CNIL | SAN-2025-002 | 15 MAI 2025 | AFFAIRE CALOGA |
CALOGA | UN CLIC POUR S’INSCRIRE, UN LABYRINTHE POUR SE DÉSINSCRIRE
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I.
L’écosystème de la prospection commerciale par voie électronique et la position de CALOGA
La délibération SAN-2025-002 du 15 mai 2025 s’inscrit dans le cadre de la thématique prioritaire de contrôle que la CNIL avait identifiée en matière de prospection commerciale par voie électronique en 2022, portant spécifiquement sur les pratiques des courtiers en données (data brokers) qui constituent un maillon central et souvent opaque de l’écosystème publicitaire numérique. La société CALOGA, société par actions simplifiée sise à Malakoff, créée en 2000, exerçait deux activités distinctes mais étroitement liées : d’une part, la réalisation d’opérations de prospection commerciale par voie électronique pour le compte de clients annonceurs, à partir de bases de données constituées auprès de partenaires primo-collectants ; d’autre part, une activité de courtier en données à proprement parler, consistant à transmettre ces mêmes données à des partenaires qui procèdent eux-mêmes à des opérations de prospection commerciale pour leurs propres clients annonceurs.
L’affaire révèle la complexité de la chaîne des responsabilités dans cet écosystème et la manière dont les acteurs intermédiaires tentent de se soustraire à leurs obligations en se prévalant d’une qualification juridique erronée — celle de sous-traitant — pour les opérations de transmission de données. Elle met également en lumière les défaillances systémiques affectant le recueil du consentement dans les dispositifs de jeux-concours en ligne, utilisés comme vecteurs de collecte de données de prospects à grande échelle, et la façon dont ces défaillances se propagent tout au long de la chaîne de traitement.
La décision de la formation restreinte s’articule autour de quatre manquements distincts : un manquement à l’obligation de recueillir le consentement des personnes pour la prospection commerciale par voie électronique au titre de l’article L. 34-5 du CPCE, un manquement à l’obligation de respecter le droit au retrait du consentement au titre du même article éclairé par l’article 7 paragraphe 3 du RGPD, un manquement à l’obligation de disposer d’une base légale pour la transmission de données à des partenaires au titre de l’article 6 du RGPD, et enfin un manquement à l’obligation de conservation limitée des données au titre de l’article 5 paragraphe 1 e du RGPD. Ces quatre manquements forment un ensemble cohérent qui révèle une conception globalement défaillante de la conformité RGPD chez un acteur qui, compte tenu de son activité, aurait dû faire preuve d’une vigilance particulière.
II.
La qualification juridique de CALOGA comme responsable de traitement : rejet de la thèse du sous-traitant
L’un des premiers enjeux doctrinaux de cette délibération concerne la détermination de la qualité des différents acteurs impliqués dans la chaîne de traitement des données de prospects à des fins de prospection commerciale. La formation restreinte se livre à une analyse approfondie et pédagogique des critères permettant de distinguer le responsable de traitement du sous-traitant dans ce contexte particulier.
La formation restreinte rappelle que dans l’écosystème de la prospection commerciale, la qualité à conférer aux différents acteurs en matière de responsabilité de traitement dépend d’un certain nombre de paramètres, notamment la propriété de la base de données, ses modalités de constitution et de gestion, les choix opérés en matière de segmentation ou encore le degré et la précision des instructions données par l’annonceur. Elle souligne que ces attributions et répartitions des responsabilités doivent faire l’objet d’une analyse au cas par cas et que la qualification retenue par les acteurs eux-mêmes, notamment dans leurs actes contractuels, constitue un élément important à prendre en compte, mais non déterminant s’il ne correspond pas à la réalité des critères de l’article 4 du RGPD.
En l’espèce, la formation restreinte relève que la société CALOGA est propriétaire de quatre bases de données — CALOGA, ZEPLAN, BASYLO et VOZEKO — qu’elle a elle-même constituées à partir de données de prospects transmis par ses partenaires primo-collectants. Elle détermine les données personnelles qui figurent dans ses bases de prospects, les durées pendant lesquelles ces données y sont conservées et les éventuelles mises à jour devant être opérées. Par ailleurs, c’est CALOGA qui choisit elle-même les segments qui seront démarchés lors des opérations de prospection pour le compte d’annonceurs. Les clients annonceurs de CALOGA ne fournissent pas les données utilisées et n’y ont pas accès. Ces éléments caractérisent sans ambiguïté la qualité de responsable de traitement de CALOGA pour les opérations de prospection commerciale réalisées à partir de ses bases de données.
La question plus délicate concerne la qualification applicable à l’activité de transmission de données à des partenaires. CALOGA soutenait que ses partenaires destinataires interviennent en qualité de sous-traitants et non de responsables de traitement conjoints, de sorte que la transmission relèverait de l’intérêt légitime plutôt que d’exiger un consentement spécifique. La formation restreinte rejette fermement cette analyse. Elle constate que les partenaires auxquels CALOGA transmet ses données — environ 1,9 million de données de prospects lors de la dernière transmission de février 2023 pour l’un d’eux, et 2,2 millions lors de la dernière transmission de mai 2023 pour l’autre — réalisent ensuite de nouvelles opérations de prospection commerciale pour le compte de leurs propres clients annonceurs, à partir des bases dont ils ont ciblé avec leurs propres outils les segments qu’ils souhaitent solliciter. Ces opérations constituent de nouveaux traitements de données à caractère personnel mis en œuvre par d’autres responsables de traitement que CALOGA. Cette qualification de responsables de traitement distincts implique que CALOGA doit disposer du consentement des personnes concernées pour la transmission de leurs données, et non se contenter de l’intérêt légitime.
Ce raisonnement s’inscrit dans une jurisprudence constante de la formation restreinte, qui avait déjà retenu des positions similaires dans les affaires ACCOR (SAN-2022-017), EDF (SAN-2022-021) et GROUPE CANAL (SAN-2023-015). Il illustre la vigilance particulière de la CNIL à l’égard des tentatives de requalification contractuelle destinées à contourner l’obligation de recueil du consentement.
III.
Le manquement à l’obligation de recueil du consentement valable pour la prospection par voie électronique (article L. 34-5 CPCE)
Le premier manquement caractérisé par la formation restreinte — et sans doute le plus central de cette délibération — concerne l’invalidité des consentements recueillis par les partenaires primo-collectants de CALOGA pour les opérations de prospection commerciale par voie électronique.
La chaîne de collecte et les formulaires de jeux-concours
Le cycle de vie des données traitées par CALOGA peut être résumé ainsi : les données sont collectées auprès des personnes concernées par des primo-collectants — les sociétés [masquées] — qui organisent des jeux-concours en ligne. Ces sociétés sont contractuellement chargées de recueillir le consentement des personnes concernées à être prospectées commercialement par voie électronique. Les données sont ensuite transmises à CALOGA, qui les intègre dans ses bases de données et les utilise pour réaliser des opérations de prospection. En 2022, la société CALOGA a prospecté 2 315 189 personnes pour une société sur la base de 2 287 formulaires, 1 970 942 personnes pour une autre société sur la base de 2 259 formulaires, et 2 050 706 personnes pour une troisième sur la base de 2 255 formulaires.
L’instruction a permis d’établir que parmi les 3 653 formulaires transmis par la société, au moins 21 proposaient à l’utilisateur un bouton validant à la fois sa participation au jeu-concours et l’utilisation de ses données pour recevoir des offres de la part de partenaires de la société organisatrice du jeu. La formation restreinte constate que la mise en valeur des boutons entraînant l’utilisation des données à des fins de prospection commerciale — par leur taille, leur couleur, leur intitulé et leur emplacement — comparée aux liens hypertextes permettant de participer au jeu sans accepter cette utilisation, d’une taille nettement inférieure et se confondant avec le corps du texte, pousse fortement l’utilisateur à accepter. Ces dispositifs ne permettent donc pas de recueillir un consentement libre et univoque au sens de l’article 4 paragraphe 11 du RGPD et de l’article L. 34-5 du CPCE.
Les exigences du consentement valable en matière de prospection
La formation restreinte rappelle avec précision les exigences auxquelles doit satisfaire un consentement pour être valable en matière de prospection commerciale par voie électronique. Au titre de l’article L. 34-5 du CPCE, lu combiné à l’article 4 du RGPD, le consentement doit s’entendre comme une manifestation de volonté libre, spécifique, claire et univoque et ne peut résulter que d’un consentement exprès de l’utilisateur, donné en toute connaissance de cause après une information adéquate sur l’usage qui sera fait de ses données personnelles. Ce standard, qui découle directement de la directive ePrivacy transposée en droit français dès 2004, était pleinement applicable au moment des contrôles effectués en mai 2022.
La formation restreinte souligne également les résultats d’études menées sur les pratiques des interfaces numériques, notamment concernant les cookies, qui relèvent l’impact considérable de l’apparence des bannières de recueil du consentement sur le choix des utilisateurs. Elle considère que ces enseignements s’appliquent par analogie aux formulaires de jeux-concours dès lors que ceux-ci recourent à des dispositifs d’interface similaires visant à orienter le choix de l’utilisateur vers l’acceptation.
La défense de CALOGA et son rejet
CALOGA a développé une défense articulée autour de trois arguments principaux. Elle a d’abord soutenu qu’au moment du contrôle de mai 2022, le cadre juridique applicable ne lui permettait pas de conclure à l’invalidité des mécanismes de recueil du consentement mis en œuvre par ses partenaires, et que c’est seulement par la délibération du 29 décembre 2023 (SAN-2023-025, TAGADAMEDIA) que la formation restreinte s’est prononcée sur les modalités spécifiques de ce recueil dans le contexte des jeux-concours. Elle a ensuite affirmé ne disposer d’aucune marge de manœuvre sur l’édition des supports de recueil du consentement mis en œuvre par les primo-collectants, étant donnée l’architecture de la chaîne. Elle a enfin soutenu avoir mis en place des mesures pour vérifier la conformité du traitement, par le biais d’encadrements contractuels et de vérifications des données collectées.
La formation restreinte rejette ces trois arguments avec une rigueur particulièrement bien argumentée. Sur le premier argument, elle rappelle que l’ensemble des règles applicables en matière de prospection par voie électronique, ainsi que celles relatives au consentement, sont fixées depuis de nombreuses années et précèdent non seulement la publication de la décision TAGADAMEDIA, mais également les opérations de contrôle menées en mai 2022 auprès de CALOGA. Elle note que la décision SAN-2023-025 ne fait qu’appliquer des règles préexistantes que la société était parfaitement en mesure d’appréhender et ne pose aucune exigence nouvelle. Elle rappelle également que le principe de non-rétroactivité des règles répressives ne concerne que les règles à caractère impératif, et que les décisions visées par la société ne constituent que l’application de règles préexistantes. Sur le deuxième argument, la formation restreinte fait application du principe de responsabilité (accountability) consacré par l’article 5 paragraphe 2 et le considérant 74 du RGPD : c’est bien aux responsables de traitement et non aux autorités de protection des données qu’il appartient de déterminer les modalités pratiques de mise en œuvre des traitements, à la condition que ces modalités leur permettent de démontrer le respect des obligations. Sur le troisième argument, la formation restreinte relève que les clauses contractuelles contenues dans les contrats passés avec les partenaires apparaissent très générales, et que les vérifications effectuées n’ont pas été menées à une fréquence suffisamment élevée au regard du nombre de formulaires de collecte utilisés. Surtout, CALOGA n’a pas tiré les conséquences qui s’imposaient quant à l’absence de validité du consentement recueilli et a continué à utiliser les données transmises pour réaliser ses opérations de prospection.
La formation restreinte pose ici un principe particulièrement important : un simple engagement contractuel du fournisseur de données de respecter le RGPD et les règles applicables en matière de prospection commerciale ne constitue pas une mesure suffisante. Cela est d’autant plus vrai que la société destinataire des données ne peut s’en contenter et se doit d’opérer des vérifications concrètes sur les conditions de recueil du consentement sur lequel elle entend se fonder pour réaliser ses opérations de prospection. En d’autres termes, la responsabilité du contrôle de la validité du consentement ne peut pas être contractuellement déléguée au primo-collectant : elle demeure intégralement à la charge du responsable de traitement qui utilise ces données à des fins de prospection.
IV.
Le manquement au droit au retrait du consentement (article L. 34-5 CPCE éclairé par l’article 7§3 RGPD)
Le second manquement caractérisé par la formation restreinte porte sur les modalités de retrait du consentement offertes aux prospects par CALOGA. Il révèle une architecture organisationnelle délibérément complexe, dont la formation restreinte considère qu’elle ne saurait faire obstacle aux droits des personnes concernées.
L’architecture multi-bases de données et ses effets sur le retrait du consentement
CALOGA organise ses traitements autour de quatre bases de données (CALOGA, ZEPLAN, BASYLO, VOZEKO), comprenant chacune plus d’un million d’entrées avec des doublons. Lorsque les prospects donnent leur consentement en un seul clic à la collecte de leurs données à des fins de prospection lors des jeux-concours, leurs données peuvent être envoyées vers une ou deux de ces bases de données.
Dans les courriels de prospection, deux liens sont insérés. Le premier permet la désinscription de recevoir des contenus publicitaires d’un annonceur final spécifique, quelle que soit la base de données utilisée. Un second lien permet la désinscription de recevoir les contenus publicitaires des partenaires d’une marque de CALOGA, c’est-à-dire d’une seule de ses bases de données. Ainsi, si le prospect s’est inscrit dans une autre base de données de la société, nommée différemment sous une autre marque, il continuera à recevoir des offres provenant de cette autre base même s’il a utilisé le second lien pour se désabonner. Pour que le retrait du consentement soit pris en compte pour l’ensemble des bases de données gérées par CALOGA, le prospect doit adresser une demande explicite au DPO de la société par courriel ou cliquer sur plusieurs liens de désinscription insérés dans des courriers électroniques distincts.
La violation du principe de symétrie consentement/retrait
La formation restreinte fait application du principe, consacré par l’article 7 paragraphe 3 du RGPD et les lignes directrices 05/2020 du CEPD sur le consentement, selon lequel il doit être aussi simple de retirer son consentement que de le donner. Le considérant 42 du RGPD précise que le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. Le CEPD indique dans ses lignes directrices n° 5/2020 que la personne concernée doit pouvoir retirer son consentement sans subir de préjudice, ce qui signifie notamment qu’un responsable du traitement doit proposer la possibilité de retirer son consentement gratuitement ou sans entraîner la diminution du niveau de service.
La formation restreinte constate que, dans le système mis en œuvre par CALOGA, il n’est pas possible pour le prospect de se désinscrire en un seul clic des bases de données auxquelles il s’est inscrit en un seul clic. Lorsqu’un prospect est inscrit dans deux bases de données de la société en un seul clic au moment de la collecte, il devrait pouvoir, en un seul clic depuis un lien URL présent dans le courriel de prospection, retirer son consentement pour ces deux bases de données. Cette asymétrie constitue un manquement aux dispositions de l’article L. 34-5 du CPCE tel qu’éclairé par l’article 7 paragraphe 3 du RGPD.
Le caractère trompeur de la dénomination “CALOGA” pour l’une des bases
La formation restreinte souligne un élément aggravant particulièrement notable : CALOGA a intitulé l’une de ses quatre bases de données du nom même de la société — “CALOGA” — alors que les trois autres portent les noms de marques distinctes (ZEPLAN, BASYLO, VOZEKO). Ce système prête à confusion dès lors que le prospect peut légitimement penser, en cliquant sur le lien de désinscription intitulé “ne plus recevoir aucune offre des annonceurs de CALOGA”, que l’action vaut pour toutes les bases de données de la société. Or, ce n’est pas le cas : cette désinscription ne vaut que pour la marque “CALOGA” et non pour les marques ZEPLAN, BASYLO et VOZEKO, qui sont également gérées par la même société mais apparaissent sous des noms différents dans les listes de partenaires des formulaires de collecte.
La formation restreinte relève que, dans ces conditions, malgré une action positive du prospect sollicitant le retrait de son consentement, il continuera à recevoir des courriels de prospection dans un contexte de sollicitations intenses. Elle affirme avec force que la société ne saurait se prévaloir de ses choix d’organisation interne — en optant pour une répartition des données collectées en différentes bases de données correspondant à différentes marques — pour se soustraire à ses obligations, ses choix organisationnels ne devant pas faire obstacle au retrait du consentement dans les mêmes conditions que celles dans lesquelles il a été obtenu. Ce principe est fondamental : l’architecture interne d’un responsable de traitement ne peut pas servir de bouclier contre l’exercice des droits des personnes.
V.
Le manquement à l’obligation de base légale pour la transmission de données à des fins de prospection (article 6 RGPD)
La tentative de qualification de l’intérêt légitime
Le troisième manquement porte sur la transmission mensuelle par CALOGA des données de prospects présents dans ses bases à des partenaires, afin que ceux-ci réalisent à leur tour des opérations de prospection commerciale par voie électronique pour le compte de leurs propres clients annonceurs. Cette transmission représentait des volumes significatifs : environ 1,9 million de données de prospects transmises lors de la dernière transmission de février 2023 à l’un des partenaires principaux, et 2,2 millions lors de la dernière transmission de mai 2023 à l’autre.
CALOGA fondait ce traitement de transmission sur la base légale de l’intérêt légitime au sens de l’article 6 paragraphe 1 f du RGPD, soutenant que ses partenaires destinataires intervenaient en qualité de sous-traitants. Ce faisant, CALOGA tentait de s’exonérer de l’obligation de recueillir le consentement des personnes concernées pour cette transmission, en faisant valoir que le consentement initialement recueilli par les primo-collectants pour la prospection électronique couvrait également la transmission des données à des tiers.
Le rejet de l’intérêt légitime pour la transmission à des fins de prospection
La formation restreinte rejette sans détour la qualification d’intérêt légitime pour ce traitement de transmission. Elle rappelle que, conformément au référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales de la CNIL, lorsque la transmission des données a pour finalité de permettre aux partenaires commerciaux de réaliser de la prospection nécessitant le recueil du consentement préalable des personnes concernées, l’organisme qui transmet les données doit recueillir le consentement des personnes concernées à cette transmission. La formation restreinte estime en effet que, dès lors que les données sont transmises pour servir uniquement des opérations pour lesquelles la loi est venue, en raison de leur intrusivité particulière, exiger un consentement, la base légale de l’intérêt légitime ne peut être retenue.
Ce raisonnement présente une cohérence doctrinale forte : admettre que la transmission de données à des fins de prospection électronique puisse être fondée sur l’intérêt légitime alors que les opérations de prospection elles-mêmes exigent un consentement reviendrait à permettre de contourner l’exigence de consentement par le simple recours à l’intermédiaire d’un tiers. La chaîne de transmission ne peut réduire les droits des personnes : si la finalité ultime du traitement exige un consentement, la transmission préalable servant cette finalité doit l’exiger également.
L’indisponibilité d’un consentement valable
La formation restreinte relève que, dans la mesure où CALOGA ne dispose pas d’un consentement valable pour la constitution de ses bases de données — ainsi qu’il résulte des développements relatifs au premier manquement — elle ne dispose pas davantage d’un consentement valable pour transmettre ces données à ses partenaires. Les deux manquements se cumulent ainsi et se renforcent mutuellement : l’invalidité du consentement initial de collecte entraîne l’illicéité tant des opérations de prospection directe réalisées par CALOGA que des transmissions à des partenaires.
VI.
Le manquement à l’obligation de conservation limitée des données (article 5-1-e RGPD)
La politique de conservation de CALOGA et ses effets pervers
Le quatrième manquement caractérisé concerne la durée de conservation des données de prospects. CALOGA appliquait une durée de conservation de douze mois maximum à compter de la dernière action du prospect “actif”, en prenant en compte notamment la date d’ouverture d’un courriel. Au-delà de ces douze mois, lorsque le prospect était considéré comme “inactif”, une durée de conservation supplémentaire de quatre ans était appliquée à des fins probatoires. La société ne procédait par ailleurs à aucun archivage et conservait l’ensemble des données de ses prospects en base active pendant une durée de quatre ans à compter du moment où le prospect était considéré comme inactif.
La formation restreinte caractérise ce système comme contrevenant à plusieurs égards au principe de limitation de la conservation posé par l’article 5 paragraphe 1 e du RGPD.
La prise en compte de l’ouverture d’un courriel comme “action” prolongeant la conservation
L’un des éléments les plus frappants relevés par la formation restreinte est la pratique consistant à prendre en compte l’ouverture d’un courriel de prospection — même par inadvertance — comme une “action” du prospect de nature à prolonger la conservation de ses données dans les bases de CALOGA, et ce potentiellement sans limitation dans le temps. La formation restreinte considère que cette pratique est contraire au droit applicable et rappelle que les données de prospects peuvent être conservées pour une durée de trois ans à compter de leur collecte ou du dernier contact émanant du prospect, ce contact ne pouvant pas être la simple ouverture d’un courriel.
Ce point est particulièrement révélateur des dérives auxquelles peut conduire une conception utilitariste de la “durée de vie” des données dans le secteur de la prospection commerciale. En pratique, les systèmes de routage d’e-mails procèdent automatiquement au suivi des ouvertures ; qualifier chaque ouverture — automatique ou involontaire — de “dernier contact” permettrait de maintenir indéfiniment des données dans les bases actives, ce qui vide de sa substance le principe de limitation de la conservation.
L’absence d’archivage intermédiaire et la conservation en base active
La formation restreinte relève que la société ne procédait à aucun archivage intermédiaire et conservait l’ensemble des données de ses prospects en base active pendant une durée de quatre ans à compter du moment où le prospect était considéré comme inactif. Cette absence de tri est doublement préjudiciable : d’une part, elle maintient des données accessibles et potentiellement utilisables pour des opérations de prospection au-delà de la durée légale ; d’autre part, elle ne permet pas de limiter l’accès aux seules personnes ayant besoin d’en connaître, contrairement aux exigences applicables aux données conservées en archivage intermédiaire à des fins probatoires.
La formation restreinte rappelle en effet qu’il appartenait à CALOGA d’effectuer un tri parmi ces données, pour ne conserver que les données strictement nécessaires à des fins probatoires, et d’en limiter l’accès aux seules personnes ayant le besoin d’en connaître. Cette obligation de tri et d’isolement des données en archivage intermédiaire constitue un impératif découlant du principe de minimisation posé à l’article 5 paragraphe 1 c du RGPD, combiné au principe de limitation de la conservation.
VII.
Les moyens de défense de CALOGA : une stratégie procédurale et substantielle globalement inefficace
Sur la régularité de la procédure
CALOGA avait soulevé plusieurs arguments procéduraux. Elle avait notamment contesté la régularité de la procédure en invoquant le principe de légalité des délits et des peines, soutenant que les exigences qui lui étaient opposées n’existaient pas au moment des contrôles effectués en mai 2022. La formation restreinte rejette cet argument en précisant que les décisions visées par la société comme étant postérieures aux opérations de contrôle ne constituent que l’application de règles préexistantes et ne sauraient, dans ces conditions, se voir opposer le principe de non-rétroactivité des règles répressives, qui ne concerne que les règles à caractère impératif.
Ce raisonnement est cohérent avec celui tenu par la formation restreinte dans des affaires comparables, notamment en matière de sécurité des données au titre de l’article 32 du RGPD. Il rappelle que les recommandations de la CNIL et les lignes directrices du CEPD, bien qu’elles n’aient pas de caractère impératif, ne font que préciser et illustrer des obligations légales préexistantes, et que le fait qu’elles aient été publiées postérieurement aux faits constatés n’exonère pas le responsable de traitement de sa responsabilité.
Sur la délégation de la vérification aux primo-collectants
Sur le fond, CALOGA a tenté de faire valoir qu’elle ne disposait d’aucune marge de manœuvre sur l’édition des supports de recueil du consentement mis en œuvre par les primo-collectants, et qu’elle avait mis en place des mesures de vérification suffisantes par le biais d’encadrements contractuels. La formation restreinte écarte ce moyen de défense au motif que les clauses contractuelles passées avec les partenaires étaient très générales, et que les vérifications effectuées n’étaient pas menées à une fréquence suffisante au regard du nombre de formulaires utilisés. Elle souligne qu’en tout état de cause, CALOGA n’avait pas tiré les conséquences qui s’imposaient de ces vérifications et avait continué à utiliser des données issues de formulaires non conformes.
Ce faisant, la formation restreinte pose un principe essentiel qui dépasse l’espèce : le responsable de traitement qui décide de ne pas recueillir lui-même le consentement des personnes et de se prévaloir d’un consentement recueilli par un tiers pour son compte supporte intégralement le risque de la non-conformité de ce consentement. La sous-traitance du recueil du consentement n’emporte pas transfer de la responsabilité juridique de sa validité.
Sur la cessation d’activité
La formation restreinte prend acte de la cessation progressive des activités de CALOGA entre 2022 et 2024, ainsi que de son résultat net déficitaire en 2023. Ces éléments sont pris en considération dans la détermination de la sanction, mais ne remettent pas en cause la caractérisation des manquements.
VIII.
Apports doctrinaux et normatifs de la délibération SAN-2025-002
La délibération SAN-2025-002 apporte plusieurs contributions doctrinales importantes à la jurisprudence de la CNIL en matière de prospection commerciale et de protection des données personnelles.
Sur la responsabilité dans les chaînes de traitement : la délibération confirme et approfondit la jurisprudence de la formation restreinte sur la qualification des différents acteurs de l’écosystème publicitaire numérique. Elle précise que la qualification de sous-traitant ne peut être retenue pour un partenaire qui réalise des opérations de prospection pour ses propres clients annonceurs, en utilisant ses propres outils de ciblage, à partir de bases de données dont il choisit librement les segments à solliciter. Cette précision est importante pour tous les acteurs de la chaîne qui doivent analyser soigneusement la réalité des rôles exercés plutôt que se contenter des qualifications contractuelles.
Sur le consentement dans les jeux-concours : la délibération confirme que les dispositifs de recueil du consentement employés dans les formulaires de jeux-concours en ligne ne permettent généralement pas de recueillir un consentement libre et univoque dès lors qu’ils recourent à des techniques d’interface qui orientent le choix de l’utilisateur vers l’acceptation. Cette position, déjà exprimée dans SAN-2023-025 (TAGADAMEDIA), est réaffirmée et généralisée.
Sur le principe de symétrie consentement/retrait : la délibération précise de manière opérationnelle les exigences du principe selon lequel il doit être aussi simple de retirer son consentement que de le donner. Elle affirme que lorsqu’un consentement peut être donné en un seul clic pour plusieurs bases de données d’un même responsable de traitement, le retrait doit également pouvoir être effectué en un seul clic pour ces mêmes bases de données, indépendamment de l’organisation interne choisie par le responsable.
Sur la conservation des données de prospects : la délibération apporte une précision importante sur la définition du “dernier contact” susceptible de prolonger la durée de conservation des données de prospects : la simple ouverture d’un courriel ne peut constituer un tel contact et ne peut donc pas être invoquée pour prolonger la durée de conservation au-delà de trois ans à compter de la collecte ou du dernier contact réel émanant du prospect.
Sur l’obligation de vérification active de la validité du consentement : la délibération confirme que le responsable de traitement qui se prévaut d’un consentement recueilli par un tiers ne peut se contenter d’un encadrement contractuel général et doit procéder à des vérifications concrètes et régulières des conditions de recueil du consentement. Il doit en outre tirer les conséquences opérationnelles qui s’imposent lorsque ces vérifications révèlent des non-conformités.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats