ParticuliersProfessionnelsPresse
FrEnGestionnaire de cookies
  1. Accueil
  2. Courtiers en données : sanction de 80 000 euros à l’encontre de la société CALOGA

Courtiers en données : sanction de 80 000 euros à l’encontre de la société CALOGA

27 mai 2025

Le 15 mai 2025, la CNIL a sanctionné la société CALOGA d’une amende de 80 000 euros pour avoir démarché des prospects sans leur consentement et transmis leurs données à des partenaires sans base légale valable.

Le contexte

Dans le cadre de sa thématique prioritaire de contrôle sur la prospection commerciale en 2022, la CNIL s’est intéressée aux pratiques des professionnels de cet écosystème, en particulier aux intermédiaires qui procèdent à la revente de données, appelés courtiers en données ou data brokers en anglais.

La CNIL a ainsi contrôlé la société CALOGA, qui acquérait des données de prospects principalement auprès d’autres courtiers en données, éditeurs de sites de jeux-concours et de tests de produits (acteurs qui sont les premiers maillons de la chaîne et à l’origine de la collecte des données des prospects, appelés les primo-collectants). La société CALOGA utilisait ces données pour démarcher les personnes par courrier électronique, pour le compte de ses clients annonceurs. Elle pouvait également transmettre certaines de ces données à ses clients, afin qu’ils réalisent eux-mêmes de la prospection par voie électronique.

Sur la base des constatations effectuées lors du contrôle, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société avait manqué aux obligations prévues par le Code des postes et des communications électroniques (CPCE) et par le règlement général sur la protection des données (RGPD).

Elle a prononcé à l’encontre de la société CALOGA une amende de 80 000 euros, rendue publique.

Le montant de cette amende tient notamment compte du nombre élevé de personnes concernées, de la position historique de la société sur le marché, de l’avantage financier tiré des manquements mais également de la cessation totale de l’activité de la société en 2024.

Les manquements sanctionnés

Un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (article L .34-5 du CPCE)

La société CALOGA proposait à ses clients (notamment des entreprises) de réaliser, pour leur compte, des campagnes de prospection par courrier électronique. Pour procéder à ces campagnes, la société utilisait des données de prospects détenues par plusieurs courtiers en données, qui procédaient à leur collecte via des formulaires de participation à des jeux-concours ou à des tests de produits en ligne sur différents sites web.

La formation restreinte considère que l’apparence trompeuse des formulaires mis en œuvre ne permettait pas de recueillir un consentement libre et univoque, conforme aux exigences du RGPD, qui permettrait de fonder les opérations de prospection réalisées par CALOGA.

Illustrations de formulaires non conformes utilisés par des courtiers en données (à titre d’exemple)

En effet, la mise en valeur des boutons entraînant l’utilisation de ses données à des fins de prospection commerciale (par leur taille, leur couleur, leur intitulé et leur emplacement), comparée aux liens hypertextes permettant de participer au jeu sans accepter cette utilisation (d’une taille nettement inférieure et se confondant avec le corps du texte) pousse fortement l’utilisateur à accepter.

La société CALOGA était utilisatrice des données recueillies par les courtiers. En conséquence, elle devait s’assurer que les personnes aient exprimé un consentement valide avant de mener ses campagnes de démarchage.

Les garanties contractuelles imposées par la société à ses fournisseurs, en amont, ainsi que les contrôles qu’elle affirmait avoir effectués, en aval, étaient manifestement insuffisants. En tout état de cause, elle n’en avait pas tiré les conséquences qui s’imposaient, dans la mesure où les formulaires examinés par la CNIL ne permettaient pas de recueillir un consentement valide.

Un manquement à l’obligation de respecter le droit au retrait du consentement (article L. 34-5 du CPCE tel qu’éclairé par l’article 7, paragraphe 3 du RGPD)

La société organisait ses traitements autour de quatre bases de données (ou « marques ») : CALOGA, ZEPLAN, BASYLO et VOZEKO.

La formation restreinte a relevé que, dans le système mis en œuvre par la société CALOGA, il n’était pas possible, pour le prospect, de se désinscrire en un seul clic des différentes bases de données de CALOGA dans lesquelles il était inscrit.

Pour ce faire, il devait adresser une demande par courrier électronique au délégué à la protection des données. Il n’était donc pas aussi facile pour un prospect de retirer son consentement que de le donner. De plus, la société CALOGA a intitulé une de ses quatre bases de données (ou marques) « CALOGA », ce qui porte à confusion puisque le prospect, en cliquant sur le lien de désinscription intitulé « ne plus recevoir aucune offre des annonceurs de CALOGA », pouvait légitimement penser que sa demande valait pour se désinscrire de toutes les bases de données de la société.

Un manquement à l’obligation de disposer d’une base légale pour transmettre les données de prospects à des fins de prospection commerciale (article 6 du RGPD)

Dans le cadre de son activité de courtier en données, la société transmettait également des bases de données à d’autres partenaires, qui adressaient de la prospection commerciale par courriel pour leurs clients annonceurs. Elle fondait ce traitement de transmission des données sur la base légale de l’intérêt légitime.

Or, ce traitement doit être fondé sur le consentement des personnes concernées, dont la société CALOGA ne disposait pas.

Un manquement à l’obligation de conserver les données pour une durée limitée (article 5-1-e du RGPD)

La société CALOGA appliquait une durée de conservation de douze mois maximum à compter de la dernière action du prospect « actif », en prenant en compte notamment la date d’ouverture du courriel. Au-delà de ces douze mois, lorsque le prospect était considéré comme « inactif », une durée de conservation supplémentaire de quatre ans était appliquée par la société à des fins probatoires.

La formation restreinte a sanctionné cette pratique, en relevant que, à chaque fois qu’un prospect ouvrait un courriel de la société – même par inadvertance –, la société prolongeait la conservation des données de ce prospect dans ses bases, et ce potentiellement sans limitation. La formation restreinte a rappelé que les données de prospects peuvent être conservées pour une durée de trois ans à compter de leur collecte ou du dernier contact émanant du prospect (ce contact ne pouvant pas être la simple ouverture d'un courriel).

La formation restreinte a également relevé que la société ne procédait à aucun archivage et conservait l’ensemble des données de ses prospects en base active pendant une durée de quatre ans à compter du moment où le prospect était considéré comme « inactif ». Or, il appartenait à la société d’effectuer un tri parmi ces données, pour ne conserver que les données strictement nécessaires à des fins probatoires, et d’en limiter l’accès aux seules personnes ayant le besoin d’en connaitre.

Texte reference

La délibération

Texte reference

Textes de référence

Texte reference

Pour approfondir

Ceci peut également vous intéresser ...

Dix nouvelles sanctions prononcées par la CNIL en 2025 dans le cadre de la procédure simplifiée
22 mai 2025
Sanction
Courtiers en données : sanction de 900 000 euros à l’encontre de la société SOLOCAL MARKETING ...
21 mai 2025
Sanction
Mission 4 - Contrôler et sanctionner
La CNIL peut contrôler les organismes. En cas de manquements constatés, elle peut décider de les ...
29 avril 2025
Missions