Courtiers en données : sanction de 75 000 euros à l’encontre de la société TAGADAMEDIA

30 janvier 2024

Le 29 décembre 2023, la CNIL a sanctionné la société TAGADAMEDIA d’une amende de 75 000 euros, notamment pour avoir collecté des données de prospects sans consentement valide, en raison de l’apparence trompeuse de ses formulaires de jeux-concours.

Le contexte

Dans le cadre de sa thématique prioritaire de contrôle sur la prospection commerciale en 2022, la CNIL s’est intéressée aux pratiques des professionnels du secteur, en particulier de ceux qui procèdent à la revente de données, y compris des nombreux intermédiaires de cet écosystème appelés courtiers en données ou data brokers en anglais.

À cette occasion, la CNIL a décidé d’engager une procédure de contrôle à l’encontre de la société TAGADAMEDIA, qui exploite principalement des sites en ligne de jeux-concours et de tests de produits par lesquels elle collecte des données de prospects.

Sur la base des constatations effectuées lors des contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD). Elle a prononcé à l’encontre de la société TAGADAMEDIA une amende de 75 000 euros rendue publique. Elle a également enjoint la société de mettre en œuvre un formulaire de collecte conforme aux exigences du RGPD dans un délai d’un mois, sous peine de 1 000 euros par jour de retard.

Le montant de cette amende, qui représente environ 1,6 % du chiffre d’affaires de la société, a été décidé au regard des manquements retenus, ainsi qu’en tenant compte de la coopération de la société et des mesures qu’elle a prises au cours de la procédure pour se mettre en conformité sur certains manquements qui lui étaient reprochés.

Les manquements sanctionnés

Un manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre (article 6 du RGPD)

TAGADAMEDIA collecte des données de prospects par le biais de formulaires qu’elle met en œuvre sur ses sites de participation à des jeux-concours ou de tests de produits. Ces données sont ensuite transmises à des partenaires de la société pour de la prospection commerciale. Alors qu’elle affirme fonder le traitement sur le recueil du consentement, les formulaires utilisés ne permettent pas de collecter un consentement conforme aux exigences du RGPD.

Lors des contrôles, la société a fourni à la CNIL deux exemples de formulaire de collecte de données des prospects tels que ceux présentés ci-dessous. Toutefois, l’apparence de ces formulaires ne permet pas de recueillir un consentement libre, éclairé et univoque. En effet, la mise en valeur du bouton permettant de donner son consentement contrairement à celle du bouton par lequel l’utilisateur ne consent pas, ou encore le texte incomplet et en taille réduite incitent fortement les utilisateurs à accepter la transmission de leurs données aux partenaires.

Tagadamedia - Exemples de formulaires - Contrôles

 

Reproduction des formulaires fournis par la société lors des contrôles

 

Un nouveau formulaire a été transmis par la société au cours de la procédure de sanction, correspondant à l’exemple ci-dessous. Le consentement recueilli par le biais de celui-ci ne permet toujours pas un recueil de consentement valide, privant ainsi le traitement de base légale.

Tagadamedia - Exemple de formulaire - Procédure

Reproduction du formulaire fourni par la société au cours de la procédure de contrôle

Un manquement à l’obligation de mettre en œuvre un registre des activités de traitement (article 30 du RGPD)

Les vérifications effectuées par la CNIL ont également permis de mettre en évidence un manquement relatif à la mise en œuvre du registre des activités de traitement, retenu dans la décision de sanction.

Le registre des activités de traitement de TAGADAMEDIA, qui est partagé avec une seconde société, ne précisait pas laquelle des deux sociétés agit en qualité de responsable de traitement.