CNIL | SAN-2025-001 | 15 mai 2025 | Affaire SOLOCAL MARKETING SERVICES | CONSEILS

CONSEILS AUX RESPONSABLES DE TRAITEMENT ET AUX COURTIERS EN DONNÉES

---

1. CARTOGRAPHIER PRÉCISÉMENT LA CHAÎNE DE COLLECTE ET DE PROSPECTION

 

Les enseignements de la délibération SAN‑2025‑001 imposent aux responsables de traitement intervenant dans la prospection B2C une cartographie fine de l’ensemble des acteurs et des flux de données, depuis la collecte initiale par les primo‑collectants jusqu’aux opérations de prospection par SMS, courriel, téléphone ou courrier.

La formation restreinte décrit minutieusement la chaîne mise en œuvre par SOLOCAL MARKETING SERVICES : des éditeurs de sites de jeux‑concours et tests produits collectent les données des internautes via des formulaires complexes, puis transmettent ces données à SOMS, qui les insère dans une base massive (« base SOMS ») avant de les exploiter pour ses propres campagnes et de les revendre à des annonceurs.

« Cette base, qui compte environ 75 millions d’entrées, contient les données de près de 35 millions de personnes distinctes. […] En 2022, elle a adressé plus de 4,7 millions de personnes, pour ses clients, des SMS de prospection, et plus de 500 000 personnes ont été démarchées par courrier électronique. Sur les dix premiers mois de l’année 2022, près d’1,4 million de personnes ont ainsi vu leurs données transférées. »

Pour tout acteur se trouvant en position analogue, la première étape consiste à dresser un inventaire exhaustif :

—-des sources de données (primo‑collectants, partenaires, courtiers) ;
—-des fondements juridiques invoqués par chacun (consentement, intérêt légitime, contrat, etc.) ;
—-des canaux de prospection utilisés ;
—-des flux de cession ou de location de fichiers.

Cette cartographie doit être intégrée au registre des activités de traitement (article 30 RGPD) et servir de base à l’analyse d’impact, lorsque les opérations présentent un risque élevé.

---

2. SÉCURISER CONTRACTUELLEMENT LE RECUEIL DU CONSENTEMENT… ET VÉRIFIER LA RÉALITÉ DES PRATIQUES

 

L’un des principaux enseignements de l’affaire SOMS tient à l’insuffisance des seules stipulations contractuelles pour garantir la conformité des collectes opérées par les partenaires. SOMS invoquait l’existence de clauses imposant à ses fournisseurs le respect du RGPD et de l’article L.34‑5 CPCE, ainsi que des audits réguliers. La formation restreinte considère toutefois que ces mesures ne suffisaient pas, dès lors que les formulaires examinés présentaient des défauts manifestes et que la société a continué à exploiter les données malgré ces constats.

En pratique, les responsables de traitement doivent :

—-prévoir des clauses détaillées décrivant les modalités de recueil du consentement : contenus exacts des mentions, structure des formulaires, ergonomie et absence de dark patterns ;
—-imposer la mise à disposition régulière de copies d’écran horodatées des formulaires effectivement utilisés et de tout changement d’interface ;
—-prévoir une faculté de suspension immédiate de l’exploitation des données et de résiliation du contrat en cas de non‑conformité avérée ou de défaut de coopération du partenaire.

Ces engagements contractuels doivent être complétés par des audits substantiels, incluant des tests sur les parcours utilisateurs et, si nécessaire, des contrôles sur place ou des revues de code lorsque les formulaires sont dynamiques.

---

3. CONCEVOIR DES FORMULAIRES DE COLLECTE CONFORMES : ÉVITER LES « DARK PATTERNS »

 

Les formulaires analysés par la CNIL dans le cadre de SOMS illustrent ce qu’il faut proscrire : boutons d’acceptation surdimensionnés et colorés, liens d’opt‑out noyés dans le texte, information diluée dans des conditions générales peu accessibles ou dans des listes de partenaires à rallonge.

Le communiqué souligne ainsi que :

« La mise en valeur des boutons entraînant l’utilisation de ses données à des fins de prospection commerciale […] comparée aux liens hypertextes permettant de participer au jeu sans accepter cette utilisation […] pousse fortement l’utilisateur à accepter. »

À l’inverse, pour respecter les exigences de l’article 4 § 11 et de l’article 7 RGPD, un formulaire devrait :

—-présenter les options « oui » et « non » de manière symétrique, tant sur le plan visuel que rédactionnel ;
—-utiliser des cases à cocher non pré‑cochées, comportant une formulation claire et ciblée (par exemple : « J’accepte de recevoir des offres commerciales par SMS et courriel de la part de [Nom de l’annonceur] et de ses partenaires clairement identifiés ») ;
—-fournir, à proximité immédiate de la case, une explication synthétique sur la finalité de la collecte, les catégories de partenaires et les canaux de prospection envisagés, avec un lien vers une information plus détaillée.

---

4. ORGANISER LA PREUVE DU CONSENTEMENT (ARTICLE 7 RGPD)

 

L’affaire SOMS rappelle avec force qu’il ne suffit pas de recueillir le consentement : encore faut‑il être en mesure d’en rapporter la preuve. La CNIL relève que SOMS n’a pas pu produire les formulaires applicables pour les données fournies par l’un de ses principaux partenaires et qu’elle a poursuivi l’exploitation de ces données pendant 17 mois après avoir constaté cette carence.

Les responsables de traitement doivent donc mettre en place des dispositifs robustes de conservation de la preuve, comprenant notamment :

—-la conservation de copies d’écran et de versions horodatées des formulaires pour chaque période d’utilisation ;
—-des journaux détaillés (logs) des événements de consentement, reliant l’identifiant du prospect, le canal, la date et, idéalement, la version de formulaire utilisée ;
—-des procédures de purge automatique des données pour lesquelles la preuve du consentement ne peut plus être apportée (perte de logs, changement de système, etc.).

En cas d’incapacité d’un fournisseur à produire la preuve du consentement, l’exploitation des données issues de ce fournisseur doit être immédiatement suspendue, et une revue globale du partenariat engagée.

---

5. ENCADRER STRICTEMENT LES TRANSMISSIONS DE DONNÉES (ARTICLE 6 RGPD)

 

La décision SOMS illustre le risque de basculer dans l’illicéité lorsque des données collectées sur le fondement du consentement sont ensuite cédées à des partenaires sans base légale claire ni information adéquate des personnes. SOMS invoquait l’intérêt légitime pour justifier les transmissions opérées dans le cadre de l’offre ListConnect ; la CNIL a considéré que cet intérêt ne pouvait l’emporter sur les droits des personnes, compte tenu du caractère intrusif de la prospection et du défaut d’information.

En pratique, les transmissions de données à des fins de prospection B2C devraient être encadrées par les principes suivants :

—-lorsque l’on se fonde sur le consentement, l’information initiale doit mentionner explicitement la possibilité de transmission à des partenaires nommément identifiés ou aisément identifiables, ainsi que les catégories et finalités des traitements ultérieurs ;
—-lorsque l’on invoque l’intérêt légitime, une analyse rigoureuse de mise en balance doit démontrer que les attentes raisonnables des personnes incluent la perspective de telles transmissions, ce qui est rarement le cas pour des listes de partenaires nombreux et changeants ;
—-la réutilisation des données par les partenaires doit être cohérente avec la finalité initiale et assortie de mécanismes d’opposition simples et effectifs.

---

6. GOUVERNANCE INTERNE ET SUIVI DES MISES EN CONFORMITÉ

 

Enfin, le montant de l’amende prononcée contre SOMS tient aussi compte des mesures de mise en conformité engagées après le contrôle : si celles‑ci ne neutralisent pas la sanction, elles permettent d’éviter une aggravation.

Pour les responsables de traitement, il est indispensable de structurer une gouvernance de la prospection :

—-désignation et implication active du DPO dans la revue des parcours de collecte et des partenariats avec les courtiers ;
—-comité interne associant juridique, marketing, conformité et SI pour valider toute nouvelle source de données ou tout nouveau formulaire ;
—-indicateurs réguliers (KPI) sur les taux de consentement, les taux d’opposition, les plaintes et les demandes d’accès liées à la prospection.

CONSEILS SPÉCIFIQUES AUX PERSONNES CONCERNÉES PAR LA PROSPECTION

---

1. IDENTIFIER L’ORIGINE DES SOLLICITATIONS ET EXERCER SES DROITS

 

L’affaire SOMS montre que des millions de personnes peuvent être démarchées par SMS ou courriel sans avoir conscience d’avoir consenti à une utilisation aussi large de leurs données. Le communiqué de la CNIL insiste sur le fait que la société utilisait des données acquises auprès de courtiers, eux‑mêmes « primo‑collectants » sur des sites de jeux‑concours et tests produits.

Les personnes démarchées ont intérêt, à chaque sollicitation jugée intrusive, à :

—-vérifier si elles ont effectivement participé à un jeu, rempli un formulaire ou donné leur numéro de téléphone ou leur adresse e‑mail à un partenaire dans un contexte promotionnel récent ;
—-demander, auprès de la société qui les démarche, des informations sur l’origine de leurs données et la base légale des traitements (articles 12 à 15 RGPD) ;
—-exiger, si elles le souhaitent, l’arrêt de la prospection par l’exercice du droit d’opposition (article 21 RGPD) et, le cas échéant, la suppression de leurs données (article 17 RGPD).

Les personnes peuvent également, lorsque leurs droits ne sont pas respectés, saisir la CNIL d’une plainte, en mentionnant les campagnes reçues, les numéros ou adresses expéditrices et l’absence de consentement.

---

2. ADOPTER DES RÉFLEXES DE PRUDENCE FACE AUX JEUX‑CONCOURS ET FORMULAIRES PROMOTIONNELS

 

Les constats opérés dans SOMS, comme dans CALOGA ou HUBSIDE.STORE, montrent que de nombreux sites de jeux‑concours ou de tests produits sont conçus pour collecter des données massivement, en rendant difficile la compréhension de l’ampleur des traitements ultérieurs.

Les personnes doivent donc :

—-lire attentivement les mentions d’information, en recherchant les termes « partenaires », « prospection », « offres commerciales » ;
—-refuser systématiquement les cases à cocher relatives à la prospection lorsqu’elles ne souhaitent pas être sollicitées, et privilégier, lorsque c’est possible, les parcours permettant de participer sans cession de données à des partenaires ;
—-se méfier des formulaires qui ne permettent pas de participer sans accepter des conditions très générales de prospection ou qui présentent des boutons très attractifs pour l’acceptation, versus des liens discrets pour le refus.

---

3. UTILISER DE MANIÈRE ACTIVE LES MÉCANISMES D’OPPOSITION

 

Même lorsque les données ont été collectées de manière régulière, les personnes conservent le droit de s’opposer à tout moment à la prospection. Les campagnes de SMS ou de courriels doivent comporter un mécanisme simple (lien de désinscription, réponse « STOP » gratuite, etc.). L’affaire SOMS rappelle que la CNIL est attentive à la traçabilité des droits exercés : si une personne s’oppose et continue à être démarchée, l’organisme s’expose à un risque contentieux accru.

En pratique, il est recommandé de conserver quelques exemples de messages reçus, les dates et les réponses envoyées, afin de documenter une éventuelle plainte auprès de la CNIL.

MISE EN PERSPECTIVE AVEC LES JURISPRUDENCES ANTÉRIEURES ET POSTÉRIEURES

Les conseils précédents doivent être compris à la lumière d’une jurisprudence plus large.

—-Dans la décision SAN‑2024‑004 (HUBSIDE.STORE), la CNIL a déjà sanctionné l’utilisation de données achetées à des courtiers pour des opérations de prospection, en insistant sur l’obligation d’information de l’article 14 RGPD et sur la nécessité de s’assurer que les personnes ont été informées du recours à des partenaires.
—-Dans la décision SAN‑2025‑002 (CALOGA), la Commission a souligné l’importance de la durée de conservation des données de prospects et de la limitation de la base active, en rappelant que la simple ouverture d’un courriel ne saurait être considérée comme un « contact » prolongeant indéfiniment la durée de conservation.
—-Les décisions visant ORANGE (SAN‑2024‑019) et GOOGLE (SAN‑2025‑004) ont étendu l’analyse à des formes plus innovantes de prospection (publicités insérées entre les courriels), en confirmant que l’article L.34‑5 CPCE s’applique dès lors que l’utilisateur perçoit un message comme un courriel publicitaire et non comme un simple bandeau.

Pour les responsables de traitement, l’ensemble de ces décisions impose de traiter la prospection comme un domaine à très haut risque de contentieux, requérant une gouvernance renforcée, une documentation probatoire solide et une vigilance constante sur les interfaces de collecte.

Pour les personnes concernées, elles offrent un socle juridique robuste pour contester des sollicitations non désirées, exiger la transparence sur l’origine des données et, le cas échéant, obtenir réparation des atteintes à leur vie privée.

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération SAN‑2025‑001 prononce une amende de 900 000 € à l’encontre de la société SOLOCAL MARKETING SERVICES (SOMS), filiale de SOLOCAL GROUPE spécialisée dans le marketing direct, pour avoir opéré à grande échelle des campagnes de prospection par SMS et courriel — plus de 4,7 millions de personnes démarchées par SMS et 500 000 par courriel en 2022, à partir d’une base de 35 millions de prospects alimentée par une quinzaine de courtiers en données — sans être en mesure de démontrer que les consentements sous‑tendant ces opérations étaient libres, spécifiques, éclairés et univoques au sens de l’article L.34‑5 CPCE et des articles 6 et 7 du RGPD.

La formation restreinte retient en effet que les formulaires mis en œuvre par les principaux fournisseurs de SOMS recouraient à des dark patterns — boutons d’acceptation surdimensionnés et mis en couleur, liens de refus dissimulés dans le texte — rendant structurellement impossible la collecte d’un consentement valable ; que la société, propriétaire de la base et décisionnaire des moyens et finalités des traitements, est pleinement responsable de cette chaîne de collecte en dépit de ses obligations contractuelles imposées aux courtiers, lesquelles se sont révélées manifestement insuffisantes faute d’avoir conduit à une interruption de l’exploitation des données litigieuses ; et que, pour l’un de ses principaux fournisseurs, SOMS s’est révélée incapable de produire la moindre preuve du consentement, tout en maintenant l’utilisation des données concernées pendant dix‑sept mois après avoir constaté cette carence, ce que la CNIL qualifie de négligence caractérisée au sens de l’article 83 § 2 b du RGPD. En parallèle, les transmissions de données à des clients annonceurs dans le cadre de l’offre ListConnect, opérées sous le couvert de l’intérêt légitime, sont jugées dépourvues de base légale valable, l’opacité des formulaires de collecte rendant inenvisageables les « attentes raisonnables » des personnes quant à une telle commercialisation de leurs données.

La sanction de 900 000 €, assortie d’une injonction de cesser la prospection sans consentement valable sous astreinte de 10 000 € par jour de retard à l’issue d’un délai de neuf mois, et de la publication de la délibération, s’inscrit dans la continuité d’une lignée jurisprudentielle cohérente — TAGADAMEDIA (SAN‑2023‑025), HUBSIDE.STORE (SAN‑2024‑004), CALOGA (SAN‑2025‑002) — et confirme que les gestionnaires de bases mutualisées de prospects sont pleinement responsables de la validité des consentements collectés par leurs partenaires, que les clauses contractuelles ne valent pas preuve, et que toute inertie face à un défaut de traçabilité du consentement constitue un facteur aggravant susceptible d’alourdir considérablement la sanction.