CNIL | SAN-2025-001 | 15 MAI 2025 | AFFAIRE SOLOCAL MARKETING SERVICES |
SOLOCAL MARKETING SERVICES | BASE DE DONNÉES DE 35 MILLIONS DE PROSPECTS | 4,7 MILLIONS DE SMS EXPÉDIÉS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
LA QUALIFICATION DE RESPONSABLE DE TRAITEMENT DANS L’ÉCOSYSTÈME DU DATA BROKING
La formation restreinte consacre des développements d’une densité remarquable à la question préalable de la qualification juridique de SOLOCAL MARKETING SERVICES (ci-après « SOMS ») au regard de l’article 4, §7 du RGPD. Cette question n’est pas purement académique : elle conditionne directement l’imputabilité des manquements reprochés et révèle la complexité structurelle de l’écosystème de la prospection commerciale dans lequel la société opère. La formation restreinte souligne d’emblée que la qualification à conférer aux différents acteurs de la chaîne — annonceur, intermédiaire, primo-collectant — « dépend d’un certain nombre de paramètres comme par exemple la propriété de la base de données, ses modalités de constitution et de gestion, les choix opérés en matière de segmentation ou encore le degré et la précision des instructions données par l’annonceur ». Cette approche casuistique, conforme à la jurisprudence constante de la Cour de cassation et du Conseil d’État, rejette toute présomption de qualification fondée sur la seule apparence contractuelle.
En l’espèce, la société propose deux types de prestations distincts : d’une part, des campagnes de prospection par courrier électronique (offre « EmailConnect ») et par SMS (offre « ContactConnect »), réalisées pour le compte de clients annonceurs à partir de sa propre base de données ; d’autre part, la transmission à ses clients de données de prospects issues de la même base, afin que ces derniers réalisent eux-mêmes des opérations de prospection par voie postale et téléphonique (offre « ListConnect »). La base en question, dénommée « SOMS », compte environ 75 millions d’entrées pour un total dédoublonné de près de 35 millions de personnes distinctes — représentant approximativement la moitié de la population française adulte — constituée à partir de données transmises par une quinzaine de partenaires « primo-collectants ».
La formation restreinte adopte un raisonnement en deux temps. Concernant les opérations de prospection électronique, elle relève que la société est propriétaire de la base, que ses clients n’ont pas accès aux données personnelles des prospects et n’en fournissent pas, et qu’elle détermine elle-même les données figurant dans la base, leurs durées de conservation et leurs finalités d’usage. Elle en conclut que SOMS agit comme responsable de traitement — position que la société elle-même reconnaît dans ses conditions générales de vente et lors du contrôle du 18 octobre 2022. S’agissant de la transmission des données via l’offre « ListConnect », la formation restreinte retient que, « en transmettant à ses clients un segment ciblé de données issues d’une base qu’elle a elle-même constituée et dont elle est propriétaire, et en déterminant contractuellement l’usage pouvant être fait de ces données, la société détermine à la fois les finalités et les moyens d’une telle opération », la qualifiant également de responsable de traitement.
Ce double ancrage — responsable de traitement tant pour les campagnes électroniques que pour la transmission de données — présente une portée doctrinale significative. Il confirme et approfondit la jurisprudence posée par la délibération SAN-2020-016 du 7 décembre 2020, qui avait retenu la même qualification pour un acteur au profil similaire. La formation restreinte précise toutefois que cette qualification n’exclut pas une éventuelle responsabilité conjointe des annonceurs et clients utilisateurs des données, question qu’elle n’a pas à trancher en l’espèce. Cette réserve est importante : elle dessine en creux un espace de responsabilité partagée que les praticiens devront intégrer dans l’architecture contractuelle des dispositifs de prospection commerciale.
LE DÉFAUT DE CONSENTEMENT VALABLE POUR LES OPÉRATIONS DE PROSPECTION ÉLECTRONIQUE — ARTICLE L. 34-5 DU CPCE ET ARCHITECTURE DES FORMULAIRES DE JEUX-CONCOURS
Le premier et principal manquement retenu est la violation de l’article L. 34-5 du code des postes et des communications électroniques (CPCE), qui impose que toute prospection directe par voie électronique soit précédée du consentement exprès de la personne concernée. La formation restreinte rappelle que ce consentement, combiné aux dispositions de l’article 4 du RGPD, « doit s’entendre comme une manifestation de volonté libre, spécifique, éclairée et univoque et ne peut résulter que d’un consentement exprès de l’utilisateur, donné en toute connaissance de cause après une information adéquate sur l’usage qui sera fait de ses données personnelles ».
Le cycle de vie des données au sein du système SOMS est reconstitué avec précision : les données sont collectées par les primo-collectants (sociétés X1, X2 et X3) au moyen de formulaires de participation à des jeux-concours en ligne. Ces formulaires conditionnent la participation au jeu au fait d’accepter que les données recueillies soient transmises à des tiers à des fins de prospection commerciale. SOMS intègre ensuite ces données dans sa base et les utilise pour réaliser des campagnes de prospection pour le compte de ses clients annonceurs, en se fondant sur le consentement prétendument recueilli par les primo-collectants.
La formation restreinte procède à un examen minutieux de la conception de ces formulaires et conclut à leur non-conformité. Elle relève que « la mise en valeur des boutons entraînant l’utilisation de ses données à des fins de prospection commerciale — par leur taille, leur couleur, leur intitulé et leur emplacement — comparée aux liens hypertextes permettant de participer au jeu sans accepter cette utilisation — d’une taille nettement inférieure et se confondant avec le corps du texte — pousse fortement l’utilisateur à accepter ». Ce grief de dark pattern n’est pas formulé en ces termes dans la délibération, mais la description qui en est faite correspond exactement à cette notion. La conception du formulaire oriente délibérément et systématiquement le comportement de l’utilisateur vers l’acceptation, privant ainsi le consentement de sa caractéristique essentielle : être libre.
La société avait développé une double argumentation défensive. Elle soutenait, d’une part, que le cadre juridique applicable à l’époque du contrôle — octobre 2022 — ne lui permettait pas de conclure à l’invalidité des mécanismes de recueil mis en œuvre par ses partenaires, et que c’est seulement par la délibération SAN-2023-025 du 29 décembre 2023 que la formation restreinte s’était prononcée sur les modalités spécifiques de ce recueil dans le contexte des jeux-concours. Elle invoquait en substance le principe de non-rétroactivité des règles répressives. La formation restreinte rejette fermement cet argument : « l’ensemble des règles applicables en matière de prospection par voie électronique, ainsi que celles relatives au consentement, sont fixées depuis de nombreuses années et elles précèdent non seulement la publication de la décision susvise, mais également les opérations de contrôle menées en octobre 2022 ». Les conditions de validité du consentement — liberté, spécificité, éclairage et univocité — sont en effet posées par le RGPD depuis son entrée en application le 25 mai 2018, et par la directive 2002/58/CE bien avant.
La société soutenait, d’autre part, avoir imposé des exigences contractuelles à ses fournisseurs et réalisé des audits de leurs formulaires depuis 2014. La formation restreinte reconnaît l’existence de ces procédures mais constate qu’elles étaient « manifestement insuffisantes » et que, « en tout état de cause, [la société] n’en avait pas tiré les conséquences qui s’imposaient ». Cette formulation révèle une appréciation en deux temps : non seulement les procédures étaient inadéquates en elles-mêmes, mais leur résultat — la connaissance que les formulaires ne permettaient pas un consentement valide — n’a pas conduit la société à cesser d’exploiter les données concernées. La continuité d’exploitation en connaissance de cause aggrave substantiellement la caractérisation de la négligence.
La gravité systémique de ce manquement est soulignée par plusieurs éléments factuels convergents. Les formulaires examinés provenaient des deux plus gros fournisseurs de données de la société, suggérant que les pratiques non conformes ne sont pas marginales mais structurelles. La société a indiqué avoir démarché près de 5,2 millions de personnes par voie électronique au cours de l’année 2022 à partir de données ainsi collectées. Cette massivité de l’impact — affectant des millions de personnes qui n’ont pas valablement consenti à être démarchées — constitue l’élément central de l’appréciation de la gravité du manquement.
L’OBLIGATION DE DÉMONTRER LE CONSENTEMENT — ARTICLE 7 DU RGPD ET CARENCE PROBATOIRE
Le deuxième manquement retenu est la violation de l’article 7, §1 du RGPD, qui pose que « dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement ». Ce manquement est distinct et autonome par rapport au précédent : là où le premier constate que les formulaires ne permettaient pas de recueillir un consentement valide, le second constate que, pour l’un de ses principaux fournisseurs (la société X3), la société n’a pas été en mesure de produire la preuve du consentement.
La portée de l’article 7 du RGPD est plus profonde qu’il n’y paraît. Il ne s’agit pas d’une simple exigence de conservation documentaire : il s’agit d’un renversement structurel de la charge de la preuve. En droit commun, il appartient à celui qui invoque un droit de le prouver. En matière de consentement au sens du RGPD, c’est le responsable de traitement — qui a tout intérêt à traiter les données — qui doit démontrer que la personne a librement consenti. Cette inversion est d’autant plus exigeante que le consentement doit avoir été donné avant le traitement. Le responsable de traitement doit donc avoir organisé, au moment même de la collecte, les conditions permettant de rapporter cette preuve a posteriori.
En l’espèce, la société SOMS a été dans l’incapacité de fournir à la CNIL les éléments permettant d’examiner les formulaires de collecte mis en œuvre par la société X3 et, partant, de vérifier la validité du consentement des personnes concernées. La formation restreinte souligne que « il appartient bien à la société, en sa qualité de responsable de traitement, d’apporter la preuve que ses opérations de prospection réalisées sont licites, notamment la preuve du consentement ». Cette formulation rappelle que le principe d’accountability de l’article 5, §2 du RGPD n’est pas seulement une obligation de se conformer, mais une obligation de démontrer la conformité.
Un élément aggravant particulièrement significatif est relevé par la formation restreinte : après avoir constaté que son partenaire X3 n’était pas en capacité de lui fournir la preuve du consentement, la société a attendu près de 17 mois pour cesser d’utiliser les données transmises par ce fournisseur. Ce délai de 17 mois est déterminant : il démontre que la société avait connaissance de la défaillance probatoire et a néanmoins délibérément choisi de maintenir l’exploitation des données concernées. Cette persistance dans l’exploitation illicite, en connaissance de cause, ôte tout fondement à l’argument d’une négligence non intentionnelle et caractérise une conduite fortement négligente sinon délibérée.
LE MANQUEMENT À LA BASE LÉGALE POUR LA TRANSMISSION DE DONNÉES À DES FINS DE PROSPECTION TÉLÉPHONIQUE — ARTICLE 6 DU RGPD
Le troisième manquement, d’une nature différente, concerne la violation de l’article 6 du RGPD relatif à la licéité du traitement. Il porte sur l’offre « ListConnect » par laquelle la société transmettait à ses clients, en 2022, les numéros de téléphone mobile de 78 172 personnes à des fins de prospection téléphonique. Pour fonder ce traitement, la société invoquait la base légale de l’intérêt légitime de l’article 6, §1, f du RGPD.
La formation restreinte rejette cette prétention en retenant que les personnes concernées « ne pouvaient raisonnablement s’attendre » à voir leurs données transmises à des tiers dans ce contexte. L’examen de la validité de la base légale de l’intérêt légitime requiert, conformément à la jurisprudence de la Cour de justice de l’Union européenne et aux lignes directrices du Comité européen de la protection des données (CEPD), un triple test : existence d’un intérêt légitime poursuivi par le responsable de traitement ou le tiers, nécessité du traitement pour la poursuite de cet intérêt, et équilibre entre cet intérêt et les droits et libertés fondamentaux de la personne concernée — ce dernier critère incluant les « attentes raisonnables » de la personne.
C’est précisément sur ce troisième critère que le manquement est caractérisé. Les prospects dont les données ont été collectées via des formulaires de jeux-concours ne pouvaient raisonnablement anticiper que leurs coordonnées téléphoniques seraient cédées à des clients de SOMS pour des campagnes de prospection téléphonique. La rupture entre la finalité apparente de la collecte — participer à un jeu-concours — et la finalité effective de transmission à des tiers pour des démarchages ultérieurs est trop importante pour satisfaire au critère des attentes raisonnables. Cette analyse repose sur la jurisprudence de la CJUE dans l’affaire Orange Romania (C-61/19, 11 novembre 2020) et sur les lignes directrices 05/2020 du CEPD sur le consentement.
La formation restreinte prend soin de préciser que ce manquement ne revêt pas la même gravité systémique que les deux précédents : les données transmises sans base légale (78 172 personnes) ne représentent qu’environ 8,5 % de l’activité « ListConnect » en 2022, cette activité ne représentant elle-même qu’une part très marginale de l’activité globale de la société. Cet élément de relativisation n’efface pas le manquement mais influe sur son appréciation quantitative. Il explique que la formation restreinte n’a pas jugé utile de prononcer une injonction s’agissant de ce manquement spécifique, la société ayant par ailleurs cessé son activité « ListConnect » fin 2024.
LES DÉFENSES PROCÉDURALES SOULEVÉES PAR SOMS
La société a articulé deux séries de moyens de nature procédurale, que la formation restreinte examine et rejette de manière circonstanciée.
Le premier grief, tiré de la méconnaissance du droit à un procès équitable garanti par l’article 6 de la Convention européenne des droits de l’homme, repose sur deux arguments distincts. La société soutient d’abord que ses observations n’ont pas été suffisamment prises en considération par le rapporteur et que le raisonnement de ce dernier ne tient pas compte des faits de l’espèce. Elle reproche ensuite au rapporteur d’avoir, dans sa réponse, soulevé un nouveau moyen tiré de l’insuffisance de l’information communiquée aux personnes en abandonnant le fondement de l’intérêt légitime, ce qui l’aurait privée de la possibilité de répondre.
La formation restreinte rappelle que le principe du contradictoire implique le droit pour les parties de se voir communiquer et de pouvoir discuter de toute pièce ou observation présentée au juge en vue d’influencer sa décision (CEDH, Grande Chambre, 20 février 1996, Vermeulen c. Belgique, n° 19075/91). Elle constate que les conditions de ce principe ont été respectées : plusieurs échanges d’écritures ont eu lieu entre le rapporteur et la société, permettant à cette dernière de répondre à l’ensemble des éléments de droit et de fait retenus. La formation restreinte ajoute que les règles générales applicables à la procédure devant la formation restreinte « n’excluent pas que le rapporteur apporte, dans sa réponse aux observations de la société, des éclairages supplémentaires sur les fondements des griefs déjà notifiés ».
Le deuxième grief, tiré de la méconnaissance du droit de ne pas contribuer à sa propre incrimination, est rejeté de la même manière. La formation restreinte considère qu’il n’y a pas en l’espèce de contrainte à s’auto-incriminer : les éléments retenus à charge proviennent des constatations réalisées lors du contrôle et des propres déclarations et documents produits par la société dans le cadre de la procédure contradictoire. La jurisprudence de la CJUE et de la CEDH ne prohibe pas la prise en compte des déclarations volontaires faites par la personne mise en cause lors d’une procédure administrative.
L’ARCHITECTURE NORMATIVE EN PRÉSENCE — L. 34-5 CPCE, ARTICLES 6, 7 ET 5 § 1 E) DU RGPD
La délibération SAN-2025-001 mobilise une architecture normative articulée entre droit sectoriel national et droit européen général de la protection des données. L’article L. 34-5 du CPCE constitue la transposition française de l’article 13 de la directive 2002/58/CE dite « ePrivacy », qui établit le régime de consentement spécifique applicable à la prospection commerciale par voie électronique. Ce texte fonctionne comme une lex specialis par rapport aux dispositions générales du RGPD : il s’applique de manière autonome pour les opérations de prospection électronique et impose un consentement exprès qui va au-delà des bases légales alternatives prévues par l’article 6 du RGPD.
L’articulation entre le L. 34-5 CPCE et l’article 7 RGPD fait l’objet d’une analyse nuancée. Le premier fonde l’exigence substantielle du consentement pour la prospection électronique, le second pose l’obligation probatoire attachée au consentement comme base légale. Ces deux dispositions ne sont pas redondantes : l’article L. 34-5 pourrait être respecté (consentement obtenu) sans que l’article 7 le soit (incapacité à en apporter la preuve). En l’espèce, les deux manquements sont cumulativement retenus mais pour des situations factuelles distinctes : le premier (L. 34-5) pour les données de X1 et X2 dont les formulaires ne permettaient pas un consentement valide, le second (art. 7 RGPD) pour les données de X3 dont la preuve du consentement est absente.
L’article 6 du RGPD est mobilisé de manière autonome pour sanctionner la transmission de données à des fins de prospection téléphonique sans base légale valable. L’intérêt légitime ne peut servir de fondement lorsque les personnes concernées ne peuvent raisonnablement s’attendre au traitement envisagé. Cette application du critère des attentes raisonnables dans le contexte de la transmission de données à des tiers constitue un apport jurisprudentiel notable, en ligne avec les positions du CEPD exprimées dans ses lignes directrices sur l’intérêt légitime.
LA NÉGLIGENCE QUALIFIÉE DE SOMS ET LE REJET DES CIRCONSTANCES ATTÉNUANTES INVOQUÉES
La formation restreinte procède à une appréciation de la nature intentionnelle ou négligente des manquements au sens de l’article 83, §2, b du RGPD. Elle conclut à une « forte négligence » de la société, formulation intermédiaire entre la simple négligence et le dol, qui emporte des conséquences importantes sur la détermination de la sanction.
Cette qualification repose sur plusieurs éléments convergents. D’abord, la société a mis en place dès le début de l’année 2022 des procédures d’audit de ses fournisseurs pour vérifier la validité du consentement recueilli, ce qui établit qu’elle avait conscience de ses obligations. Ensuite, malgré ces audits et les constats d’insuffisance qui en résultaient, elle a continué d’exploiter les données en cause sans prendre les mesures correctives nécessaires. Enfin, concernant le manquement à l’article 7 du RGPD, elle a maintenu l’exploitation des données de X3 pendant 17 mois après avoir constaté l’incapacité de ce partenaire à lui fournir les preuves de consentement.
La société avait développé plusieurs circonstances atténuantes : l’absence de plainte des personnes concernées, l’absence de sensibilité particulière des données traitées, le caractère exclusivement national des traitements, et sa pleine coopération avec les services de la CNIL. La formation restreinte ne retient pas ces éléments de manière déterminante. S’agissant de l’absence de plainte, elle rappelle que « l’absence de plainte déposée auprès de la CNIL ne signifie pas que les personnes concernées n’ont subi aucun préjudice, ce dernier pouvant consister, en l’espèce, ressentir une certaine gêne ou irritation à la réception de messages de prospection commerciale sans y avoir consenti ». Cette formulation est remarquable : elle consacre un préjudice inhérent à la violation du droit à la protection des données, indépendamment de tout dommage matériel ou psychologique avéré.
Par ailleurs, la formation restreinte retient comme circonstance aggravante que la société a tiré des violations commises un avantage financier certain, en étant rémunérée par ses clients pour la fourniture des données en cause. Elle souligne également la position historique de SOMS sur le marché du marketing direct, héritière des activités de marketing du groupe Pages Jaunes, et la parfaite connaissance qui en résulte des règles régissant la prospection commerciale. Cette dernière considération est juridiquement significative : elle introduit un critère subjectif de professionnalisme qui aggrave les exigences de conformité pesant sur les acteurs établis et expérimentés d’un secteur.
LES MOYENS DE LA DÉFENSE SUR LA LIMITATION DE L’ASSIETTE DE L’AMENDE
La société SOMS avait développé un argument original pour limiter la base de calcul de l’amende administrative. Dès lors que les activités de marketing direct ne représentaient que 2,21 % de son chiffre d’affaires total en 2023 (soit 1 689 725 euros sur un chiffre d’affaires de 76,3 millions d’euros), et que seule une partie de ce chiffre était concernée par les manquements, elle demandait à la formation restreinte de limiter l’assiette de calcul à la fraction du chiffre d’affaires générée par les activités en cause.
La formation restreinte rejette cet argument par une motivation ferme et conforme au texte réglementaire : « une telle limitation n’est prévue par aucun texte et que la gravité des manquements relevés n’est pas nécessairement liée aux revenus qu’ils ont générés ». Elle réaffirme que, conformément à l’article 83 du RGPD, le chiffre d’affaires servant de base au calcul est le chiffre d’affaires annuel mondial total — et non la fraction imputable aux activités en infraction. Cette position est cohérente avec les lignes directrices du CEPD sur le calcul des amendes et avec la jurisprudence des autorités de protection des données de l’ensemble de l’Union européenne.
Cette décision est pratiquement importante pour les groupes multisectoriels ou les sociétés ayant des activités de traitement de données représentant une part minoritaire de leur chiffre d’affaires. Elle signifie que la sanction n’est pas proportionnée à l’activité génératrice de l’infraction mais à la capacité financière globale du responsable de traitement, ce qui vise précisément à garantir l’effet dissuasif de la sanction. Un responsable de traitement qui tirerait des revenus limités d’une activité illicite mais serait une grande entreprise ne bénéficiera pas d’une réduction proportionnelle de l’amende.
ANALYSE CRITIQUE DE LA DÉLIBÉRATION : APPORTS, SILENCES ET TENSIONS INTERNES
La délibération SAN-2025-001 présente plusieurs apports doctrinaux significatifs méritant une lecture critique. Le premier apport majeur est la confirmation du statut de responsable de traitement du data broker intermédiaire au sein de la chaîne de prospection commerciale. Cette qualification, déjà posée en 2020 par la délibération SAN-2020-016, est ici affinée : la formation restreinte distingue soigneusement les hypothèses où SOMS agit comme responsable de traitement, celles où elle agit comme responsable conjoint avec les annonceurs, et celles — exclues du périmètre de la décision — où elle pourrait n’être que sous-traitant. Cette cartographie des responsabilités est précieuse pour les praticiens du secteur.
Le deuxième apport concerne la caractérisation du dark pattern dans les formulaires de jeux-concours. Sans employer ce terme, la formation restreinte procède à une analyse technique détaillée de la conception visuelle et ergonomique des formulaires pour en déduire l’impossibilité de recueillir un consentement libre. Cette approche — qui examine non seulement l’information fournie mais la manière dont elle est présentée et la dynamique comportementale qu’elle induit — constitue une évolution méthodologique notable dans l’appréciation de la validité du consentement.
Le troisième apport réside dans la consécration du préjudice inhérent à la violation du droit au consentement. La formation restreinte affirme explicitement que la réception de messages de prospection sans consentement valable constitue en elle-même un préjudice — gêne, irritation — sans qu’il soit nécessaire de démontrer un préjudice matériel ou moral plus substantiel. Cette position rapproche l’approche française de la jurisprudence de la Cour de justice de l’Union européenne dans l’arrêt UI c. Österreichische Post (C-300/21, 4 mai 2023), qui a toutefois précisé que la seule violation du RGPD ne suffit pas à fonder le droit à réparation, exigeant un préjudice supplémentaire même minimal. La tension entre ces deux approches n’est pas pleinement résolue par la délibération.
Un silence notable de la délibération mérite d’être signalé : la formation restreinte ne se prononce pas sur la responsabilité des primo-collectants — X1, X2, X3 — dont les pratiques sont pourtant au cœur des manquements constatés. Cette discrétion est probablement liée aux limites du périmètre de la procédure, qui concernait exclusivement SOMS. Elle laisse ouverte la question de l’engagement de procédures complémentaires à l’encontre des primo-collectants, dont les pratiques de conception des formulaires constituent le fait générateur premier de l’ensemble des manquements constatés.
Enfin, une tension interne mérite d’être relevée. La formation restreinte retient une « forte négligence » de la société tout en prenant en compte, comme circonstance atténuante, les mesures prises après le contrôle pour renforcer les vérifications effectuées sur les formulaires de collecte. Il y a une forme de paradoxe à qualifier de fortement négligente une société qui avait mis en place dès 2022 des procédures d’audit, mais qui n’en avait pas tiré les conséquences nécessaires. Ce paradoxe n’est qu’apparent : c’est précisément parce que la société avait conscience de ses obligations et disposait des outils pour les satisfaire qu’elle ne peut invoquer une méconnaissance des règles applicables. La connaissance sans action constitue une négligence qualifiée.
POINTS ESSENTIELS
La délibération SAN‑2025‑001 prononce une amende de 900 000 € à l’encontre de la société SOLOCAL MARKETING SERVICES (SOMS), filiale de SOLOCAL GROUPE spécialisée dans le marketing direct, pour avoir opéré à grande échelle des campagnes de prospection par SMS et courriel — plus de 4,7 millions de personnes démarchées par SMS et 500 000 par courriel en 2022, à partir d’une base de 35 millions de prospects alimentée par une quinzaine de courtiers en données — sans être en mesure de démontrer que les consentements sous‑tendant ces opérations étaient libres, spécifiques, éclairés et univoques au sens de l’article L.34‑5 CPCE et des articles 6 et 7 du RGPD.
La formation restreinte retient en effet que les formulaires mis en œuvre par les principaux fournisseurs de SOMS recouraient à des dark patterns — boutons d’acceptation surdimensionnés et mis en couleur, liens de refus dissimulés dans le texte — rendant structurellement impossible la collecte d’un consentement valable ; que la société, propriétaire de la base et décisionnaire des moyens et finalités des traitements, est pleinement responsable de cette chaîne de collecte en dépit de ses obligations contractuelles imposées aux courtiers, lesquelles se sont révélées manifestement insuffisantes faute d’avoir conduit à une interruption de l’exploitation des données litigieuses ; et que, pour l’un de ses principaux fournisseurs, SOMS s’est révélée incapable de produire la moindre preuve du consentement, tout en maintenant l’utilisation des données concernées pendant dix‑sept mois après avoir constaté cette carence, ce que la CNIL qualifie de négligence caractérisée au sens de l’article 83 § 2 b du RGPD. En parallèle, les transmissions de données à des clients annonceurs dans le cadre de l’offre ListConnect, opérées sous le couvert de l’intérêt légitime, sont jugées dépourvues de base légale valable, l’opacité des formulaires de collecte rendant inenvisageables les « attentes raisonnables » des personnes quant à une telle commercialisation de leurs données.
La sanction de 900 000 €, assortie d’une injonction de cesser la prospection sans consentement valable sous astreinte de 10 000 € par jour de retard à l’issue d’un délai de neuf mois, et de la publication de la délibération, s’inscrit dans la continuité d’une lignée jurisprudentielle cohérente — TAGADAMEDIA (SAN‑2023‑025), HUBSIDE.STORE (SAN‑2024‑004), CALOGA (SAN‑2025‑002) — et confirme que les gestionnaires de bases mutualisées de prospects sont pleinement responsables de la validité des consentements collectés par leurs partenaires, que les clauses contractuelles ne valent pas preuve, et que toute inertie face à un défaut de traçabilité du consentement constitue un facteur aggravant susceptible d’alourdir considérablement la sanction.
24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats