CNIL | SAN-2025-002 | 15 mai 2025 | Affaire CALOGA | SAN-2025-002-ESSENTIELS

Point 1 — Un écosystème de prospection fondé sur des consentements structurellement invalides

La délibération SAN-2025-002 met en évidence que l’ensemble du modèle économique de CALOGA reposait sur un vice d’origine : les consentements censés fonder ses opérations de prospection par voie électronique n’étaient pas valablement recueillis. Collectés via des formulaires de jeux-concours en ligne conçus par des partenaires primo-collectants, ces consentements ne satisfaisaient pas aux exigences cumulées de l’article L. 34-5 du CPCE et de l’article 4 du RGPD, qui imposent une manifestation de volonté libre, spécifique, éclairée et univoque. Au moins 21 formulaires parmi les 3 653 examinés fondaient l’acceptation de la prospection sur un bouton unique validant simultanément la participation au jeu et l’acceptation de recevoir des offres commerciales, dont la mise en valeur graphique — taille, couleur, intitulé, emplacement — orientait délibérément l’utilisateur vers l’acceptation, reléguant en petit caractères les options alternatives. CALOGA, qui avait effectué des vérifications auprès de ses partenaires, n’en avait pas tiré les conséquences opérationnelles qui s’imposaient. La formation restreinte affirme sans ambiguïté que le responsable de traitement qui se prévaut d’un consentement recueilli par un tiers ne peut s’exonérer de sa responsabilité par un simple encadrement contractuel : il lui appartient de vérifier concrètement la validité de ce consentement et de cesser d’utiliser les données lorsque cette validité fait défaut.

Point 2 — L’asymétrie entre l’octroi et le retrait du consentement comme manquement autonome

La formation restreinte caractérise un manquement distinct tiré de la violation du principe de symétrie entre l’octroi et le retrait du consentement, posé à l’article 7 paragraphe 3 du RGPD et rappelé dans les lignes directrices 05/2020 du CEPD. CALOGA organisait ses traitements autour de quatre bases de données — CALOGA, ZEPLAN, BASYLO, VOZEKO — comprenant chacune plus d’un million d’entrées. Les prospects pouvaient s’inscrire dans une ou deux de ces bases en un seul clic lors de la participation au jeu-concours. En revanche, pour retirer leur consentement de l’ensemble des bases auxquelles ils étaient inscrits, ils devaient soit envoyer un courriel au DPO, soit cliquer sur plusieurs liens de désinscription présents dans des courriels distincts reçus de différentes marques. Cette procédure multi-étapes, imposée alors que le consentement était donné en un clic, est constitutive d’un manquement caractérisé. La formation restreinte ajoute que le fait d’avoir nommé l’une des quatre bases de données du nom même de la société — “CALOGA” — introduisait une confusion supplémentaire, un prospect désirant se désabonner de “CALOGA” pouvant croire à tort se désinscrire de l’ensemble des bases alors qu’il n’en quittait qu’une seule. Le droit d’organisation interne d’un responsable de traitement ne peut pas servir d’obstacle à l’exercice effectif du droit au retrait.

Point 3 — La transmission de données à des partenaires commerciaux ne peut être fondée sur l’intérêt légitime lorsque la finalité exige un consentement

La délibération apporte un éclairage déterminant sur la qualification applicable à la transmission de données de prospects à des partenaires commerciaux pour qu’ils réalisent eux-mêmes de la prospection électronique pour leurs propres clients annonceurs. CALOGA fondait ce traitement — qui portait sur 1,9 million puis 2,2 millions de profils transmis mensuellement à ses deux principaux partenaires — sur la base légale de l’intérêt légitime, en qualifiant ces partenaires de sous-traitants. La formation restreinte rejette la qualification de sous-traitant au profit de celle de responsable de traitement distinct : les partenaires choisissent eux-mêmes les segments à cibler avec leurs propres outils, réalisent leurs campagnes pour leurs propres clients et déterminent librement les finalités et moyens de leurs opérations. Elle en déduit que le traitement de transmission ne peut être fondé sur l’intérêt légitime dès lors que sa finalité ultime est d’alimenter des opérations de prospection électronique pour lesquelles la loi exige expressément le consentement préalable des personnes concernées. Admettre l’intérêt légitime pour la transmission reviendrait à permettre de contourner l’obligation de consentement par l’interposition d’un tiers responsable de traitement. CALOGA devait donc disposer d’un consentement spécifique à la transmission, dont elle ne pouvait justifier faute d’en avoir recueilli un valable.

Point 4 — La conservation des données de prospects : l’ouverture d’un courriel ne peut constituer un “dernier contact” au sens du droit applicable

La formation restreinte caractérise un quatrième manquement tiré de la conservation excessive des données de prospects. La politique de CALOGA prévoyait une durée de conservation active de douze mois calculée à compter de la “dernière action du prospect”, incluant la date d’ouverture d’un courriel de prospection — même par inadvertance — puis une conservation supplémentaire de quatre ans en base active pour les prospects “inactifs” à des fins probatoires, sans aucun archivage intermédiaire ni tri entre les données à conserver et celles à supprimer. La formation restreinte pose clairement que la simple ouverture d’un courriel ne peut constituer un “dernier contact” susceptible de prolonger la durée de conservation au sens du droit applicable, et que cette durée est de trois ans à compter de la collecte ou du dernier contact émanant du prospect — contact qui doit résulter d’une démarche active et consciente. Elle souligne également que CALOGA n’opérait aucun tri entre les données strictement nécessaires à des fins probatoires — seules susceptibles d’être conservées en archivage intermédiaire avec accès restreint — et l’ensemble des données des prospects inactifs maintenues en base active. Cette absence de tri et d’archivage constitue une violation cumulée des principes de limitation de la conservation (article 5-1-e RGPD) et de minimisation des données (article 5-1-c RGPD).

Point 5 — La responsabilité pleine et entière du responsable de traitement intermédiaire dans la chaîne de l’écosystème publicitaire numérique

Au-delà des quatre manquements caractérisés, la délibération SAN-2025-002 constitue une contribution normative majeure sur la question de la répartition des responsabilités dans les chaînes de traitement de l’écosystème publicitaire numérique. Elle réaffirme avec une grande netteté que le responsable de traitement intermédiaire — le data broker — qui choisit de se prévaloir d’un consentement recueilli par un tiers (le primo-collectant) et de transmettre les données à d’autres tiers (les partenaires commerciaux) assume une responsabilité entière à chaque étape de cette chaîne. Il ne peut ni déléguer le contrôle de la validité du consentement par une clause contractuelle générale, ni exonérer sa responsabilité pour la transmission en qualifiant abusivement ses partenaires destinataires de sous-traitants, ni justifier la conservation prolongée des données par une définition extensive du “dernier contact”. La formation restreinte confirme ainsi que le droit à la protection des données s’applique de manière intégrale à chacun des maillons de la chaîne, indépendamment de leur position dans l’écosystème. Pour les opérateurs de cet écosystème, la délibération dessine des obligations opérationnelles précises : vérification concrète et régulière des formulaires de collecte avec une capacité à cesser d’utiliser des données non conformes, architecture du retrait du consentement strictement symétrique au recueil, qualification juridique rigoureuse des partenaires destinataires, et tri effectif des données à l’issue des durées de conservation légales.

POINTS ESSENTIELS