CNIL | SAN-2025-001 | 15 MAI 2025 | AFFAIRE SOLOCAL MARKETING SERVICES |
SOLOCAL MARKETING SERVICES | BASE DE DONNÉES DE 35 MILLIONS DE PROSPECTS | 4,7 MILLIONS DE SMS EXPÉDIÉS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I.
La société SOLOCAL MARKETING SERVICES et son positionnement dans l’écosystème de la prospection commerciale
La société SOLOCAL MARKETING SERVICES (ci-après « SOMS » ou « la société »), société anonyme à conseil d’administration dont le siège social est établi au 204 rond-point du Pont de Sèvres à Boulogne-Billancourt (92100), est une filiale de la société SOLOCAL GROUPE, anciennement connue sous la dénomination PAGES JAUNES GROUPE. Créée en 1999 sous le nom de PAGES JAUNES MARKETING SERVICES, la société s’est progressivement imposée comme un acteur structurant du marché du marketing direct en France, héritant d’une position historique et d’une expertise sectorielle profonde dans la constitution, la gestion et la monétisation de bases de données de prospects à des fins de prospection commerciale. Au 31 décembre 2023, la société employait 309 salariés. Pour l’exercice 2022, elle a réalisé un chiffre d’affaires de 79,4 millions d’euros pour un résultat net de 19,3 millions d’euros ; pour l’exercice 2023, ces chiffres s’établissaient respectivement à 76,3 millions d’euros et 16,3 millions d’euros, traduisant une activité certes légèrement déclinante mais demeurant substantielle.
La société a indiqué avoir pour activité principale, à la date du contrôle, la conception de sites web. Elle précise toutefois procéder toujours, en parallèle, à la vente de produits de marketing direct, recouvrant deux types de prestations distinctes. D’une part, SOMS réalise des opérations de prospection commerciale par l’envoi de courriers électroniques et de SMS à destination de prospects, au bénéfice d’environ 300 clients directs (annonceurs). En 2022, elle a ainsi adressé plus de 4,7 millions de personnes des SMS de prospection pour le compte de ses clients, et plus de 500 000 personnes ont été démarchées par courrier électronique. D’autre part, la société transmet à ses clients des données de prospects afin de permettre à ceux-ci de réaliser eux-mêmes des opérations de prospection commerciale par voie postale et téléphonique — offre dite « ListConnect ». Sur les dix premiers mois de l’année 2022, près d‘1,4 million de personnes ont ainsi vu leurs données transférées à des clients annonceurs de SOMS.
L’ensemble de ces opérations s’appuie sur une unique base de données, dénommée « base SOMS » au sein des conditions générales de vente, constituée par la société au moyen de données transmises et mises à jour régulièrement par une quinzaine de fournisseurs de données — telles que les sociétés désignées X1, X2 ou X3 dans la délibération (primo-collectants), ainsi que par la société X4 s’agissant des adresses postales et numéros de téléphone fixe des prospects. Cette base, qui compte environ 75 millions d’entrées, contient les données de près de 35 millions de personnes distinctes — soit environ la moitié de la population française — la société ayant précisé ne traiter que les données de ressortissants français au bénéfice d’annonceurs français.
L’architecture de la chaîne de prospection et la qualification de responsable de traitement
La délibération SAN-2025-001 offre un développement substantiel et pédagogique sur la qualification des acteurs dans l’écosystème de la prospection commerciale, distinguant les rôles respectifs des primo-collectants, des intermédiaires constituteurs de bases de données, et des annonceurs. La formation restreinte rappelle que la qualité de responsable de traitement à conférer aux différents acteurs de la chaîne dépend d’un certain nombre de paramètres : la propriété de la base de données, ses modalités de constitution et de gestion, les choix opérés en matière de segmentation, ou encore le degré et la précision des instructions données par l’annonceur. Ces attributions et répartitions des responsabilités doivent faire l’objet d’une analyse au cas par cas, et la qualification retenue par les acteurs eux-mêmes dans leurs actes contractuels constitue un élément important mais non déterminant dès lors qu’elle ne correspond pas à la réalité des critères de l’article 4 du RGPD.
