⚠️ Vous utilisez les services de data brokers pour vos campagnes de prospection ? Il est de votre responsabilité de vous assurer que le consentement des personnes présentes dans les bases que vous achetées a été obtenu de manière libre et univoque.
C’est ce que rappelle la formation restreinte de la CNIL dans sa délibération 15 mai 2025 où elle sanctionne l’entreprise SOLOCAL à hauteur de 900.000 euros.
🛑 Manquements constatés
– obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique ;
– obligation d’être en mesure de démontrer que la personne concernée a donné son consentement.
La CNIL relève que les formulaires proposés par les data brokers pour les collectes initiales ne permettaient pas aux personnes concernées d’exprimer de manière valable un choix reflétant leurs préférences en matière de transmission et d’utilisation de leurs données à des fins de prospection commerciale.
❗Un rappel de plus que, oui, le graphisme et la conception de vos sites sont évalués afin de déterminer si l’utilisateur dispose bien d’un choix éclairé. L’autorité danoise avait fait preuve de la même sévérité dans sa décision du 27 octobre 2022.
En cas de doute sur la vérifiabilité d’une base achetée, il est préférable de cesser de l’utiliser, même si vous pensez que votre data broker pourra fournir une preuve. Autre option : recueillir vous-même le consentement des personnes concernées.
⌛ Dans cette affaire, la société a attendu près de 17 mois avant de suspendre l’exploitation des données, alors même que l’autorité de contrôle l’avait enjoint de cesser de procéder à ces opérations avec une astreinte de 10 000 euros par jour de retard à l’issue d’un délai de 9 mois.
📌 Notons qu’en matière de prospection commerciale, la CNIL fait une distinction entre les particuliers où le recueil du consentement est indispensable, et la prospection B2B où l’intérêt légitime peut fonder la prospection sous-réserve de certaines conditions. En l’espèce, il s’agissait de coordonnées de personnes ayant participé à des jeux-concours et de tests de produits, que l’on peut raisonnablement déduire comme des particuliers. En fondant son traitement sur son intérêt légitime, SOLOCAL a manqué à l’article 6 du RGPD.
🔗 Délibération complète :
💡 Pour toute question sur vos démarches de mise en conformité ➡️ Phénix Privacy
#RGPD #CNIL #Prospection #Consentement #DataBrokers #Marketing #Sanction
