CNIL | SAN-2025-002 | 15 MAI 2025 | AFFAIRE CALOGA |
CALOGA | UN CLIC POUR S’INSCRIRE, UN LABYRINTHE POUR SE DÉSINSCRIRE
PROSPECTION B2C À VIE POUR UN E-MAIL OUVERT.
MD5 + SCANS DE CARTES BANCAIRES PAR E-MAIL.
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
L’ÉCOSYSTÈME DES COURTIERS EN DONNÉES ET LA CHAÎNE DE RESPONSABILITÉ
La société CALOGA, société par actions simplifiée domiciliée à Malakoff (92), a exercé jusqu’à la cessation totale de son activité en 2024 deux métiers distincts mais structurellement liés : l’envoi de courriers électroniques de prospection commerciale pour le compte d’annonceurs clients, à partir de bases de données de prospects constituées en propre ; et la transmission de ces mêmes bases à des partenaires tiers appelés à mener des opérations de prospection pour le compte de leurs propres annonceurs. La société gravitait ainsi au cœur de l’écosystème des data brokers, intermédiaire entre les primo-collectants — éditeurs de jeux-concours et de tests de produits en ligne — et les utilisateurs finaux des données, annonceurs et agences de marketing direct.
La question de la qualification juridique des différents acteurs de cet écosystème occupe une place centrale dans la délibération, conformément à la jurisprudence de la formation restreinte et du Conseil d’État en la matière. La formation restreinte rappelle que la qualité à conférer à chaque acteur — responsable de traitement, responsable conjoint ou sous-traitant — ne se déduit pas des qualifications retenues contractuellement entre les parties, mais s’apprécie au regard des critères matériels de l’article 4 du RGPD, à savoir qui détermine les finalités et les moyens essentiels du traitement.
En l’espèce, la formation restreinte retient sans ambiguïté la qualité de responsable de traitement de la société CALOGA pour deux types d’opérations distincts. D’une part, pour les opérations de prospection commerciale par voie électronique réalisées à partir de ses propres bases de données pour le compte de clients annonceurs : la société est propriétaire des bases, en détermine la segmentation, choisit les segments exploités et seule elle a accès aux données des prospects contactés. D’autre part, pour le traitement de transmission de données de prospects à des partenaires afin que ces derniers réalisent, pour le compte de leurs propres clients annonceurs, des opérations de prospection électronique. Sur ce second point, la formation restreinte s’oppose frontalement à la thèse défendue par CALOGA, qui considérait ses partenaires destinataires comme de simples sous-traitants, de sorte que la transmission n’aurait pas requis de consentement spécifique et aurait pu reposer sur la base légale de l’intérêt légitime.
LE MANQUEMENT À L’OBLIGATION DE RECUEIL DU CONSENTEMENT POUR LA PROSPECTION ÉLECTRONIQUE (ARTICLE L. 34-5 DU CPCE)
LA DÉFAILLANCE STRUCTURELLE DES FORMULAIRES DE COLLECTE
L’article L. 34-5 du code des postes et des communications électroniques (CPCE), transposant la directive ePrivacy, interdit toute prospection directe par voie électronique sans le consentement préalable, libre, spécifique et éclairé du destinataire. La société CALOGA constituait ses bases de données de prospects en achetant des données collectées par des partenaires primo-collectants via des formulaires de participation à des jeux-concours ou des tests de produits en ligne. Le consentement requis pour la prospection était donc subordonné à la conformité de ces formulaires de collecte.
La formation restreinte constate que les formulaires examinés lors du contrôle ne permettaient pas de recueillir un consentement libre et univoque au sens du RGPD et du CPCE. Elle relève en particulier le déséquilibre manifeste de mise en forme entre les boutons entraînant l’utilisation des données à des fins de prospection — mis en valeur par leur taille, leur couleur, leur intitulé et leur emplacement — et les liens hypertextes permettant de participer au jeu sans accepter cette utilisation, d’une taille nettement inférieure et se confondant avec le corps du texte. Cette architecture d’interface, communément désignée sous le terme de dark pattern, conduit l’utilisateur à accepter par réflexe, sans mesurer réellement les conséquences de son action. La CJUE avait déjà posé, dans son arrêt Planet49 GmbH (C‑673/17, 1er octobre 2019), que le consentement devait résulter d’un comportement actif de la personne, incompatible avec une acceptation induite par la mise en forme du formulaire.
L’INSUFFISANCE DES VÉRIFICATIONS EXERCÉES PAR CALOGA À L’ÉGARD DE SES FOURNISSEURS
La société CALOGA ne collectait pas directement les données : elle les achetait auprès de primo-collectants, dont les principaux sont deux sociétés dont les noms sont occultés dans la délibération publiée. Elle avait mis en place depuis 2014, puis actualisé en 2018 avec l’entrée en application du RGPD, des procédures contractuelles et des audits visant à s’assurer que ces partenaires recueillaient valablement le consentement des personnes avant de lui transmettre leurs données. Les clauses contractuelles stipulaient que les primo-collectants s’engageaient à recueillir valablement le consentement des personnes concernées, à le documenter et à en transmettre la trace à CALOGA.
La formation restreinte juge ces clauses insuffisantes en ce qu’elles sont d’une généralité excessive et ne permettaient pas, à elles seules, de garantir la conformité effective des formulaires de collecte. Elle relève surtout que les vérifications pratiques n’avaient pas été effectuées à une fréquence suffisamment élevée au regard du nombre de formulaires utilisés et, surtout, que la société n’avait pas tiré les conséquences qui s’imposaient de ses propres constats : les formulaires examinés dans le cadre de la procédure de contrôle ne permettaient pas de recueillir un consentement valable, alors même que les vérifications opérées par la société avaient débuté plusieurs mois auparavant. La société avait ainsi continué à exploiter des données collectées par des formulaires dont elle avait ou devait avoir connaissance de la non-conformité.
La formation restreinte souligne que la responsabilité d’une société qui fonde ses opérations de prospection sur des données collectées par des tiers ne s’arrête pas à la vérification contractuelle initiale. Il appartient à tout responsable de traitement d’assurer, de manière effective et continue, la validité du consentement sur lequel il entend s’appuyer. En se bornant à des vérifications insuffisamment régulières et en ne tirant pas les conséquences de constats d’irrégularité pourtant avérés, la société a adopté un comportement que la formation restreinte qualifie, au minimum, de forte négligence, en ce qu’elle était parfaitement consciente des exigences applicables à la prospection électronique, disposant d’un cadre opérationnel d’audit depuis 2014.
LE MANQUEMENT AU DROIT AU RETRAIT DU CONSENTEMENT (ARTICLE L. 34-5 DU CPCE, ÉCLAIRÉ PAR L’ARTICLE 7, §3, DU RGPD)
LE PRINCIPE DE SYMÉTRIE ENTRE OCTROI ET RETRAIT DU CONSENTEMENT
L’article 7, §3, du RGPD dispose qu’il doit être aussi simple de retirer son consentement que de le donner. Cette exigence de symétrie, éclairée par les lignes directrices n° 5/2020 du CEPD sur le consentement, constitue une composante essentielle du caractère libre du consentement : si la personne ne peut se désengager aisément, la liberté initiale de son consentement est rétroactivement mise en cause. Le CEPD précise ainsi que le responsable de traitement doit proposer la possibilité de retirer son consentement gratuitement et sans que cette action entraîne une diminution du niveau de service.
La formation restreinte applique ce principe en confrontant la mécanique d’inscription au mécanisme de désinscription mis en place par CALOGA. Le consentement était donné en un seul clic, via les formulaires de jeux-concours, pour figurer dans une ou deux bases de données de la société. Or, pour se désinscrire de l’ensemble des bases de données dans lesquelles le prospect avait été inscrit en un seul clic, il lui fallait soit adresser un courriel au DPO de la société, soit cliquer sur plusieurs liens de désinscription figurant dans des courriels distincts envoyés depuis des bases différentes — les liens de désinscription présents dans chaque courriel ne valant que pour la base depuis laquelle le message avait été envoyé.
LA CONFUSION ENTRETENUE PAR LA DÉNOMINATION DES BASES DE DONNÉES
La formation restreinte relève une circonstance aggravante particulièrement significative : la société CALOGA avait donné son propre nom à l’une de ses quatre bases de données — les trois autres étant dénommées ZEPLAN, BASYLO et VOZEKO. Un prospect consultant la liste des partenaires destinataires dans un formulaire de collecte voyait ainsi apparaître la mention « caloga » comme une marque distincte parmi d’autres. Lorsqu’il recevait ensuite un courriel contenant un lien de désinscription libellé « ne plus recevoir aucune offre des annonceurs de CALOGA », il pouvait légitimement croire que ce clic valait désinscription de l’ensemble des bases de la société. Ce n’était pas le cas : il continuait à recevoir des messages envoyés depuis les bases ZEPLAN, BASYLO ou VOZEKO.
La formation restreinte considère que ce système prête à confusion d’une manière constitutive d’un manquement, dans la mesure où il entretient une ambiguïté entre la dénomination de la société et celle de l’une de ses marques, privant ainsi les prospects d’une possibilité effective d’exercer leur droit au retrait de façon globale et éclairée. Elle rappelle que la société ne peut se prévaloir de ses propres choix d’organisation interne — répartition des données en bases correspondant à des marques distinctes — pour se soustraire à ses obligations au regard du RGPD. Les contraintes organisationnelles internes sont inopposables à la personne concernée dans l’exercice de ses droits.
LE MANQUEMENT À L’OBLIGATION DE DISPOSER D’UNE BASE LÉGALE POUR LA TRANSMISSION DE DONNÉES À DES PARTENAIRES (ARTICLE 6 DU RGPD)
LE REJET DE LA THÈSE DE LA SOUS-TRAITANCE ET SES CONSÉQUENCES SUR LA BASE LÉGALE APPLICABLE
La société CALOGA transmettait ses bases de données à des partenaires commerciaux qui réalisaient, pour leurs propres clients annonceurs, des opérations de prospection commerciale par voie électronique. Elle fondait ce traitement de transmission sur la base légale de l’intérêt légitime, en considérant que les partenaires destinataires intervenaient en qualité de sous-traitants agissant pour son compte — auquel cas aucun consentement spécifique des prospects n’aurait été requis pour la transmission.
La formation restreinte réfute intégralement cette analyse. Elle établit que les partenaires destinataires des données de CALOGA administrent ces bases avec leurs propres outils, ciblent eux-mêmes les segments qu’ils souhaitent solliciter, réalisent les opérations de prospection pour le compte de leurs propres clients annonceurs et constituent ainsi de nouveaux responsables de traitement indépendants de CALOGA. La transmission des données constitue donc un traitement autonome dont CALOGA est responsable, et qui a pour finalité de permettre à des tiers de procéder à de la prospection électronique — prospection soumise par la loi à l’exigence du consentement préalable.
LE PRINCIPE DE PARALLÉLISME DES BASES LÉGALES DANS L’ÉCOSYSTÈME DU DATA BROKERING
La formation restreinte consacre un raisonnement de portée doctrinale importante : dès lors que la finalité ultime de la transmission des données est de permettre à des partenaires de réaliser des opérations de prospection par voie électronique — lesquelles reposent, en vertu de l’article L. 34-5 du CPCE, sur la base légale du consentement — l’ensemble des traitements de transmission de données s’inscrivant dans cette finalité doivent également reposer sur la base légale du consentement. En d’autres termes, la base légale du traitement de transmission ne peut être déconnectée de la base légale du traitement final auquel elle contribue. L’intérêt légitime ne peut être substitué au consentement lorsque ce dernier est requis par la loi pour l’opération finale à laquelle le traitement intermédiaire est instrumental.
Ce raisonnement s’appuie sur le référentiel de la CNIL relatif aux traitements mis en œuvre aux fins de gestion des activités commerciales, lequel précise que, lorsque la transmission a pour finalité de permettre à des partenaires commerciaux de réaliser de la prospection nécessitant le consentement préalable des personnes, l’organisme transmettant les données doit recueillir le consentement des personnes à cette transmission. La formation restreinte cite également une mise en demeure non publiée de décembre 2021 (MED-2021-131) qui confirme cette analyse et souligne le parallélisme nécessaire entre le régime de la prospection et celui de la transmission des données pour les mêmes fins.
Or, CALOGA ne disposait pas d’un consentement valable des prospects — le consentement recueilli via les formulaires de jeux-concours ayant été jugé invalide — pour procéder à la transmission de leurs données à des partenaires à des fins de prospection électronique. Le manquement à l’article 6 du RGPD découle ainsi directement et logiquement de la carence en consentement valide préalablement constatée au titre de l’article L. 34-5 du CPCE : c’est parce que le consentement recueilli à la source est invalide que la totalité de la chaîne de traitement est affectée d’une illicéité irrémédiable.
LE MANQUEMENT À L’OBLIGATION DE LIMITATION DE LA DURÉE DE CONSERVATION (ARTICLE 5, §1, E DU RGPD)
UN RÉGIME DE CONSERVATION STRUCTURELLEMENT EXCESSIF
La société CALOGA avait défini une politique de conservation en deux temps. Dans un premier temps, les données des prospects actifs étaient conservées douze mois au maximum à compter de la dernière « action » du prospect — la société incluant dans cette notion l’ouverture d’un courriel de prospection, outre le clic sur un lien. Dans un second temps, au-delà de ces douze mois sans interaction, le prospect était qualifié d’« inactif » et ses données étaient conservées en base active pendant quatre années supplémentaires à des fins probatoires liées au consentement.
La formation restreinte formule deux critiques distinctes et cumulatives à l’encontre de cette politique.
En premier lieu, elle rejette la prise en compte de l’ouverture d’un courriel comme point de départ du délai de conservation, au motif que cette interaction — souvent involontaire ou automatique — ne peut être regardée comme une manifestation de l’intérêt du prospect pour les produits ou services promus. Cette position est conforme à la doctrine constante de la CNIL depuis sa délibération n° 2016-264 du 21 juillet 2016 et à ses délibérations de sanction SAN-2020-003 et SAN-2020-016, qui écartent explicitement l’ouverture d’un courriel comme « dernier contact émanant du prospect » susceptible de refaire courir le délai de conservation. En retenant l’ouverture d’un courriel comme événement déclencheur, CALOGA s’exposait à conserver des données de prospects sans limitation effective de durée, dans la mesure où un simple préchargement automatique du courriel pouvait suffire à prolonger la conservation.
En second lieu, la formation restreinte sanctionne l’absence de toute opération d’archivage intermédiaire au terme de la période d’activité. La société reconnaissait expressément ne procéder à aucun archivage et conserver l’ensemble des données de ses prospects en base active pendant quatre ans à compter du passage au statut inactif, sans effectuer de tri ni de restriction d’accès. La formation restreinte rappelle sa jurisprudence constante sur ce point (SAN-2022-018, SAN-2023-023) : lorsque certaines données peuvent légitimement être conservées au-delà de leur durée d’utilité opérationnelle pour des finalités probatoires ou de contentieux, le responsable de traitement doit procéder à une opération de tri pour identifier les seules données strictement nécessaires à ces fins, les transférer en base d’archives dédiée — ou en restreindre l’accès par des mesures logiques — et limiter leur consultation aux seules personnes ayant un intérêt à en connaître en raison de leurs fonctions.
LA DOCTRINE DE LA CNIL SUR LES DURÉES DE CONSERVATION DES PROSPECTS
La formation restreinte rappelle que la durée de conservation des données de prospects non-clients a été fixée à trois ans à compter de leur collecte ou du dernier contact émanant du prospect — clic sur un lien hypertexte renvoyant vers un produit, demande de documentation — par le référentiel relatif aux traitements mis en œuvre aux fins de gestion des activités commerciales. Au terme de ce délai, le responsable de traitement qui souhaite maintenir le contact doit reprendre contact avec la personne pour obtenir une confirmation de son souhait de continuer à recevoir des sollicitations. En l’absence de réponse positive et explicite, les données doivent être supprimées ou archivées conformément aux dispositions légales en vigueur.
En appliquant une durée totale pouvant atteindre cinq ans (un an en base active + quatre ans en base active sans archivage), en retenant l’ouverture d’un courriel comme événement susceptible de refaire courir ce délai, et en conservant plus de 13,5 millions d’adresses électroniques correspondant à des prospects dont les données avaient été collectées depuis plus de trois ans ou étaient devenues inactives depuis plus de trois ans, la société CALOGA a méconnu de manière caractérisée le principe de limitation de la durée de conservation posé par l’article 5, §1, e du RGPD.
LE MANQUEMENT À L’OBLIGATION DE SÉCURITÉ (ARTICLE 32 DU RGPD)
La délibération contient également un manquement constaté au titre de l’article 32 du RGPD relatif à la sécurité des données, bien que les développements de la formation restreinte sur ce point soient moins détaillés que pour les manquements précédents, l’affaire ne s’inscrivant pas dans un contexte de violation de données avérée mais dans celui d’un contrôle portant principalement sur les pratiques de prospection commerciale. Les constatations précises sur ce manquement demeurent largement occultées dans la version publiée de la délibération, conformément à la protection des secrets couverts par la loi. Ce manquement a toutefois été retenu par le rapporteur dans son rapport de sanction au titre des articles 5, §1, e, 6 et 32 du RGPD et L. 34-5 du CPCE, même si la formation restreinte a principalement orienté ses développements sur les manquements au consentement et à la durée de conservation.
APPRÉCIATION DES MOYENS DE DÉFENSE DE LA SOCIÉTÉ CALOGA
LA CONTESTATION DE LA QUALIFICATION JURIDIQUE DES PARTENAIRES
La société CALOGA a développé une défense articulée autour de deux arguments principaux. Sur la question de la transmission de données à ses partenaires, elle a soutenu que ces derniers intervenaient en qualité de sous-traitants, ce qui aurait permis de fonder la transmission sur la base légale de l’intérêt légitime et de dispenser CALOGA du recueil d’un consentement spécifique à cette fin. La formation restreinte a réfuté cet argument en procédant à une analyse factuelle des rôles et responsabilités de chaque acteur. Elle a en outre souligné que la société ne pouvait pas se prévaloir d’une absence de recommandations explicites de la CNIL sur ce point pour s’exonérer de ses obligations : le référentiel de 2021 sur la gestion des activités commerciales et la mise en demeure MED-2021-131 fournissaient un cadre d’analyse suffisamment clair et antérieur aux faits reprochés.
LA CONTESTATION DE LA PORTÉE DE L’OBLIGATION DE VÉRIFICATION
Sur la question du consentement recueilli par les primo-collectants, la société a invoqué l’existence d’un cadre contractuel imposant aux fournisseurs de données de recueillir valablement le consentement des personnes et de le documenter. La formation restreinte a jugé ce cadre insuffisant, non pas dans son principe mais dans sa mise en œuvre effective : les clauses contractuelles générales ne dispensent pas le responsable de traitement d’effectuer des vérifications régulières et effectives sur la conformité concrète des formulaires utilisés, et d’en tirer les conséquences opérationnelles immédiates lorsque des non-conformités sont détectées. Le fait que CALOGA ait mis en place des audits de fournisseurs depuis 2014 ne fait que renforcer la conclusion de forte négligence : elle avait la capacité et les outils pour détecter les irrégularités, et elle n’a pas réagi en conséquence.
L’INVOCATION DES DÉLAIS DE PRESCRIPTION PÉNALE
La société a également tenté de justifier sa durée de conservation des données de prospects inactifs de quatre ans par référence aux délais de prescription prévus par le code pénal, notamment la combinaison des articles 226-16 et 133-3 du code pénal relatifs aux infractions en matière de traitements de données personnelles. La formation restreinte écarte ce moyen en relevant que l’article 226-16 du code pénal vise uniquement les traitements soumis à des formalités préalables spécifiques — comme certains traitements dans le domaine de la santé — et non les traitements de prospection commerciale ordinaires. La société ne pouvait donc pas légalement fonder une durée de conservation excessive sur des délais de prescription pénale inapplicables à son activité.
ÉLÉMENTS DE GRAVITÉ RETENUS PAR LA FORMATION RESTREINTE
La formation restreinte qualifie les manquements aux articles 5, §1, e et 6 du RGPD comme des violations de principes fondamentaux de la protection des données, relevant du régime d’amendes le plus élevé prévu par l’article 83 du RGPD — jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Elle insiste sur le caractère systémique des manquements : les formulaires non conformes provenaient de deux des trois plus importants fournisseurs de données de la société, de sorte que les constats révèlent une défaillance structurelle et non un incident isolé.
Elle relève que la société a traité les données d’au moins 2,8 millions de prospects et a adressé 6 millions de messages de prospection électronique au cours de la seule année 2022. Elle considère également que la société a tiré un avantage financier certain de ses manquements, dès lors qu’elle a été rémunérée par ses clients pour la fourniture de données dont la licéité était compromise. La société a néanmoins cessé toute activité en 2024, ce dont la formation restreinte tient compte dans l’appréciation des circonstances de l’espèce, en application de l’article 83, §2, k du RGPD.
POINTS ESSENTIELS
La délibération SAN-2025-002 du 15 mai 2025 illustre de manière exemplaire la sévérité croissante de la CNIL à l’égard des courtiers en données qui structurent leur modèle économique autour de la prospection électronique de masse en s’abritant derrière des collectes réalisées par des tiers.
En sanctionnant la société CALOGA à hauteur de 250 000 euros, la formation restreinte rappelle d’abord que le responsable de traitement demeurant l’utilisateur final des fichiers de prospection est pleinement responsable de la validité des consentements, peu importe les clauses contractuelles transférant aux fournisseurs l’obligation de conformité, et que les audits sans suites correctrices ne sauraient constituer une cause d’exonération ;
Elle consacre ensuite une interprétation particulièrement stricte du principe de limitation de la durée de conservation, en censurant la pratique consistant à considérer la simple ouverture d’un courriel comme un « contact » justifiant la conservation pendant quatre ans en base active, pratique qui revient, en réalité, à reconduire indéfiniment le délai de conservation et à vider de sa substance l’exigence de proportionnalité posée par l’article 5, §1, e) du RGPD ; elle renforce, en troisième lieu, le socle jurisprudentiel relatif à l’article 32 du RGPD en réaffirmant l’obsolescence de la fonction de hachage MD5 pour le stockage des mots de passe, en dépit de l’usage d’un sel, et en exigeant le recours à des fonctions lentes conformes à l’état de l’art, tout en reconnaissant, à la marge, que la limitation des accès par adresse IP et la nature des données effectivement accessibles peuvent conduire à ne pas caractériser un manquement sur certains segments techniques ;
Elle rappelle, enfin, que l’obligation d’information de l’article 13 du RGPD impose une granularité fine des bases légales et une transparence accrue tant à l’égard des clients – notamment sur les transferts hors de l’Union et les fondements contractuels ou d’intérêt légitime – qu’à l’égard des salariés soumis à un dispositif d’enregistrement des appels, et que l’organisation interne de la société – en l’espèce la multiplication de bases de données sous différentes « marques » – ne peut en aucun cas restreindre l’effectivité du retrait du consentement ni de l’opposition, de sorte que cette affaire s’impose désormais comme un arrêt de référence pour la gestion des écosystèmes de prospection fondés sur des données acquises auprès de tiers et pour la mise en conformité des acteurs du courtage de données.
24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats