La Commission Nationale de l’Information et des Libertés (CNIL) a sanctionné, dans deux décisions rendues le même jour, le démarchage de prospects sans consentement préalable et la transmission de leurs données à des partenaires sans base légale valable[1].
Dans le cadre de sa thématique prioritaire de contrôle sur la prospection commerciale en 2022, la CNIL a contrôlé, puis sanctionné deux sociétés qui collectaient des données de prospects principalement auprès d’autres courtiers en données, éditeurs de sites de jeux-concours et de tests de produits. Ces sociétés utilisaient ces données pour démarcher les personnes par courrier électronique et par SMS, pour le compte de leurs clients annonceurs. Elles pouvaient également transmettre certaines de ces données à leurs clients, afin qu’ils réalisent eux-mêmes de la prospection.
La formation restreinte de la CNIL a considéré que les deux sociétés avaient manqué aux obligations prévues par le Code des Postes et des Communications Électroniques (CPCE) et par le Règlement Général sur la Protection des Données (RGPD). Elle les condamne respectivement au paiement d’amendes s’élevant à 80 000 € et 900 000 € chacune. Le montant de ces amendes tient notamment compte du nombre de personnes concernées, de la position historique de la société sur le marché, et de l’avantage financier tiré des manquements.
Dans les deux cas, la CNIL relève des manquements similaires aux obligations prévues par le RGPD et le CPCE :
- L’absence de consentement valide. Les sociétés ont utilisé des données personnelles à des fins de prospection commerciale sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées.
- La transmission illégale des données. Les données des prospects ont été transmises à des partenaires sans base légale valable.
Ces manquements ont conduit la CNIL à prononcer des sanctions financières proportionnelles à la gravité des infractions et aux circonstances propres à chaque société.
Les décisions de la CNIL prononcées à l’encontre de ces deux sociétés illustrent l’importance pour les entreprises de respecter les obligations en matière de protection des données personnelles, notamment en ce qui concerne le recueil du consentement et la transmission des données à des partenaires.
[1] https://www.cnil.fr/fr/sanction-de-80-000-euros-societe-caloga & https://www.cnil.fr/fr/sanction-de-900-000-euros-societe-solocal-marketing-services
