La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Philippe-Pierre CABOURDIN, président, M. Vincent LESCLOUS, vice-président et Mmes Laurence FRANCESCHINI et Isabelle LATOURNARIE-WILLEMS, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code des postes et des communications électroniques ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n° 2022-129C du 21 juin 2022 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par la société SOLOCAL GROUPE et ses filiales, notamment la société SOLOCAL et la société SOLOCAL MARKETING SERVICES ou pour leur compte, en tout lieu susceptible d’être concerné par leur mise en œuvre ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés du 17 juin 2024 portant désignation d’un rapporteur devant la formation restreinte ;

Vu le rapport de M. Fabien TARISSAN, commissaire rapporteur, signifié à la société SOLOCAL MARKETING SERVICES le 18 juillet 2024 ;

Vu les observations écrites versées par le Conseil de la société SOLOCAL MARKETING SERVICES le 6 septembre 2024 ;

Vu la réponse du rapporteur à ces observations, signifiée à la société le 4 octobre 2024 ;

Vu les nouvelles observations écrites versées par le Conseil de la société SOLOCAL MARKETING SERVICES le 4 novembre 2024 ;

Vu la clôture de l’instruction du 28 novembre 2024, signifiée à la société le 3 décembre 2024 ;

Vu le courrier du président de la formation restreinte du 2 décembre 2024, informant la société que le dossier était inscrit à l’ordre du jour de la formation restreinte du 19 décembre 2024 ;

Vu les observations orales formulées lors de la séance de la formation restreinte du 19 décembre 2024 ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte du 19 décembre 2024 :

- M. Fabien TARISSAN, commissaire, entendu en son rapport ;

En qualité de représentants de la société SOLOCAL MARKETING SERVICES :

- […]

Le président ayant vérifié l’identité des représentants du mis en cause, présenté le déroulé de la séance et rappelé que les mis en cause peuvent, s’ils le souhaitent, présenter des observations orales introductives ou en réponse aux questions des membres de la formation restreinte ;

La société SOLOCAL MARKETING SERVICES ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

I. FAITS ET PROCÉDURE

1. La société SOLOCAL MARKETING SERVICES (ci-après, "la société "ou "la société SOMS "), société anonyme à conseil d’administration dont le siège social est situé 204 rond-point du Pont de Sèvres à Boulogne-Billancourt (92100), est une filiale de la société SOLOCAL GROUPE, anciennement PAGES JAUNES GROUPE (ci-après le groupe).

2. La société SOMS employait, au 31 décembre 2023, 309 salariés. En 2022, elle a réalisé un chiffre d’affaires de 79,4 millions d’euros, pour un résultat net de 19,3 millions d’euros. Pour l’année 2023, ce chiffre d’affaires s’est élevé à 76,3 millions d’euros, pour un résultat net de 16,3 millions d’euros.

3. Créée en 1999 sous le nom de PAGES JAUNES MARKETING SERVICES (devenu SOLOCAL MARKETING SERVICES) en tant que filiale dédiée à l’activité de marketing direct du groupe, la société a indiqué avoir aujourd’hui pour activité principale la conception de sites web. Elle a néanmoins précisé procéder toujours, en parallèle, à la vente de produits de marketing direct, laquelle recouvre deux types de prestations.

4. D’une part, la société réalise des opérations de prospection commerciale par l’envoi de courriers électroniques et de SMS à destination de prospects, au bénéfice d’environ 300 clients directs. En 2022, elle a adressé à plus de 4,7 millions de personnes, pour ses clients, des SMS de prospection, et plus de 500 000 personnes ont été démarchés par courrier électronique.

5. D’autre part, la société transmet à ses clients des données de prospects, afin de permettre à ceux-ci de réaliser eux-mêmes des opérations de prospection commerciale par voie postale et téléphonique. Sur les dix premiers mois de l’année 2022, près d’1,4 million de personnes ont ainsi vu leurs données transférées.

6. L’ensemble de ces opérations est réalisé à partir d’une unique base de données, dénommée […] (ou […] au sein des conditions générales de vente), constituée par la société au moyen de données transmises et mises à jour régulièrement par une quinzaine de fournisseurs de données, tels que les sociétés [X1], [X2] ou [X3], ainsi que par la société [X4] s’agissant des adresses postales et numéros de téléphone fixe des prospects. Cette base, qui compte environ 75 millions d’entrées, contient les données de près de 35 millions de personnes distinctes. La société a précisé ne traiter que les données de ressortissants français, au bénéfice d’annonceurs français.

7. Les 18 et 19 octobre 2022, une délégation de la Commission nationale de l’informatique et des libertés (ci-après, "la CNIL "ou "la Commission ") a procédé à un contrôle sur place dans les locaux de la société SOLOCAL GROUPE et de ses filiales, notamment la société SOLOCAL MARKETING SERVICES. Cette opération avait pour but de vérifier le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après, "la loi Informatique et Libertés "ou "loi du 6 janvier 1978 modifiée ") et des autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires et le droit de l'Union européenne. Le procès-verbal dressé à l’issue a été notifié à la société SOLOCAL MARKETING SERVICES le 25 octobre 2022.

8. La société a communiqué à la délégation des éléments complémentaires les 27 octobre 2022, 2 février et 15 juin 2023 et 2 juillet 2024.

9. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 17 juin 2024, désigné M. Fabien TARISSAN en qualité de rapporteur sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.

10. Le 18 juillet 2024, à l’issue de son instruction, le rapporteur a fait signifier à la société un rapport détaillant les manquements aux articles L. 34-5 du code des postes et des communications électroniques (ci-après, "le CPCE "), 6 et 7 du règlement (UE) 2016/679 du 27 avril 2016 (ci-après, "le RGPD ") qu’il estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de prononcer à l’encontre de la société une amende administrative, ainsi qu’une injonction de mettre en conformité ses pratiques avec les dispositions susvisées, assortie d’une astreinte. Il proposait également que cette décision soit rendue publique mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

11. Plusieurs échanges d’écritures ont par la suite eu lieu entre le rapporteur et la société, jusqu’à la clôture de l’instruction signifiée à la société le 3 décembre 2024.

12. A l’issue de la procédure contradictoire écrite, le rapporteur et la société ont présenté des observations orales lors de la séance de la formation restreinte.

II. MOTIFS DE LA DECISION

A. Sur les traitements en cause et la responsabilité de la société

13. L’article 4, paragraphe 7 du RGPD définit le responsable de traitement comme "la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement .

14. La formation restreinte relève que, dans l’écosystème de la prospection commerciale, la qualité à conférer aux différents acteurs de la chaîne en matière de responsabilité de traitement – à savoir à l’annonceur pour le compte duquel la prospection électronique est adressée et à l’intermédiaire intervenant entre lui et le primo-collectant, qui peut notamment être chargé de l’envoi des messages de prospection électronique pour l’annonceur – dépend d’un certain nombre de paramètres (comme par exemple la propriété de la base de données, ses modalités de constitution et de gestion, les choix opérés en matière de segmentation ou encore le degré et la précision des instructions données par l’annonceur). Ces attribution et répartition des responsabilités entre les différents acteurs peuvent varier en fonction des rôles et des actions menées par chacun, selon les cas d’espèce, et elles doivent par conséquent faire l’objet d’une analyse au cas par cas. La qualification retenue par les acteurs eux-mêmes, notamment dans leurs actes contractuels, constitue un élément important à prendre en compte, mais non déterminant s’il ne correspond pas à la réalité des critères de l’article 4 du RGPD. En fonction des cas de figure, peuvent être qualifiés de responsables de traitement l’annonceur, c’est-à-dire l’entité souhaitant promouvoir ses produits ou services (v. CNIL, FR, 3 août 2022, n° SAN-2022-017, publié ; CNIL, 24 novembre 2022, n° SAN-2022-021, publié ; CNIL, FR, 12 octobre 2023, n° SAN-2023-015, publié ; CE, 23 mars 2015, GROUPE DSE, n° 357556, Rec.) ou encore certains prestataires spécialisés offrant des services publicitaires et produits de marketing (v. CE, 11 mars 2015, TUTO4PC, n° 368624, T ; CNIL, FR, 7 décembre 2020, SAN-2020-016, publié). Parmi ces prestataires figurent des sociétés constituant des bases de données de contact à partir de diverses sources tierces (appelées "primo-collectants "), qu’elles revendent à des partenaires ou utilisent pour proposer des prestations de prospection commerciale à des annonceurs. Ces acteurs peuvent, selon les configurations, être sous-traitants de l’annonceur ou responsables de traitement des opérations de prospection, sans exclure une possible coresponsabilité entre l’annonceur et son prestataire.

15. En matière de prospection commerciale, la formation restreinte a par exemple retenu la qualité de responsable de traitement d’un organisme ayant pour activité la constitution d’une base de données de contacts destinés à la prospection commerciale par voie électronique ainsi que l’envoi de courriers électroniques de prospection au bénéfice d’annonceurs, sur la base des éléments suivants : "en premier lieu, s’agissant de la détermination des finalités, la formation restreinte relève que […] la société est propriétaire de la base de données utilisée dans le cadre des campagnes de prospection, les annonceurs et agences web ne fournissant pas les données à caractère personnel des prospects à contacter et n’ayant pas accès aux données à caractère personnel des prospects. En second lieu, la formation restreinte considère que la société détermine les moyens essentiels du traitement en ce qu’elle définit les données personnelles qui figurent dans sa base de prospects, les durées pendant lesquelles ces données y sont conservées et les éventuelles mises à jour devant être opérées. En conséquence, et sans qu’en l’espèce il soit nécessaire de se prononcer sur une éventuelle responsabilité conjointe des partenaires annonceurs de la société […], la formation restreinte retient que cette dernière a défini les finalités et les moyens du traitement lié à la gestion et la mise à disposition de sa base de données personnelles à des fins de prospection commerciale par courrier électronique "(CNIL, FR, 7 décembre 2020, SAN-2020-016, publié).

16. En l’espèce, la formation restreinte relève que les services proposés par la société SOMS et examinés dans le cadre de la présente procédure sont au nombre de deux.

17. Premièrement, la société propose à ses clients annonceurs un service consistant à réaliser, pour leur compte, des campagnes de prospection par courrier électronique (offre "EmailConnect ") ou par SMS (offre "ContactConnect ").

18. A cet égard, la formation restreinte observe qu’il ressort des conditions générales de vente des offres proposées par la société SOMS que "dans le cas où les données traitées proviennent de la base SOMS, les parties [la société SOMS et les annonceurs] reconnaissent agir en tant que responsables conjoints de traitement. Dans le cas où les données traitées proviennent du fichier contacts du client, les parties reconnaissent que le client agit en tant que responsable du traitement des données à caractère personnel, SOMS agissant en tant que sous-traitant .

19. S’il est ainsi prévu que ces campagnes peuvent, en théorie, cibler des prospects dont les données auraient été transmises à la société SOMS par ses clients, il ressort des éléments du dossier qu’en pratique, dans l’immense majorité des cas, ces opérations sont réalisées à partir des données issues de la base […] (ou base […]), que la société a elle-même constituée à partir de données de prospects transmises par ses partenaires et dont elle est propriétaire. En pareille hypothèse, les clients de la société, non seulement ne fournissent pas les données utilisées, mais n’y ont en outre pas accès.

20. La formation restreinte relève ainsi que, d’une part, la société définit les données qui figurent dans sa base […], qu’elle collecte auprès de différents partenaires, les durées pendant lesquelles ces données sont conservées et les finalités de leur usage. Elle est donc responsable de traitement de la constitution et de l’administration de cette base de données, ce qu’elle reconnait.

21. D’autre part, la société propose à ses clients de réaliser des opérations de prospection commerciale par voie électronique. Il ressort des pièces du dossier que, s’agissant de ces opérations, la société agit au moins en partie comme responsable de traitement, lorsque ces opérations sont réalisées à partir des données issues de la base […] (ou base […]). A cet égard, pour ce cas, il convient de souligner qu’outre les mentions figurant au sein des conditions générales de vente, la société a confirmé sa qualité de responsable de traitement, d’abord à l’occasion du contrôle réalisé le 18 octobre 2022, puis dans le cadre de ses observations en réponse au rapport de sanction. Par ailleurs, et sans qu’il soit nécessaire en l’espèce de se prononcer sur l’éventuelle responsabilité conjointe de ses clients, la formation restreinte observe que cette responsabilité de SOMS n’exclut pas celle des annonceurs, agissant comme responsables conjoints du traitement, ce que la société indique d’ailleurs dans ses conditions générales de vente. Il est également possible que dans certains cas la société SOMS agisse comme sous-traitante de ses clients, mais ces hypothèses ne sont pas en cause en l’espèce.

22. Au vu de l’ensemble de ce qui précède, la formation restreinte entend préciser que, s’agissant de ces opérations de prospection électronique réalisées par la société au bénéfice de clients annonceurs, à partir de sa base, la présente décision concerne exclusivement les traitements pour lesquels la société SOMS est, et se reconnait, responsable de traitement.

23. Deuxièmement, la formation restreinte relève que, dans le cadre de son offre "ListConnect ", la société transmet à ses clients les données issues de sa base […], en leur concédant un certain nombre de droits sur ces données et notamment celui de les utiliser à des fins de prospection commerciale par voie postale et par téléphone.

24. La formation restreinte estime qu’en transmettant à ses clients un segment ciblé de données issues d’une base qu’elle a elle-même constituée et dont elle est propriétaire, et en déterminant contractuellement l’usage pouvant être fait de ces données, la société détermine à la fois les finalités et les moyens d’une telle opération. Celle-ci a à cet égard confirmé endosser cette qualité de responsable de traitement s’agissant de la transmission de ces données.

25. Dans ces conditions, la formation restreinte considère que la société doit être regardée comme responsable de traitement, tant pour les opérations de prospection commerciale par voie électronique réalisées au bénéfice de ses clients à partir de sa base de données - nonobstant l’éventuelle responsabilité conjointe desdits clients et à l’exclusion de cas où elle n’agirait qu’en qualité de sous-traitant - que pour la transmission de données de prospects à des annonceurs, afin qu’ils réalisent eux-mêmes de la prospection commerciale par voie postale ou téléphonique.

B. Sur la régularité de la procédure menée à l’encontre de la société

1) Sur le grief tiré de la méconnaissance du droit à un procès équitable

26. La société fait valoir que la manière dont a été menée l’instruction porte atteinte à son droit à un procès équitable, garanti par l’article 6 de la Convention européenne des droits de l’homme, et qui implique non seulement le respect du contradictoire mais également la possibilité pour la société de pouvoir raisonnablement présenter sa cause. Elle considère notamment que ses observations n’ont pas été suffisamment prises en considération par le rapporteur et que les raisonnements tenus par ce dernier ne tiennent pas compte des faits de l’espèce et de la pratique de la société.

27. La société soutient en outre que, s’agissant du manquement à l’article 6 du RGPD, le rapporteur a, dans sa réponse, soulevé un nouveau moyen tiré de l’insuffisance présumée de l’information communiquée aux personnes, abandonnant le fondement de l’intérêt légitime et ne tenant pas compte des observations présentées par la société.

28. Premièrement, la formation restreinte rappelle que le principe du contradictoire implique le droit pour les parties de se voir communiquer et de pouvoir discuter de toute pièce ou observation présentée au juge en vue d’influencer sa décision (CEDH, Grande Chambre, 20 février 1996, Vermeulen c. Belgique, n° 19075/91).

29. La formation restreinte relève que, pour établir son rapport, le rapporteur s’est fondé sur les éléments recueillis à l’occasion de contrôles menés dans le respect des dispositions de la loi Informatique et Libertés, et qu’il a examiné les faits constatés à la lumière des règles applicables en matière de protection des données à caractère personnel. Elle observe que la société a eu connaissance de l’ensemble de ces éléments et qu’elle a pu formuler des observations, d’abord écrites - plusieurs échanges d’écritures ayant eu lieu au cours de l’instruction -, puis orales lors de la séance du 19 décembre 2024.

30. Deuxièmement, s’agissant du manquement à l’article 6 du RGPD, la formation restreinte relève qu’il sera examiné au II, D) de la présente délibération. Elle observe néanmoins d’ores et déjà que, contrairement à ce que soutient la société, il ne ressort ni des écritures du rapporteur, ni de ses observations orales lors de la séance du 19 décembre 2024, qu’il aurait entendu soulever de nouveaux moyens ou changer le fondement du manquement initialement relevé dans son rapport, ses observations relatives à l’information des personnes s’inscrivant, parmi d’autres éléments, dans le cadre de l’appréciation des conditions devant être réunies pour que puisse s’appliquer la base légale de l’intérêt légitime. En tout état de cause, il est loisible au rapporteur de modifier le fondement juridique d’un manquement ou son analyse juridique en cours de procédure, si la société est mise en mesure d’y répondre. Il apparait en l’espèce que la société a bien été mise en mesure de répondre à l’ensemble des moyens soulevés.

31. Plus généralement, la formation restreinte rappelle qu’il lui revient, en application de l’article 20-IV de la loi Informatique et Libertés et au regard de l’ensemble des éléments qui lui sont présentés, à la fois par le rapporteur et par la société, de décider si les manquements relevés apparaissent ou non constitués et de prononcer, s’il y a lieu, la ou les mesures correctrices qui lui paraissent justifiées. Elle relève qu’en l’espèce, l’ensemble des écritures et pièces produites à la fois par la société et par le rapporteur ont bien été portées à sa connaissance et qu’elle dispose ainsi des éléments nécessaires lui permettant de se prononcer sur le traitement en cause.

32. Dans ces conditions, la formation restreinte considère que le droit à un procès équitable n’a pas été méconnu et que la procédure a été menée de manière régulière, dans le respect des règles procédurales définies aux articles 22 de la loi Informatique et Libertés, 39 à 45 du décret du 29 mai 2019 et 61 à 70-1 du règlement intérieur de la CNIL.

2) Sur le grief tiré de l’atteinte au principe de sécurité juridique et au principe de légalité des délits et des peines

33. La société considère que le contenu des écritures du rapporteur porte atteinte au principe de sécurité juridique (principe général du droit de l’Union consacré par la Cour de justice de l’Union européenne, ci-après "la CJUE "), ainsi qu’au principe de légalité des délits et des peines, garanti par les articles 8 de la Déclaration des droits de l’homme et du citoyen, 7 de la Convention européenne des droits de l’homme et 49 de la Charte des droits fondamentaux de l’Union. Elle souligne que les règles dont le rapporteur entend faire application n’étaient pas suffisamment claires à l’époque du contrôle dont elle a fait l’objet et que la CNIL n’avait publié aucune recommandation relative au recueil du consentement dans le secteur du marketing, comme elle l’a fait dans d’autres secteurs (par exemple, les cookies ou les applications mobiles). Elle fait par ailleurs valoir que certaines décisions citées par le rapporteur sont postérieures au contrôle et que dans la mesure où elles posent des règles plus sévères, leur application aux faits de l’espèce serait contraire au principe de non-rétroactivité.

34. La formation restreinte entend préciser que le cadre juridique applicable sera examiné, au sein de la présente délibération, pour chacun des manquements relevés. Elle rappelle néanmoins d’ores et déjà que les décisions visées par la société comme étant postérieures aux opérations de contrôle ne constituent que l’application de règles pré-existantes et ne sauraient, dans ces conditions, se voir opposer le principe de non-rétroactivité des règles répressives, qui ne concerne que les règles à caractère impératif.

35. Elle souligne également que, si la CNIL dispose de pouvoirs de publication de "lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel "(en application de l’article 8, paragraphe 2, b) de la loi Informatique et Libertés), les règles juridiques sont fixées par les législateurs français et européen et interprétées par les juridictions compétentes, et sont directement applicables aux organismes concernés. Dès lors, l’adoption par la CNIL de référentiels ou lignes directrices n’est pas un préalable à l’obligation de respecter les règles déjà édictées et à l’application de sanctions prévues par le RGPD ou la loi Informatique et Libertés en cas de violation. La formation restreinte relève par ailleurs qu’en l’espèce, les règles établies en matière de prospection commerciale, éclairées par les publications de la CNIL telles son référentiel gestion commerciale adopté en septembre 2021 et les pages dédiées à la question sur son site web, ainsi que par les lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/679 adoptées par le Comité européen de la protection des données (ci-après, "le CEPD "), permettaient aux acteurs d’appréhender, de manière suffisamment précise, le cadre juridique applicable et les obligations pesant sur eux.

36. Enfin, la formation restreinte entend souligner qu’il ressort du principe de responsabilité, tel que défini par le RGPD, qu’il appartient à l’organisme réalisant les traitements de définir et mettre en œuvre les mesures permettant le respect des dispositions légales applicables. A cet égard, le considérant 74 du RGPD dispose qu’"il y a lieu d'instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques . Il apparait ainsi que c’est bien aux responsables de traitement – et non aux autorités de protection des données – qu’il appartient de déterminer les modalités pratiques de mise en œuvre des traitements qui leur paraissent les plus adaptées, à la condition que ces modalités leur permettent de démontrer le respect des obligations posées par les textes nationaux et européens.

C. Sur les manquements relatifs aux opérations de prospection commerciale par voie électronique réalisées par la société au bénéfice de ses clients

37. La formation restreinte relève que la société réalise des opérations de prospection commerciale par SMS et courrier électronique, au bénéfice d’environ 300 clients, à partir de données de prospects transmises par ses partenaires. Le cycle de vie de ces données peut ainsi être résumé de la manière suivante : les données sont collectées auprès des personnes concernées par des sociétés telles que [X2], [X1] ou encore [X3] (appelées "primo-collectants "), chargées contractuellement de recueillir le consentement des personnes concernées à faire l’objet de prospection commerciale par voie électronique. La collecte de ces données et le recueil du consentement s’effectuent par le biais de formulaires de participation à des jeux-concours en ligne, conçus par ces sociétés. Ensuite, ces données sont transmises à la société SOMS, qui les intègre dans sa base […] puis les utilise pour réaliser des opérations de prospection commerciale par voie électronique au bénéfice de ses clients. Pour ce faire, elle se fonde sur le consentement préalablement recueilli par ses partenaires primo-collectants, pour son compte, à partir des formulaires précités. Au cours de l’année 2022, la société a ainsi démarché par SMS plus de 4,7 millions de personnes uniques dont les données lui ont été transmises par ses partenaires, et plus de 500 000 par courriel.

1. Sur le manquement à l’obligation de recueillir le consentement des personnes concernées pour la mise en œuvre de prospection commerciale par voie électronique en application de l’article L. 34-5 du code des postes et des communications électroniques (données fournies par les sociétés [X1] et [X2])

38. Aux termes de l’article L. 34-5 du CPCE, "est interdite la prospection directe au moyen de système automatisé de communications électroniques au sens du 6° de l'article L. 32, d'un télécopieur ou de courriers électroniques utilisant les coordonnées d'une personne physique, abonné ou utilisateur, qui n'a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen.

Pour l'application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe.

Constitue une prospection directe l'envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services. Pour l'application du présent article, les appels et messages ayant pour objet d'inciter l'utilisateur ou l'abonné à appeler un numéro surtaxé ou à envoyer un message textuel surtaxé relèvent également de la prospection directe […] .

39. Aux termes de l’article 4, paragraphe 11 du RGPD, on entend par "consentement "de la personne concernée "toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement .

40. Le rapporteur considère en substance que la conception des formulaires de participation aux jeux-concours en ligne à partir desquels les partenaires de la société collectent les données utilisées par cette dernière pour réaliser ses opérations de prospection ne permet pas de recueillir un consentement libre et univoque de l’utilisateur, et incite fortement celui-ci à accepter la transmission de ses données ainsi que leur utilisation à des fins de prospection commerciale. Il estime que, dans ces conditions, la société ne peut se prévaloir d’un tel consentement pour réaliser ses opérations de prospection par voie électronique et qu’un manquement à l’article L. 34-5 du CPCE est constitué.

41. En défense, la société conteste le manquement reproché et soutient avoir respecté l’ensemble des obligations lui incombant, compte tenu du cadre juridique applicable à l’époque du contrôle.

1.1. Sur le cadre juridique applicable et la responsabilité de la société SOMS

1.1.1. Sur les conditions de validité du consentement

42. La société considère qu’à l’époque du contrôle, en octobre 2022, le cadre juridique applicable ne lui permettait pas de conclure à l’invalidité des mécanismes de recueil du consentement mis en œuvre par ses partenaires. Elle soutient en effet que ce n’est que par une délibération du 29 décembre 2023 (CNIL, FR, 29 décembre 2023, Sanction, n° 2023-025, publié) que la formation restreinte s’est prononcée sur les modalités spécifiques de ce recueil dans le contexte des jeux-concours organisés par les primo-collectants, et qu’elle n’était pas en capacité d’anticiper une telle décision. La société insiste sur le principe de non-rétroactivité des règles répressives. Elle fait par ailleurs valoir que les recommandations et lignes directrices relatives aux cookies, citées au sein du rapport, ne peuvent trouver à s’appliquer en matière de prospection commerciale.

43. La formation restreinte rappelle que l’ensemble des règles applicables en matière de prospection par voie électronique, ainsi que celles relatives au consentement, sont fixées depuis de nombreuses années et qu’elles précèdent non seulement la publication de la décision susvisée, mais également les opérations de contrôle menées en octobre 2022 auprès de la société SOMS.

44. La formation restreinte rappelle ainsi que le consentement spécifique requis par les dispositions de l’article L. 34-5 du CPCE, combinées à celles de l’article 4 du RGPD, doit s’entendre comme une manifestation de volonté libre, spécifique, éclairée et univoque et ne peut résulter que d’un consentement exprès de l’utilisateur, donné en toute connaissance de cause après une information adéquate sur l’usage qui sera fait de ses données personnelles.

45. Elle relève que la Cour de justice de l’Union européenne a précisé, dans sa décision Planet49 GmbH de 2019 qui portait sur la validité du consentement donné dans le cadre d’une participation à un jeu-concours en ligne, que : "l’article 7, sous a) de la directive 95 prévoit que le consentement de la personne concernée peut rendre un tel traitement licite pour autant que ce consentement est "indubitablement "donné par la personne concernée. Or, seul un comportement actif de la part de cette personne en vue de manifester son consentement est de nature à remplir cette exigence "(CJUE, grande chambre, 1er octobre 2019, Planet49 GmbH, C-673/17, ECLI:EU:C:2019:801, point 54). Dès lors, il convient de considérer qu’à défaut d’être donné indubitablement, le consentement doit être considéré comme faisant défaut, ce qui rend le traitement illégal pour défaut de base légale. Plus précisément sur les modalités de recueil, la CJUE affirme que "la manifestation de volonté visée à l’article 2, sous h), de la directive 95/46 doit, notamment, être "spécifique , en ce sens qu’elle doit porter précisément sur le traitement de données concerné et ne saurait être déduite d’une manifestation de volonté ayant un objet distinct. En l’occurrence, contrairement à ce qu’a fait valoir Planet49, le fait pour un utilisateur d’activer le bouton de participation au jeu promotionnel organisé par cette société ne saurait dès lors suffire pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies "(ibid, points 58-59).

46. En outre, le Conseil d’Etat a retenu que "le consentement libre, spécifique, éclairé et univoque ne peut qu'être un consentement exprès de l'utilisateur, donné en toute connaissance de cause et après une information adéquate sur l'usage qui sera fait de ses données personnelles. "(CE, 10ème et 9ème chambres réunies, 19 juin 2020, Google LLC, n° 430810, point 21).

47. La formation restreinte remarque également, à titre d’illustration, que dès 2017, le groupe de travail "Article 29 "(aujourd’hui Comité européen de la protection des données) a publié des lignes directrices sur le consentement visant à clarifier les nouvelles dispositions introduites par le RGPD. De nouvelles lignes directrices 5/2020 sur le consentement ont été adoptées le 4 mai 2020, et précisent que le caractère libre du consentement "implique un choix et un contrôle réel pour les personnes concernées. En règle générale, le RGPD dispose que si la personne concernée n’est pas véritablement en mesure d’exercer un choix, se sent contrainte de consentir ou subira des conséquences négatives importantes si elle ne donne pas son consentement, le consentement n’est pas valable […] En termes généraux, toute pression ou influence inappropriée exercée sur la personne concernée (pouvant se manifester de différentes façons) l’empêchant d’exercer sa volonté rendra le consentement non valable .

48. Enfin, la formation restreinte souligne que les travaux conduits par la Commission sur les pratiques mises en œuvre en matière de cookies s’agissant des bannières de recueil du consentement peuvent utilement servir à apprécier de manière plus générale les conditions de recueil d’un consentement libre, univoque, spécifique et éclairé, et servir de référence en matière de prospection commerciale lorsqu’elle est fondée sur le recueil du consentement. Il convient en effet de rappeler que les règles générales relatives aux conditions de validité du consentement, tirées notamment de l’article 4 du RGPD, n’ont pas vocation à différer en fonction du secteur concerné et que la CNIL n’est pas tenue de prendre des recommandations spécifiques à chaque secteur. A cet égard, la délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives aux "cookies et autres traceurs "rappelle expressément que le consentement exigé par l’article 82 de la loi Informatique et Libertés renvoie à la définition et aux conditions prévues aux articles 4.11 et 7 du RGPD (§ 5 et 6).

49. Ainsi, à titre d’illustration et de comparaison, la formation restreinte note que dans sa délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux "cookies et autres traceurs , la Commission recommande aux organismes concernés de s’assurer "que les utilisateurs prennent la pleine mesure des options qui s’offrent à eux, notamment au travers du design choisi et de l’information délivrée (§ 10) […] Afin de ne pas induire en erreur les utilisateurs, la Commission recommande que les responsables de traitement s’assurent que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre. Il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique "(§ 34). Elle ajoute qu’il convient "d’être attentif à ce que l’information accompagnant chaque élément actionnable permettant d’exprimer un consentement ou un refus soit facilement compréhensible et ne nécessite pas d’efforts de concentration ou d’interprétation de la part de l’utilisateur. Ainsi, il est notamment recommandé de s’assurer qu’elle n’est pas rédigée de telle manière qu’une lecture rapide ou peu attentive pourrait laisser croire que l’option sélectionnée produit l’inverse de ce que les utilisateurs pensaient choisir. "(§ 23). A défaut, le caractère univoque du consentement ne serait pas caractérisé.

50. La formation restreinte remarque également que des études menées sur les pratiques des interfaces numériques, en particulier concernant les cookies, relèvent l’impact considérable de l’apparence des bannières de recueil du consentement sur le choix des utilisateurs, pouvant inciter ces derniers à faire des choix ne reflétant pas leurs préférences sur le partage des données.

51. En outre, contrairement à ce que soutient la société, la formation restreinte relève que la décision de sanction du 29 décembre 2023 (CNIL, FR, 29 décembre 2023, SAN-2023-025, publié) est fondée sur l’ensemble des éléments susvisés, sans poser aucune exigence nouvelle. Elle ne fait qu’appliquer des règles pré-existantes que la société était parfaitement en mesure d’appréhender.

52. Il ressort ainsi de l’ensemble de ces éléments que les règles relatives au consentement des personnes concernées sont bien antérieures aux opérations de contrôle menées à l’encontre de la société SOMS et qu’elles apparaissaient suffisamment claires et précises pour permettre à cette dernière d’apprécier la validité du consentement recueilli par ses partenaires et sur lequel elle se fonde pour réaliser ses opérations de prospection.

1.1.2. Sur les obligations pesant sur la société SOMS

53. La société reproche au rapporteur de vouloir instaurer un régime de responsabilités solidaires, non prévu par les textes, entre elle et ses partenaires primo-collectants. Elle considère en effet que sa responsabilité ne doit pas s’apprécier au regard de la licéité des mécanismes de recueil du consentement mis en œuvre par ses partenaires – ces derniers ayant, seuls, la maîtrise des supports de collecte qu’ils éditent –, mais au regard des obligations qui lui incombaient, en propre, au moment des constats.

54. A cet égard, elle soutient que le cadre juridique applicable à l’époque du contrôle ne permettait pas aux acteurs du marketing digital de rendre prévisibles les obligations pesant sur chacun d’eux, l’exigence de procéder à des vérifications des conditions de recueil du consentement par les destinataires des données n’ayant été posée, selon elle, qu’à l’occasion des décisions rendues par la formation restreinte au début de l’année 2024. Elle considère que le principe de non-rétroactivité des règles répressives s’oppose à ce qu’elle puisse être sanctionnée sur la base de ces décisions.

55. La société considère en tout état de cause avoir mis en œuvre les mesures nécessaires pour s’assurer de disposer d’un consentement valable, au regard des règles et recommandations applicables à l’époque du contrôle. Elle souligne à cet égard avoir, d’une part, encadré ses relations contractuelles avec ses partenaires primo-collectants et, d’autre part, procédé à des vérifications sur les formulaires mis en œuvre, alors même qu’elle n’y était pas tenue légalement.

56. La formation restreinte relève que le secteur du courtage en données se caractérise par l’existence d’une chaîne de traitements faisant intervenir plusieurs acteurs, avec comme point de départ la collecte des données par les primo-collectants, suivie de leur transmission à un ou plusieurs partenaires pour permettre à ces derniers de réaliser des opérations de prospection commerciale. Dans ce cadre, chacun des organismes impliqués doit, en fonction de sa responsabilité propre, s’assurer de la licéité des opérations auxquelles il participe dans cette chaîne de traitements.

57. La formation restreinte rappelle qu’en application des dispositions combinés des articles L. 34-5 du CPCE et 4 du RGPD, cette licéité exige, pour le responsable de traitement qui entend réaliser ou faire réaliser des opérations de prospection commerciale par voie électronique, de disposer d’un consentement univoque, spécifique, libre et informé des personnes concernées.

58. Lorsque les données des prospects n’ont pas été collectées directement auprès d’eux par le responsable de traitement de la prospection, ce consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte du responsable de traitement. À défaut, il revient au responsable de traitement de recueillir ou faire recueillir un tel consentement avant de procéder à des actes de prospection (CNIL, FR, 24 novembre 2022, Sanction, n° SAN-2022-021, publié ; délibération n° 2021-131 du 23 septembre 2021 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales).

59. A cet égard, la formation restreinte a retenu la responsabilité d’un organisme en considérant qu’un simple engagement contractuel de l’organisme fournissant les données de respecter le RGPD et les règles applicables en matière de prospection commerciale ne constituait pas une mesure suffisante (CNIL, FR, 24 novembre 2022, Sanction, n° SAN-2022-021, publié ; CNIL, FR, 31 janvier 2024, Sanction, n° SAN-2024-003, publié ; CNIL, FR, 4 avril 2024, Sanction, n° SAN-2024-004, publié).

60. La formation restreinte insiste sur le fait qu’à l’instar des règles régissant les conditions de validité du consentement, ces exigences ne sont pas nouvelles et qu’elles découlent des textes auxquels tout organisme qui entend réaliser des opérations de prospection commerciale par voie électronique est soumis en sa qualité de responsable de traitement.

61. En l’espèce, c’est bien la société SOMS qui, en tant que responsable des opérations de prospection directe par voie électronique qu’elle réalise, se trouve soumise aux dispositions de l’article L. 34-5 du CPCE (et non les primo-collectants qui, eux, ne prospectent pas directement les personnes concernées) lequel exige clairement, depuis la transposition en droit français de la directive ePrivacy en 2004, de recueillir le consentement des personnes concernées. Il lui appartient donc, à ce titre, de garantir la licéité de ces opérations en s’assurant de la validité du consentement dont elle entend se prévaloir ou, à défaut, en recueillant elle-même ledit consentement. Il convient de souligner que l’article 7 du RGPD prévoit à cet égard que "dans les cas où le traitement repose sur le consentement, le responsable de traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. "

62. Par ailleurs, la formation restreinte rappelle que, quel que soit l’organisme qui se charge de recueillir le consentement des personnes concernées, la validité de ce dernier – et donc la licéité des traitements fondés sur un tel consentement – ne peut s’apprécier qu’au moment de son recueil ce qui suppose, en l’espèce, d’examiner les formulaires de collecte mis en œuvre par les partenaires de la société.

63. Ainsi, dans la mesure où la société SOMS a fait le choix de ne pas recueillir elle-même ce consentement et de se prévaloir de celui recueilli par ses partenaires, le fait de s’assurer de la validité dudit consentement passe nécessairement par un contrôle des mécanismes de recueil mis en œuvre par les primo-collectants.

1.2. Sur la caractérisation du manquement

64. La formation restreinte relève que, pour attester de la validité du consentement donné par les personnes ayant fait l’objet de prospection commerciale par voie électronique, la société a fourni des exemples de formulaires mis en œuvre par deux de ses principaux fournisseurs, les sociétés [X1] et [X2] (la société [X3] n’ayant, selon la société, pas répondu à ses sollicitations).

65. L’examen de ces formulaires permet d’observer qu’une large majorité d’entre eux (huit sur onze s’agissant des formulaires mis en œuvre par la société [X1], quatorze sur dix-huit s’agissant de ceux mis en œuvre par la société [X2]) se présente de façon similaire (formulaires dits "à bouton unique "). Après avoir complété ses coordonnées (et, le cas échéant, avoir coché une case permettant d’accepter le règlement du jeu), l’utilisateur a le choix entre cliquer sur un bouton "JE PARTICIPE "ou "JE VALIDE "(pouvant aussi s’intituler "VALIDER , "VALIDER MES COORDONNEES , "VALIDER MA PARTICIPATION , "CONFIRMER , "JE JOUE "ou encore "JE REPONDS AUX QUESTIONS POUR POSTULER "), situé au bas du formulaire et permettant à la fois de valider sa participation au jeu et de consentir à ce que ses données soient transmises à des partenaires et utilisées par ces derniers à des fins de prospection commerciale, ou cliquer sur un lien permettant de participer uniquement au jeu-concours, en refusant la transmission et l’utilisation de ses données à des fins de prospection commerciale (lien pouvant être contenu dans la phrase "si je souhaite continuer sans recevoir les offres des partenaires de […], je clique ici , ou encore "je souhaite passer à l’étape suivante sans accepter les offres commerciales de […] en cliquant sur ce lien ").

66. La formation restreinte considère que tels qu’ils sont conçus, les formulaires proposés ne permettent pas aux personnes concernées d’exprimer de manière valable un choix reflétant leurs préférences en matière de transmission et d’utilisation de leurs données à des fins de prospection commerciale. En effet, l’aperçu global des interfaces met particulièrement en valeur les boutons de type "JE PARTICIPE "ou "JE VALIDE "qui, par leur taille – nettement supérieure au reste des mentions – et leur couleur – qui tranche avec le fond utilisé –, se distinguent des autres informations délivrées. De même, leur intitulé évoque davantage la conclusion du parcours utilisateur plutôt qu’une utilisation des données à des fins de prospection commerciale dans la mesure où, en langage courant, on "valide "les informations renseignées dans un formulaire et on "autorise , on "accepte "une utilisation de données. Enfin, leur emplacement donne l’impression de devoir obligatoirement être cliqués pour terminer l’inscription et participer au jeu-concours. A contrario, le lien hypertexte permettant de participer au jeu sans accepter l’utilisation de ses données par les partenaires est présenté dans le corps du texte situé au-dessus ou en-dessous des boutons d’acceptation, en caractères d’une taille nettement inférieure à celle utilisée pour les boutons et sans mise en valeur particulière, de sorte qu’il n’apparait pas intuitif qu’il est possible de participer sans cliquer sur l’un des boutons précités et donc sans transmettre ses données à des tiers à des fins de prospection. Le consentement recueilli est, dans ces conditions, dépourvu de caractère univoque et libre.

67. La formation restreinte note par ailleurs que certains des formulaires mis en œuvre par les sociétés [X2] et [X1] font figurer non pas un seul bouton, mais deux boutons (formulaires dits "à deux boutons "), dont l’un intitulé "JE VALIDE "et l’autre intitulé "JE REFUSE .

68. Or, si les informations figurant au-dessus du bouton "JE VALIDE "précisent bien qu’en cliquant sur ce bouton, l’utilisateur accepte que ses données soient transmises à des partenaires à des fins de prospection commerciale, il apparait en revanche que cet utilisateur n’est pas mis en mesure de comprendre les conséquences d’un clic sur le bouton "JE REFUSE . En effet, soit ces conséquences ne sont pas précisées (à l’instar du formulaire accessible à partir du site consoavenue.fr) et l’utilisateur peut dès lors penser qu’un tel clic entraîne l’impossibilité de participer au jeu ; soit, même lorsqu’il est précisé qu’un clic sur le bouton "JE REFUSE "permet de participer sans accepter la transmission et l’utilisation de ses données à des fins de prospection, une lecture rapide peut faire penser à l’utilisateur, compte tenu du vocabulaire employé, que le fait de "refuser "entraîne également refus de participer au jeu-concours, ce qui n’est pas le cas en l’espèce.

69. Dans ces conditions, la formation restreinte considère qu’à l’instar des formulaires à bouton unique et pour les mêmes motifs, la conception même de ces formulaires à deux boutons fournis par la société ne permet pas de recueillir un consentement libre et univoque dès lors que leur présentation incite fortement l’utilisateur à accepter la transmission de ses données à des fins de prospection commerciale.

70. La formation restreinte rappelle que, si la conception de ces formulaires ne lui est pas imputable en tant que telle, la société aurait dû, comme indiqué aux points 53 à 63 de la présente délibération, s’assurer de la validité du consentement dont elle entend se prévaloir pour réaliser ses opérations de prospection.

71. La formation restreinte relève à cet égard que la société a indiqué avoir, d’une part, prévu dans ses relations contractuelles avec ses partenaires primo-collectants que ces derniers s’engagent à recueillir valablement le consentement des personnes concernées et, d’autre part, avoir mis en place depuis le début de l’année 2022 certaines procédures de vérifications des formulaires de collecte. S’agissant du cadre contractuel, la formation restreinte relève que les clauses contenues dans les contrats passés avec ses partenaires apparaissent très générales – ces derniers s’engageant à recueillir valablement le consentement des personnes concernées, à documenter ledit consentement et à en transmettre la trace à SOMS – et qu’en tout état de cause, quelles que soient les clauses contractuelles entourant ces relations, la société destinataire des données ne peut s’en contenter et se doit d’opérer des vérifications concrètes sur les conditions de recueil du consentement sur lequel elle entend se fonder pour réaliser ses opérations de prospection. S’agissant de ces vérifications, la société a indiqué procéder à l’examen régulier des formulaires de collecte mis en œuvre par ses partenaires. Néanmoins, les constatations réalisées démontrent que ces vérifications étaient manifestement insuffisantes et qu’en tout état de cause, la société n’en a pas tiré les conséquences qui s’imposaient quant à l’absence de validité du consentement recueilli et a continué à utiliser les données transmises pour réaliser ses opérations de prospection commerciale. Il apparait en effet qu’au regard des pièces figurant au dossier, aucun des formulaires transmis dans le cadre de la procédure de contrôle ne permettait de recueillir un consentement valide des personnes concernées, alors même que les vérifications opérées par la société avaient débuté plusieurs mois auparavant.

72. Dans ces conditions, faute pour la société de disposer d’un consentement valide des personnes concernées pour réaliser ses opérations de prospection commerciale par voie électronique, un manquement à l’article L. 34-5 du CPCE est constitué.

73. Pour ses opérations de prospection commerciale par voie électronique à venir, la société devra tirer les conséquences du manquement relevé, en s’abstenant de réaliser ces opérations sans disposer d’un consentement valable pour ce faire.

2 .Sur le manquement à l’obligation d’être en mesure de démontrer que la personne concernée a donné son consentement (données fournies par la société [X3])

74. L’article 7, paragraphe 1 du RGPD dispose que "dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant .

75. A titre d’illustration, ainsi que le souligne le Comité européen de la protection des données dans ses lignes directrices 5/2020 sur le consentement, adoptées le 4 mai 2020, ces dispositions font reposer la charge de la preuve sur le responsable de traitement, à qui "il incombe de prouver qu’un consentement valable a été obtenu de la part de la personne concernée "(107). "Le responsable du traitement peut par exemple conserver une trace des déclarations de consentement reçues afin de pouvoir attester la façon dont le consentement a été obtenu, du moment où il a été obtenu et des informations fournies à la personne concernée à l’époque. Le responsable du traitement doit être en mesure de démontrer que la personne concernée a été informée et que le flux de travail respectait tous les critères pertinents pour un consentement valable. La raison de cette obligation établie par le RGPD est que les responsables de traitement doivent répondre de l’obtention d’un consentement valable de la part des personnes concernées et des mécanismes de consentement qu’ils ont établis "(108).

76. Les lignes directrices susvisées rappellent également que "les responsables de traitement sont libres de développer les méthodes adaptées à leurs opérations quotidiennes pour se conformer à cette disposition […] (106) Le RGPD ne prescrit pas précisément comment cela doit être fait. Le responsable de traitement doit toutefois être en mesure de prouver qu’une personne concernée a donné son consentement dans un cas spécifique "(107).

77. En application des dispositions de l’article 7 du RGPD, combinées à celles de l’article L. 34-5 du CPCE, le responsable de traitement des opérations de prospection commerciale par voie électronique doit disposer d’un consentement univoque, spécifique, libre et informé des personnes concernées et être en mesure de le démontrer. Dans l’hypothèse où les données des prospects n’ont pas été collectées directement auprès d’eux par l’organisme qui prospecte et que le consentement a été recueilli, pour le compte du responsable de traitement, par le primo-collectant, il appartient bien à l’organisme qui prospecte de prouver qu’il dispose de ce consentement (CNIL, FR, 2 novembre 2022, Sanction, n° SAN-2022-021, publié ; CNIL, FR, 12 octobre 2023, Sanction, n° SAN-2023-015, publié).

78. Le rapporteur relève que la société n’a pas été en capacité de fournir à la délégation les éléments attestant des conditions de recueil du consentement des personnes dont les données lui ont été transmises par la société [X3]. Il considère que, puisque la société fonde ses opérations de prospection commerciale par voie électronique sur un tel consentement, elle devrait être en mesure d’en apporter la preuve et qu’à défaut, un manquement à l’article 7 du RGPD apparait constitué.

79. En défense, la société soutient que les dispositions de l’article 7 du RGPD doivent être interprétées comme imposant au responsable de traitement de pouvoir apporter la preuve individuelle du consentement d’une personne unique, et non une preuve globale des mécanismes de recueil du consentement mis en œuvre.

80. S’agissant de la preuve individuelle du consentement, elle indique que ses partenaires primo-collectants se sont engagés contractuellement à conserver ladite preuve et à lui transmettre à première demande, sans qu’il puisse lui être imposé de conserver elle-même les preuves du consentement. Elle souligne avoir toujours été en mesure de répondre favorablement aux demandes lui ayant été adressées par les personnes concernées.

81. S’agissant de la preuve de l’existence de mécanismes de consentement valable, qu’elle qualifie de "preuve globale , elle considère qu’elle ne relève pas de l’article 7 du RGPD et qu’il existe un concours d’infractions entre le manquement qui lui est reproché au regard de ces dispositions et celui à l’article L. 34-5 du CPCE. Elle soutient qu’en tout état de cause, elle ne peut être tenue pour responsable du non-respect des engagements de son partenaire, la société [X3], dans la mesure où elle-même a respecté les obligations lui incombant.

82. En l’espèce, la formation restreinte relève qu’en 2022, plus de 100 000 personnes dont les données lui ont été transmises par la société [X3] ont été démarchées par SOMS par courrier électronique, et plus de 1,1 million par SMS. La société a indiqué que la société [X3] était chargée contractuellement de recueillir, pour son compte, le consentement des personnes concernées, d’en conserver la preuve et de lui transmettre cette preuve à première demande. La formation restreinte observe que la société n’a pas été en mesure de fournir à la délégation les informations sollicitées portant sur le nombre de formulaires ayant permis de collecter les données des personnes physiques démarchées, et pour chacun des formulaires, le nombre de personnes uniques dont les données ont été collectées par ce formulaire et qui ont reçu de la prospection par voie électronique, les scripts ou modèles permettant de générer l’ensemble de ces formulaires de collecte ou, à défaut, les captures d’écran de chacun desdits formulaires. Elle a indiqué que "malgré [ses] demandes écrites et [ses] échanges avec la société [X3], [elle] n’av[ait] pas réussi à obtenir de retour de leur part dans les délais impartis .

83. Premièrement, la formation restreinte relève que le manquement qui est reproché à la société au titre de l’article 7 du RGPD et celui qui lui est reproché au titre de l’article L. 34-5 du CPCE procèdent de deux comportements bien distincts et portent sur des faits distincts et ne sont, dès lors, pas susceptibles de se confondre. En effet, il ressort de l’instruction que la société a été en mesure de fournir la preuve des mécanismes de recueil du consentement des personnes dont les données lui ont été transmises par deux de ses partenaires, les sociétés [X1] et [X2]. Néanmoins, dans la mesure où il a été constaté que ces mécanismes ne permettaient pas de recueillir un consentement libre, spécifique, éclairé et univoque, la société ne pouvait s’en prévaloir pour fonder ses opérations de prospection par voie électronique et, dès lors, un manquement à l’article L. 34-5 du CPCE apparait constitué.

84. En ce qui concerne les données fournies par la société [X3], le grief est différent dans la mesure où la société SOMS, qui fonde son traitement sur le consentement qui aurait été recueilli par la société [X3], n’a pas été en capacité de fournir à la délégation de contrôle de preuve du consentement donné par les personnes dont les données lui ont été transmises par ce partenaire. Cet état de fait a placé la CNIL dans l’impossibilité d’examiner la validité des conditions de recueil dudit consentement et la société dans l’incapacité de prouver son respect des obligations découlant de l’article 7, paragraphe 1 du RGPD.

85. La formation restreinte relève ainsi que les deux manquements en cause concernent des données, des fournisseurs et des comportements bien distincts et que la société ne peut dès lors se prévaloir de l’existence d’un concours de qualifications.

86. Deuxièmement, la formation restreinte observe que, pour vérifier que la société était bien en mesure de fournir la preuve du consentement donné par les personnes dont les données lui ont été transmises par la société [X3], la délégation a, au regard du nombre de personnes concernées (plus de 1,2 million), demandé que lui soient communiqués des éléments attestant des mécanismes de recueil du consentement mis en œuvre (nombre de formulaires ayant permis de collecter les données, nombre de personnes uniques dont les données ont été collectées par le biais de chacun des formulaires et qui ont été destinataires de prospection commerciale par voie électronique, scripts ou modèles permettant de générer l’ensemble des formulaires ou, à défaut, captures d’écran de chacun de ces formulaires). La société a indiqué ne pas être en capacité de fournir de tels éléments, précisant que malgré les demandes adressées à la société [X3], celle-ci avait refusé de lui communiquer les informations demandées. La formation restreinte observe ainsi que la société n’a pas été en mesure de présenter ces éléments de preuve pourtant prévus dans ses clauses contractuelles : elle n’a même pas pu fournir le descriptif précis, avec les copies de formulaires vierges, des mécanismes mis en œuvre pour recueillir le consentement. Ces faits suffisent à établir qu’elle n’est pas en mesure de démontrer que les personnes dont les données lui sont transmises par la société [X3], et qui sont utilisées à des fins de prospection commerciale par voie électronique, ont consenti à cette prospection.

87. Troisièmement, la formation restreinte relève que la société est libre d’adopter la méthode qu’elle juge adaptée pour se conformer aux dispositions de l’article 7, paragraphe 1 du RGPD. Cependant, indépendamment des moyens choisis, il appartient bien à la société, en sa qualité de responsable de traitement, d’être en capacité d’apporter la preuve de la licéité des opérations de prospection réalisées. Dès lors, celle-ci ne saurait se retrancher derrière l’absence de coopération de son partenaire pour s’exonérer de sa propre responsabilité, le fait d’être dépendante d’autres organismes relevant d’un choix de sa part.

88. La formation restreinte relève à cet égard qu’après avoir constaté que son partenaire n’était pas en capacité de lui transmettre les éléments de preuve demandés – et qu’elle-même n’était donc pas en mesure de respecter les dispositions de l’article 7, paragraphe 1 du RGPD –, il appartenait à la société, soit de ne plus utiliser les données transmises, soit de recueillir elle-même le consentement des personnes concernées. Or, il ressort des éléments de l’instruction que, dès le 30 mai 2023, la société SOMS a sollicité la société [X3] afin que celle-ci lui fournisse les éléments de preuve demandés par la délégation et que, malgré l’absence de réponse de la part de son partenaire, elle a continué à utiliser les données transmises pour réaliser ses opérations de prospection commerciale par voie électronique jusqu’au 18 octobre 2024, laissant s’écouler un délai de près de 17 mois avant de suspendre leur exploitation.

89. Compte tenu de l’ensemble de ces éléments, la formation restreinte considère que, faute pour la société d’avoir mis en place un dispositif lui permettant d’être effectivement en mesure de démontrer que les personnes dont les données ont été collectées par la société [X3] ont donné leur consentement à la réception de messages de prospection par voie électronique de la part de la société SOMS, un manquement à l’article 7, paragraphe 1 du RGPD est constitué.

D. Sur le manquement relatif à la transmission de données de prospects à des partenaires afin qu’ils réalisent eux-mêmes de la prospection par voie postale ou par téléphone : manquement à l’obligation de disposer d’une base légale

90. En droit, s’agissant de l’exigence de disposer d’une base légale, l’article 6, paragraphe 1 du RGPD dispose que "le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

[…]

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant […] .

91. La Cour de justice de l’Union européenne a rappelé à plusieurs reprises que, pour qu’un organisme puisse fonder son traitement sur la base légale de l’intérêt légitime, prévue au f) de l’article susvisé, trois conditions cumulatives devaient être réunies, à savoir la poursuite d’un intérêt légitime par le responsable du traitement ou par un tiers, la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi et la condition que les intérêts ou les libertés et les droits fondamentaux de la personne concernée par la protection des données ne prévalent pas sur l’intérêt légitime du responsable du traitement ou d’un tiers (notamment CJUE, 4 juillet 2023, Meta, C-252/21).

92. S’agissant de cette dernière condition, la Cour a précisé qu’elle impliquait "une pondération des droits et des intérêts opposés en cause qui dépend, en principe, des circonstances concrètes du cas particulier "(CJUE, 17 juin 2021, M.I.C.M., C 597/19, point 111 ; CJUE, 4 juillet 2023, Meta, C-252/21).

93. Elle a également souligné (ibid) que les intérêts et les droits fondamentaux de la personne concernée pouvaient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où ces personnes ne s’attendent raisonnablement pas à un tel traitement. A cet égard, il ressort du considérant 47 du RGPD que "les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur .

94. En outre, le groupe de travail "article 29 "(devenu le Comité européen de la protection des données) a souligné, dans son avis 06/2014 sur la notion d’intérêt légitime (adopté le 9 avril 2014, sous l’empire de la directive 95/46/CE) qu’il convenait de donner une interprétation large aux notions d’"intérêts "et de "droits , en ce sens que "tous les intérêts pertinents de la personne concernée devraient être pris en compte . Il a également précisé que lors de l’évaluation de l’incidence du traitement, "en plus des conséquences négatives qui peuvent être spécifiquement prévues, il faut aussi tenir compte des répercussions morales, comme l’irritation, la crainte et le désarroi qui peuvent résulter de la perte du contrôle exercé par la personne concernée sur ses informations à caractère personnel, ou de la découverte d’une utilisation abusive […] de ces informations […]. […] Le terme "incidence , tel qu’il est employé dans le présent avis, couvre toutes les conséquences possibles (potentielles ou effectives) du traitement de données .

95. Enfin, à titre d’illustration, la CNIL rappelle, au sein de son référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales adopté le 23 septembre 2021, que la transmission de données à des partenaires (à titre onéreux ou dans le cadre d’accords commerciaux entre deux sociétés), afin que ceux-ci réalisent des opérations de prospection non électronique, peut être réalisée sur le fondement de l’intérêt légitime de l’organisme qui transmet les données. Celui-ci doit alors informer les personnes concernées, sur le support de collecte des données, de la finalité de cette transmission et des catégories de partenaires rendus destinataires des données. Il doit également offrir aux personnes concernées, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais et de manière simple, à la transmission de leurs données à caractère personnel au moment où celles-ci sont recueillies et à tout moment.

96. En droit, s’agissant des données personnelles contenues dans les annuaires publics à partir des données des opérateurs de téléphonie et de leur utilisation à des fins de prospection, l’article L. 34 du code des postes et des communications électroniques dispose que "la publication des listes d'abonnés ou d'utilisateurs des réseaux ou services de communications électroniques est libre, sous réserve de la protection des droits des personnes.

97. Parmi les droits garantis figurent ceux pour toute personne d'être mentionnée sur les listes d'abonnés ou d'utilisateurs publiées dans les annuaires ou consultables par l'intermédiaire d'un service de renseignements ou de ne pas l'être, de s'opposer à l'inscription de certaines données la concernant dans la mesure compatible avec les nécessités de la constitution des annuaires et des services de renseignements auxquels ces listes sont destinées, d'être informée préalablement des fins auxquelles sont établis, à partir de ces listes, des annuaires et services de renseignements et des possibilités d'utilisation reposant sur des fonctions de recherche intégrées à leur version élec-tronique, d'interdire que les informations nominatives la concernant soient utilisées dans des opé-rations commerciales, ainsi que de pouvoir obtenir communication desdites informations nomina-tives et exiger qu'elles soient rectifiées, complétées, clarifiées, mises à jour ou effacées, dans les conditions prévues aux articles 49 et 50 de la loi n° 78-17 du 6 janvier 1978 relative à l'informa-tique, aux fichiers et aux libertés.

98. Le consentement préalable des abonnés à un opérateur de téléphonie mobile est requis pour toute inscription dans les listes d'abonnés ou d'utilisateurs établies par leur opérateur mobile, destinées à être publiées dans les annuaires ou consultables par l'intermédiaire d'un service de renseigne-ments, de données à caractère personnel les concernant.

99. Sur toute demande présentée en vue d'éditer un annuaire universel ou de fournir un service universel de renseignements, même limitée à une zone géographique déterminée, les opérateurs sont tenus de communiquer, dans des conditions non discriminatoires et à un tarif reflétant les coûts du service rendu, la liste de tous les abonnés ou utilisateurs auxquels ils ont affecté, directe-ment ou par l'intermédiaire d'un distributeur, un ou plusieurs numéros du plan national de numé-rotation téléphonique prévu à l'article L. 44. (…) "

100. L’article R. 10 du même code dispose que "toute personne ayant souscrit un abonnement au service téléphonique au public a le droit de figurer gratuitement sur une liste d'abonnés ou d'utili-sateurs destinée à être publiée. Elle peut obtenir gratuitement de l'opérateur auprès duquel elle est abonnée ou du distributeur de son service :

1. De ne pas être mentionnée sur les listes d'abonnés ou d'utilisateurs publiées ou susceptibles d'être consultées par les services de renseignements ;

2. Que ces listes ne comportent pas l'adresse complète de son domicile sauf lorsque l'activité pro-fessionnelle mentionnée consiste à fournir des biens ou des services aux consommateurs ;

(…)

4. Que les données à caractère personnel la concernant issues des listes d'abonnés ou d'utilisa-teurs ne soient pas utilisées dans des opérations de prospection directe soit par voie postale, soit par voie de communications électroniques, sans préjudice des dispositions de l'article L. 34-5, à l'exception des opérations concernant la fourniture du service téléphonique au public et relevant de la relation contractuelle entre l'opérateur et l'abonné.

(…) Le consentement préalable des abonnés à un opérateur de téléphonie mobile est requis pour toute inscription de données à caractère personnel les concernant dans les listes d'abonnés ou d'utilisateurs mentionnées au premier alinéa. A défaut, ils bénéficient de plein droit des disposi-tions du 1 ci-dessus. (…) "

101. Il résulte des dispositions du I de l’article R. 10-3 du même code que les listes fournies aux éditeurs d’annuaire comportent "les noms, prénoms et, le cas échéant, les raisons sociales ou dénominations sociales, adresses et numéros de téléphone des abonnés au service téléphonique au public et de ses utilisateurs "et que ces listes "font apparaître les oppositions que les abonnés ou utilisateurs ont formulées en application de l'article R. 10.

102. Aux termes du premier alinéa du II de l’article R. 10-4, "l'usage des listes obtenues par application du quatrième alinéa de l'article L. 34 à d'autres fins que la fourniture d'annuaires universels ou de services universels de renseignements téléphoniques est interdit. Sauf stipulations contractuelles contraires, toute vente des listes obtenues par application du quatrième alinéa de l'article L. 34 est interdite.

103. Enfin, dans son avis n° 2002-145 du 21 février 2002 sur le projet de décret relatif à l'annuaire universel et modifiant le code des postes et télécommunications, l’Autorité de régulation des télécommunications (devenue l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, ci-après "ARCEP ") a mis en évidence l’existence de "deux marchés, avec des régimes de cession des listes différents :

- d'une part, un marché réglementé qui est celui des cessions à des fins de services d'annuaires et de renseignements universels, à des conditions techniques et financières régies par le droit spécifique des télécommunications, les litiges relatifs aux conditions de cession relevant de la compétence de l'Autorité ;

- d'autre part, un marché libre qui est celui des cessions à d'autres fins, et notamment à des fins de prospection commerciale selon des conditions relevant du droit commun et du droit de la concurrence, les litiges relevant du juge de droit commun ou du Conseil de la concurrence.

De ces dispositions, il résulte également que les opérateurs de télécommunications ou leurs distributeurs demeurent en pratique la seule source pour le marché des données utilisées à des fins de prospection commerciale, sauf dispositions contractuelles contraires entre eux et les fournisseurs de services d'annuaires ou de renseignements universels.

A titre d'exemple, France Télécom, en tant qu'opérateur, pourra céder librement les données concernant ses propres abonnés mais, en tant que prestataire d'un service d'annuaires et de renseignements universels, elle ne pourra céder la liste complète des abonnés qu'elle a constituée dans ce cadre, sans avoir l'accord de tous les opérateurs qui lui ont apporté leur liste .

104. Le rapporteur considère que, pour transmettre les données issues de sa base […] à ses clients, afin que ceux-ci les utilisent pour réaliser des opérations de prospection commerciale par voie postale ou par téléphone, la société ne peut en l’espèce se prévaloir d’aucune base légale valable au regard des modalités de mise en œuvre de son traitement. S’il note qu’un traitement de transmission des données à des fins de prospection commerciale non électronique est susceptible d’être fondé sur les intérêts légitimes de la société, en application de l’article 6, paragraphe 1, f) du RGPD et tel que rappelé par le référentiel susvisé, il estime que dans la mesure où cette transmission est effectuée sans être portée à la connaissance des personnes concernées – et qu’elles ne sont donc pas mises en mesure d’exercer leurs droits dans ce contexte –, les intérêts et droits fondamentaux des personnes concernées ne sont pas suffisamment préservés et doivent prévaloir sur les intérêts poursuivis par la société.

105. En défense, la société estime au contraire que les conditions lui permettant de se prévaloir de la base légale de l’intérêt légitime sont réunies.

106. La société indique d’une part que la très grande majorité des données transmises à ses partenaires provient de la société [X4], laquelle est soumise au régime légal applicable aux opérateurs de télécommunications, notamment en termes d’information et de droit d’opposition. Elle rappelle à cet égard que les personnes concernées ont la possibilité, à tout moment, de s’inscrire sur les listes anti-prospection telles que les listes rouge, anti-prospection (anciennement liste [X4]), chamois ou robinson. Ainsi, elle relève que les données qui lui sont transmises par la société [X4], et qu’elle retransmet à ses clients annonceurs (après avoir procédé elle-même à de nouvelles vérifications par l’intermédiaire du service Bloctel), ne concernent jamais des personnes s’étant opposées à recevoir de la prospection commerciale.

107. D’autre part, la société précise qu’il peut également arriver que ses partenaires primo-collectants, tels que les sociétés [X1] ou [X2], lui transmettent des numéros de téléphone fixe et des adresses postales. Dans cette hypothèse, les données sont "fiabilisées "à partir des données transmises par la société [X4] et la société SOMS considère dès lors que les données transmises sont, in fine, celles provenant de la société [X4]. La société a également indiqué que, de manière accessoire, elle peut être amenée à transmettre à ses clients des numéros de téléphone mobiles collectés par ses partenaires, dans le but exclusif de réaliser des opérations de prospection par téléphone (et non par SMS). Dans ce cadre uniquement, elle peut être amenée à transmettre directement les données collectées par des sociétés telles que [X1] ou [X2]. La société considère que, comme pour les numéros de téléphone fixe et les adresses postales, les intérêts des personnes concernées sont préservés dans la mesure où celles-ci ont consenti à recevoir de la prospection commerciale, y compris par téléphone, et ont été informées à travers la politique de protection des données du primo-collectant, ainsi qu’à travers celle de la société SOMS.

108. La société rappelle que, même si elle n’est pas en lien direct avec les personnes concernées, elle met elle-même en œuvre certaines mesures permettant d’assurer la prise en compte des droits des personnes, telles que la déduplication des bases transmises par ses partenaires avec sa propre base de données repoussoir (permettant de s’assurer que les personnes s’étant précédemment opposées à recevoir de la prospection commerciale ne se retrouvent pas de nouveau inscrites dans la base […]), la réalisation de vérifications auprès du service Bloctel ou encore l’encadrement contractuel de l’utilisation des fichiers transmis.

109. La société relève par ailleurs que les articles 13 et 14 du RGPD imposent seulement au responsable de traitement de fournir une information sur les catégories de destinataires, mais n’exigent pas, en revanche, que les personnes soient informées de chaque transmission secondaire, ni que leur soit révélée l’identité précise de ces destinataires ultérieurs (a fortiori lorsque ceux-ci ne sont pas encore connus). Elle considère que la notion d’"attentes raisonnables "ne peut être utilisée pour étendre artificiellement le périmètre des obligations d’information prévues par le RGPD.

110. La formation restreinte relève que, dans le cadre de son offre "ListConnect , la société transmet des données issues de sa base […] à ses clients, afin que ceux-ci réalisent des opérations de prospection par voie postale ou par téléphone. La société a précisé que les données ainsi transmises (coordonnées postales et téléphoniques des personnes concernées) provenaient, dans leur grande majorité, de la société [X4], mais également, pour certaines, de fournisseurs de données tels que les sociétés [X1], […] ou encore […]. Sur les dix premiers mois de l’année 2022, la société a transféré plus d’1,2 million de numéros de téléphone fixe et plus de 125 000 adresses postales à ses clients.

111. Il apparait ainsi que les données des personnes concernées font l’objet de transmissions successives et sont traitées, in fine, par trois organismes différents : premièrement, les fournisseurs initiaux des données, à savoir les opérateurs téléphoniques (dont la société [X4]) ou d’autres partenaires de la société tels que [X1], qui les transmettent à la société SOMS (premier niveau de transmission) ; deuxièmement, la société SOMS, destinataire des données, qui les enregistre dans sa base, les met à jour le cas échéant (en vérifiant notamment que les personnes concernées ne sont pas inscrites sur les listes anti-prospection ou qu’elles ne se sont pas précédemment opposées à de telles opérations de prospection auprès de la société SOMS) et les transmet à son tour, en fonction du segment demandé, à ses clients annonceurs (deuxième niveau de transmission) ; troisièmement, les clients de la société SOMS, qui reçoivent les données et les utilisent pour réaliser des opérations de prospection commerciale par voie postale ou par téléphone. La société ayant indiqué fonder cette transmission sur son intérêt légitime, en application de l’article 6, paragraphe 1, f) du RGPD, il convient de vérifier si les conditions lui permettant de se prévaloir d’une telle base légale sont réunies.

112. S’agissant des deux premières conditions énoncées par la CJUE, la formation restreinte considère que l’intérêt poursuivi peut être qualifié de légitime, en ce qu’il présente une nature commerciale et qu’il est consubstantiel du modèle économique de la société, et que les données collectées aux fins de ces intérêts peuvent apparaitre nécessaires. Il est par ailleurs admis depuis longtemps que des bases de données de prospects puissent être transmises entre acteurs économiques, sur la base légale du consentement ou de l’intérêt légitime, si les règles relatives au type de prospection en cause et à la protection des données sont respectées, de façon à ce que les personnes gardent la maîtrise de leurs données personnelles.

113. S’agissant de la troisième condition, il convient d’examiner si, en l’espèce, les intérêts ou les libertés et les droits fondamentaux des personnes concernées doivent prévaloir sur l’intérêt légi-time de la société. La formation restreinte rappelle que, pour apprécier cette condition, il y a no-tamment lieu d’examiner si ces personnes pouvaient raisonnablement s’attendre à un tel traite-ment.

114. Pour l’examen de cette troisième condition, la formation restreinte estime que, conformément à ce qu’a indiqué la société SOLOCAL, il convient de faire la distinction entre les données provenant de la société [X4] et les données provenant des autres primo-collectants.

115. Premièrement, s’agissant des données provenant de la société [X4], la formation restreinte considère que le statut d’opérateur téléphonique et d’éditeur d’annuaire de cette dernière et l’encadrement juridique dont les listes d’annuaire font l’objet doivent être pris en considération.

116. La formation restreinte relève tout d’abord qu’il résulte des dispositions citées ci-dessus que les données transmises par [X4] - lesquelles comprennent, associés à des identités d’abonnés, des numéros de téléphone et des adresses postales - sont également, par défaut, mises à disposition de tout éditeur d’annuaire ou service de renseignement et publiées dans les annuaires. Ainsi, les personnes physiques dont les données sont traitées ne peuvent que s’attendre à ce que ces données soient utilisées par des tiers, dans certaines limites.

117. Ensuite, la formation restreinte relève qu’en l’espèce, le contrat conclu entre la société [X4] et la société SOMS prévoit que " [X4] met à la disposition du bénéficiaire [la société PAGES JAUNES MARKETING SERVICES, devenue la société SOMS] le droit […] d’utiliser les Données Annuaire afin de lui permettre de rendre à ses "Clients "son "Service "..

118. La formation restreinte considère que ces seuls éléments ne lui permettent pas de déterminer si les données transmises par la société [X4] à la société SOMS sont exclusivement celles concernant ses propres abonnés – auquel cas la société [X4] peut librement transmettre ces données à ses partenaires commerciaux –, ou s’il s’agit des données dont elle dispose en sa qualité d’annuairiste (et qui ont donc été collectées par ses soins mais également par d’autres opérateurs). Il y a lieu de rappeler que dans cette seconde hypothèse, si l’article R.10-4, II du CPCE interdit par principe toute vente des listes obtenues en application de l’article L. 34 à d’autres fins que la fourniture d’annuaires ou de services de renseignements, il prévoit également la possibilité de déroger à cette interdiction par le biais de stipulations contractuelles. La société [X4] ne pourrait alors transmettre ces listes à la société SOMS que sous réserve d’avoir obtenu l’accord de tous les opérateurs ayant procédé à la collecte initiale des données. La formation restreinte estime que dans la mesure où la présente procédure n’est pas dirigée à l’encontre de la société [X4], et en l’absence d’éléments permettant de considérer que cette dernière ne respecterait pas les dispositions du CPCE, il doit être considéré que les conditions lui permettant de transmettre les données concernées à la société SOMS, de manière licite, étaient réunies.

119. La formation restreinte relève qu’en tout état de cause, les personnes concernées ont la possibilité de s’opposer ab initio à la publication de leurs données dans les annuaires ou à leur utilisation à des fins de prospection auprès de leur opérateur, en application de l’article L. 34 du CPCE (par l’intermédiaire de leur inscription sur les listes "rouge "ou "anti-prospection "). En effet, ces dispositions prévoient que les personnes concernées peuvent "interdire que les informations nominatives [les] concernant soient utilisées dans des opérations commerciales , opérations que l’article R. 10 du code des postes et communications électroniques a précisé pouvoir être "des opérations de prospection directe soit par voie postale, soit par voie de communications électroniques, sans préjudice des dispositions de l'article L. 34-5 . A cet égard, la formation restreinte relève que le contrat conclu entre la société [X4] et la société SOMS précise que la base de données transmise est expurgée des "listes Rouge, [X4] (devenue liste anti-prospection) et Chamois .

120. Il en résulte que, s’agissant des personnes n’ayant pas fait opposition à la publication ou, spécifiquement, à la prospection, les coordonnées postales ou téléphoniques des annuaires peuvent être utilisées pour de la prospection postale ou de la prospection téléphonique qui ne relève pas de l’article L. 34-5 du même code (SMS et automates d’appel en l’espèce). Cette utilisation doit se faire dans le respect du RGPD mais correspond aux attentes raisonnables des personnes n’ayant pas fait opposition.

121. Dès lors, pour ces trois motifs, la formation restreinte estime que l’utilisation des coordonnées publiées dans les annuaires par des sociétés réalisant de opérations de prospection entre dans les attentes raisonnables des personnes concernées, lesquelles ont la possibilité de s’y opposer, et que la société [X4] pouvait ainsi, sur le fondement de son intérêt légitime au sens de l’article 6 du RGPD, communiquer à ses partenaires commerciaux, contre rémunération et à la condition que les dispositions du CPCE soient respectées, une liste structurée des coordonnées des abonnés ne s’étant pas opposés à être démarchés en application de l’article L. 34 du CPCE, à des fins de prospection postale et téléphonique (hors SMS et automates d’appel). De même, ces partenaires peuvent se prévaloir de leur intérêt légitime, sous réserve d’un examen particulier de chaque situation, pour retransmettre les données à une autre société de prospection.

122. Il résulte de l’ensemble de ce qui précède que le grief tenant à ce que la transmission par la société SOMS de données provenant de la société [X4] à ses clients, en vue d’un usage de prospection postale et téléphoniques (hors SMS et automates d’appel) serait dépourvue de base légale n’est pas fondé.

123. La formation restreinte rappelle néanmoins que les transmissions, qui constituent un traitement de données à caractère personnel au sens de l’article 4 du RGPD, doivent respecter l’ensemble des dispositions du RGPD, en particulier en matière d’information et de droit d’opposition. S’agissant du droit d’opposition, les personnes concernées disposent de la possibilité de s’opposer ab initio à la publication ou à l’utilisation de leurs données à des fins de prospection auprès de leur opérateur (par l’intermédiaire de leur inscription sur les listes "rouge "ou "anti-prospection "), opposition qui fait alors obstacle à ce que l’opérateur téléphonique ou l’éditeur d’annuaire, transmettent les données à des partenaires commerciaux à des fins de prospection ; elles peuvent également, de manière plus générale et à tout moment, faire part de leur souhait de ne pas être démarchées à travers leur inscription à des services tels que Bloctel (service public destiné à assurer la bonne diffusion des abonnés s’opposant à la prospection par téléphone) ou la liste Robinson (service mis en place par la FEVAD pour la bonne prise en compte des oppositions à la prospection postale). Ces dispositifs sont mis en place sans préjudice d’autres formes d’opposition sur le fondement du RGPD.

124. S’agissant de l’information, il est nécessaire d’informer suffisamment les personnes concernées sur les catégories de destinataires des données. La formation restreinte estime en particulier que si, comme en l’espèce, les données font l’objet de transmissions successives, à des destinataires de premier rang (tels la société SOMS) puis de second rang (tels les clients de la société SOMS), les personnes concernées doivent être informées de l’existence de ces destinataires de "second rang , soit par l’opérateur téléphonique, soit par les destinataires.

125. La formation restreinte relève que le rapporteur fondait son argumentation sur un défaut d’information des personnes concernées. Les éléments du dossier ne permettent, en effet, pas d’établir que l’information aurait été ou non correctement effectuée. Cependant, le grief portant sur le défaut de base légale, il y a lieu de le rejeter, sans que ce rejet ne puisse être compris comme validant les conditions d’information des personnes sur ces transmissions successives de leurs données, que la formation restreinte invite le mis en cause à réexaminer.

126. Deuxièmement, s’agissant des numéros de téléphone mobile collectés par des sociétés telles que [X1] ou [X2] par l’intermédiaire de jeux-concours (et transmis par la société SOMS à ses clients annonceurs afin que ces derniers les utilisent exclusivement pour de la prospection par téléphone, et non par SMS), la formation restreinte rappelle qu’ainsi qu’il a été démontré supra, le consentement recueilli par l’intermédiaire des formulaires mis en œuvre par ces primo-collectants ne peut être considéré comme valable.

127. Elle relève par ailleurs que, si les personnes étaient bien informées par le biais de ces formulaires de la transmission de leurs données à la société SOMS, aucune information ne leur était en revanche délivrée quant à une éventuelle retransmission desdites données par la société SOMS à d’autres organismes, à laquelle elles ne pouvaient donc raisonnablement s’attendre. La formation restreinte ne conteste pas que l’information à fournir puisse se limiter à des catégories de destinataires lorsqu’il n’est pas possible de faire autrement mais elle estime néanmoins indispensable que l’information fournie permette aux personnes d’apprécier les conséquences de leur choix quant à cette transmission, en les informant de l’étendue de celle-ci, ce qui n’apparait pas être le cas en l’espèce. La formation restreinte estime ainsi que l’intérêt légitime de la société SOMS n’est pas mobilisable.

128. Dès lors, la transmission de ces données aux clients de la société SOMS ne peut s’appuyer ni sur un consentement des personnes, ni sur l’intérêt légitime de SOMS. Elle est effectivement dépourvue de base légale.

129. En conclusion, la formation restreinte estime qu’un manquement à l’article 6 du RGPD est constitué s’agissant exclusivement des données collectées par l’intermédiaire de jeux-concours en ligne et que la société SOMS transmet à ses clients annonceurs afin que ces derniers réalisent des opérations de prospection par voie postale ou par téléphone (hors SMS et automates d’appel). La formation restreinte relève le caractère résiduel des données concernées (78 172 numéros de téléphone mobile ayant été transmis en 2022, sur un volume total de 840 293 numéros de téléphone fixe et adresses postales).

III. SUR LES MESURES CORRECTRICES ET LEUR PUBLICITÉ

130. Aux termes de l’article 20-IV de la loi n° 78-17 du 6 janvier 1978 modifiée, "lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […]

2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans les cas où le traitement est mis en œuvre par l’Etat, d’une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard à compter de la date fixée par la formation restreinte ;

7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 .

131. L’article 83 du RGPD prévoit en outre que "chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives , avant de préciser les éléments devant être pris en compte pour décider s'il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.

132. Enfin, l’article 22, alinéa 2 de la loi Informatique et Libertés dispose que "la formation restreinte peut rendre publique les mesures qu’elle prend .

A. Sur le prononcé d’une amende administrative et son montant

133. Le rapporteur propose à la formation restreinte de prononcer à l’encontre de la société une amende administrative au regard des manquements constitués aux articles L. 34-5 du CPCE et 6 et 7 du RGPD.

134. En défense, la société demande à la formation restreinte de ne pas prononcer d’amende ou, à défaut, de réduire drastiquement le montant proposé par le rapporteur.

135. Elle estime en effet qu’à considérer les manquements établis, ces derniers ne présentent aucun caractère de gravité. Elle considère que le rapporteur n’a pas pris en considération l’ensemble des critères prévus à l’article 83, paragraphe 2 du RGPD, et relève notamment que les traitements visés ne revêtent aucune sensibilité particulière, qu’ils sont mis en œuvre uniquement à l’échelle nationale et que les personnes concernées n’ont subi aucun dommage. Elle considère n’avoir commis aucune négligence et s’être montrée suffisamment diligente, mettant en lumière les mesures prises avant et après le contrôle ainsi que sa pleine coopération avec les services de la CNIL. Elle souligne n’avoir jamais été condamnée pour manquement à ses obligations relatives au consentement ou à la transmission des données et indique avoir collaboré pleinement avec la CNIL.

136. La société estime par ailleurs que les difficultés économiques rencontrées par le groupe SOLOCAL doivent être prises en compte dans la détermination du montant d’une éventuelle amende. La société relève également que ses activités de marketing direct ne représentent que 1 689 725 euros en 2023 soit 2,21% de son chiffre d’affaires (contre 97,79% pour son activité de création de sites web), et que seule une partie de ce chiffre est concernée par les manquements. Elle demande ainsi à la formation restreinte de limiter la base de calcul de l’amende à la partie du chiffre d’affaires générée par les activités concernées par les manquements.

137. En outre, la société estime que le montant de l’amende proposée par le rapporteur apparait disproportionné au regard des lignes directrices du CEPD sur le calcul des amendes administratives et des autres sanctions prononcées par la formation restreinte.

138. A titre liminaire, la formation restreinte rappelle que l’exigence de motivation d’une sanction administrative n’impose pas à la formation restreinte de se prononcer sur l’ensemble des critères prévus à l’article 83 du RGPD, et qu’elle n’implique pas non plus que soient indiqués les éléments chiffrés relatifs au mode de détermination du montant de la sanction proposée ou prononcée (CE, 10e/9e ch., 19 juin 2020, n° 430810 ; CE, 10e/9e ch., 14 mai 2024, n° 472221). En outre, si les lignes directrices adoptées par le Comité européen de la protection des données ont pour ambition de fixer des montants de départ harmonisés et des orientations communes sur la base desquelles les amendes administratives peuvent être calculées, les autorités de contrôle "ne sont aucunement tenues d’en observer toutes les étapes si ces dernières ne trouvent pas application dans un cas donné, ni d’exposer les motivations ayant trait aux aspects des lignes directrices qui sont sans objet. Cependant, le raisonnement devrait inclure au minimum les facteurs qui ont permis de déterminer le degré de gravité, le chiffre d’affaires appliqué ainsi que les facteurs aggravants ou atténuants qui ont été pris en considération .

139. Ceci étant rappelé, la formation restreinte considère qu’il convient, en l’espèce, d’examiner les critères pertinents de l’article 83 du RGPD pour décider s’il y a lieu d’imposer une amende administrative à la société et, le cas échéant, pour déterminer son montant.

1) Sur le prononcé de l’amende

140. Premièrement, la formation restreinte considère qu’il y a lieu de tenir compte, en application de l’article 83, paragraphe 2, a) du RGPD, de la nature, de la gravité et de la durée des violations, compte tenu de la nature, de la portée ou de la finalité des traitements concernés, ainsi que du nombre de personnes concernées affectées et du niveau de dommage qu'elles ont subi.

141. Elle relève qu’en l’espèce, deux des manquements constatés entrent dans les prévisions de l’article 83, paragraphe 5 du RGPD et sont susceptibles d’être sanctionnés par l’amende la plus élevée prévue par le législateur européen, soit 20 millions d’euros ou, dans le cas d'une entreprise, jusqu'à 4 % de son chiffre d'affaires. A titre d’éclairage, les lignes directrices sur l’application et la fixation des amendes administratives adoptées par le groupe de travail "article 29 "le 3 octobre 2017 soulignent qu’en "fixant deux montants maximaux différents pour l’amende administrative (10 et 20 millions d’euros), le règlement indique déjà que la violation de certaines dispositions du règlement peut être plus grave que celle d’autres dispositions .

142. La formation restreinte souligne que ces manquements concernent les principes de base d’un traitement et ont trait notamment à sa licéité, certaines des opérations de prospection commerciale réalisées intervenant sans base légale valable (la société ne disposant pas du consentement des personnes concernées pour les démarcher par voie électronique et ne pouvant se fonder sur la base légale de l’intérêt légitime pour transmettre à ses clients certaines données de prospects à contacter par téléphone). La formation restreinte insiste en outre sur le nombre particulièrement élevé de personnes dont la société traite les données, sa base […] contenant plus de 75 millions d’entrées, pour un total dédoublonné de 35 millions de personnes uniques, soit environ la moitié de la population française.

143. S’agissant plus particulièrement du manquement à l’article L. 34-5 du CPCE, la formation restreinte entend souligner sa particulière gravité dans la mesure où il a été constaté qu’aucun des formulaires transmis par la société ne permettait de recueillir un consentement valide des personnes concernées. Cette proportion atteste du caractère systémique et non isolé du manquement, étant précisé que les formulaires examinés proviennent de deux des trois plus gros fournisseurs de données de la société. En outre, la formation restreinte entend insister sur le nombre de personnes concernées par le manquement, la société ayant indiqué avoir démarché près de 5,2 millions de personnes par voie électronique au cours de l’année 2022.

144. S’agissant ensuite du manquement à l’article 7 du RGPD, la formation restreinte relève que la société n’a pas été en mesure de présenter la preuve du consentement recueilli, pour son compte, par l’un de ses principaux fournisseurs de données. Un tel manquement concerne, là encore, un nombre particulièrement important de personnes, la société ayant indiqué avoir démarché, en 2022, plus de 1,2 million de personnes (SMS et courriers électroniques confondus) dont les données lui ont été transmises par ce fournisseur.

145. Enfin, s’agissant du manquement à l’article 6 du RGPD, la formation restreinte relève que la société a transmis à ses clients, en 2022, les numéros de téléphone mobile de 78 172 personnes, personnes sans que celles-ci puissent raisonnablement s’y attendre, ce traitement ayant ainsi eu lieu sans que la société ne puisse légitimement se prévaloir de la base légale de l’intérêt légitime pour ce faire.

146. Deuxièmement, la formation restreinte estime qu’il convient de tenir compte du critère prévu à l’article 83, paragraphe 2, b) du RGPD, relatif au fait que la violation ait été commise délibérément ou par négligence.

147. Ainsi qu’il a déjà été rappelé, la formation restreinte souligne que les règles relatives à la prospection commerciale sont définies depuis de nombreuses années et que la société était parfaitement consciente que pour réaliser ses opérations de prospection par voie électronique, elle devait disposer d’un consentement valable. La formation restreinte relève à cet égard que la société a mis en place, dès le début de l’année 2022, des procédures visant à réaliser des audits de ses fournisseurs et à vérifier la validité du consentement recueilli. Malgré ces vérifications, la société n’a pas pris les mesures propres à assurer sa mise en conformité. Au contraire, la société a continué à exploiter les données transmises et ce n’est qu’après plusieurs mois (17 mois s’agissant du manquement à l’article 7 du RGPD) qu’elle a pris des mesures pour faire cesser les manquements constatés. La formation restreinte considère qu’en s’affranchissant du respect de ces règles, la société s’est montrée, à tout le moins, fortement négligente.

148. Troisièmement, la formation restreinte considère que le critère relatif aux mesures prises par le responsable de traitement pour atténuer le dommage subi par les personnes concernées doit également être pris en compte, en application de l’article 83, paragraphe 2, c) du RGPD.

149. Il apparait en effet que, depuis les contrôles réalisés, la société a pris des mesures pour renforcer les vérifications effectuées sur les formulaires de collecte mis en œuvre par ses partenaires primo-collectants. Elle a également cessé d’exploiter les données transmises par la société [X3]. La formation restreinte relève néanmoins que cette dernière mesure n’est intervenue que tardivement, près de dix-huit mois après avoir constaté que son partenaire n’était pas en mesure de lui communiquer les éléments nécessaires au respect des dispositions de l’article 7 du RGPD.

150. Quatrièmement, la formation restreinte entend tenir compte de certaines autres circonstances applicable aux faits de l’espèce, en application de l’article 83, paragraphe 2, k) du RGPD.

151. La formation restreinte considère notamment que la société a tiré des violations commises un avantage financier certain, dans la mesure où elle s’est vu rémunérer par ses clients pour la fourniture des données en cause.

152. Par ailleurs, de manière plus générale, la formation restreinte considère que, même si la société concentre aujourd’hui son activité sur la conception de sites web, au point que l’activité en cause représente moins de 3% de son chiffre d’affaire, elle reste un acteur important du marché, qu’elle pratique depuis longtemps dans la mesure où elle a été créée pour assurer les activités de marketing du groupe PAGES JAUNES, et que toute la partie de cette activité repose sur l’achat, l’utilisation et la transmission de données à caractère personnel. Elle considère que, dans ces conditions, la société était parfaitement au fait des règles régissant la prospection commerciale et qu’elle se devait d’être particulièrement vigilante pour assurer la conformité de ses pratiques à la règlementation en matière de protection des données à caractère personnel.

153. Au regard de l’ensemble de ces éléments, la formation restreinte considère que le prononcé d’une amende apparait justifié s’agissant des manquements aux articles L. 34-5 du CPCE et 7 du RGPD.

154. La formation restreinte constate la part résiduelle des données concernées par le manquement à l’article 6 du RGPD (les données transmises sans base légale représentant environ 8,5% de l’activité "ListConnect "en 2022, cette activité représentant elle-même une part très marginale de l’activité globale de la société).

2) Sur le montant de l’amende

155. La formation restreinte relève d’abord qu’en application de l’article 83 du RGPD, une amende administrative pouvant atteindre 20 millions d'euros ou, s'agissant d'une entreprise, 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu, est susceptible d’être prononcée.

156. La formation restreinte rappelle ensuite que les amendes administratives doivent être à la fois dissuasives et proportionnées.

157. En premier lieu, s’agissant du calcul de l’assiette de l’amende – que la société entend voir limiter à la seule part du chiffre d’affaires tiré des manquements, la formation restreinte relève qu’une telle limitation n’est prévue par aucun texte et que la gravité des manquements relevés n’est pas nécessairement liée aux revenus qu’ils ont générés. Ainsi, afin d’assurer le caractère dissuasif et proportionné de la sanction prononcée, la formation restreinte considère qu’il y a lieu de s’appuyer sur le chiffre d’affaires total de la société, comme le prévoient les dispositions de l’article 83 du RGPD.

158. En second lieu, la formation restreinte observe que le chiffre d’affaires de la société pour l’année 2023 s’élève à 76,3 millions d’euros, pour un résultat net de 16,3 millions d’euros. Il convient de relever que, alors que le reste du groupe SOLOCAL n’exerce pas d’influence sur les activités opérationnelles de la société, ces chiffres, qui concernent spécifiquement la société SOLOCAL MARKETING SERVICES, seule concernée par la procédure de sanction, n’ont subi aucune baisse significative au cours des trois dernières années.

159. Dès lors, au regard de la responsabilité de la société, de ses capacités financières et des critères pertinents de l’article 83 du RGPD, la formation restreinte considère qu’une amende administrative d’un montant de neuf cent mille (900 000) euros apparait dissuasive et proportionnée pour sanctionner les manquements aux articles L. 34-5 du CPCE et 7 du RGPD.

B. Sur le prononcé d’injonctions sous astreinte

160. Le rapporteur estime que le prononcé d’injonctions sous astreinte est nécessaire afin d’assurer la mise en conformité de la société.

161. La société considère qu’une telle mesure apparait injustifiée et que le montant de l’astreinte proposé par le rapporteur est disproportionné.

162. S’agissant du manquement aux dispositions de l’article L. 34-5 du CPCE, la société rappelle que, si elle peut continuer à procéder à des vérifications régulières – voire renforcer ses procédures de contrôle -, elle n’est pas en mesure de maîtriser les données qui lui sont transmises par les primo-collectants.

163. S’agissant du manquement aux dispositions de l’article 7, paragraphe 1 du RGPD, la société considère qu’elle n’a pas lieu d’être dans la mesure où les relations contractuelles avec la société [X3] sont en cours de résiliation.

164. S’agissant du manquement aux dispositions de l’article 6 du RGPD, la société précise qu’elle cessera cette activité au plus tard au 31 décembre 2024, en raison de la fin de son contrat avec la société [X4]. Elle estime dès lors qu’une telle injonction apparait sans objet.

165. Par ailleurs, la société considère qu’en tout état de cause, si des injonctions devaient être prononcées, un délai raisonnable et suffisant devrait lui être accordé, au regard des mesures techniques et organisationnelles à déployer.

166. La formation restreinte relève, s’agissant du manquement à l’article L. 34-5 du CPCE, qu’il convient de prononcer à l’encontre de la société une injonction de cesser de procéder à des opérations de prospection commerciale par voie électronique en l’absence d’un consentement valable. La société devra, dans ce cadre, ne plus utiliser les données collectées à partir de formulaires ne permettant pas de recueillir un tel consentement ou, à défaut, recueillir elle-même ce consentement.

167. S’agissant du manquement à l’article 7 du RGPD, la société a indiqué ne plus utiliser, depuis le 18 octobre 2024, les données transmises par la société [X3]. Elle a précisé que le contrat avec ce partenaire serait définitivement rompu à compter du 9 janvier 2025. Dans ces conditions, et dans la mesure où le manquement relevé ne concernait que les données recueillies par la société [X3], la formation restreinte considère qu’il n’y a pas lieu de prononcer d’injonction.

168. S’agissant du manquement à l’article 6 du RGPD, la formation restreinte observe que selon les éléments communiqués par la société, cette dernière a cessé son activité "ListConnect , consistant à transmettre des données à ses clients afin que ceux-ci réalisent eux-mêmes des opérations de prospection commerciale par voie postale ou téléphonique. Il en résulte que le prononcé d’une injonction apparait sans objet.

169. Par ailleurs, pour garantir le respect de l’injonction prononcée s’agissant du manquement à l’article L. 34-5 du CPCE, la formation restreinte considère qu’au regard du chiffre d’affaires de la société et des moyens financiers, humains et techniques dont elle dispose pour remédier aux manquements constatés, il convient de prononcer une astreinte journalière d’un montant de dix mille (10 000) euros par jour de retard, liquidable à l’issue d’un délai de neuf (9) mois à compter de la notification de la décision.

C. Sur la publicité de la sanction

170. La société estime que la publication de la décision n’apparait pas justifiée, compte tenu notamment de la faible gravité des manquements relevés. Elle relève que les personnes concernées n’ont subi aucun préjudice et n’ont déposé aucune plainte. Elle insiste sur l’impact qu’elle pourrait avoir sur son activité dans la mesure où elle entraînerait une perte de confiance de ses clients, mais également sur le groupe dans son ensemble.

171. La formation restreinte considère au contraire qu’une telle mesure s’impose au regard de la gravité des manquements en cause ainsi que du nombre de personnes concernées, qui seront ainsi informées. Elle rappelle que l’absence de plainte déposée auprès de la CNIL ne signifie pas que les personnes concernées n’ont subi aucun préjudice, ce dernier pouvant consister, en l’espèce, à ressentir une certaine gêne ou irritation à la réception de messages de prospection commerciale sans y avoir consenti, ou à voir ses données transmises à des tiers sans pouvoir raisonnablement s’y attendre.

172. Elle estime en outre que cette mesure apparait proportionnée dès lors que la décision n’identifiera plus nommément la société à l’issue d’un délai de deux ans à compter de sa publication.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

• prononcer une amende administrative à l’encontre de la société SOLOCAL MARKETING SERVICES d’un montant de neuf cent mille (900 000) euros pour manquements aux articles L. 34-5 du code des postes et des communications électroniques et 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;

• prononcer à l’encontre de la société SOLOCAL MARKETING SERVICES une injonction de cesser de procéder à des opérations de prospection commerciale par voie électronique en l’absence d’un consentement valable ;

• assortir l’injonction d’une astreinte de dix mille (10 000) euros par jour de retard à l’issue d’un délai de neuf (9) mois suivant la notification de la présente délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai ;

• rendre publique, sur le site web de la CNIL et sur le site web de Légifrance, sa délibération, qui ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication.

Le président

Philippe-Pierre CABOURDIN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.