CNIL | SAN-2025-001 | 15 mai 2025 | Affaire SOLOCAL MARKETING SERVICES | SAN-2025-001-ESSENTIELS

1. La responsabilité du courtier en données pour les formulaires de ses fournisseurs

La délibération SAN-2025-001 consacre le principe selon lequel un responsable de traitement qui fonde ses opérations de prospection commerciale sur des données collectées par des tiers (les primo-collectants) à l’aide de formulaires en ligne ne peut se décharger de sa responsabilité en invoquant la délégation contractuelle du recueil du consentement. La formation restreinte retient que SOLOCAL MARKETING SERVICES, en sa qualité de responsable de traitement propriétaire de la base de données utilisée, devait s’assurer de la validité substantielle et non seulement formelle des consentements recueillis par ses fournisseurs X1 et X2. L’analyse des interfaces révèle une conception captieuse des formulaires de participation aux jeux-concours : les boutons d’acceptation à la prospection sont visuellement surdimensionnés et mis en relief, tandis que les options de refus sont réduites à de petits liens hypertextes se confondant avec le corps du texte, poussant structurellement l’utilisateur à accepter. Cette architecture biaisant la liberté du choix prive le consentement de sa condition fondamentale de validité. Les exigences contractuelles que SOMS imposait à ses fournisseurs et les vérifications qu’elle affirmait avoir effectuées sont qualifiées de « manifestement insuffisantes », dans la mesure où la société n’en avait pas tiré les conséquences qui s’imposaient lorsque les vérifications révélaient des non-conformités. Ce principe, fondé sur le couplage de l’article L. 34-5 du CPCE et de l’article 4 du RGPD, impose aux acteurs du marketing direct un devoir de vigilance actif, continu et substantiel sur les pratiques de leurs partenaires de collecte — non limité à la seule vérification contractuelle.

2. L’obligation de preuve active du consentement pèse sur l’utilisateur des données, pas seulement sur le collecteur

L’article 7, paragraphe 1, du RGPD dispose que le responsable de traitement doit être en mesure de démontrer, à tout moment, que la personne concernée a donné son consentement au traitement de ses données personnelles. La délibération SAN-2025-001 précise la portée concrète de cette exigence dans le contexte du marketing direct multi-acteurs : il appartient à SOLOCAL MARKETING SERVICES, en tant que responsable de traitement utilisatrice des données de son fournisseur X3, d’apporter la preuve que les opérations de prospection réalisées à partir de ces données sont licites — et notamment la preuve du consentement des personnes concernées. L’incapacité du fournisseur à produire cette preuve n’exonère pas SOMS de son obligation ; au contraire, elle lui imposait de cesser immédiatement d’utiliser les données en cause. Or, la formation restreinte constate que la société a attendu près de dix-sept mois après avoir constaté l’impossibilité pour son partenaire de fournir les éléments requis, avant de prendre des mesures correctives effectives — délai manifestement incompatible avec la diligence attendue d’un opérateur professionnel expérimenté opérant dans un secteur dont les règles sont connues de longue date. Plus d’un million deux cent mille personnes ont été démarchées pendant cette période sans que leur consentement puisse être prouvé, ce qui matérialise une violation grave et durable du principe de licéité du traitement.

3. L’intérêt légitime ne peut fonder la transmission de données de prospects à des tiers annonceurs pour le démarchage téléphonique

La formation restreinte rappelle les conditions strictement délimitées dans lesquelles l’intérêt légitime, au sens de l’article 6, paragraphe 1, f du RGPD, peut constituer une base légale valide pour un traitement de données à caractère personnel. L’une de ces conditions est que les personnes concernées doivent raisonnablement pouvoir s’attendre au traitement envisagé, compte tenu du contexte de la collecte initiale. En l’espèce, SOMS transmettait à ses clients annonceurs les numéros de téléphone mobile de 78 172 prospects pour qu’ils procèdent à leur propre prospection téléphonique — dans le cadre de son offre « ListConnect ». La formation restreinte considère que des personnes ayant participé à des jeux-concours en ligne ne pouvaient pas raisonnablement anticiper que leurs coordonnées téléphoniques mobiles seraient ainsi cédées à des tiers en vue d’un démarchage téléphonique. L’intérêt légitime invoqué par la société ne satisfait donc pas au test de mise en balance des intérêts en présence, les personnes concernées ne pouvant légitimement s’attendre à un tel traitement. Ce raisonnement, articulé autour de la notion d’attente raisonnable, constitue un marqueur important pour délimiter les cas d’usage licite de l’intérêt légitime dans les opérations de revente ou de transmission de données de prospects à des tiers annonceurs.

4. La conscience des obligations n’exonère pas : la négligence grave comme facteur aggravant

La formation restreinte retient que la société SOMS s’est montrée « tout le moins, fortement négligente » dans le respect de ses obligations, en soulignant une circonstance particulièrement aggravante sur le plan de la caractérisation de la faute : la société avait mis en place, dès le début de l’année 2022, des procédures spécifiques d’audit de ses fournisseurs destinées à vérifier la validité des consentements recueillis — démontrant ainsi une conscience parfaite des obligations applicables en matière de prospection commerciale par voie électronique. Or, malgré ces vérifications internes dont les résultats révélaient des non-conformités, la société a continué d’exploiter les données transmises sans prendre les mesures correctives qui s’imposaient. Cette contradiction entre la conscience formelle des obligations et l’inaction substantielle face aux non-conformités constatées constitue précisément la définition de la négligence grave en droit des données personnelles. Elle se distingue du simple défaut de connaissance de la règle, et fonde une appréciation sévère du comportement de la société — indépendamment de l’argument selon lequel elle aurait accordé « tout au long de son activité une attention particulière à la conformité au RGPD ». L’invocation d’une posture formelle de conformité, sans démonstration d’une mise en conformité effective, est ainsi inopérante.

5. L’assiette de l’amende repose sur le chiffre d’affaires total et non sur la seule activité litigieuse

La société SOMS avait demandé à la formation restreinte de limiter la base de calcul de l’amende à la seule part du chiffre d’affaires générée par ses activités de marketing direct — soit environ 2,21 % de son chiffre d’affaires global, les activités en cause ne représentant qu’une fraction marginale de son activité principale de conception de sites web. La formation restreinte rejette catégoriquement cette demande en soulignant qu’aucun texte ne prévoit une telle limitation de l’assiette, et que la gravité des manquements n’est pas nécessairement corrélée aux revenus qu’ils ont directement générés. Pour assurer le caractère dissuasif et proportionné de la sanction, la formation restreinte s’appuie sur le chiffre d’affaires total de la société (76,3 millions d’euros pour 2023), conformément aux dispositions de l’article 83 du RGPD qui prévoit expressément que l’assiette de l’amende est constituée du chiffre d’affaires annuel mondial total de l’entreprise. Cette position est conforme à la jurisprudence constante des autorités de contrôle européennes et empêche que les entreprises diversifiées puissent minimiser artificiellement les amendes en cantonnant les activités litigieuses à des entités ou des lignes d’activité marginales. La formation restreinte prend cependant en compte la situation financière réelle de la société et les mesures correctives intervenues en cours de procédure pour moduler le montant finalement prononcé.

POINTS ESSENTIELS