CNIL | SAN-2025-002 | 15 mai 2025 | Affaire CALOGA | MANQUEMENTS

MANQUEMENTS RETENUS PAR LA FORMATION RESTREINTE

---

A. MANQUEMENT À L’OBLIGATION DE RECUEILLIR UN CONSENTEMENT VALABLE — ARTICLE L. 34-5 DU CPCE

 

La délibération SAN-2025-002 du 15 mai 2025 a retenu, en premier chef, un manquement d’une particulière gravité à l’article L. 34-5 du Code des postes et des communications électroniques, disposition transposant l’article 13 de la directive 2002/58/CE dite « ePrivacy », qui subordonne toute prospection commerciale par voie électronique à l’obtention préalable d’un consentement libre, spécifique, éclairé et univoque de la personne destinataire.

La formation restreinte a constaté que les formulaires de collecte utilisés par les principaux fournisseurs de données de la société CALOGA — représentant ses deux plus importants partenaires — ne permettaient pas de recueillir un consentement valable. L’instruction a mis en évidence que les cases à cocher pré-cochées, les formulations ambiguës, l’absence de désignation claire des partenaires destinataires, et la mention du nom « CALOGA » comme dénomination d’une seule de ses bases de données alors que la société en exploitait quatre distinctes (CALOGA, ZEPLAN, BASYLO, VOZEKO) créaient une confusion empêchant les prospects de comprendre la portée exacte de leur engagement. La formation restreinte a souligné que « le prospect peut légitimement penser, en cliquant sur le lien de désinscription intitulé “ne plus recevoir aucune offre des annonceurs de CALOGA”, que l’action vaut pour toutes les bases de données de la société », alors qu’elle n’en concernait qu’une seule.

La formation restreinte a relevé que la société avait pourtant mis en place, dès 2014, des procédures d’audit de ses fournisseurs visant à vérifier la validité des consentements recueillis. Malgré ces vérifications, et en pleine connaissance des exigences légales, CALOGA a continué d’exploiter les données transmises sans corriger les défaillances identifiées, ce qui révèle, au sens de la formation restreinte, un comportement « au moins fortement négligent », caractérisé et systémique. L’envoi de 6 millions de messages de prospection commerciale au cours de la seule année 2022 illustre l’ampleur du traitement litigieux.

Axes de défense de CALOGA :
La société a fait valoir que ses contrats avec les fournisseurs de données stipulaient expressément l’obligation pour ces derniers de recueillir des consentements valables, et qu’elle avait mis en place des procédures d’audit réguliers depuis 2014. Elle a soutenu qu’elle n’était pas en mesure de contrôler concrètement les conditions de collecte réalisées par des tiers et que les formulaires litigieux provenaient de partenaires sur lesquels elle n’exerçait pas de maîtrise directe. La formation restreinte n’a pas retenu ces arguments, estimant que la mise en place d’audits, dès lors qu’ils ne conduisaient pas à une mise en conformité effective, ne pouvait constituer une cause d’exonération.

---

---

B. MANQUEMENT À L’OBLIGATION DE LIMITATION DE LA DURÉE DE CONSERVATION — ARTICLE 5, §1, E) DU RGPD

 

La formation restreinte a retenu un second manquement tenant à la conservation excessive des données de prospects. L’article 5, §1, e) du RGPD impose en effet que les données à caractère personnel soient « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Il a été constaté que la société CALOGA conservait en base active, sans opérer de tri préalable, les données de ses prospects pendant une durée de quatre ans à compter de leur passage en statut « inactif », le critère d’inactivité étant lui-même défini de manière particulièrement restrictive puisque la simple ouverture d’un courriel commercial suffisait à remettre à zéro ce délai. La formation restreinte a relevé que « le fait, pour la société, de considérer l’ouverture d’un courriel comme une interaction du prospect pour définir le point de départ de la durée de conservation et de conserver en base active, sans opérer de tri, les données de ses prospects pendant une durée de quatre ans à compter du passage en statut “inactif”, constitue un manquement aux dispositions de l’article 5, §1, e du RGPD ».

Ce mécanisme de remise à zéro automatique du délai de conservation, déclenché par la seule ouverture d’un courriel — acte qui, au demeurant, ne manifeste nullement un intérêt ou une intention commerciale de la part de la personne concernée — conduisait de facto à une conservation quasi-illimitée des données, en totale contradiction avec le principe de limitation de la durée de conservation. La formation restreinte a, à cet égard, écarté l’argument tiré de l’applicabilité des délais de prescription pénale invoqués par la société sur le fondement des articles 226-16 et 133-3 du code pénal, ceux-ci ne s’appliquant pas aux traitements de prospection commerciale ne nécessitant pas de formalités préalables.

Axes de défense de CALOGA :
La société a soutenu que la conservation des données pendant quatre ans à compter de l’inactivité se justifiait par la nécessité de documenter la preuve du consentement initial et de se prémunir contre des réclamations contentieuses. Elle a également invoqué les délais de prescription de droit commun pour tenter de légitimer sa politique de conservation. Ces arguments ont été rejetés par la formation restreinte, qui a estimé que les dispositions du code pénal visées par la société n’étaient pas applicables en l’espèce et que la conservation en base active n’était pas justifiée au-delà de la durée strictement nécessaire à la finalité du traitement.

---

---

C. MANQUEMENT À L’OBLIGATION D’ASSURER LA SÉCURITÉ DES DONNÉES — ARTICLE 32 DU RGPD

 

La rapporteure a relevé que la société CALOGA stockait les mots de passe permettant l’accès à son back-office hachés avec la fonction algorithmique MD5, considérée comme obsolète depuis 2004. Elle a en outre constaté que l’accès aux bases de données de la société s’effectuait via un unique compte utilisateur dont les identifiants étaient partagés entre deux personnes.

S’agissant de la fonction MD5, la formation restreinte a rappelé la jurisprudence constante de la CNIL selon laquelle « la fonction de hachage MD5 présente des vulnérabilités connues qui ne permettent pas de garantir l’intégrité et la confidentialité des mots de passe en cas d’attaque par force brute après compromission des serveurs qui les hébergent » et que « son utilisation en cryptographie ou en sécurité est proscrite » (délibération SAN-2021-008 du 14 juin 2021). L’utilisation de cet algorithme permettrait à un attaquant de retrouver très rapidement les mots de passe à partir de leurs valeurs hachées, y compris au moyen de sites internet librement accessibles.

Manquement partiellement non retenu : S’agissant du compte programmatique MySQL partagé entre deux administrateurs, la formation restreinte a toutefois considéré que « les éléments du dossier ne permettent pas d’établir que le back-office permet d’accéder à des données à caractère personnel ». Elle a relevé que l’accès restreint à un nombre limité d’adresses IP permettait effectivement d’assurer la traçabilité des connexions, de sorte que le manquement à l’article 32 du RGPD n’a pas été caractérisé sur ce point.

Axes de défense de CALOGA :
La société a soutenu que le back-office ne permettait pas d’accéder directement à des données à caractère personnel et que, par conséquent, l’article 32 du RGPD n’était pas applicable. S’agissant du compte MySQL partagé, elle a fait valoir que les identifiants n’étaient accessibles que via une connexion préalable d’un administrateur, garantissant ainsi une traçabilité suffisante. Sur ce dernier point, la formation restreinte a rejoint partiellement la position de la société.

---

---

D. MANQUEMENT À L’OBLIGATION D’INFORMATION — ARTICLE 13 DU RGPD

 

La formation restreinte a également relevé un manquement à l’obligation d’information des personnes concernées, tenant à l’absence d’indication, au sein de la politique de confidentialité accessible sur le site web de la société, des bases légales distinctes correspondant à chacun des traitements mis en œuvre. La société ne visait en effet qu’une seule base juridique — le consentement — pour l’ensemble de ses traitements, alors que plusieurs d’entre eux, notamment la lutte contre la fraude et la gestion des achats, reposaient sur des bases légales différentes (contrat, intérêt légitime).

La formation restreinte a rappelé que « l’article 13 du RGPD exige une information granulaire relative à la base juridique de chaque traitement » et que, si la société avait eu le souci de retenir la base la plus protectrice des droits des personnes, « elle ne peut que relever que la société ne s’est pas entièrement conformée aux dispositions de cet article ». Par ailleurs, un manquement a été retenu jusqu’au 18 novembre 2019 s’agissant de l’absence d’information des clients sur le transfert de leurs données à Madagascar dans le cadre des appels téléphoniques, en dépit des engagements de la société.

Un manquement a également été retenu au titre du défaut d’information individuelle des salariés relative à la mise en place d’un dispositif d’enregistrement des conversations téléphoniques. La formation restreinte a rappelé les exigences posées par l’article L. 1222-4 du code du travail, aux termes duquel « aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance », et constaté l’absence d’information complète et conforme aux prescriptions de l’article 13 du RGPD (finalités, base légale, destinataires, durée de conservation, droits).

Axes de défense de CALOGA :
La société a fait valoir que le recours au consentement comme base légale unique était en réalité plus protecteur des droits des personnes, dans la mesure où cette base implique les garanties les plus élevées. Cet argument a été rejeté, la formation restreinte estimant que le RGPD impose une information granulaire et non une simplification au détriment de la lisibilité et de la véracité de l’information délivrée.

---

---

E. MANQUEMENT À L’OBLIGATION DE MINIMISATION DES DONNÉES — ARTICLE 5, §1, C) DU RGPD

 

La formation restreinte a retenu un manquement au principe de minimisation des données, la société ayant demandé à ses clients, dans le cadre de la lutte contre la fraude, de lui transmettre par courriel non chiffré une copie intégrale de leur carte bancaire, et ayant conservé ces données en clair dans sa base de données pendant six mois. Bien que la CNIL ait autorisé par délibération du 2 juillet 2009 le traitement du numéro de carte bancaire tronqué et de la date de fin de validité, la société traitait les copies intégrales des cartes bancaires, ce qui excédait manifestement le périmètre de l’autorisation et le principe de minimisation.

---

DISPOSITIF DE LA DÉLIBÉRATION SAN-2025-002 DU 15 MAI 2025

La formation restreinte de la CNIL, après en avoir délibéré, a prononcé les mesures correctives suivantes à l’encontre de la société CALOGA :

La formation restreinte de la CNIL décide :

— de prononcer à l’encontre de la société CALOGA une *amende administrative d’un montant de 250 000 (deux cent cinquante mille) euros au regard des manquements constitués aux articles 5-1 c), 5-1 e), 13 et 32 du RGPD et à l’article L. 34-5 du CPCE ;***

— de prononcer une *injonction de mise en conformité, assortie d’une astreinte de 250 (deux cent cinquante) euros par jour de retard à l’issue d’un délai de 3 (trois) mois suivant la notification de la présente délibération, portant notamment sur :
– la mise en œuvre d’une politique de gestion des mots de passe contraignante pour les comptes clients (mots de passe d’au moins douze caractères contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial, ou mots de passe d’au moins huit caractères avec mesure complémentaire de restriction d’accès) ;
– la cessation de la conservation des adresses électroniques et mots de passe hachés des anciens clients à l’issue de la période d’inactivité fixée, et la purge des données concernées ;
– l’information des salariés relative à la mise en place du dispositif d’enregistrement des conversations téléphoniques ;
– l’information complète des clients, en fournissant l’indication des différentes bases légales des traitements mis en œuvre ;***

— de *rendre publique la présente délibération sur le site de la CNIL et sur le site de Légifrance, la décision ne pouvant plus nommément identifier la société à l’expiration d’un délai de deux ans à compter de sa publication.***

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération SAN-2025-002 du 15 mai 2025 illustre de manière exemplaire la sévérité croissante de la CNIL à l’égard des courtiers en données qui structurent leur modèle économique autour de la prospection électronique de masse en s’abritant derrière des collectes réalisées par des tiers.

En sanctionnant la société CALOGA à hauteur de 250 000 euros, la formation restreinte rappelle d’abord que le responsable de traitement demeurant l’utilisateur final des fichiers de prospection est pleinement responsable de la validité des consentements, peu importe les clauses contractuelles transférant aux fournisseurs l’obligation de conformité, et que les audits sans suites correctrices ne sauraient constituer une cause d’exonération ;

Elle consacre ensuite une interprétation particulièrement stricte du principe de limitation de la durée de conservation, en censurant la pratique consistant à considérer la simple ouverture d’un courriel comme un « contact » justifiant la conservation pendant quatre ans en base active, pratique qui revient, en réalité, à reconduire indéfiniment le délai de conservation et à vider de sa substance l’exigence de proportionnalité posée par l’article 5, §1, e) du RGPD ; elle renforce, en troisième lieu, le socle jurisprudentiel relatif à l’article 32 du RGPD en réaffirmant l’obsolescence de la fonction de hachage MD5 pour le stockage des mots de passe, en dépit de l’usage d’un sel, et en exigeant le recours à des fonctions lentes conformes à l’état de l’art, tout en reconnaissant, à la marge, que la limitation des accès par adresse IP et la nature des données effectivement accessibles peuvent conduire à ne pas caractériser un manquement sur certains segments techniques ;

Elle rappelle, enfin, que l’obligation d’information de l’article 13 du RGPD impose une granularité fine des bases légales et une transparence accrue tant à l’égard des clients – notamment sur les transferts hors de l’Union et les fondements contractuels ou d’intérêt légitime – qu’à l’égard des salariés soumis à un dispositif d’enregistrement des appels, et que l’organisation interne de la société – en l’espèce la multiplication de bases de données sous différentes « marques » – ne peut en aucun cas restreindre l’effectivité du retrait du consentement ni de l’opposition, de sorte que cette affaire s’impose désormais comme un arrêt de référence pour la gestion des écosystèmes de prospection fondés sur des données acquises auprès de tiers et pour la mise en conformité des acteurs du courtage de données.