En l’espèce, la formation restreinte retient la qualité de responsable de traitement de la société SOMS à deux titres. Premièrement, s’agissant des opérations de prospection commerciale par voie électronique réalisées pour le compte de ses clients à partir de sa propre base de données, la formation restreinte relève que la société : (i) est propriétaire de la base de données utilisée dans le cadre des campagnes de prospection, les clients annonceurs ne fournissant pas les données caractéristiques personnelles des prospects et n’y ayant pas accès ; (ii) définit les données personnelles figurant dans sa base, les durées de conservation de ces données, et les finalités de leur usage. Deuxièmement, s’agissant de l’offre « ListConnect » consistant à transmettre à ses clients des données issues de la base, la formation restreinte estime qu’en transmettant un segment ciblé de données issues d’une base qu’elle a elle-même constituée, et en déterminant contractuellement l’usage pouvant être fait de ces données, la société détermine à la fois les finalités et les moyens d’une telle opération.
La formation restreinte prend soin de préciser que la responsabilité de SOMS n’exclut pas celle des annonceurs agissant comme responsables conjoints du traitement — ce que la société indique elle-même dans ses conditions générales de vente. La délibération précise toutefois que seuls les traitements pour lesquels SOMS est, et se reconnaît, responsable de traitement font l’objet de la présente décision.
II.
Le manquement à l’obligation de recueillir un consentement valide pour la prospection commerciale par voie électronique (article L. 34-5 du CPCE)
L’article L. 34-5 du code des postes et des communications électroniques (CPCE) prohibe la prospection commerciale directe par voie électronique sans le consentement préalable de la personne concernée, sauf pour les clients existants s’agissant de produits ou services analogues. Le consentement requis doit s’entendre, combiné avec les dispositions de l’article 4 du RGPD, comme une manifestation de volonté libre, spécifique, éclairée et univoque et ne peut résulter que d’un consentement exprès de l’utilisateur, donné en toute connaissance de cause après une information adéquate sur l’usage qui sera fait de ses données personnelles.
La formation restreinte rappelle avec fermeté que l’ensemble de ces règles sont fixées depuis de nombreuses années et précèdent non seulement la publication de la décision SAN-2023-025 du 29 décembre 2023 (dans laquelle la formation restreinte avait précisé les modalités de recueil du consentement dans le contexte des jeux-concours organisés par les primo-collectants), mais également les opérations de contrôle menées en octobre 2022 auprès de la société SOMS. L’argument de la société tenant à la non-rétroactivité des règles répressives et à l’impossibilité d’anticiper les exigences de la décision de 2023 est ainsi écarté sans ambiguïté : les obligations résultant de l’article L. 34-5 du CPCE et de l’article 4 du RGPD étaient pleinement applicables et parfaitement connues au moment des faits litigieux.
L’invalidité des formulaires des fournisseurs X1 et X2 — Le mécanisme de la collecte captieuse
La société SOMS réalise ses campagnes de prospection à partir de données collectées par des primo-collectants (X1, X2, X3) via des formulaires de participation à des jeux-concours ou tests de produits en ligne. La formation restreinte examine les formulaires utilisés par les sociétés X1 et X2 — qui constituent deux des trois plus importants fournisseurs de données de SOMS — et conclut à leur non-conformité de manière particulièrement circonstanciée.
Le grief central porte sur la conception trompeuse des interfaces de collecte : la mise en valeur des boutons entraînant l’utilisation des données à des fins de prospection commerciale — par leur taille, leur couleur, leur intitulé et leur emplacement — comparée aux liens hypertextes permettant de participer au jeu sans accepter cette utilisation (d’une taille nettement inférieure et se confondant avec le corps du texte) pousse fortement l’utilisateur à accepter. Une telle conception ne permet pas de recueillir un consentement libre au sens du RGPD, dès lors que la présentation visuelle du formulaire biaiserait la liberté de choix de l’utilisateur en rendant l’option d’acceptation structurellement plus saillante que l’option de refus.
La formation restreinte considère que cette invalidité du consentement à la source — soit au niveau du primo-collectant — est pleinement opposable à SOMS en sa qualité de responsable de traitement utilisatrice des données ainsi recueillies. La société ne peut s’abriter derrière la délégation contractuelle du recueil du consentement à ses fournisseurs : il lui appartient de s’assurer, de manière effective et non seulement formelle, de la validité du consentement obtenu avant de mener ses campagnes. Les exigences contractuelles que SOMS imposait à ses fournisseurs en amont, ainsi que les vérifications qu’elle affirmait avoir effectuées en aval, sont qualifiées de manifestement insuffisantes dès lors que les formulaires examinés par la CNIL ne permettaient pas de recueillir un consentement valide.
La prise en charge de la responsabilité de l’utilisateur de données collectées par des tiers
La formation restreinte développe sur ce point une position de portée doctrinale considérable : le responsable de traitement qui utilise des données collectées par des tiers dans le cadre de jeux-concours ou dispositifs comparables ne peut se décharger de son obligation de vérification en se bornant à insérer des clauses contractuelles imposant au primo-collectant de recueillir un consentement valide. La conformité substantielle du formulaire de collecte demeure de sa responsabilité, car c’est bien lui qui bénéficie in fine du consentement censé couvrir ses opérations de prospection. Cette position est cohérente avec l’obligation d’accountability posée par l’article 5, paragraphe 2 du RGPD : la responsabilité démonstrative ne se délègue pas, elle s’exerce.
La formation restreinte relève en outre que le caractère systémique et non isolé du manquement est attesté par le fait que les formulaires non conformes examiés proviennent de deux des trois plus gros fournisseurs de données de la société. En 2022, SOMS a adressé près de 5,2 millions de personnes par voie électronique au cours de cette seule année, démontrant l’ampleur des opérations fondées sur des consentements invalides.
III.
Le manquement à l’obligation de preuve du consentement (article 7 du RGPD)
L’article 7, paragraphe 1, du RGPD pose que le responsable de traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de ses données. Cette obligation — corolaire logique de l’exigence de consentement — constitue une obligation de preuve active et permanente pesant sur le responsable de traitement : il ne suffit pas que le consentement ait été recueilli, encore faut-il que le responsable soit à même d’en fournir la preuve à tout moment, notamment lors d’un contrôle de l’autorité de surveillance.
En l’espèce, la formation restreinte constate que la société SOMS n’a pas été en mesure de fournir à la CNIL la preuve du consentement des personnes dont les données lui avaient été transmises par l’un de ses principaux fournisseurs — la société X3 — tiers dont elle utilisait les données pour ses campagnes de prospection. En conséquence, la CNIL n’a pas pu examiner les formulaires de collecte mis en œuvre par ce fournisseur ni, partant, apprécier la validité du consentement des personnes concernées.
La formation restreinte rappelle avec constance qu’il appartient à la société, en sa qualité de responsable de traitement, d’apporter la preuve que ses opérations de prospection réalisées sont licites — notamment la preuve du consentement. L’absence de conservation par le fournisseur de la preuve du consentement ne constitue pas une cause d’exonération pour SOMS : c’est à elle de s’assurer, avant d’utiliser les données transmises, que cette preuve existe et est accessible. Or, après avoir constaté que son partenaire X3 n’était pas en capacité de lui fournir cette preuve, la société a attendu près de 17 mois pour cesser d’utiliser les données transmises par ce fournisseur — délai que la formation restreinte apprécie avec une sévérité particulière.
Ce manquement concerne un nombre particulièrement important de personnes : SOMS a indiqué avoir démarché en 2022 plus de 1,2 million de personnes (SMS et courriers électroniques confondus) dont les données lui avaient été transmises par la société X3. L’ampleur quantitative renforce la gravité qualitative du manquement, la preuve du consentement étant l’une des garanties fondamentales assurant aux personnes concernées le respect effectif de leur droit d’opposition à la prospection non sollicitée.
La société a tenté de minimiser sa responsabilité en soulignant qu’elle avait finalement cessé d’utiliser les données transmises par X3 à compter du 18 octobre 2024, et que le contrat avec ce partenaire serait définitivement rompu à compter du 9 janvier 2025. La formation restreinte prend acte de cette cessation, mais relève expressément que cette mesure n’est intervenue que tardivement, près de dix-huit mois après avoir constaté l’impossibilité pour son partenaire de produire les éléments nécessaires au respect de l’article 7 du RGPD — ce qui constitue un délai incompatible avec les exigences de réactivité et de diligence attendues d’un acteur professionnel du secteur.
IV.
Le manquement à l’obligation de disposer d’une base légale valide pour la transmission de données (article 6 du RGPD)
L’article 6 du RGPD conditionne la licéité de tout traitement de données personnelles à l’existence d’une base légale parmi les six énumérées à son paragraphe 1. En l’espèce, le grief retenu concerne la transmission par SOMS à ses clients des numéros de téléphone mobile de prospects dans le cadre de l’offre « ListConnect », aux fins de permettre à ces clients de procéder eux-mêmes à des opérations de prospection commerciale par voie postale et téléphonique.
La société avait invoqué la base légale de l’intérêt légitime au sens de l’article 6, paragraphe 1, f du RGPD pour fonder cette transmission. La formation restreinte rejette cette qualification en relevant que, s’agissant de la transmission de numéros de téléphone mobile à des tiers annonceurs en vue d’opérations de prospection téléphonique, les personnes concernées ne pouvaient pas raisonnablement s’attendre à une telle utilisation de leurs données. L’intérêt légitime ne peut constituer une base légale valide qu’à la condition notamment que le traitement satisfasse au test de mise en balance des intérêts en présence et que les personnes concernées puissent raisonnablement anticiper que leurs données feront l’objet du traitement envisagé — condition non remplie en l’espèce dès lors que les prospects, en participant à des jeux-concours en ligne, ne pouvaient raisonnablement escompter voir leurs coordonnées téléphoniques mobiles transmises à des tiers à des fins de démarchage.
La formation restreinte note toutefois la part résiduelle des données concernées par ce manquement : les données transmises sans base légale valide représentent environ 8,5 % de l’activité « ListConnect » en 2022, laquelle représente elle-même une part très marginale de l’activité globale de la société. En 2022, 78 172 personnes ont vu leurs numéros de téléphone mobile transmis sans base légale à des clients annonceurs de SOMS. Cette proportion moindre est prise en compte dans l’appréciation de la gravité globale des manquements, et explique l’absence d’injonction sur ce point — la société ayant cessé l’activité « ListConnect » avant la délibération.
V.
Les défenses de la société et leur traitement par la formation restreinte
La défense tirée de la non-rétroactivité et de l’évolution du cadre normatif
La société SOMS a soutenu qu’à l’époque du contrôle (octobre 2022), le cadre juridique applicable ne lui permettait pas de conclure à l’invalidité des mécanismes de recueil du consentement mis en œuvre par ses partenaires. Elle a notamment invoqué la décision SAN-2023-025 du 29 décembre 2023, dans laquelle la formation restreinte s’est prononcée sur les modalités spécifiques de ce recueil dans le contexte des jeux-concours des primo-collectants, pour soutenir qu’elle n’était pas en capacité d’anticiper une telle décision en 2022. Elle a par ailleurs contesté l’application des recommandations et lignes directrices relatives aux cookies à la matière de la prospection commerciale.
La formation restreinte écarte ces arguments de manière circonstanciée. Elle rappelle que les règles applicables en matière de prospection par voie électronique, ainsi que celles relatives au consentement, sont fixées depuis de nombreuses années et précèdent largement la décision de 2023 invoquée. Les conditions de validité du consentement — libre, spécifique, éclairé, univoque, recueilli après information adéquate — sont définies dans des textes légaux et réglementaires en vigueur bien avant le contrôle. Le fait qu’une décision jurisprudentielle ait précisé l’application de ces exigences à un cas particulier (les formulaires de jeux-concours des primo-collectants) ne saurait constituer une création ex nihilo d’une obligation nouvelle ; il s’agit d’une application à un contexte factuel d’obligations préexistantes et connues.
La défense tirée de la diligence des procédures d’audit
La société a fait valoir qu’elle avait mis en place, dès le début de l’année 2022, des procédures visant à réaliser des audits de ses fournisseurs et à vérifier la validité du consentement recueilli, démontrant ainsi sa volonté de se conformer aux exigences réglementaires. La formation restreinte reconnaît l’existence de ces procédures, mais leur dénie toute valeur exonératoire en relevant que, malgré ces vérifications, la société n’a pas pris les mesures propres à assurer sa mise en conformité. Au contraire, la société a continué à exploiter les données transmises et n’a pris des mesures correctives substantielles qu’après plusieurs mois — 17 mois s’agissant du manquement à l’article 7 du RGPD. La formation restreinte considère qu’en s’affranchissant du respect des règles applicables, la société s’est montrée, « tout le moins, fortement négligente ».
La défense tirée de l’absence de plaintes et de préjudice des personnes concernées
La société a contesté la publication de la décision en soulignant que les personnes concernées n’avaient subi aucun préjudice et n’avaient déposé aucune plainte auprès de la CNIL. La formation restreinte rejette cet argument en rappelant que l’absence de plainte ne signifie pas l’absence de préjudice : celui-ci peut consister, en l’espèce, à ressentir « une certaine gêne ou irritation à la réception de messages de prospection commerciale sans y avoir consenti, ou à voir ses données transmises à des tiers sans pouvoir raisonnablement s’y attendre ». Cette approche est cohérente avec la jurisprudence de la CJUE reconnaissant que le seul fait d’un traitement illicite de données personnelles est susceptible de causer un préjudice à la personne concernée, même sans dommage matériel démontré.
La défense tirée de la disproportion de l’amende et la demande de limitation de l’assiette
La société a demandé à la formation restreinte de limiter la base de calcul de l’amende à la seule part du chiffre d’affaires générée par les activités de marketing direct, soit 1 689 725 euros en 2023 (représentant 2,21 % de son chiffre d’affaires global). La formation restreinte rejette catégoriquement cette demande : aucun texte ne prévoit une telle limitation de l’assiette, et la gravité des manquements n’est pas nécessairement liée aux revenus directement générés par les activités concernées. Afin d’assurer le caractère dissuasif et proportionné de la sanction, la formation restreinte s’appuie sur le chiffre d’affaires total de la société (76,3 millions d’euros pour 2023), conformément aux dispositions de l’article 83 du RGPD.
VI.
Le cadre normatif mobilisé et son articulation
L’article L. 34-5 du CPCE et son articulation avec le RGPD
L’article L. 34-5 du code des postes et des communications électroniques constitue la disposition spéciale applicable en matière de prospection commerciale par voie électronique en droit français. Il exige le recueil préalable du consentement de la personne concernée avant tout envoi de messages de prospection par voie électronique (SMS, courrier électronique). La délibération SAN-2025-001 illustre parfaitement l’articulation entre cette disposition nationale et les exigences du RGPD : la validité du consentement requis par l’article L. 34-5 du CPCE doit être appréciée à l’aune des critères de l’article 4, paragraphe 11 du RGPD — manifestation de volonté libre, spécifique, éclairée et univoque. Cette articulation conduit à une exigence substantielle et non formelle du consentement : il ne suffit pas qu’un formulaire prévoie une case à cocher ; encore faut-il que la conception d’ensemble de ce formulaire ne biaise pas le choix de l’utilisateur.
L’article 7 du RGPD et la charge de la preuve du consentement
L’article 7 du RGPD opère un renversement de la charge de la preuve particulièrement significatif : il appartient au responsable de traitement de démontrer que la personne a donné son consentement, et non à la personne ou à l’autorité de contrôle d’en établir l’absence. Cette exigence impose aux responsables de traitement de mettre en place des systèmes robustes de conservation et de traçabilité des preuves de consentement tout au long de la chaîne de collecte — y compris lorsque cette collecte est déléguée à des tiers. La délibération SAN-2025-001 illustre les exigences concrètes qui découlent de cette obligation : SOMS était tenue de conserver, ou de se faire communiquer et de conserver, les preuves du consentement recueilli par ses fournisseurs pour son compte.
L’article 6 du RGPD et les limites de la base légale de l’intérêt légitime
La délibération apporte un éclairage important sur les conditions d’invocabilité de l’intérêt légitime comme base légale pour la transmission de données de prospects à des tiers à des fins de prospection. La formation restreinte rappelle que l’intérêt légitime implique notamment que les personnes concernées « peuvent raisonnablement s’attendre » au traitement en question. S’agissant de la transmission de numéros de téléphone mobile à des tiers annonceurs pour du démarchage téléphonique, cette condition n’est pas remplie : les prospects ayant participé à des jeux-concours en ligne ne pouvaient pas anticiper que leurs coordonnées mobiles seraient transmises à des entreprises tierces pour les démarcher par téléphone.
VII.
La détermination du dispositif sanctionnateur
La qualification des manquements et leur gravité intrinsèque
La formation restreinte relève que deux des manquements constatés — les manquements aux articles L. 34-5 du CPCE et 7 du RGPD — entrent dans les prévisions de l’article 83, paragraphe 5 du RGPD et sont susceptibles d’être sanctionnés par l’amende la plus élevée prévue par le législateur européen, soit 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % de son chiffre d’affaires mondial. Les manquements aux principes fondamentaux de licéité du traitement, dont l’exigence de consentement constitue l’expression la plus directe, se voient ainsi conférer le niveau de gravité normative le plus élevé prévu par le RGPD.
La formation restreinte insiste sur le caractère systémique et non isolé du manquement à l’article L. 34-5 du CPCE, attesté par le fait que les formulaires non conformes proviennent de deux des trois plus gros fournisseurs de données de la société. Le nombre de personnes concernées par ce manquement est particulièrement élevé : 5,2 millions de personnes démarchées par voie électronique en 2022 sans consentement valide.
La prise en compte de la négligence et de l’avantage financier
S’agissant du critère de l’article 83, paragraphe 2, b du RGPD (caractère délibéré ou négligent de la violation), la formation restreinte retient que la société s’est montrée « fortement négligente » en ne prenant pas les mesures propres à assurer sa mise en conformité malgré sa parfaite conscience des obligations applicables, démontrée notamment par la mise en place dès 2022 de procédures d’audit de ses fournisseurs. La conscience des obligations, sans leur respect effectif, constitue précisément la définition de la négligence grave en matière réglementaire.
La formation restreinte retient également, en application de l’article 83, paragraphe 2, k du RGPD, que la société a tiré un avantage financier certain des violations commises, dans la mesure où elle s’est vu rémunérer par ses clients pour la fourniture des données en cause. Cet avantage financier représente une circonstance aggravante explicite, traduisant que les manquements ont procuré à leur auteur un bénéfice économique qu’une amende proportionnée doit au minimum annihiler.
La prise en compte des mesures correctives et de la situation financière
En revanche, la formation restreinte prend acte à titre de circonstance atténuante que la société a pris, depuis les contrôles réalisés, des mesures pour renforcer les vérifications effectuées sur les formulaires de collecte mis en œuvre par ses partenaires primo-collectants, et qu’elle a cessé d’exploiter les données transmises par la société X3. Elle note aussi que l’offre « ListConnect » a cessé avant la délibération.
S’agissant de la situation financière, la formation restreinte observe que le chiffre d’affaires de la société pour l’année 2023 s’élève à 76,3 millions d’euros pour un résultat net de 16,3 millions d’euros, et que ces chiffres n’ont subi aucune baisse significative au cours des trois dernières années.
VIII.
Les aspects procéduraux et les moyens de défense procéduraux
Le grief de violation du droit à un procès équitable
La société SOMS a soutenu que la manière dont avait été conduite l’instruction portait atteinte à son droit à un procès équitable garanti par l’article 6 de la Convention européenne des droits de l’homme. Elle a notamment fait valoir que ses observations n’avaient pas été suffisamment prises en considération par le rapporteur et que ce dernier aurait soulevé, dans sa réponse, un nouveau moyen non expressément visé dans le rapport initial.
La formation restreinte rejette ce grief par un rappel pédagogique des principes applicables. Le principe du contradictoire implique le droit pour les parties de se voir communiquer et de pouvoir discuter de toute pièce ou observation présentée au juge en vue d’influencer sa décision (CEDH, Grande Chambre, 20 février 1996, Vermeulen c. Belgique, n° 19075/91). En l’espèce, la société a eu connaissance de l’ensemble des éléments du dossier et a pu formuler des observations écrites (plusieurs échanges d’écriture au cours de l’instruction) puis orales lors de la séance du 19 décembre 2024. Les garanties du procès équitable ont ainsi été pleinement respectées dans leur substance.
La délimitation précise du périmètre de la décision
La formation restreinte prend soin de délimiter avec précision le périmètre des traitements visés par la décision : sont concernés exclusivement les traitements pour lesquels SOMS est, et se reconnaît, responsable de traitement — à l’exclusion des hypothèses où elle agirait en qualité de sous-traitant de ses clients. Cette délimitation procède d’une application rigoureuse des règles d’imputabilité, garantissant la conformité de la décision au principe de responsabilité personnelle.
IX.
Les mesures correctives et leur portée
L’injonction relative à l’article L. 34-5 du CPCE et l’absence d’injonction pour les autres manquements
La formation restreinte prononce une injonction de cesser de procéder à des opérations de prospection commerciale par voie électronique en l’absence d’un consentement valable. La société devra, dans ce cadre, ne plus utiliser les données collectées à partir de formulaires ne permettant pas de recueillir un tel consentement, ou, à défaut, recueillir elle-même ce consentement directement auprès des personnes concernées.
S’agissant du manquement à l’article 7 du RGPD (preuve du consentement par le fournisseur X3), la formation restreinte constate que la société n’utilise plus, depuis le 18 octobre 2024, les données transmises par ce fournisseur et que le contrat sera définitivement rompu à compter du 9 janvier 2025 — il n’y a donc pas lieu de prononcer d’injonction. S’agissant du manquement à l’article 6 du RGPD (base légale pour la transmission de données via l’offre « ListConnect »), la société ayant cessé cette activité, le prononcé d’une injonction apparaît sans objet.
La publicité de la décision
La formation restreinte considère que la publication de la décision s’impose au regard de la gravité des manquements et du nombre de personnes concernées, qui seront ainsi informées. Elle rappelle que l’absence de plaintes déposées auprès de la CNIL ne signifie pas que les personnes concernées n’ont subi aucun préjudice, celui-ci pouvant consister à ressentir une gêne ou une irritation à la réception de messages de prospection sans consentement, ou à voir ses données transmises à des tiers sans pouvoir raisonnablement s’y attendre. La mesure est déclarée proportionnée dès lors que la décision n’identifiera plus nommément la société à l’issue d’un délai de deux ans à compter de sa publication.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats