CNIL | SAN-2025-001 | 15 MAI 2025 | AFFAIRE SOLOCAL MARKETING SERVICES |
SOLOCAL MARKETING SERVICES | BASE DE DONNÉES DE 35 MILLIONS DE PROSPECTS | 4,7 MILLIONS DE SMS EXPÉDIÉS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
La délibération SAN-2025-001 du 15 mai 2025 de la formation restreinte de la CNIL sanctionne la société SOLOCAL MARKETING SERVICES (SOMS) pour des manquements caractérisés aux règles encadrant la prospection commerciale par voie électronique. L’affaire illustre les défaillances structurelles d’un acteur historique du marketing direct face aux exigences du RGPD et du code des postes et des communications électroniques (CPCE) en matière de validité et de preuve du consentement, ainsi que de base légale pour la transmission de données à des tiers.
I.
Le contexte opérationnel et l’architecture de la prospection
La société SOMS est une filiale du groupe SOLOCAL (anciennement PAGES JAUNES GROUPE), créée en 1999 sous le nom de PAGES JAUNES MARKETING SERVICES. Elle employait 309 salariés au 31 décembre 2023 et a réalisé un chiffre d’affaires de 76,3 millions d’euros pour 2023. Bien qu’ayant recentré son activité principale sur la conception de sites web, elle continuerait d’exercer en parallèle une activité de marketing direct reposant sur deux prestations : d’une part, la réalisation de campagnes de prospection par SMS et courrier électronique pour le compte de clients annonceurs (offres « EmailConnect » et « ContactConnect ») ; d’autre part, la transmission à ces clients de données de prospects pour qu’ils réalisent eux-mêmes de la prospection par voie postale ou téléphonique (offre « ListConnect »).
Ces opérations s’appuient sur une base de données unique comptant environ 75 millions d’entrées pour près de 35 millions de personnes distinctes — soit approximativement la moitié de la population française — constituée à partir de données transmises par une quinzaine de fournisseurs (primo-collectants), notamment des éditeurs de sites de jeux-concours et de tests de produits en ligne.
II.
Les trois manquements retenus par la formation restreinte
Premier manquement — Article L. 34-5 du CPCE (recueil du consentement)
La formation restreinte constate que les formulaires de participation aux jeux-concours mis en œuvre par les fournisseurs X1 et X2 — deux des trois plus importants fournisseurs de données de la société — ne permettent pas de recueillir un consentement libre et univoque au sens du RGPD. L’analyse des interfaces révèle une conception délibérément orientée : les boutons entraînant l’utilisation des données à des fins de prospection commerciale sont mis en valeur par leur taille, leur couleur, leur intitulé et leur emplacement, tandis que les liens hypertextes permettant de participer au jeu sans accepter la prospection sont d’une taille nettement inférieure et se confondent avec le corps du texte. Cette architecture visuelle pousse fortement l’utilisateur à accepter, compromettant la liberté réelle du choix et donc la validité du consentement recueilli.
La formation restreinte considère que cette invalidité est pleinement opposable à SOMS en sa qualité de responsable de traitement utilisatrice des données ainsi collectées. Les exigences contractuelles imposées aux fournisseurs et les vérifications que la société affirmait avoir effectuées sont qualifiées de « manifestement insuffisantes » : SOMS devait s’assurer de la validité substantielle — et non seulement formelle — du consentement avant de mener ses campagnes. Ce manquement présente un caractère systémique, les formulaires non conformes provenant des deux plus gros fournisseurs de données de la société, laquelle a démarché près de 5,2 millions de personnes par voie électronique en 2022.
Deuxième manquement — Article 7 du RGPD (preuve du consentement)
La société n’a pas été en mesure de fournir à la CNIL la preuve du consentement des personnes dont les données lui avaient été transmises par son fournisseur X3. Il appartient à la société, en sa qualité de responsable de traitement, d’apporter la preuve que ses opérations de prospection sont licites — notamment la preuve du consentement. Après avoir constaté que son partenaire était incapable de produire cette preuve, SOMS a attendu près de 17 mois avant de cesser d’utiliser les données concernées — délai incompatible avec la diligence requise d’un acteur professionnel expérimenté. Ce manquement concerne plus de 1,2 million de personnes démarchées en 2022.
Troisième manquement — Article 6 du RGPD (base légale pour la transmission de données)
Dans le cadre de l’offre « ListConnect », SOMS a transmis à ses clients les numéros de téléphone mobile de 78 172 personnes sans base légale valable. La société invoquait l’intérêt légitime, mais la formation restreinte constate que les personnes concernées ne pouvaient pas raisonnablement s’attendre à voir leurs coordonnées téléphoniques mobiles communiquées à des tiers annonceurs à des fins de démarchage téléphonique — condition pourtant essentielle à l’invocabilité de l’intérêt légitime comme base légale.
III.
La réfutation des arguments de défense
La société a notamment soutenu que le cadre juridique applicable en octobre 2022 ne lui permettait pas d’anticiper les exigences issues de la décision SAN-2023-025 du 29 décembre 2023, invoquant le principe de non-rétroactivité des règles répressives. La formation restreinte rejette catégoriquement cet argument : les exigences de validité du consentement (libre, spécifique, éclairé et univoque) sont définies dans des textes applicables bien avant le contrôle d’octobre 2022, et la décision de 2023 n’a fait qu’appliquer ces règles préexistantes à un contexte factuel particulier, sans en créer de nouvelles.
La société a par ailleurs sollicité la limitation de l’assiette de l’amende à la seule part du chiffre d’affaires générée par les activités de marketing direct (environ 2,21 % du CA global). La formation restreinte rejette cette demande : aucune disposition légale ne prévoit une telle limitation, et la gravité des manquements n’est pas nécessairement corrélée aux revenus directement générés. La base de calcul retenue est le chiffre d’affaires total de la société (76,3 millions d’euros pour 2023), conformément à l’article 83 du RGPD.
S’agissant de la négligence, la formation restreinte souligne une circonstance particulièrement aggravante : la société avait mis en place des procédures d’audit de ses fournisseurs dès 2022, démontrant ainsi une conscience parfaite des obligations applicables — ce qui rend d’autant plus inexplicable l’absence de mesures correctives effectives alors que les vérifications révélaient des non-conformités.
IV.
La formation restreinte comme garant de la conformité substantielle dans l’écosystème de la prospection
La délibération SAN-2025-001 affirme avec clarté que le responsable de traitement qui sous-traite ou délègue le recueil du consentement à des tiers ne se libère pas pour autant de son obligation de vérification substantielle. La conformité de l’interface de collecte — dans toutes ses dimensions visuelles et ergonomiques — demeure de la responsabilité du responsable de traitement qui utilise les données ainsi recueillies. Cette position, cohérente avec le principe d’accountability de l’article 5, paragraphe 2 du RGPD, impose aux courtiers en données et acteurs du marketing direct un devoir de vigilance actif et non purement formel sur les pratiques de leurs fournisseurs de données.
Le dispositif sanctionnateur prononcé — une injonction de cessation des opérations de prospection électronique fondées sur des consentements invalides, assortie d’une astreinte journalière — manifeste la volonté de la formation restreinte d’imposer une mise en conformité effective, au-delà de la simple sanction pécuniaire.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats