CNIL | SAN-2025-002 | 15 mai 2025 | Affaire CALOGA | FAQ

QUESTIONS DES RESPONSABLES DE TRAITEMENT

Q1. En tant que responsable de traitement qui achète des fichiers de prospection à des tiers fournisseurs, suis-je responsable de la validité des consentements recueillis par ces fournisseurs ?

Oui, pleinement et sans réserve. La délibération SAN-2025-002 rappelle avec fermeté que la responsabilité de la validité du consentement incombe au responsable de traitement qui utilise les données à des fins de prospection commerciale, et non au seul fournisseur ayant procédé à la collecte. La CNIL considère que la mise en place d’audits contractuels ne suffit pas dès lors qu’ils ne conduisent pas à une mise en conformité effective. Il vous appartient de vous assurer, par tout moyen — audit sur pièces des formulaires de collecte, vérification des mentions légales, test des parcours utilisateurs — que le consentement recueilli à la source est libre, spécifique, éclairé et univoque, et qu’il identifie précisément vos traitements comme destinataires.

Q2. Nos formulaires de collecte mentionnent nos partenaires dans une liste déroulante. Est-ce suffisant pour satisfaire aux exigences de consentement éclairé posées par l’article L. 34-5 du CPCE ?

Non, si cette liste n’identifie pas clairement et individuellement chaque partenaire destinataire et que la présentation est ambiguë ou noyée dans un ensemble de mentions. La formation restreinte a condamné précisément ce type de dispositif, en soulignant que le prospect doit être en mesure de comprendre exactement au profit de qui il consent. Une liste de partenaires comportant plusieurs centaines d’entrées, présentée dans un format peu lisible, ne permet pas de recueillir un consentement valablement éclairé. Le consentement doit être granulaire, spécifique à chaque finalité et à chaque destinataire.

Q3. Peut-on considérer que l’ouverture d’un courriel commercial par un prospect constitue une « interaction » suffisante pour proroger la durée de conservation de ses données ?

Non. La délibération SAN-2025-002 a explicitement condamné ce mécanisme. L’ouverture d’un courriel est un acte passif, automatique et parfois involontaire — certains clients de messagerie préchargent les messages — qui ne manifeste aucun intérêt commercial de la part de la personne concernée. Utiliser cet événement comme point de départ d’un nouveau délai de conservation revient à instituer une conservation quasi-illimitée des données, en contradiction directe avec le principe de limitation de la durée de conservation posé par l’article 5, §1, e) du RGPD. Seule une interaction positive et volontaire — réponse, clic sur un lien interne, commande, demande d’information — peut légitimement témoigner d’un maintien de la relation justifiant la conservation des données.

Q4. Quelle doit être la durée maximale de conservation des données de prospects en base active ?

La durée de conservation des données de prospects doit être déterminée en fonction de la finalité poursuivie et reste soumise au principe de proportionnalité. La CNIL recommande généralement une durée de trois ans à compter du dernier contact positif émanant de la personne concernée. À l’expiration de ce délai, les données doivent être supprimées ou, à défaut, archivées en base intermédiaire pour les seuls besoins justifiés par des obligations légales ou des nécessités contentieuses, avec un accès restreint aux seules personnes habilitées. L’archivage intermédiaire doit lui-même faire l’objet d’une durée déterminée et d’une séparation physique ou logique d’avec la base active.

Q5. La dénomination commerciale de nos bases de données peut-elle créer un risque de sanction au titre de la validité du consentement ?

Oui, si cette dénomination induit le prospect en erreur sur la portée de son consentement ou de son droit d’opposition. La formation restreinte a expressément relevé, dans l’affaire CALOGA, que le fait d’avoir donné le nom de la société à l’une de ses quatre bases de données créait une confusion préjudiciable pour les prospects qui, en exerçant leur droit de désinscription, croyaient se désinscrire de l’ensemble des bases alors qu’ils ne le faisaient que pour une seule. L’organisation interne du responsable de traitement ne peut faire obstacle au libre exercice des droits des personnes concernées, et notamment au retrait du consentement dans des conditions aussi simples que celles dans lesquelles il a été obtenu.

Q6. Nos mots de passe back-office sont hachés en MD5 avec un sel. Cette pratique est-elle conforme à l’état de l’art ?

Non. La formation restreinte a confirmé, conformément à une jurisprudence constante depuis la délibération SAN-2021-008, que la fonction de hachage MD5 est obsolète depuis 2004 et que son utilisation est proscrite, y compris avec l’ajout d’un sel. Bien que la société ait tenté de soutenir que le back-office n’était pas directement connecté aux données à caractère personnel — argument partiellement retenu —, le principe demeure que les mots de passe d’accès à tout système hébergeant des données personnelles doivent être hachés avec une fonction lente (Argon2, bcrypt, scrypt, PBKDF2), conformément aux recommandations de l’ANSSI et aux délibérations CNIL n° 2017-012 et n° 2022-100. La présence d’un sel aléatoire est nécessaire mais insuffisante si la fonction de hachage sous-jacente est elle-même trop rapide à exécuter.

Q7. Faut-il attribuer une base légale distincte à chaque traitement dans notre politique de confidentialité, ou peut-on mentionner le consentement comme base légale universelle ?

Une base légale distincte doit être indiquée pour chaque finalité de traitement. La délibération SAN-2025-002 a condamné la pratique consistant à viser le seul consentement pour l’ensemble des traitements, alors que certains d’entre eux reposent sur l’exécution d’un contrat ou l’intérêt légitime du responsable de traitement. L’article 13 du RGPD exige une information granulaire. Choisir le consentement comme base légale universelle — même avec l’intention affichée d’être « plus protecteur » — est un manquement caractérisé dès lors que cette mention ne correspond pas à la réalité juridique du traitement. Il convient donc de cartographier précisément chaque traitement et d’indiquer, pour chacun, la base légale applicable, sa justification et ses conséquences pratiques pour les personnes.

Q8. Comment organiser les audits de nos sous-traitants et fournisseurs de données pour qu’ils soient probants aux yeux de la CNIL ?

Un audit probant doit dépasser la simple vérification documentaire contractuelle. Il implique : (i) l’examen concret des formulaires de collecte utilisés à la source, avec test effectif des parcours utilisateurs ; (ii) la vérification que les mentions légales identifient votre société parmi les destinataires des données ; (iii) la collecte et la conservation des preuves de consentement (horodatage, capture d’écran, version du formulaire) ; (iv) la mise en place d’un mécanisme de remontée automatique en cas de modification des formulaires par le fournisseur ; (v) des audits périodiques dont les résultats sont formalisés et actionnés, c’est-à-dire qu’ils conduisent à des mesures correctives effectives en cas de défaillance constatée.

Q9. Quelles informations doit comporter la politique de confidentialité destinée aux salariés en cas de mise en place d’un dispositif d’enregistrement des appels téléphoniques ?

La note d’information destinée aux salariés doit impérativement contenir : les finalités précises poursuivies par l’enregistrement (formation, contrôle qualité, litiges) ; la base légale du traitement ; l’identité du responsable de traitement et du DPO le cas échéant ; les catégories de données enregistrées et traitées ; les destinataires ou catégories de destinataires des enregistrements ; la durée de conservation ; l’ensemble des droits dont disposent les salariés (accès, rectification, opposition, limitation) ; et la possibilité d’introduire une réclamation auprès de la CNIL. Cette information doit être délivrée de manière individuelle, préalablement à la mise en œuvre du dispositif, conformément à l’article L. 1222-4 du code du travail et à l’article 13 du RGPD.

Q10. La mise en place de mesures correctives en cours de procédure peut-elle conduire à l’abandon de la sanction ?

Non. La délibération SAN-2025-002 confirme le principe constant de la jurisprudence de la CNIL selon lequel « les mesures de mise en conformité adoptées ne sauraient exonérer la société de sa responsabilité pour les faits passés ». Les actions correctrices prises en cours de procédure constituent néanmoins une circonstance atténuante prise en compte dans la détermination du montant de l’amende et dans le choix de prononcer ou non une injonction. En l’espèce, c’est précisément parce que la mise en conformité n’était pas complète que la formation restreinte a maintenu une injonction assortie d’une astreinte.

---

QUESTIONS DES PERSONNES CONCERNÉES

Q11. J’ai reçu des e-mails publicitaires d’une société alors que je n’ai jamais consenti à recevoir ses communications. Quels recours ai-je ?

Vous disposez de plusieurs voies de recours. En premier lieu, vous pouvez exercer votre droit d’opposition auprès de la société qui vous adresse ces communications, en demandant expressément à ne plus recevoir de sollicitations commerciales et en exigeant la suppression de vos données de ses fichiers de prospection. Si la société ne donne pas suite dans un délai d’un mois, ou si vous souhaitez signaler cette pratique, vous pouvez déposer une plainte auprès de la CNIL via le formulaire en ligne disponible sur cnil.fr. La CNIL peut ouvrir une enquête et, le cas échéant, engager une procédure de sanction à l’encontre du responsable de traitement. Vous pouvez également exercer une action devant les juridictions civiles pour obtenir réparation du préjudice subi.

Q12. Comment vérifier si mes données personnelles figurent dans un fichier de prospection commerciale et exiger leur suppression ?

Vous pouvez exercer votre droit d’accès en adressant une demande écrite au responsable de traitement, à l’adresse indiquée dans les mentions légales ou la politique de confidentialité de tout site ou courrier commercial vous ayant sollicité. Le responsable de traitement doit vous répondre dans un délai d’un mois et vous indiquer si des données vous concernant sont traitées, lesquelles, à quelle fin, depuis combien de temps et en provenance de quelle source. Une fois que vous avez connaissance de l’existence de ces données, vous pouvez exercer votre droit à l’effacement (« droit à l’oubli ») en demandant la suppression de vos données si elles sont traitées sans base légale valable ou si vous retirez votre consentement.

Q13. Mon adresse e-mail a-t-elle pu être transmise à des tiers à mon insu dans le cadre de pratiques de « courtage de données » semblables à celles sanctionnées dans cette affaire ?

C’est une éventualité réelle. Les sociétés de courtage en données (data brokers) comme CALOGA constituent des fichiers de prospection à partir de formulaires collectés sur divers sites web partenaires, et revendent ces données à des annonceurs. Si vous avez rempli des formulaires en ligne comportant des cases à cocher relatives aux offres de partenaires — parfois pré-cochées —, vos données ont pu légitimement ou illégitimement être intégrées dans ce type de fichiers. Pour savoir si une telle société détient vos données, exercez votre droit d’accès directement auprès d’elle. Par ailleurs, la loi vous reconnaît le droit de vous opposer à tout moment au traitement de vos données à des fins de prospection commerciale, sans avoir à justifier d’un motif particulier (article 21 du RGPD).

Q14. Je souhaite retirer mon consentement à une société de prospection. Quelles sont mes garanties que ce retrait sera effectif pour toutes leurs bases de données ?

Le retrait du consentement doit, aux termes de l’article 7, §3 du RGPD, être « aussi simple que l’octroi du consentement ». La formation restreinte a précisément condamné CALOGA pour avoir organisé sa gestion de données de façon à ce qu’une demande de désinscription ne soit effective que pour une seule de ses quatre bases, alors que le prospect pouvait légitimement croire que son opposition valait pour l’ensemble. Un responsable de traitement ne peut opposer son organisation interne au libre exercice de ce droit. En cas de persistance de sollicitations malgré votre retrait, vous pouvez déposer une plainte auprès de la CNIL.

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération SAN-2025-002 du 15 mai 2025 illustre de manière exemplaire la sévérité croissante de la CNIL à l’égard des courtiers en données qui structurent leur modèle économique autour de la prospection électronique de masse en s’abritant derrière des collectes réalisées par des tiers.

En sanctionnant la société CALOGA à hauteur de 250 000 euros, la formation restreinte rappelle d’abord que le responsable de traitement demeurant l’utilisateur final des fichiers de prospection est pleinement responsable de la validité des consentements, peu importe les clauses contractuelles transférant aux fournisseurs l’obligation de conformité, et que les audits sans suites correctrices ne sauraient constituer une cause d’exonération ;

Elle consacre ensuite une interprétation particulièrement stricte du principe de limitation de la durée de conservation, en censurant la pratique consistant à considérer la simple ouverture d’un courriel comme un « contact » justifiant la conservation pendant quatre ans en base active, pratique qui revient, en réalité, à reconduire indéfiniment le délai de conservation et à vider de sa substance l’exigence de proportionnalité posée par l’article 5, §1, e) du RGPD ; elle renforce, en troisième lieu, le socle jurisprudentiel relatif à l’article 32 du RGPD en réaffirmant l’obsolescence de la fonction de hachage MD5 pour le stockage des mots de passe, en dépit de l’usage d’un sel, et en exigeant le recours à des fonctions lentes conformes à l’état de l’art, tout en reconnaissant, à la marge, que la limitation des accès par adresse IP et la nature des données effectivement accessibles peuvent conduire à ne pas caractériser un manquement sur certains segments techniques ;

Elle rappelle, enfin, que l’obligation d’information de l’article 13 du RGPD impose une granularité fine des bases légales et une transparence accrue tant à l’égard des clients – notamment sur les transferts hors de l’Union et les fondements contractuels ou d’intérêt légitime – qu’à l’égard des salariés soumis à un dispositif d’enregistrement des appels, et que l’organisation interne de la société – en l’espèce la multiplication de bases de données sous différentes « marques » – ne peut en aucun cas restreindre l’effectivité du retrait du consentement ni de l’opposition, de sorte que cette affaire s’impose désormais comme un arrêt de référence pour la gestion des écosystèmes de prospection fondés sur des données acquises auprès de tiers et pour la mise en conformité des acteurs du courtage de données.