CNIL | SAN-2025-002 | 15 mai 2025 | Affaire CALOGA | CONSEILS

PARTIE I — CONSEILS AUX RESPONSABLES DE TRAITEMENT

---

A. LA QUESTION DU CONSENTEMENT À LA PROSPECTION COMMERCIALE PAR VOIE ÉLECTRONIQUE

 

1. COMPRENDRE L’EXIGENCE DU CONSENTEMENT VALIDE DANS LE CADRE DU DATA BROKERING

La délibération CALOGA rappelle avec une force particulière que tout responsable de traitement qui recourt à des données de prospects collectées par des tiers à des fins de prospection commerciale par voie électronique doit, avant toute campagne, s’assurer de la validité du consentement recueilli à la source. Cette obligation, qui découle de l’article L. 34-5 du code des postes et des communications électroniques (CPCE) et de l’article 7 du RGPD, ne peut être satisfaite par de simples clauses contractuelles stipulées avec les fournisseurs de données ou par des audits formels réalisés a posteriori.

La formation restreinte a en effet censuré expressément l’argument selon lequel les « garanties contractuelles imposées par la société à ses fournisseurs, en amont, ainsi que les contrôles qu’elle affirmait avoir effectués, en aval, étaient manifestement insuffisants ». Ce constat appelle une révision profonde de la gouvernance des données achetées ou louées auprès de tiers.

Le responsable de traitement doit :

—-Obtenir copie des formulaires de collecte utilisés par chaque primo-collectant fournisseur, et vérifier concrètement que leur présentation permet un consentement libre, spécifique, éclairé et univoque ;
—-S’assurer que les boutons d’acceptation et de refus sont présentés de façon équilibrée et symétrique, sans que la conception graphique ou ergonomique favorise l’option d’acceptation ;
—-Vérifier que le consentement recueilli mentionne explicitement le nom de la société qui utilisera les données à des fins de prospection, et pas seulement un listing générique de partenaires ;
—-Documenter l’ensemble de ces vérifications dans le registre des activités de traitement, en conservant les preuves des contrôles effectués.

2. L’OBLIGATION DE PREUVE DU CONSENTEMENT : UNE RESPONSABILITÉ QUI REPOSE INTÉGRALEMENT SUR LE RESPONSABLE DE TRAITEMENT

L’article 7 du RGPD impose que « le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ». Cette obligation de preuve pèse sur chaque maillon de la chaîne, y compris sur l’utilisateur final des données qui ne les a pas lui-même collectées.

En pratique, cette obligation impose aux responsables de traitement de :

—-Exiger de leurs fournisseurs de données la fourniture, pour chaque prospect, de la preuve du consentement recueilli (date, heure, contenu du formulaire présenté, action réalisée par l’utilisateur) ;
—-Vérifier périodiquement — et pas seulement lors de la mise en place de la relation commerciale — que les formulaires utilisés par les fournisseurs demeurent conformes ;
—-Cesser immédiatement d’utiliser les données d’un fournisseur dès lors que la conformité de ses formulaires est mise en doute, sans attendre une mise en demeure de la CNIL. La formation restreinte a relevé dans l’affaire SOLOCAL que la société avait « attendu près de 17 mois pour cesser d’utiliser les données transmises » après avoir constaté que son partenaire n’était pas en capacité de fournir la preuve du consentement — une passivité systématiquement sanctionnée.

3. LA PROSPECTION PAR VOIE ÉLECTRONIQUE ET L’INTERDICTION D’INVOQUER L’INTÉRÊT LÉGITIME

La délibération CALOGA confirme de façon définitive ce que la CNIL rappelle depuis plusieurs années : l’intérêt légitime ne peut pas servir de base légale pour les opérations de prospection commerciale par voie électronique, que ce soit pour la prospection directe ou pour la transmission des données à des partenaires annonceurs aux fins de prospection.

« Ce traitement doit être fondé sur le consentement des personnes concernées », rappelle la formation restreinte. Les responsables de traitement qui ont fondé leurs opérations de transmission de bases de données à des fins de prospection sur l’intérêt légitime doivent impérativement requalifier la base légale de ces traitements et obtenir les consentements nécessaires, sous peine d’une sanction CNIL.

---

---

B. LE MÉCANISME DE DÉSINSCRIPTION ET LE DROIT AU RETRAIT DU CONSENTEMENT

 

1. L’EXIGENCE DE SYMÉTRIE ENTRE L’OCTROI ET LE RETRAIT DU CONSENTEMENT

L’article 7§3 du RGPD est on ne peut plus clair : « il doit être aussi facile de retirer que de donner son consentement ». La délibération CALOGA illustre concrètement les conséquences de la méconnaissance de ce principe. Le fait d’avoir subordonné la désinscription à l’envoi d’un courrier électronique au DPO — alors que le consentement initial avait été donné en un seul clic — constitue une violation caractérisée de ce principe de symétrie.

Pour respecter cette exigence, les responsables de traitement doivent :

—-Mettre en place un mécanisme de désinscription en un seul clic, accessible directement depuis chaque message de prospection commercial, permettant au prospect de se désinscrire sans avoir à s’identifier à nouveau ;
—-S’assurer que la désinscription d’une liste entraîne la désinscription effective de toutes les listes ou bases de données gérées sous la même entité juridique, ou, à défaut, informer clairement le prospect de l’ensemble des listes dont il est inscrit et lui offrir la possibilité de se désinscrire de chacune d’elles individuellement en un seul processus simple ;
—-Éviter impérativement la confusion entre le nom d’une marque commerciale et le nom de la société, dès lors que cette confusion peut amener le prospect à croire, à tort, que sa désinscription d’une marque vaut désinscription de toutes les bases de données de la société ;
—-Tracer et documenter les désinscriptions, en s’assurant que celles-ci prennent effet immédiatement dans toutes les bases actives.

2. CAS PARTICULIER DES COURTIERS EN DONNÉES MULTI-MARQUES

L’affaire CALOGA présente une problématique spécifique aux courtiers en données qui gèrent plusieurs marques ou bases de données distinctes sous une même entité juridique. La multiplication des marques ne saurait être utilisée comme un outil pour compliquer le retrait du consentement ou pour maintenir des prospects dans certaines bases malgré leur demande de désinscription.

Les responsables de traitement qui gèrent plusieurs marques ou bases de données doivent impérativement :

—-Cartographier l’ensemble des bases de données dans lesquelles un même prospect est inscrit ;
—-S’assurer que le lien de désinscription présent dans chaque communication permet au prospect de comprendre clairement de quelle base ou de quelles bases il se désinscrit ;
—-Proposer une option de désinscription globale simple et clairement identifiable, permettant au prospect de se retirer de toutes les bases de données de la société en une seule action.

---

---

C. LES DURÉES DE CONSERVATION DES DONNÉES DE PROSPECTS

 

1. LA DOCTRINE CNIL SUR LES DURÉES DE CONSERVATION : TROIS ANS FERMES À COMPTER D’UN CONTACT ACTIF

La délibération CALOGA confirme et précise le standard CNIL en matière de durée de conservation des données de prospects :

« Les données de prospects peuvent être conservées pour une durée de trois ans à compter de leur collecte ou du dernier contact émanant du prospect (ce contact ne pouvant pas être la simple ouverture d’un courriel). »

Ce principe emporte plusieurs conséquences pratiques immédiates pour les responsables de traitement :

—-Le compteur de trois ans doit être déclenché à compter de la date de collecte des données ou du dernier contact actif et volontaire du prospect (achat, remplissage d’un formulaire, prise de contact directe, etc.) ;
—-L’ouverture d’un courriel — même si elle est techniquement tracée par les systèmes d’emailing — ne constitue pas un « contact » permettant de prolonger la durée de conservation ;
—-Les systèmes de gestion des durées de conservation doivent être paramétrés pour exclure les actions passives comme déclencheur de prolongation de la durée.

2. L’OBLIGATION D’ARCHIVAGE INTERMÉDIAIRE

L’affaire CALOGA met en lumière une obligation souvent méconnue ou négligée par les acteurs du secteur : l’obligation de procéder à un archivage intermédiaire des données de prospects pour lesquelles la durée de conservation en base active est écoulée, mais dont le maintien peut être justifié pour des finalités probatoires.

« Il appartenait à la société d’effectuer un tri parmi ces données, pour ne conserver que les données strictement nécessaires à des fins probatoires, et d’en limiter l’accès aux seules personnes ayant le besoin d’en connaitre. »

La formation restreinte rappelle ainsi que l’archivage intermédiaire n’est pas une option mais une obligation, dès lors que la société ne peut purger immédiatement les données pour des raisons légitimes (notamment des obligations probatoires ou légales). En pratique, cela implique :

—-La mise en place d’une politique de cycle de vie des données (PCV) documentée, distinguant les données en base active, les données en archivage intermédiaire et les données détruites ;
—-Un contrôle des accès permettant de s’assurer que les données en archivage intermédiaire ne sont accessibles qu’aux personnes ayant un besoin effectif de les consulter (équipe contentieuse, DPO, etc.) ;
—-La définition d’une durée maximale d’archivage intermédiaire justifiée par les finalités probatoires réelles, au-delà de laquelle les données sont définitivement supprimées.

---

---

D. RECOMMANDATIONS PRATIQUES ET PLAN D’ACTION PRIORITAIRE

 

1. Audit immédiat des pratiques de collecte des consentements

Procéder sans délai à un audit exhaustif des formulaires de collecte utilisés par l’ensemble des fournisseurs de données, en vérifiant pour chacun : (i) la présentation des options de consentement, (ii) la clarté de l’information sur les finalités du traitement et l’identité des destinataires des données, (iii) la disponibilité de la preuve du consentement pour chaque prospect.

2. Révision du contrat-type avec les fournisseurs de données

Intégrer dans les contrats de fourniture de données des obligations renforcées portant sur : (i) la conformité des formulaires de collecte, sous astreinte, (ii) la communication périodique des captures d’écran et enregistrements techniques des formulaires utilisés, (iii) la fourniture de la preuve de consentement individuelle à première demande, (iv) la suspension automatique de la relation contractuelle en cas d’incapacité à produire cette preuve.

3. Mise en conformité du mécanisme de désinscription

Réviser intégralement le système de gestion des désinscriptions pour garantir : (i) la désinscription en un seul clic depuis chaque communication, (ii) l’extension automatique de la désinscription à l’ensemble des bases de données de la société, (iii) l’information claire du prospect sur le périmètre de sa désinscription.

4. Reconfiguration du système de gestion des durées de conservation

Réviser les paramètres des systèmes de gestion des données prospects pour : (i) exclure l’ouverture de courriel comme déclencheur de prolongation de la durée de conservation, (ii) mettre en place l’archivage intermédiaire avec contrôle des accès, (iii) documenter les critères de déclenchement du passage en archivage et de la suppression définitive.

5. Désignation ou renforcement du rôle du DPO

La complexité des obligations applicables au data brokering rend indispensable la désignation d’un délégué à la protection des données (DPO) compétent sur ces sujets, capable d’assurer le suivi des obligations de conformité, de piloter les audits des fournisseurs et de gérer les demandes d’exercice des droits des personnes concernées.

---

PARTIE II — CONSEILS AUX PERSONNES CONCERNÉES

---

A. COMPRENDRE LES PRATIQUES DU DATA BROKERING ET LEURS IMPLICATIONS

 

1. COMMENT VOS DONNÉES ONT-ELLES PU SE RETROUVER DANS LES BASES DE CALOGA ?

Les pratiques de CALOGA décrites dans la délibération SAN-2025-002 illustrent un écosystème dans lequel les données personnelles de millions de consommateurs sont collectées, revendues et exploitées à des fins de prospection commerciale sans que les personnes concernées en aient toujours une conscience claire.

Concrètement, si vous avez participé à des jeux-concours ou à des tests de produits en ligne, vos données (nom, prénom, adresse électronique, numéro de téléphone) ont pu être collectées via des formulaires dont la conception — telle que décrite par la CNIL — « pousse fortement l’utilisateur à accepter » l’utilisation de ses données à des fins de prospection. Ces données ont ensuite pu être vendues à des courtiers comme CALOGA, qui les ont exploitées pour vous adresser des messages non sollicités ou les ont transmises à d’autres annonceurs.

2. VOS DROITS FACE AUX PRATIQUES DE PROSPECTION COMMERCIALE NON SOLLICITÉE

Le RGPD et le CPCE vous accordent des droits substantiels que vous pouvez exercer à tout moment face à des pratiques de prospection non sollicitées ou fondées sur un consentement dont vous n’avez pas le souvenir d’avoir donné :

—-Le droit d’opposition (article 21 RGPD) : vous pouvez vous opposer à tout moment à l’utilisation de vos données à des fins de prospection commerciale. L’opposition à la prospection directe est absolue et ne peut faire l’objet d’aucun refus de la part de l’organisme ;
—-Le droit de retrait du consentement (article 7§3 RGPD) : si vous avez donné votre consentement à la réception de communications commerciales, vous avez le droit de le retirer à tout moment, sans que ce retrait ne compromette la licéité des traitements effectués antérieurement ;
—-Le droit d’accès (article 15 RGPD) : vous pouvez demander à tout courtier en données de vous communiquer l’ensemble des données qu’il détient sur vous, leur origine, les finalités du traitement et la liste des tiers auxquels vos données ont été transmises ;
—-Le droit à l’effacement (article 17 RGPD) : vous pouvez demander l’effacement de vos données, notamment lorsque le traitement est fondé sur votre consentement que vous retirez, ou lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.

3. COMMENT EXERCER VOS DROITS ET, SI NÉCESSAIRE, SAISIR LA CNIL ?

Pour exercer vos droits auprès d’un organisme, vous devez adresser votre demande par tout moyen permettant d’attester de son envoi (courrier recommandé avec avis de réception, courriel avec accusé de réception). L’organisme doit répondre dans un délai d’un mois, prolongeable à trois mois en cas de demandes complexes ou nombreuses.

Si l’organisme ne répond pas, refuse de donner suite à votre demande sans justification légitime, ou si vous constatez que vous recevez des messages de prospection malgré votre désinscription ou votre opposition, vous avez le droit de déposer une plainte auprès de la CNIL via le portail disponible sur le site cnil.fr. La CNIL peut instruire votre plainte et, si des manquements sont établis, engager une procédure de contrôle ou de sanction à l’encontre de l’organisme concerné.

4. LES BONNES PRATIQUES POUR LIMITER VOTRE EXPOSITION AUX PRATIQUES DE PROSPECTION COMMERCIALE NON SOLLICITÉE

—-Lisez attentivement les formulaires que vous remplissez en ligne, en particulier les jeux-concours et tests de produits : vérifiez la présence de cases à cocher distinctes pour l’acceptation de la prospection commerciale ;
—-Conservez une copie (capture d’écran) du formulaire et de la confirmation d’inscription, ce qui vous permettra, en cas de litige, d’établir les conditions dans lesquelles vos données ont été collectées ;
—-Désactivez les pixels de traçage dans votre client messagerie : l’ouverture de vos emails est tracée par les expéditeurs et peut être utilisée pour prolonger abusivement les durées de conservation de vos données, comme l’a illustré l’affaire CALOGA ;
—-Inscrivez-vous sur la liste d’opposition au démarchage téléphonique BLOCTEL (www.bloctel.gouv.fr) pour limiter les appels commerciaux non sollicités ;
—-Utilisez des adresses email “de filtrage” pour les inscriptions à des jeux-concours ou des offres promotionnelles, de façon à limiter la propagation de votre adresse principale dans les bases de données des courtiers.

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération SAN-2025-002 du 15 mai 2025 illustre de manière exemplaire la sévérité croissante de la CNIL à l’égard des courtiers en données qui structurent leur modèle économique autour de la prospection électronique de masse en s’abritant derrière des collectes réalisées par des tiers.

En sanctionnant la société CALOGA à hauteur de 250 000 euros, la formation restreinte rappelle d’abord que le responsable de traitement demeurant l’utilisateur final des fichiers de prospection est pleinement responsable de la validité des consentements, peu importe les clauses contractuelles transférant aux fournisseurs l’obligation de conformité, et que les audits sans suites correctrices ne sauraient constituer une cause d’exonération ;

Elle consacre ensuite une interprétation particulièrement stricte du principe de limitation de la durée de conservation, en censurant la pratique consistant à considérer la simple ouverture d’un courriel comme un « contact » justifiant la conservation pendant quatre ans en base active, pratique qui revient, en réalité, à reconduire indéfiniment le délai de conservation et à vider de sa substance l’exigence de proportionnalité posée par l’article 5, §1, e) du RGPD ; elle renforce, en troisième lieu, le socle jurisprudentiel relatif à l’article 32 du RGPD en réaffirmant l’obsolescence de la fonction de hachage MD5 pour le stockage des mots de passe, en dépit de l’usage d’un sel, et en exigeant le recours à des fonctions lentes conformes à l’état de l’art, tout en reconnaissant, à la marge, que la limitation des accès par adresse IP et la nature des données effectivement accessibles peuvent conduire à ne pas caractériser un manquement sur certains segments techniques ;

Elle rappelle, enfin, que l’obligation d’information de l’article 13 du RGPD impose une granularité fine des bases légales et une transparence accrue tant à l’égard des clients – notamment sur les transferts hors de l’Union et les fondements contractuels ou d’intérêt légitime – qu’à l’égard des salariés soumis à un dispositif d’enregistrement des appels, et que l’organisation interne de la société – en l’espèce la multiplication de bases de données sous différentes « marques » – ne peut en aucun cas restreindre l’effectivité du retrait du consentement ni de l’opposition, de sorte que cette affaire s’impose désormais comme un arrêt de référence pour la gestion des écosystèmes de prospection fondés sur des données acquises auprès de tiers et pour la mise en conformité des acteurs du courtage de données.