CNIL | SAN-2025-001 | 15 mai 2025 | Affaire SOLOCAL MARKETING SERVICES | MANQUEMENTS

CNIL | SAN-2025-001 | 15 MAI 2025 | AFFAIRE SOLOCAL MARKETING SERVICES |

 

SOLOCAL MARKETING SERVICES | BASE DE DONNÉES DE 35 MILLIONS DE PROSPECTS | 4,7 MILLIONS DE SMS EXPÉDIÉS

ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS

RAPPEL STRUCTURÉ DES MANQUEMENTS RETENUS ET DES TEXTES APPLICABLES

La délibération SAN‑2025‑001 du 15 mai 2025 retient, à l’encontre de la société SOLOCAL MARKETING SERVICES (SOMS), plusieurs manquements relatifs à la prospection commerciale à partir de données acquises auprès de courtiers en données.

Selon le tableau récapitulatif figurant dans le fichier CNILCOMMUNIQUESVERBATIMclean.md*, les textes expressément mobilisés pour cette affaire sont les suivants :

« Article 6 du RGPD – bases légales ; Article 7 du RGPD – preuve du consentement ; Article L.34‑5 du code des postes et des communications électroniques (prospection par voie électronique). »

La formation restreinte caractérise juridiquement trois axes de manquement :

  1. un manquement à l’article L.34‑5 CPCE, faute de consentement valable des personnes à recevoir de la prospection commerciale par SMS et courriel ;
  2. un manquement à l’article 6 RGPD, faute de base légale pour la transmission des données à des partenaires, notamment dans le cadre de l’offre ListConnect ;
  3. un manquement à l’article 7 RGPD, la société n’étant pas en mesure de démontrer le consentement des personnes pour une partie significative des données exploitées.

Le communiqué de presse synthétise ainsi la situation :

« Courtiers en données : sanction de 900 000 euros à l’encontre de la société SOLOCAL MARKETING SERVICES […] pour avoir démarché des prospects sans leur consentement et transmis leurs données à des partenaires sans base légale valable. »

MANQUEMENT À L’ARTICLE L.34‑5 DU CPCE : PROSPECTION PAR SMS ET COURRIEL SANS CONSENTEMENT VALABLE

A. CHAMP D’APPLICATION ET EXIGENCES DE L’ARTICLE L.34‑5

 

L’article L.34‑5 du code des postes et des communications électroniques interdit, sauf exceptions étroites, l’envoi de prospection directe par courrier électronique ou SMS à des personnes physiques qui n’ont pas donné leur consentement préalable. Il constitue une lex specialis par rapport au RGPD pour les communications électroniques, en posant une exigence de consentement renforcé.

Dans l’affaire SOMS, la formation restreinte relève que la société procédait à des campagnes massives de prospection pour le compte de ses clients annonceurs, en utilisant les données des prospects issues de sa base, alimentée par des courtiers.

« En 2022, elle a adressé plus de 4,7 millions de personnes, pour ses clients, des SMS de prospection, et plus de 500 000 personnes ont été démarchées par courrier électronique. »

B. CONSTAT DES FORMULAIRES TROMPEURS ET ABSENCE DE CONSENTEMENT LIBRE ET UNIVOQUE

 

Les investigations de la CNIL ont mis en évidence que les formulaires de collecte utilisés par plusieurs fournisseurs majeurs de SOMS ne permettaient pas de recueillir un consentement répondant aux standards du RGPD (libre, spécifique, éclairé et univoque) ni aux exigences sectorielles de l’article L.34‑5.

Le communiqué décrit l’ergonomie de ces formulaires, en soulignant l’usage de dark patterns :

« La formation restreinte considère que l’apparence trompeuse des formulaires mis en œuvre par les courtiers en données ne permet pas de recueillir un consentement libre et univoque, conforme aux exigences du RGPD, qui permettrait de fonder les opérations de prospection réalisées par la société SOLOCAL MARKETING SERVICES. […] En effet, la mise en valeur des boutons entraînant l’utilisation de ses données à des fins de prospection commerciale par leur taille, leur couleur, leur intitulé et leur emplacement, comparée aux liens hypertextes permettant de participer au jeu sans accepter cette utilisation d’une taille nettement inférieure et se confondant avec le corps du texte pousse fortement l’utilisateur à accepter. »

La formation restreinte en déduit que l’« accord » obtenu par ces interfaces ne saurait être qualifié de consentement au sens de l’article 4 § 11 RGPD :

—-il n’est pas libre, dans la mesure où le refus est rendu difficile et peu lisible ;
—-il n’est pas spécifique, l’utilisateur n’étant pas clairement informé qu’il autorise des campagnes de prospection pour le compte de nombreux partenaires ;
—-il n’est pas éclairé, l’information étant noyée dans des conditions générales ou des listes de partenaires peu accessibles ;
—-il n’est pas univoque, le chemin de participation « avec prospection » étant présenté comme le parcours standard.

En conséquence, la prospection opérée par SOMS à partir de ces données est dépourvue de base légale au regard de l’article L.34‑5, ce qui caractérise le premier manquement.

C. RESPONSABILITÉ DE SOMS EN TANT QU’UTILISATRICE DES DONNÉES COLLECTÉES PAR LES COURTIERS

 

SOMS soutenait qu’elle n’était qu’« utilisatrice » des données collectées par les courtiers, lesquels seraient seuls responsables du recueil du consentement. La CNIL rejette cet argument en rappelant que SOMS est pleinement responsable des opérations de prospection, en tant que responsable de traitement.

Le communiqué souligne ainsi :

« SOLOCAL MARKETING SERVICES est utilisatrice des données recueillies par les courtiers. En conséquence, elle doit s’assurer que les personnes ont exprimé un consentement valide avant de mener ses campagnes de prospection. Les exigences contractuelles que la société imposait à ses fournisseurs, en amont, ainsi que les vérifications qu’elle affirmait avoir effectuées, en aval, étaient manifestement insuffisantes. En tout état de cause, elle n’en avait pas tiré les conséquences qui s’imposaient, dans la mesure où les formulaires examinés par la CNIL ne permettaient pas de recueillir un consentement valide. »

La motivation rejoint sur ce point les précédents HUBSIDE.STORE (SAN‑2024‑004) et TAGADAMEDIA (SAN‑2023‑025), dans lesquels la CNIL a déjà considéré que le responsable de traitement ne peut pas se décharger sur ses partenaires de la charge de vérifier la validité des consentements.

MANQUEMENT À L’ARTICLE 6 RGPD : ABSENCE DE BASE LÉGALE POUR LA TRANSMISSION DES DONNÉES À DES PARTENAIRES

A. LES TRANSMISSIONS OPÉRÉES DANS LE CADRE DE L’OFFRE « LISTCONNECT »

 

Indépendamment de la prospection directe menée par SOMS, la formation restreinte examine la licéité des transmissions de données de la base SOMS vers des clients annonceurs, dans le cadre de l’offre ListConnect.

« La société transmet à ses clients les données issues de sa base “SOMS”, en leur concédant un certain nombre de droits sur ces données et notamment celui de les utiliser à des fins de prospection commerciale par voie postale et par téléphone. »

Pour ces opérations de cession ou de mise à disposition, SOMS se présente comme responsable de traitement, ce que confirme la délibération :

« En transmettant à ses clients un segment ciblé de données issues d’une base qu’elle a elle‑même constituée et dont elle est propriétaire, et en déterminant contractuellement l’usage pouvant être fait de ces données, la société détermine à la fois les finalités et les moyens d’une telle opération. »

B. REJET DE L’INTÉRÊT LÉGITIME COMME BASE LÉGALE

 

SOMS invoquait l’intérêt légitime (article 6 § 1 f RGPD) pour justifier ces transmissions, en se fondant sur les attentes raisonnables des personnes et sur l’intérêt économique des annonceurs et de la société. La formation restreinte écarte ce fondement, en considérant que la balance des intérêts ne penche pas en faveur de la société.

Même si la délibération ne reproduit pas in extenso l’analyse de mise en balance, plusieurs éléments ressortent de la motivation :

—-les titulaires des données n’étaient pas clairement informés, au moment de la collecte initiale par les courtiers, de la multiplicité des partenaires et de la possibilité que leurs données soient revendues ou louées à des annonceurs ;
—-la finalité poursuivie – prospection commerciale – est, par nature, intrusive et susceptible de porter atteinte à la vie privée, en particulier lorsqu’elle se traduit par des sollicitations répétées sur plusieurs canaux ;
—-la combinaison entre la massification des données (base mutualisée de 35 millions de personnes) et l’industrialisation des transmissions rend l’atteinte potentielle particulièrement significative.

Dans ces conditions, l’intérêt légitime de SOMS et de ses clients ne peut l’emporter sur les droits et libertés des personnes, de sorte que l’article 6 § 1 f RGPD ne fournit pas de base légale valable pour ces opérations.

C. INCOMPATIBILITÉ AVEC LA LOGIQUE DE CONSENTEMENT RENFORCÉ POUR LA PROSPECTION B2C

 

La formation restreinte ajoute que, pour la prospection B2C, le législateur et le régulateur ont construit un régime de consentement renforcé, particulièrement en matière de communications électroniques (article L.34‑5 CPCE). Dans un tel contexte, il serait incohérent de considérer que des transmissions de données à des fins de prospection puissent être licites sur le simple fondement de l’intérêt légitime, alors même que la prospection elle‑même requiert un consentement.

L’affaire SOMS souligne ainsi que, lorsque des données sont collectées sous le régime de l’article L.34‑5 (prospection électronique), leur cession à des partenaires destinés à réaliser eux‑mêmes de la prospection doit, en principe, être couverte par un consentement spécifique, ou à tout le moins par une information claire et un mécanisme permettant aux personnes de comprendre et de maîtriser la chaîne d’utilisation de leurs données.

En l’absence de tels garde‑fous, la CNIL considère que l’article 6 RGPD est méconnu.

MANQUEMENT À L’ARTICLE 7 RGPD : INCAPACITÉ À DÉMONTRER LE CONSENTEMENT ET INERTIE DE LA SOCIÉTÉ

A. EXIGENCE DE PREUVE DU CONSENTEMENT (ARTICLE 7 § 1 RGPD)

 

L’article 7 § 1 du RGPD dispose que :

« Lorsque le traitement est fondé sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de ses données à caractère personnel. »

Cette disposition confère au responsable de traitement une obligation probatoire positive : il doit organiser ses systèmes et ses relations contractuelles de façon à pouvoir, à tout moment, reconstituer les conditions dans lesquelles le consentement a été obtenu (version du formulaire, date, canal, périmètre du consentement, etc.).

B. CARENCE PROBATOIRE POUR L’UN DES PRINCIPAUX FOURNISSEURS DE SOMS

 

Dans l’affaire SOMS, la CNIL relève un cas particulièrement significatif dans lequel la société s’est révélée incapable d’apporter la preuve du consentement des personnes dont les données lui avaient été transmises par l’un de ses principaux fournisseurs.

Le communiqué précise :

« La société n’a pas été en mesure de fournir à la CNIL la preuve du consentement des personnes dont les données lui ont été transmises par l’un de ses principaux fournisseurs. La CNIL n’a ainsi pas pu examiner les formulaires de collecte mis en œuvre par ce fournisseur et, donc, la validité du consentement des personnes concernées. »

Cette absence de preuve emporte deux conséquences juridiques :

  1. elle prive SOMS de la possibilité de se prévaloir du consentement comme base légale pour les opérations de prospection menées à partir de ces données ;
  2. elle caractérise, en tant que telle, un manquement à l’article 7 RGPD, la société n’ayant pas assumé sa charge probatoire.

C. INERTIE DE 17 MOIS AVANT DE CESSER L’EXPLOITATION DES DONNÉES

 

Au‑delà de la carence probatoire initiale, la CNIL sanctionne la durée d’inertie de SOMS : bien que consciente de l’incapacité de son partenaire à produire les preuves nécessaires, la société a continué à exploiter les données pendant une période prolongée.

« En outre, après avoir constaté que son partenaire n’était pas en capacité de lui fournir cette preuve, la société a attendu près de 17 mois pour cesser d’utiliser les données transmises. »

Cette persistance, malgré l’alerte, est analysée comme une négligence grave :

—-une fois le défaut de preuve identifié, la société aurait dû immédiatement suspendre l’exploitation des données litigieuses ;
—-l’écoulement d’un délai de 17 mois traduit une absence de maîtrise de la chaîne de traitement et une minimisation de l’obligation probatoire.

La formation restreinte tient compte de cet élément dans l’appréciation de la gravité du manquement et dans le calibrage de l’amende, en l’analysant comme un facteur aggravant au sens de l’article 83 § 2 b RGPD (négligence) et k (avantage financier tiré de l’exploitation de données illégalement traitées).

D. MISE EN PERSPECTIVE AVEC LA DÉCISION CALOGA (SAN‑2025‑002)

 

Le traitement de l’article 7 RGPD dans SOMS trouve un parallèle direct dans la délibération SAN‑2025‑002 (CALOGA), adoptée le même jour et fondée sur des constats proches pour un autre acteur du marketing direct.

Dans CALOGA, la CNIL a relevé plusieurs manquements, dont :

« Un manquement à l’obligation de conserver les données pour une durée limitée (article 5‑1‑e du RGPD) » et « un manquement à l’obligation d’assurer la sécurité des données (article 32 du RGPD) », mais surtout une incapacité à démontrer la validité des consentements et une pratique de renouvellement artificiel de la durée de conservation par la simple ouverture d’un courriel.

En rapprochant SOMS et CALOGA, on observe une volonté claire de la CNIL de faire de l’article 7 RGPD un pivot de la régulation des pratiques de marketing direct : le consentement ne peut plus être une fiction contractuelle ou une hypothèse présumée, il doit être documenté, traçable et réversible.

SYNTHÈSE DES MESURES CORRECTRICES ET DE LA PUBLICITÉ DE LA SANCTION

A. AMENDE ADMINISTRATIVE DE 900 000 €

 

En application de l’article 20 IV de la loi Informatique et Libertés et de l’article 83 RGPD, la formation restreinte prononce une amende administrative de 900 000 € à l’encontre de SOMS.

Le communiqué rappelle que :

« Le montant de cette amende tient notamment compte du nombre très élevé de personnes concernées, de la position historique de la société sur le marché, de l’avantage financier tiré des manquements mais également des mesures prises par la société, depuis les contrôles réalisés, pour se mettre en conformité avec certaines de ses obligations. »

Cette motivation explicite l’articulation de plusieurs critères de l’article 83 RGPD :

—-nature, gravité et durée de la violation ;
—-caractère délibéré ou négligent des manquements ;
—-avantage financier tiré des traitements ;
—-mesures de remédiation.

B. INJONCTION ASSORTIE D’ASTREINTE

 

Outre l’amende, la CNIL accompagne la sanction d’une injonction de mise en conformité, assortie d’une astreinte. Le communiqué précise :

« Elle a prononcé à son encontre […] une injonction de cesser de procéder à des opérations de prospection commerciale par voie électronique en l’absence d’un consentement valable, assortie d’une astreinte de 10 000 euros par jour de retard à l’issue d’un délai de neuf mois. »

Cette mesure correctrice traduit la volonté de la Commission d’assurer une mise en conformité effective, et pas seulement de sanctionner a posteriori.

C. PUBLICITÉ DE LA SANCTION

 

Enfin, la formation restreinte décide de rendre publique sa délibération sur le site de la CNIL et sur Légifrance, en rappelant l’importance de l’information des personnes concernées :

« En rendant publique sa décision, la CNIL souligne la gravité de certains des manquements en cause, le nombre important de personnes concernées, et relève que la publicité de cette sanction permettra d’informer les personnes concernées par les traitements mis en œuvre par la société afin qu’elles puissent faire valoir leurs droits. »

La publicité de la sanction contribue également à la fonction pédagogique de la décision, en fournissant aux autres acteurs du secteur un exemple concret des conséquences d’une gouvernance défaillante de la prospection.

MISE EN PERSPECTIVE AVEC LA JURISPRUDENCE ANTÉRIEURE ET POSTÉRIEURE SUR DES PROBLÉMATIQUES SIMILAIRES

A. LIGNÉE « COURTIERS EN DONNÉES » ET PROSPECTION COMMERCIALE

 

La décision SOMS doit être replacée dans une série de délibérations qui, depuis plusieurs années, structurent le régime applicable aux courtiers en données et aux acteurs de la prospection B2C :

—-SAN‑2023‑025 – TAGADAMEDIA : mise en avant de la responsabilité autonome du courtier dans la détermination des bases légales (article 6 RGPD) et dans la tenue du registre (article 30 RGPD).
—-SAN‑2024‑004 – HUBSIDE.STORE : insistance sur l’obligation d’information des personnes (article 14 RGPD) lorsque la prospection repose sur des données indirectement collectées auprès de courtiers.
—-SAN‑2025‑002 – CALOGA : combinaison des manquements à la durée de conservation (article 5‑1‑e RGPD), à la licéité (article 6 RGPD) et à la sécurité (article 32 RGPD), dans un contexte de marketing direct très proche de celui de SOMS.

SOMS ajoute une pierre importante à cet édifice en mettant l’accent sur l’article 7 RGPD et sur la nécessité pour le gestionnaire de la base mutualisée d’être en mesure de démontrer la validité des consentements obtenus par ses partenaires.

B. COHÉRENCE AVEC LES DÉCISIONS SUR LA PROSPECTION DANS LES SERVICES DE MESSAGERIE

 

La CNIL a également développé, avec les décisions SAN‑2024‑019 – ORANGE et SAN‑2025‑004 – GOOGLE, une jurisprudence spécifique sur la prospection directe sous forme de messages insérés dans les interfaces de messagerie, en considérant que ces messages constituaient, eux aussi, de la « prospection directe par courrier électronique » au sens de l’article L.34‑5.

Dans ces décisions, la Commission rappelle que :

« Les utilisateurs des comptes de messagerie […] voyaient s’afficher au sein de leur boîte de réception, entre les courriels reçus et sans qu’ils n’y aient consenti, des messages publicitaires prenant la forme de courriers électroniques. […] Ces messages […] constituent de la prospection directe par courrier électronique. En conséquence, il est nécessaire de recueillir le consentement des personnes concernées en application de l’article L.34‑5 du CPCE. »

La logique est identique à celle de SOMS : la prospection, quel que soit le support technique (courrier électronique classique, message inséré dans l’interface, SMS), demeure soumise à un régime de consentement strict.

C. ENJEUX POUR LA PRATIQUE

 

Pour les responsables de traitement et leurs conseils, la décision SOMS, lue à la lumière des décisions antérieures et parallèles, impose une relecture approfondie des pratiques de prospection :

—-sur le plan contractuel, en renforçant les exigences vis‑à‑vis des courtiers et en prévoyant des mécanismes de suspension immédiate en cas de défaut de preuve du consentement ;
—-sur le plan technique, en mettant en place des systèmes de journalisation et d’archivage des preuves de consentement ;
—-sur le plan organisationnel, en plaçant la prospection au cœur des priorités de la gouvernance RGPD et de la cartographie des risques.

La décision SOMS confirme ainsi que la CNIL n’entend plus tolérer les situations dans lesquelles le consentement n’est qu’une clause standard dans les contrats alors même qu’il n’est ni valablement recueilli ni démontrable.

 
 
 

POINTS ESSENTIELS

La délibération SAN‑2025‑001 prononce une amende de 900 000 € à l’encontre de la société SOLOCAL MARKETING SERVICES (SOMS), filiale de SOLOCAL GROUPE spécialisée dans le marketing direct, pour avoir opéré à grande échelle des campagnes de prospection par SMS et courriel — plus de 4,7 millions de personnes démarchées par SMS et 500 000 par courriel en 2022, à partir d’une base de 35 millions de prospects alimentée par une quinzaine de courtiers en données — sans être en mesure de démontrer que les consentements sous‑tendant ces opérations étaient libres, spécifiques, éclairés et univoques au sens de l’article L.34‑5 CPCE et des articles 6 et 7 du RGPD.

La formation restreinte retient en effet que les formulaires mis en œuvre par les principaux fournisseurs de SOMS recouraient à des dark patterns — boutons d’acceptation surdimensionnés et mis en couleur, liens de refus dissimulés dans le texte — rendant structurellement impossible la collecte d’un consentement valable ; que la société, propriétaire de la base et décisionnaire des moyens et finalités des traitements, est pleinement responsable de cette chaîne de collecte en dépit de ses obligations contractuelles imposées aux courtiers, lesquelles se sont révélées manifestement insuffisantes faute d’avoir conduit à une interruption de l’exploitation des données litigieuses ; et que, pour l’un de ses principaux fournisseurs, SOMS s’est révélée incapable de produire la moindre preuve du consentement, tout en maintenant l’utilisation des données concernées pendant dix‑sept mois après avoir constaté cette carence, ce que la CNIL qualifie de négligence caractérisée au sens de l’article 83 § 2 b du RGPD. En parallèle, les transmissions de données à des clients annonceurs dans le cadre de l’offre ListConnect, opérées sous le couvert de l’intérêt légitime, sont jugées dépourvues de base légale valable, l’opacité des formulaires de collecte rendant inenvisageables les « attentes raisonnables » des personnes quant à une telle commercialisation de leurs données.

La sanction de 900 000 €, assortie d’une injonction de cesser la prospection sans consentement valable sous astreinte de 10 000 € par jour de retard à l’issue d’un délai de neuf mois, et de la publication de la délibération, s’inscrit dans la continuité d’une lignée jurisprudentielle cohérente — TAGADAMEDIA (SAN‑2023‑025), HUBSIDE.STORE (SAN‑2024‑004), CALOGA (SAN‑2025‑002) — et confirme que les gestionnaires de bases mutualisées de prospects sont pleinement responsables de la validité des consentements collectés par leurs partenaires, que les clauses contractuelles ne valent pas preuve, et que toute inertie face à un défaut de traçabilité du consentement constitue un facteur aggravant susceptible d’alourdir considérablement la sanction.

 

24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats