CNIL | SAN-2025-001 | 15 mai 2025 | Affaire SOLOCAL MARKETING SERVICES | FAQ

CNIL | SAN-2025-001 | 15 MAI 2025 | AFFAIRE SOLOCAL MARKETING SERVICES |

 

SOLOCAL MARKETING SERVICES | BASE DE DONNÉES DE 35 MILLIONS DE PROSPECTS | 4,7 MILLIONS DE SMS EXPÉDIÉS

ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS

QUESTIONS‑RÉPONSES POUR LES RESPONSABLES DE TRAITEMENT, COURTIERS EN DONNÉES ET ANNONCEURS

1. NOTRE ACTIVITÉ DE MARKETING DIRECT RESSEMBLE À CELLE DE SOLOCAL MARKETING SERVICES : SOMMES‑NOUS FORCÉMENT « RESPONSABLES DE TRAITEMENT » ?

 

Dans la plupart des configurations proches de l’affaire SOMS, la réponse sera oui. La CNIL rappelle que le responsable de traitement est celui qui « détermine les finalités et les moyens du traitement » (article 4 § 7 RGPD).

Dans la délibération, la formation restreinte décrit SOMS comme propriétaire d’une base de données massive, constituée à partir de multiples fournisseurs et utilisée à la fois pour réaliser des campagnes de prospection pour le compte des clients (EmailConnect, ContactConnect) et pour céder des listes de prospects (ListConnect).

« Cette base, qui compte environ 75 millions d’entrées, contient les données de près de 35 millions de personnes distinctes. […] La société détermine les données personnelles qui figurent dans sa base de prospects, les durées pendant lesquelles ces données y sont conservées et les éventuelles mises à jour devant être opérées. »

La CNIL souligne que, dans un tel schéma, le prestataire qui :

—-décide de la constitution de la base ;
—-choisit les catégories de données collectées et leurs durées de conservation ;
—-segmente les données et offre des prestations de prospection à partir de cette base ;
—-fixe contractuellement l’usage que les clients peuvent faire des données,

est responsable de traitement, éventuellement conjoint avec certains annonceurs.

2. PEUT‑ON SE PRÉSENTER COMME SIMPLE « SOUS‑TRAITANT » DE NOS CLIENTS ANNONCEURS POUR ÉVITER D’ÊTRE RESPONSABLE DE LA COLLECTE PAR LES COURTIERS ?

 

Non, pas dans un modèle similaire à SOMS. La formation restreinte insiste sur le fait que la qualification retenue par les parties dans leurs contrats ne suffit pas à écarter la réalité des faits.

Elle rappelle que la qualité de responsable ou de sous‑traitant dépend d’éléments objectifs : propriété de la base, modalité de constitution, critères de ciblage, autonomie dans les choix techniques et organisationnels.

« La qualification retenue par les acteurs eux‑mêmes, notamment dans leurs actes contractuels, constitue un élément important à prendre en compte, mais non déterminant s’il ne correspond pas à la réalité des critères de l’article 4 du RGPD. »

Dans l’affaire SOMS, même si des clauses évoquaient une coresponsabilité ou un rôle de sous‑traitant selon les cas, la CNIL retient que la société est responsable de traitement pour la base SOMS et pour les opérations de prospection réalisées à partir de cette base, car c’est elle qui en définit les paramètres essentiels.

3. QUE DIT EXACTEMENT L’ARTICLE L.34‑5 DU CPCE ET POURQUOI EST‑IL CENTRAL DANS CETTE AFFAIRE ?

 

L’article L.34‑5 du code des postes et des communications électroniques (CPCE) prévoit, en substance, que la prospection directe par automate d’appel, télécopieur, courrier électronique ou SMS est interdite sauf si la personne a donné son consentement préalable à recevoir de tels messages, avec quelques exceptions spécifiques (par exemple pour des clients déjà acquis, sous conditions).

L’affaire SOMS illustre que :

—-toute campagne de SMS ou d’e‑mails à destination de personnes physiques doit, en principe, reposer sur ce consentement préalable ;
—-les schémas de collecte via des jeux‑concours en ligne ou des tests produits, qui « poussent » l’utilisateur à accepter des sollicitations commerciales multiples, ne satisfont pas à cette obligation lorsque le refus est difficile, peu visible ou mal compris.

Le communiqué résume ainsi le manquement :

« La formation restreinte considère que l’apparence trompeuse des formulaires mis en œuvre par les courtiers en données ne permet pas de recueillir un consentement libre et univoque, conforme aux exigences du RGPD, qui permettrait de fonder les opérations de prospection réalisées par la société SOLOCAL MARKETING SERVICES. »

En pratique, l’article L.34‑5 fonctionne comme une lex specialis qui impose un consentement renforcé pour la prospection électronique, au‑delà de la seule licéité au sens de l’article 6 RGPD.

4. QUELLES ERREURS CONCRÈTES DE DESIGN DE FORMULAIRES LA CNIL A‑T‑ELLE RELEVÉES CHEZ LES COURTIERS DE SOMS ?

 

La CNIL décrit des formulaires dont l’ergonomie est jugée trompeuse :

« La mise en valeur des boutons entraînant l’utilisation de ses données à des fins de prospection commerciale par leur taille, leur couleur, leur intitulé et leur emplacement, comparée aux liens hypertextes permettant de participer au jeu sans accepter cette utilisation d’une taille nettement inférieure et se confondant avec le corps du texte pousse fortement l’utilisateur à accepter. »

Autrement dit :

—-les boutons « acceptants » sont visuellement très attractifs ;
—-les options permettant de participer sans accepter la prospection sont dissimulées ;
—-l’information sur la multiplicité des partenaires et sur l’ampleur de la prospection est diluée.

De tels dark patterns conduisent à considérer que le consentement n’est ni libre ni éclairé ; les responsables de traitement doivent donc proscrire ces pratiques.

5. SI NOUS IMPOSONS CONTRACTUELLEMENT À NOS COURTIERS DE RESPECTER LE RGPD, SOMMES‑NOUS PROTÉGÉS EN CAS DE MANQUEMENT DE LEUR PART ?

 

Non. La CNIL considère dans SOMS que des clauses contractuelles et des audits déclarés ne suffisent pas lorsque, dans les faits, les formulaires sont manifestement non conformes.

Le communiqué est explicite :

« Les exigences contractuelles que la société imposait à ses fournisseurs, en amont, ainsi que les vérifications qu’elle affirmait avoir effectuées, en aval, étaient manifestement insuffisantes. En tout état de cause, elle n’en avait pas tiré les conséquences qui s’imposaient, dans la mesure où les formulaires examinés par la CNIL ne permettaient pas de recueillir un consentement valide. »

Il en résulte que :

—-les clauses sont nécessaires mais non suffisantes ;
—-le responsable doit vérifier concrètement les pratiques des courtiers (copies d’écran, tests de parcours, remontée des versions de formulaires) ;
—-en cas d’anomalie, il doit interrompre l’exploitation des données concernées.

6. PEUT‑ON FONDER SUR L’« INTÉRÊT LÉGITIME » LES TRANSMISSIONS DE DONNÉES À NOS PARTENAIRES POUR QU’ILS FASSENT EUX‑MÊMES DE LA PROSPECTION ?

 

Dans un contexte similaire à SOMS, la réponse est en pratique négative.

SOMS invoquait l’intérêt légitime (article 6 § 1 f RGPD) pour justifier la cession de segments de sa base SOMS à des partenaires dans le cadre de l’offre ListConnect. La CNIL rejette cette position en estimant que les attentes raisonnables des personnes ne pouvaient pas intégrer l’idée d’une revente massive de leurs données à de multiples annonceurs, compte tenu de l’opacité des formulaires de collecte et de la nature intrusive de la prospection.

Les responsables doivent donc considérer que, pour des transmissions à des fins de prospection B2C, le consentement ou, à tout le moins, une information extrêmement claire et un droit d’opposition effectif constituent la base normative, l’intérêt légitime n’étant envisageable qu’à la marge, dans des hypothèses très limitées.

7. QUE SIGNIFIE CONCRÈTEMENT L’OBLIGATION DE « POUVOIR DÉMONTRER LE CONSENTEMENT » (ARTICLE 7 RGPD) ?

 

L’article 7 § 1 impose au responsable de traitement de pouvoir démontrer, à la demande de la CNIL ou d’un juge, que chaque personne démarchée a effectivement consenti au traitement de ses données.

Dans SOMS, la CNIL constate que :

« La société n’a pas été en mesure de fournir à la CNIL la preuve du consentement des personnes dont les données lui ont été transmises par l’un de ses principaux fournisseurs. […] Après avoir constaté que son partenaire n’était pas en capacité de lui fournir cette preuve, la société a attendu près de 17 mois pour cesser d’utiliser les données transmises. »

Concrètement, cela implique de disposer de :

—-versions horodatées des formulaires utilisés ;
—-journaux (logs) des événements de consentement, liant l’identité du prospect, la date, le canal et le périmètre du consentement ;
—-procédures permettant de supprimer les données pour lesquelles cette preuve ne peut plus être apportée.

8. QUE FAIRE SI UN DE NOS COURTIERS EST INCAPABLE DE NOUS FOURNIR LA PREUVE DU CONSENTEMENT ?

 

L’affaire SOMS fournit un exemple à ne pas suivre : la société a continué à utiliser les données du fournisseur défaillant pendant 17 mois après avoir constaté l’absence de preuve.

Dans une approche conforme au RGPD, un DPO devrait :

  1. suspendre immédiatement l’exploitation des données issues de ce fournisseur ;
  2. exiger, dans un délai bref, la production de la documentation manquante ;
  3. si le fournisseur reste défaillant, purger les données concernées ou, a minima, les mettre en quarantaine jusqu’à résolution du problème ;
  4. réviser le contrat (clauses, garanties, indemnisation) voire mettre fin au partenariat.

Le maintien de l’exploitation, malgré la connaissance du défaut de preuve, sera vraisemblablement qualifié de négligence par la CNIL.

9. SOMS A‑T‑ELLE ÉTÉ SANCTIONNÉE UNIQUEMENT PAR UNE AMENDE ?

 

Non. La CNIL a prononcé à la fois une amende et une injonction de mise en conformité assortie d’une astreinte.

Le communiqué précise :

« Elle a prononcé à son encontre une amende de 900 000 euros, rendue publique et une injonction de cesser de procéder à des opérations de prospection commerciale par voie électronique en l’absence d’un consentement valable, assortie d’une astreinte de 10 000 euros par jour de retard à l’issue d’un délai de neuf mois. »

Pour les responsables de traitement, cela signifie que la CNIL peut contraindre dans la durée à la mise en conformité, sous peine de frais supplémentaires significatifs.

10. COMMENT CETTE DÉCISION S’ARTICULE‑T‑ELLE AVEC LES AUTRES SANCTIONS CONTRE DES COURTIERS OU ACTEURS DE LA PROSPECTION ?

 

SOMS s’inscrit dans une lignée de décisions structurantes :

—-SAN‑2023‑025 – TAGADAMEDIA : responsabilité des courtiers sur les bases légales et le registre de traitement.
—-SAN‑2024‑004 – HUBSIDE.STORE : obligation d’information (article 14 RGPD) pour les données acquises auprès de courtiers.
—-SAN‑2025‑002 – CALOGA : durée de conservation des prospects, sécurité des données et preuve du consentement.

Ces décisions convergent vers un message unique : les acteurs du marketing direct doivent revoir en profondeur leurs chaînes de collecte et de prospection, et ne peuvent plus s’abriter derrière des partenaires pour éluder leurs obligations.

QUESTIONS‑RÉPONSES POUR LES DPO ET JURISTES (APPROCHE PLUS TECHNIQUE)

11. COMMENT DOCUMENTER, DANS NOTRE REGISTRE (ARTICLE 30 RGPD), UNE SITUATION ANALOGUE À SOMS ?

 

Le registre doit refléter :

—-les différentes finalités : constitution d’une base de prospects, prospection pour le compte de clients, revente de segments de base ;
—-les catégories de personnes (prospects B2C), de données (coordonnées, données de profilage marketing) et de destinataires (clients annonceurs) ;
—-les sources de données : mention explicite des courtiers/primo‑collectants ;
—-les bases légales distinctes (consentement pour la prospection électronique ; base à préciser pour la revente des données) ;
—-les durées de conservation, y compris les durées en base active et en archivage.

La décision CALOGA rappelle, par exemple, que la simple ouverture d’un courriel ne peut constituer un « dernier contact » prolongeant indéfiniment la conservation.

12. FAUT‑IL RÉALISER UNE AIPD POUR UNE BASE DE PROSPECTS SIMILAIRE À LA BASE SOMS ?

 

La délibération SOMS ne mentionne pas expressément l’obligation d’analyse d’impact, mais plusieurs éléments plaident pour une AIPD :

—-volume très important de personnes (plusieurs millions) ;
—-profilage marketing et segmentation fine ;
—-croisement éventuel avec d’autres bases ;
—-multiplication des destinataires (courtiers, annonceurs, plateformes d’envoi).

Par analogie, dans d’autres affaires, la CNIL a exigé des AIPD pour des traitements de prospection ou de scoring à large échelle lorsque ceux‑ci entraînent un risque élevé pour les droits et libertés des personnes.

13. COMMENT ARTICULER, DANS NOS MENTIONS D’INFORMATION, LA BASE LÉGALE (ARTICLE 6) ET L’OBLIGATION DE CONSENTEMENT DE L’ARTICLE L.34‑5 ?

 

Dans un schéma de prospection électronique B2C :

—-la base légale au sens du RGPD est généralement le consentement (article 6 § 1 a) ;
—-l’article L.34‑5 CPCE ajoute une condition sectorielle : ce consentement doit être préalable, spécifique à la prospection par voie électronique et recueilli selon une démarche positive.

Les mentions d’information devraient donc expliciter, de façon claire :

—-que la prospection par e‑mail/SMS repose sur le consentement ;
—-que la personne peut retirer ce consentement à tout moment ;
—-si des partenaires sont susceptibles de réutiliser les données, leur identité ou, à défaut, des catégories clairement définies.

14. LA DÉCISION SOMS IMPOSE‑T‑ELLE UN FORMAT STANDARD DE PREUVE DU CONSENTEMENT ?

 

Non, la CNIL ne fixe pas de format unique (capture d’écran, log électronique, etc.), mais elle attend que le responsable puisse reconstituer le parcours de consentement pour chaque personne ou groupe de personnes.

L’important est de pouvoir démontrer :

—-le contenu du formulaire affiché ;
—-l’absence de cases pré‑cochées ou de pré‑consentement ;
—-le caractère clair de la finalité et des destinataires ;
—-la date et le canal du recueil.

Dans SOMS, l’impossibilité de produire de tels éléments pour un fournisseur majeur est considérée comme un manquement à l’article 7 RGPD.

15. LA CNIL A‑T‑ELLE CONSIDÉRÉ QUE SOMS AVAIT AGI « DÉLIBÉRÉMENT » OU PAR SIMPLE NÉGLIGENCE ?

 

La formation restreinte se place sur le terrain de la négligence (article 83 § 2 b RGPD), mais une négligence qualifiée : SOMS est un acteur historique du marketing direct, qui connaît de longue date les règles applicables à la prospection électronique.

La Commission relève notamment que :

—-la société avait mis en place des procédures d’audit de ses fournisseurs mais n’a pas tiré les conséquences des anomalies constatées ;
—-elle a continué à exploiter des données malgré l’absence de preuve de consentement pendant 17 mois.

Ces éléments justifient un niveau d’amende significatif, même si la CNIL tient compte des mesures de mise en conformité engagées après les contrôles.

QUESTIONS‑RÉPONSES POUR LES PERSONNES CONCERNÉES (SALARIÉS, CONSOMMATEURS, USAGERS)

16. COMMENT SAVOIR SI MES DONNÉES ONT PU ÊTRE UTILISÉES DANS UN SCHÉMA SIMILAIRE À CELUI DE SOMS ?

 

Si vous recevez des SMS ou des e‑mails publicitaires de sociétés auxquelles vous n’avez pas l’impression d’avoir donné vos coordonnées, il est possible que vos données aient été collectées via des jeux‑concours, des tests produits ou des formulaires en ligne similaires à ceux décrits par la CNIL.

Le communiqué rappelle que la société utilisait des données acquises « auprès de courtiers en données, éditeurs de sites de jeux‑concours et de tests de produits ».

Vous pouvez demander à la société qui vous démarche :

—-d’indiquer la source de vos données ;
—-de préciser la base légale utilisée pour la prospection ;
—-de vous transmettre une copie des données les concernant (droit d’accès).

17. QUE PUIS‑JE FAIRE SI JE REÇOIS DE LA PROSPECTION ALORS QUE JE N’AI RIEN DEMANDÉ ?

 

Vous disposez de plusieurs droits :

—-droit d’opposition : vous pouvez demander à cesser toute prospection, par exemple en utilisant les liens de désinscription dans les e‑mails ou les mots‑clés du type « STOP » dans les SMS ;
—-droit d’accès : vous pouvez demander comment vos données ont été obtenues ;
—-droit d’effacement : vous pouvez demander la suppression de vos données dans certains cas.

Si l’organisme ne répond pas ou continue de vous démarcher malgré votre opposition, vous pouvez saisir la CNIL en lui fournissant des exemples de messages reçus, les dates et, si possible, les captures d’écran.

18. LA PUBLICATION DE LA DÉCISION SOMS ME SERT‑ELLE À QUELQUE CHOSE EN TANT QUE PERSONNE DÉMARCHÉE ?

 

Oui. La CNIL explique que la publicité de la sanction vise notamment à informer les personnes concernées :

« En rendant publique sa décision, la CNIL souligne la gravité de certains des manquements en cause, le nombre important de personnes concernées, et relève que la publicité de cette sanction permettra d’informer les personnes concernées par les traitements mis en œuvre par la société afin qu’elles puissent faire valoir leurs droits. »

Cela signifie que vous pouvez vous appuyer sur cette décision pour argumenter auprès d’autres sociétés de marketing direct, en rappelant que la CNIL a déjà sanctionné des schémas similaires et que vos droits doivent être respectés.

Cette FAQ doit être lue conjointement avec les analyses SAN‑2025‑001‑critique et SAN‑2025‑001‑manquements, qui détaillent la qualification de responsable de traitement de SOMS, la caractérisation des manquements à l’article L.34‑5 CPCE, à l’article 6 RGPD et à l’article 7 RGPD, ainsi que la mise en perspective de cette décision avec la jurisprudence antérieure et postérieure de la CNIL sur les courtiers en données et la prospection électronique.

 
 
 

POINTS ESSENTIELS

La délibération SAN‑2025‑001 prononce une amende de 900 000 € à l’encontre de la société SOLOCAL MARKETING SERVICES (SOMS), filiale de SOLOCAL GROUPE spécialisée dans le marketing direct, pour avoir opéré à grande échelle des campagnes de prospection par SMS et courriel — plus de 4,7 millions de personnes démarchées par SMS et 500 000 par courriel en 2022, à partir d’une base de 35 millions de prospects alimentée par une quinzaine de courtiers en données — sans être en mesure de démontrer que les consentements sous‑tendant ces opérations étaient libres, spécifiques, éclairés et univoques au sens de l’article L.34‑5 CPCE et des articles 6 et 7 du RGPD.

La formation restreinte retient en effet que les formulaires mis en œuvre par les principaux fournisseurs de SOMS recouraient à des dark patterns — boutons d’acceptation surdimensionnés et mis en couleur, liens de refus dissimulés dans le texte — rendant structurellement impossible la collecte d’un consentement valable ; que la société, propriétaire de la base et décisionnaire des moyens et finalités des traitements, est pleinement responsable de cette chaîne de collecte en dépit de ses obligations contractuelles imposées aux courtiers, lesquelles se sont révélées manifestement insuffisantes faute d’avoir conduit à une interruption de l’exploitation des données litigieuses ; et que, pour l’un de ses principaux fournisseurs, SOMS s’est révélée incapable de produire la moindre preuve du consentement, tout en maintenant l’utilisation des données concernées pendant dix‑sept mois après avoir constaté cette carence, ce que la CNIL qualifie de négligence caractérisée au sens de l’article 83 § 2 b du RGPD. En parallèle, les transmissions de données à des clients annonceurs dans le cadre de l’offre ListConnect, opérées sous le couvert de l’intérêt légitime, sont jugées dépourvues de base légale valable, l’opacité des formulaires de collecte rendant inenvisageables les « attentes raisonnables » des personnes quant à une telle commercialisation de leurs données.

La sanction de 900 000 €, assortie d’une injonction de cesser la prospection sans consentement valable sous astreinte de 10 000 € par jour de retard à l’issue d’un délai de neuf mois, et de la publication de la délibération, s’inscrit dans la continuité d’une lignée jurisprudentielle cohérente — TAGADAMEDIA (SAN‑2023‑025), HUBSIDE.STORE (SAN‑2024‑004), CALOGA (SAN‑2025‑002) — et confirme que les gestionnaires de bases mutualisées de prospects sont pleinement responsables de la validité des consentements collectés par leurs partenaires, que les clauses contractuelles ne valent pas preuve, et que toute inertie face à un défaut de traçabilité du consentement constitue un facteur aggravant susceptible d’alourdir considérablement la sanction.

 

24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats