale par démarchage téléphonique. En qualité d’utilisateur de bases de données obtenues auprès d’un tiers, l’annonceur-utilisateur est qualifié de responsable de traitement.
En l’espèce, la société Foriou faisait valoir qu’un contrat avait été conclu avec les fournisseurs des bases de données. Les contrats stipulaient notamment que les bases de données étaient conformes au RGPD et que les courtiers devaient mentionner Foriou dans la liste des destinataires des données. Cependant, la société ne figurait pas dans cette liste.
Par ailleurs, la commission a considéré que les formulaires utilisés par les fournisseurs de la société Foriou ne permettaient pas de recueillir un consentement valide des utilisateurs, comme développé ci-dessus.
Or, selon la formation restreinte, l’annonceur ne peut s’exonérer de sa responsabilité de conformité au RGPD en faisant valoir ses engagements contractuels. En effet, le simple engagement contractuel du courtier en données à respecter le RGPD et les règles applicables en matière de prospection commerciale est insuffisant. En sa qualité de responsable de traitement, l’utilisateur de la base de données est tenu de vérifier que les conditions lui permettant de réaliser des opérations de prospection commerciale conformes à la réglementation sont réunies. En l’absence de vérification effective de la conformité des bases à la réglementation, la responsabilité de l’annonceur peut être retenue.
En l’espèce, la société Foriou n’a pas été en mesure de rapporter la preuve d’un contrôle effectif de la conformité des bases de données qui lui ont été fournies. La formation restreinte a considéré que le consentement des utilisateurs n’était pas valide. La société Foriou ne pouvait donc justifier l’intérêt légitime comme base légale pour réaliser ses opérations de prospection commerciale par téléphone.
Selon le référentiel de janvier 2022 relatif à la gestion des activités commerciales, en cas de prospection par voie électronique, s’il s’avère que le consentement n’est pas valable ou ne lui permet pas de mener ses opérations de prospection, l’annonceur est alors tenu d’obtenir un nouveau consentement de la part des utilisateurs avant de pouvoir les démarcher, cette action étant équivalente à une nouvelle collecte de données à caractère personnel.
La CNIL estime notamment que la nouvelle demande de consentement envoyée aux inscrits ne doit pas être assimilable à une prospection commerciale, c’est-à-dire que le message ne doit pas promouvoir l’image de l’annonceur ou les biens ou services qu’il commercialise. Par ailleurs, la base de données reconstituée en conformité avec le RGPD devra être expurgée des données des personnes ayant refusé de se réinscrire.
Le RGPD a renforcé le niveau d’exigence requis pour la validité du consentement des personnes concernées, la portée de cette exigence ayant elle-même été précisée par les autorités de contrôle (dont la CNIL) et les tribunaux.
En pratique, pour pouvoir réaliser des opérations de prospection commerciale conformes au RGPD et aux règles applicables en matière de prospection, les acteurs du domaine - courtiers en données et annonceurs, devront utiliser un design de formulaire de collecte revisité, plus sobre, sans jouer sur la typographie et les couleurs, et en utilisant des textes clairs, dénués d’ambigüité et faciles à comprendre.
Les contrats de fourniture de bases de données, conclus entre les courtiers et les annonceurs, devront non seulement continuer à préciser les engagements de conformité des collectes de la part des courtiers, mais également prévoir des conditions d’audit de conformité des bases fournies (y compris les conséquences, notamment financières si l’audit révèle des problèmes de conformité), et des conditions de garantie.
(1) Recommandation CNIL “La prospection vers les particuliers (B to C) : quelles règles pour transmettre des données à des partenaires”, 28 décembre 2018 ; “Référentiel relatif aux traitements de données à caractère personnel mis en oeuvre aux fins de gestion des activités commerciales”, CNIL janvier 2022
(2) Voir notamment Délibération de la formation restreinte n°SAN-2022-021 du 24 novembre 2022 concernant la société Electricité de France ; Délibération de la formation restreinte n°SAN-2023-009 du 15 juin 2023 concernant la société Critéo ; et Délibération de la formation restreinte n°SAN-2023-015 du 12 octobre 2023 concernant la société Groupe Canal+
(3) Délibération de la formation restreinte n°SAN-2023-025 du 29 décembre 2023 concernant la société Tagadamedia et Délibération de la formation restreinte n°SAN-2024-003 du 31 janvier 2024 concernant la société Foriou
(4) CE, 10è et 9è ch. réunies, 19 juin 2020, Google LLC, décision n°430810
(5) Délibération n°2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux cookies et autres traceurs
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Avril 2024