CNIL | SAN-2025-002 | 15 mai 2025 | Affaire CALOGA | SAN-2025-002-SHORT

---

---

I.

 

Contexte et activité de la société CALOGA

La société CALOGA était un courtier en données (data broker) actif dans le secteur de la prospection commerciale par voie électronique. Son activité se déployait selon deux axes complémentaires : la réalisation de campagnes d’e-mailing pour le compte de clients annonceurs, à partir de bases de données de prospects constituées auprès de partenaires primo-collectants organisant des jeux-concours en ligne, et la transmission de ces mêmes données à d’autres partenaires qui réalisaient à leur tour des campagnes de prospection pour leurs propres clients annonceurs. Cette double activité plaçait CALOGA au cœur d’un écosystème de revente de données où les personnes concernées se trouvaient exposées à une prospection intensive, sans que leur consentement eût été valablement recueilli ni aisément révocable.

La CNIL avait inscrit la prospection commerciale comme thématique prioritaire de contrôle en 2022. C’est dans ce cadre qu’elle a contrôlé CALOGA en mai 2022, puis engagé une procédure de sanction devant la formation restreinte, qui a prononcé sa délibération le 15 mai 2025.

---

---

II.

 

Manquement à l’obligation de recueil du consentement pour la prospection (article L. 34-5 CPCE)

La formation restreinte caractérise un premier manquement fondamental : CALOGA réalisait des campagnes de prospection commerciale par voie électronique en se fondant sur un consentement recueilli par ses partenaires primo-collectants via des formulaires de jeux-concours en ligne. Or, ces formulaires ne permettaient pas de recueillir un consentement libre, spécifique, éclairé et univoque conforme aux exigences cumulées de l’article L. 34-5 du CPCE et de l’article 4 du RGPD.

L’instruction a permis d’établir qu’au moins 21 formulaires, parmi les 3 653 examinés, proposaient à l’utilisateur un seul bouton validant simultanément sa participation au jeu-concours et l’utilisation de ses données à des fins de prospection commerciale. La mise en valeur graphique de ce bouton d’acceptation — par sa taille, sa couleur, son intitulé et son emplacement — par rapport aux liens permettant de participer au jeu sans accepter la prospection, présentés dans une taille nettement inférieure et se confondant avec le corps du texte, orientait délibérément le choix de l’utilisateur vers l’acceptation. Ces techniques, documentées par des études sur l’impact des interfaces numériques sur les comportements des utilisateurs, sont constitutives d’un dark pattern de recueil du consentement.

CALOGA avait tenté de se défendre en soutenant qu’au moment du contrôle, le cadre juridique ne lui permettait pas de conclure à l’invalidité de ces mécanismes, et que la décision SAN-2023-025 (TAGADAMEDIA, 29 décembre 2023) était la première à se prononcer spécifiquement sur ce point. La formation restreinte rejette fermement cet argument : les règles relatives à la validité du consentement en matière de prospection électronique sont ancrées dans le droit positif depuis 2004 et n’ont pas été modifiées par la décision invoquée, qui ne fait qu’appliquer des règles préexistantes.

CALOGA invoquait également avoir mis en place des encadrements contractuels et des vérifications auprès de ses partenaires. La formation restreinte considère que ces mesures étaient manifestement insuffisantes : les clauses contractuelles étaient trop générales, les vérifications trop peu fréquentes au regard du volume de formulaires utilisés, et CALOGA n’avait pas tiré les conséquences qui s’imposaient lorsque ses vérifications avaient révélé des non-conformités. Elle pose ainsi un principe essentiel : le responsable de traitement qui choisit de se prévaloir d’un consentement recueilli par un tiers ne peut s’exonérer de sa responsabilité par la seule mise en place d’un encadrement contractuel ; il lui appartient d’opérer des vérifications concrètes et d’en tirer des conséquences opérationnelles effectives.

---

---

III.

 

Manquement au droit au retrait du consentement (article L. 34-5 CPCE et article 7§3 RGPD)

La formation restreinte caractérise un second manquement tiré de l’impossibilité pratique pour les prospects de retirer leur consentement dans les mêmes conditions que celles dans lesquelles il avait été donné. CALOGA organisait ses traitements autour de quatre bases de données distinctes — CALOGA, ZEPLAN, BASYLO et VOZEKO — comprenant chacune plus d’un million d’entrées. Un prospect pouvait s’inscrire simultanément dans une ou deux de ces bases en un seul clic lors de la participation au jeu-concours. En revanche, pour retirer son consentement de l’ensemble des bases dans lesquelles il était inscrit, il devait soit adresser un courriel au délégué à la protection des données de la société, soit cliquer sur plusieurs liens de désinscription présents dans des courriels distincts. Cette asymétrie flagrante viole le principe posé à l’article 7 paragraphe 3 du RGPD et rappelé dans les lignes directrices 05/2020 du CEPD : il doit être aussi simple de retirer son consentement que de le donner.

La formation restreinte relève en outre un élément aggravant particulièrement trompeur : CALOGA avait donné le nom de la société — “CALOGA” — à l’une de ses quatre bases de données, alors que les trois autres portaient des noms de marques différentes (ZEPLAN, BASYLO, VOZEKO). Un prospect cliquant sur le lien de désinscription “ne plus recevoir aucune offre des annonceurs de CALOGA” pouvait légitimement croire avoir retiré son consentement pour l’ensemble des bases de la société, alors qu’il ne se désabonnait que d’une seule d’entre elles. La formation restreinte affirme avec force que les choix d’organisation interne d’un responsable de traitement ne peuvent pas faire obstacle au droit au retrait du consentement dans des conditions équivalentes à celles dans lesquelles il a été obtenu.

---

---

IV.

 

Manquement à l’obligation de base légale pour la transmission à des partenaires (article 6 RGPD)

La formation restreinte caractérise un troisième manquement relatif à la transmission mensuelle par CALOGA de ses bases de données à des partenaires commerciaux pour qu’ils réalisent leurs propres campagnes de prospection électronique. Ces transmissions portaient sur des volumes importants : 1,9 million de profils de prospects pour l’un des partenaires principaux et 2,2 millions pour l’autre lors des dernières transmissions.

CALOGA fondait ce traitement sur l’intérêt légitime au sens de l’article 6 paragraphe 1 f du RGPD, en qualifiant ses partenaires destinataires de sous-traitants. La formation restreinte rejette cette qualification : les partenaires destinataires réalisent de nouvelles opérations de prospection pour leurs propres clients annonceurs, en utilisant leurs propres outils de ciblage et en sélectionnant librement les segments à solliciter. Ils sont donc des responsables de traitement distincts. Or, dès lors que la finalité de la transmission est de permettre à des tiers de réaliser de la prospection électronique — traitement pour lequel la loi exige expressément le consentement préalable des personnes concernées —, la base légale de l’intérêt légitime est exclue : il appartient à CALOGA de disposer du consentement des personnes concernées pour cette transmission. En l’absence d’un tel consentement valable — conséquence directe du premier manquement —, la transmission était dépourvue de toute base légale.

---

---

V.

 

Manquement à l’obligation de conservation limitée des données (article 5-1-e RGPD)

La formation restreinte caractérise un quatrième manquement tiré d’une durée de conservation excessive des données de prospects. La politique de conservation de CALOGA présentait deux défaillances structurelles. D’abord, elle prenait en compte la simple ouverture d’un courriel de prospection — même involontaire — comme une “action” du prospect susceptible de prolonger la durée de conservation de douze mois, permettant théoriquement de maintenir des données indéfiniment en base active. La formation restreinte rappelle que le “dernier contact” susceptible de faire courir un nouveau délai de trois ans ne peut pas être la simple ouverture d’un courriel. Ensuite, CALOGA ne procédait à aucun archivage intermédiaire et conservait l’ensemble des données de prospects “inactifs” en base active pendant quatre ans, sans opérer le tri imposé par le principe de minimisation : elle aurait dû isoler dans un archivage intermédiaire, avec accès restreint, les seules données strictement nécessaires à des fins probatoires, et supprimer ou anonymiser les autres. Cette absence totale de tri entre données à conserver et données à supprimer est constitutive d’un manquement caractérisé à l’article 5 paragraphe 1 e du RGPD.

---

 
 
 

---

POINTS ESSENTIELS

---