Your cart is currently empty!
Collecte de données personnelles : l’apparence trompeuse du bouton
Collecte de données, collecte de données personnelles, Commission de sanction CNIL, modération sanction CNIL, sanction CNIL
Attention, voici une pratique de formulaire dangereuse sous peine de sanction CNIL :
En matière de collecte de données personnelles, la mise en valeur des boutons entraînant la transmission de ses données à des fins de prospection commerciale (par leur taille, leur couleur, leur intitulé et leur emplacement), comparée aux liens hypertextes permettant de participer au jeu sans accepter cette transmission (d’une taille nettement inférieure et se confondant avec le corps du texte) oriente fortement les utilisateurs à accepter.
Il appartient à la société, en tant qu’utilisatrice des données recueillies, de s’assurer que les personnes concernées ont exprimé un consentement valide.
Dans cette affaire (310 000 euros d’amende contre la société FORIOU), la CNIL a relevé que, même si la société a imposé certaines exigences contractuelles à ses fournisseurs de données en amont, aucun contrôle effectif de ces exigences n’était opéré en aval. La CNIL a, à cet égard, constaté une proportion importante de fichiers de prospects non conformes.
A noter que dans une affaire similaire, la CNIL a sanctionné à l’encontre de la société TAGADAMEDIA une amende de 75 000 euros rendue publique. Elle a également enjoint la société de mettre en œuvre un formulaire de collecte conforme aux exigences du RGPD dans un délai d’un mois, sous peine de 1 000 euros par jour de retard.
Délibération de la formation restreinte n°SAN-2024-003 du 31 janvier 2024 concernant la société FORIOU
La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Alexandre LINDEN, président, M. Philippe-Pierre CABOURDIN, vice-président, Mme Isabelle LATOURNARIE-WILLEMS et MM. Alain DRU et Bertrand du MARAIS, membres ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;
Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;
Vu la décision n° 2021-191C du 29 juin 2021 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par la société SFK GROUP, par ses filiales ou pour son compte, en tout lieu susceptible d’être concerné par leur mise en œuvre ;
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 4 avril 2022 ;
Vu le rapport de Mme Valérie PEUGEOT, commissaire rapporteure, notifié à la société FORIOU le 23 août 2023 ;
Vu les observations écrites versées par la société FORIOU le 29 septembre 2023 ;
Vu la réponse de la rapporteure à ces observations, notifiée à la société le 20 octobre 2023 ;
Vu la clôture de l’instruction, notifiée à la société le 22 novembre 2023 ;
Vu les observations orales formulées lors de la séance de la formation restreinte du 7 décembre 2023 ;
Vu la délibération avant-dire droit de la formation restreinte n°SAN-2023-020 du 14 décembre 2023 ;
Vu les observations écrites versées par la rapporteure le 21 décembre 2023 ;
Vu les observations écrites versées par la société le 28 décembre 2023 ;
Vu les observations orales formulées lors de la séance de la formation restreinte du 18 janvier 2024 ;
Vu la note en délibéré transmise par la société le 29 janvier 2024 ;
Vu les autres pièces du dossier ;
Étaient présents, lors de la séance de la formation restreinte :
– Mme Valérie PEUGEOT, commissaire, entendue en son rapport ;
En qualité de représentants de la société FORIOU :
– […]
La société FORIOU ayant eu la parole en dernier ;
La formation restreinte a adopté la décision suivante :
I. Faits et procédure
1. La société FORIOU (ci-après ” la société “), dont le siège social est situé 23/25 avenue Kléber à Paris (16ème), est une filiale de la société SFK GROUP. Elle a pour activité la commercialisation et la gestion de programmes et de cartes de fidélité. Elle n’emploie aucun salarié mais s’attache, pour la conduite de ses activités, les services du personnel d’autres sociétés du groupe. La société a indiqué recenser […] clients au 5 octobre 2021. Son chiffre d’affaires pour l’année 2021 s’est élevé à […] euros, pour un résultat net déficitaire […] euros.
2. Afin de promouvoir ses programmes, la société procédait, jusqu’en 2021, à des campagnes de démarchage par téléphone à partir de fichiers de prospects achetés auprès de deux partenaires principaux, les sociétés […] et […].
3. Le 23 septembre 2021, une délégation de la Commission nationale de l’informatique et des libertés (ci-après ” la Commission ” ou ” la CNIL “) a procédé à un contrôle dans les locaux de la société, afin de vérifier le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après ” la loi Informatique et Libertés ” ou ” loi du 6 janvier 1978 modifiée “) et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (ci-après le ” Règlement ” ou ” RGPD “).
4. Le procès-verbal n° 2021-191/1, dressé le jour du contrôle, a été notifié à la société le 30 septembre 2021.
5. La société a communiqué des pièces complémentaires les 5 octobre et 22 novembre 2021.
6. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 4 avril 2022, désigné Mme Valérie PEUGEOT en qualité de rapporteure sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.
7. Le 8 juin 2023, la rapporteure a adressé une demande complémentaire à laquelle la société a répondu le 23 juin 2023.
8. Le 23 août 2023, à l’issue de son instruction, la rapporteure a fait notifier à la société un rapport détaillant les manquements aux articles 6 et 32 du RGPD qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de prononcer une amende administrative à l’encontre de la société. Il proposait également que cette décision soit rendue publique.
9. Le 29 septembre 2023, la société a produit des observations en réponse au rapport de sanction.
10. La rapporteure a répondu aux observations de la société le 20 octobre 2023.
11. Le 22 novembre 2023, la rapporteure a, en application du III de l’article 40 du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi Informatique et Libertés, informé la société et le président de la formation restreinte que l’instruction était close.
12. Le même jour, la société a été informée que le dossier était inscrit à l’ordre du jour de la formation restreinte du 7 décembre 2023.
13. La formation restreinte a tenu une séance le 7 décembre 2023.
14. Par délibération avant-dire droit n°SAN-2023-020 du 14 décembre 2023, envoyée par courrier électronique à la société le même jour et notifiée par voie postale le 20 décembre 2023, la formation restreinte a demandé à la société FORIOU et à la rapporteure la production d’une pièce complémentaire, évoquée par la société lors de la séance du 7 décembre 2023.
15. Le 21 décembre 2023, la rapporteure a communiqué à la formation restreinte une pièce intitulée ” leads_701_23-09-2021 […] “.
16. Le 28 décembre 2023, la société a communiqué à la formation restreinte une pièce également intitulée ” leads_701_23-09-2021 […] “.
17. En application de l’article 41 du décret n°2019-536 du 29 mai 2019, une convocation à la séance de la formation restreinte du 18 janvier 2024 a été notifiée à la société FORIOU le 20 décembre 2023.
18. La rapporteure et la société ont présenté des observations orales lors de la séance de la formation restreinte.
II. Motifs de la décision
A. Sur le manquement à l’obligation de traiter les données de manière licite
19. Aux termes de l’article 6 du RGPD, ” 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant “.
20. La formation restreinte rappelle que les actions de prospection commerciale par appels téléphoniques peuvent être réalisées sur la base légale de l’intérêt légitime de la société (f) ou sur celle du consentement (a).
21. En l’espèce, la société a indiqué réaliser des opérations de prospection commerciale par téléphone à partir de fichiers de prospects achetés auprès de plusieurs fournisseurs de données, ces derniers procédant à la collecte desdites données par l’intermédiaire de formulaires de participation à des jeux-concours en ligne.
22. La formation restreinte relève que la société n’a pas été en mesure, ni dans ses observations écrites, ni dans ses observations orales lors de la séance, d’indiquer précisément sur quelle base légale elle se fondait pour procéder à de tels traitements. Dans ces conditions, les deux bases légales susceptibles d’être applicables en l’espèce seront examinées successivement.
1) Sur l’intérêt légitime
23. La rapporteure soutient que, pour fonder ses opérations de prospection commerciale par téléphone, la société ne peut se prévaloir de la base légale de l’intérêt légitime visée au point f) de l’article 6, paragraphe 1 du RGPD. Elle relève ainsi, s’agissant des formulaires de participation à des jeux-concours en ligne par l’intermédiaire desquels la société […] collecte les données des prospects qu’elle revend à la société FORIOU, que cette dernière n’est pas systématiquement mentionnée dans la liste des partenaires susceptibles de démarcher les personnes concernées, et qu’ainsi ces dernières ne peuvent légitimement s’attendre à recevoir des offres commerciales de cette société.
24. En défense, la société se prévaut des engagements contractuels de la société […], qui prévoient que la société FORIOU doit être mentionnée parmi les destinataires des données collectées. Elle considère qu’elle ne saurait être tenue pour responsable des manquements de son prestataire, et produit un exemple de formulaire mis en œuvre par la société […] contenant un lien URL renvoyant à une liste des partenaires, parmi lesquels figure la société SFAM (un lien vers la politique de confidentialité de cette dernière permettant d’accéder à la liste complète des sociétés faisant partie du même groupe que SFAM, dont la société FORIOU). Enfin, la société affirme mettre en œuvre des contrôles réguliers relatifs à la conformité des fichiers livrés.
25. La formation restreinte rappelle que, si la prospection commerciale par voie non électronique peut être réalisée sur la base de l’intérêt légitime de la société, cette dernière doit s’assurer que le traitement ne heurte pas les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables.
26. A cet égard, le considérant 47 du RGPD dispose que : ” […] l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée. Les intérêts et les droits fondamentaux de la personne pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur […]. “.
27. La formation restreinte relève tout d’abord qu’il résulte de ces dispositions qu’en sa qualité de responsable de traitement, la société FORIOU est tenue de vérifier elle-même que les conditions lui permettant de réaliser des opérations de prospection commerciale sont réunies. A cet égard, la responsabilité d’un organisme a pu être retenue en considérant qu’un simple engagement contractuel de son courtier en données à respecter le RGPD et les règles applicables en matière de prospection commerciale ne constituait pas une mesure suffisante (CNIL, FR, 24 novembre 2022, Sanction, n° D-SAN-2022-021, publié).
28. Ainsi, s’agissant des engagements contractuels de la société […] dont se prévaut la société FORIOU, la formation restreinte considère que les obligations contractuelles pouvant être imposées aux fournisseurs ne sauraient exonérer la société FORIOU de sa responsabilité en tant que responsable de traitement, malgré l’existence éventuelle d’une responsabilité des fournisseurs.
29. Par ailleurs, s’agissant des vérifications que la société affirme réaliser sur les formulaires à partir desquels les données sont collectées, la formation restreinte relève qu’elle ne produit aucun élément permettant d’en attester, les engagements contractuels de ses fournisseurs ne constituant pas une mesure de contrôle en tant que telle.
30. En l’espèce, la formation restreinte relève que certains formulaires de jeu-concours à partir desquels la société […] collecte des données de prospects qu’elle transmet à la société FORIOU ne permettent pas aux personnes concernées de s’attendre raisonnablement à recevoir des offres de prospection commerciale de la part de cette société.
31. Ainsi, s’agissant du formulaire accessible depuis le site web […], la formation restreinte observe que ce dernier contient un lien hypertexte renvoyant à une liste nominative de partenaires et non à des catégories de partenaires. Ainsi, les personnes concernées peuvent légitimement s’attendre à ce que cette liste de partenaires soit exhaustive. Or, ladite liste ne mentionne pas la société FORIOU.
32. Concernant les formulaires présents sur les sites […] (ce formulaire renvoyant au site […]) et […], la formation restreinte relève qu’ils ne mentionnent pas la liste des partenaires ou des catégories de partenaires auxquels les données sont susceptibles d’être transmises, et qu’ils ne contiennent en outre aucun lien permettant d’accéder à une telle liste.
33. La formation restreinte considère que dans ces conditions, la protection des intérêts, libertés et droits fondamentaux des personnes concernées prime sur les intérêts légitimes de la société, et que cette dernière ne peut dès lors se prévaloir de la base légale mentionnée à l’article 6, paragraphe 1, f) pour fonder ses opérations de prospection commerciale par téléphone.
2) Sur le consentement
34. La rapporteure considère que, pour fonder ses opérations de prospection commerciale par téléphone, la société ne peut se prévaloir de la base légale du consentement visée au point a) de l’article 6, paragraphe 1, du RGPD. Elle relève que les constatations réalisées par la délégation ont permis d’établir que les courtiers en données auprès desquels se fournit la société FORIOU collectent lesdites données par l’intermédiaire de formulaires de participation à des jeux-concours en ligne, dont la conception ne permet pas aux utilisateurs de manifester leur consentement par un acte positif clair et dénué d’ambigüité, et les incite fortement à accepter la transmission de leurs données aux partenaires de la société à des fins de prospection.
35. En défense, la société se prévaut des termes du contrat passé avec la société […]. Elle prend note des constats matérialisés, mais indique que, si les manquements existent, ils ne sont représentatifs ni d’une volonté de méconnaître ses obligations, ni de pratiques généralisées. Elle fournit à cet égard deux exemples de formulaires de collecte mis en œuvre par ses fournisseurs, qu’elle estime conformes. Enfin, elle fait état de contrôles réalisés sur les fichiers à la suite de leur mise à disposition par le prestataire, et insiste sur l’impossibilité, compte tenu de la volumétrie de ces fichiers, de mettre en œuvre un contrôle unitaire.
36. La formation restreinte rappelle qu’aux termes de l’article 4, paragraphe 11, du RGPD, on entend par ” consentement ” de la personne concernée ” toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement “.
37. S’agissant des opérations de prospection commerciale, elle souligne que lorsque les données des prospects n’ont pas été collectées directement auprès d’eux par l’organisme qui prospecte, le consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte de l’organisme qui réalisera les opérations de prospection ultérieures. À défaut, il revient à l’organisme qui prospecte de recueillir un tel consentement avant de procéder à des actes de prospection (CNIL, FR, 24 novembre 2022, Sanction, n°SAN-2022-021, publié)
38. En premier lieu, s’agissant des engagements contractuels de la société […] dont se prévaut la société FORIOU, la formation restreinte renvoie aux éléments développés aux points 27 et 28. Elle rappelle en outre que, si le caractère intentionnel de la violation doit être pris en compte pour décider s’il y a lieu de prononcer une amende et pour décider de son montant, il est sans incidence sur la caractérisation du manquement, ce dernier pouvant résulter d’une négligence. Il en va de même du caractère généralisé ou non dudit manquement.
39. En deuxième lieu, la formation restreinte rappelle que le consentement mentionné par les dispositions de l’article 6, paragraphe 1, a) du RGPD, qui permet de fonder un traitement de données à caractère personnel, ne peut résulter que d’un consentement exprès de l’utilisateur, donné en toute connaissance de cause après une information adéquate sur l’usage qui sera fait de ses données personnelles. Il convient ainsi de s’assurer que les personnes concernées ont donné un consentement univoque, spécifique, libre et éclairé lors de la collecte de leurs données à caractère personnel par le biais des formulaires de participation à des jeux-concours.
40. La formation restreinte relève à cet égard que les travaux conduits sur les pratiques mises en œuvre en matière de cookies s’agissant des bannières de recueil du consentement peuvent utilement servir à apprécier de manière plus générale les conditions de recueil d’un consentement libre, univoque, spécifique et éclairé, et servir de référence en matière de prospection commerciale lorsqu’elle est fondée sur le recueil du consentement.
41. Par ailleurs, sur les mêmes conditions du consentement, la Cour de justice de l’Union européenne (ci-après ” CJUE “) a précisé, dans sa décision Planet49 GmbH : ” l’article 7, sous a) de la direc-tive 95 prévoit que le consentement de la personne concernée peut rendre un tel traitement licite pour autant que ce consentement est ” indubitablement ” donné par la personne concernée. Or, seul un comportement actif de la part de cette personne en vue de manifester son consentement est de nature à remplir cette exigence ” (CJUE, grande chambre, 1er octobre 2019, Planet49 GmbH, C-673/17, ECLI:EU:C:2019:801, §54). Dès lors, il convient de considérer qu’à défaut d’être donné indubitablement, le consentement doit être considéré comme faisant défaut, ce qui rend le traitement illégal pour défaut de base légale. Plus précisément sur les modalités de recueil, la CJUE affirme que ” la manifestation de volonté visée à l’article 2, sous h), de la directive 95/46 doit, notamment, être ” spécifique “, en ce sens qu’elle doit porter précisément sur le traitement de données concerné et ne saurait être déduite d’une manifestation de volonté ayant un objet distinct. En l’occurrence, contrairement à ce qu’a fait valoir Planet49, le fait pour un utilisateur d’activer le bouton de participation au jeu promotionnel organisé par cette société ne saurait dès lors suffire pour considérer que l’utilisateur a valablement donné son consentement au placement de coo-kies ” (Idem, §§ 58-59).
42. En outre, le Conseil d’Etat a retenu que ” le consentement libre, spécifique, éclairé et univoque ne peut qu’être un consentement exprès de l’utilisateur, donné en toute connaissance de cause et après une information adéquate sur l’usage qui sera fait de ses données personnelles. ” (CE, 10ème et 9ème chambres réunies, 19 juin 2020, Google LLC, n° 430810, pt. 21).
43. La formation restreinte relève également, à titre d’exemple, que les lignes directrices 5/2020 sur le consentement, adoptées le 4 mai 2020 par le groupe de travail ” article 29 ” (devenu le Comité européen de la protection des données, ci-après ” CEPD “), précisent que le caractère libre du consentement ” implique un choix et un contrôle réel pour les personnes concernées. En règle générale, le RGPD dispose que si la personne concernée n’est pas véritablement en mesure d’exercer un choix, se sent contrainte de consentir ou subira des conséquences négatives importantes si elle ne donne pas son consentement, le consentement n’est pas valable […] En termes généraux, toute pression ou influence inappropriée exercée sur la personne concernée (pouvant se manifester de différentes façons) l’empêchant d’exercer sa volonté rendra le consentement non valable “.
44. A titre d’illustration et de comparaison, dans sa délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux ” cookies et autres traceurs “, la Commission recommande aux organismes concernés de s’assurer ” que les utilisateurs prennent la pleine mesure des options qui s’offrent à eux, notamment au travers du design choisi et de l’information délivrée (§ 10) […] Afin de ne pas induire en erreur les utilisateurs, la Commission recommande que les responsables de traitement s’assurent que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre. Il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique ” (§ 34). Elle ajoute qu’il convient ” d’être attentif à ce que l’information accompagnant chaque élément actionnable permettant d’exprimer un consentement ou un refus soit facilement compréhensible et ne nécessite pas d’efforts de concentration ou d’interprétation de la part de l’utilisateur. Ainsi, il est notamment recommandé de s’assurer qu’elle n’est pas rédigée de telle manière qu’une lecture rapide ou peu attentive pourrait laisser croire que l’option sélectionnée produit l’inverse de ce que les utilisateurs pensaient choisir. ” (§ 23). A défaut, le caractère univoque du consentement ne serait pas caractérisé.
45. La formation restreinte rappelle également que des études menées sur les pratiques des interfaces numériques, en particulier concernant les cookies, relèvent l’impact considérable de l’apparence des bannières de recueil du consentement sur le choix des utilisateurs, pouvant inciter ces derniers à faire des choix ne reflétant pas leurs préférences sur le partage des données.
46. En l’espèce, il ressort des pièces du dossier que les sociétés […] et […], fournisseurs des données de prospects à la société FORIOU, collectent les données des personnes concernées (nom, prénom, civilité, adresse électronique, numéro de téléphone mobile, date de naissance et adresse postale) par l’intermédiaire de formulaires de participation à des jeux-concours en ligne, afin de permettre à leurs partenaires de les utiliser dans le cadre de leur prospection commerciale.
47. S’agissant des constatations réalisées par la délégation lors du contrôle, la formation restreinte relève que les formulaires accessibles à partir des sites web […], […], […] et […] se présentent de façon similaire. Sous les champs permettant aux personnes concernées d’inscrire leurs coordonnées (qui leur sont demandées par les formules ” remplissez vos coordonnées ci-dessous en cas de gain ” ou ” remplissez vos coordonnées ci-dessous pour postuler “) est situé un bouton ” VALIDER “, ” JE VALIDE ” ou ” JE REPONDS AUX QUESTIONS POUR POSTULER “. Au-dessus ou en-dessous de ce bouton, un texte précise qu’en cliquant sur ce dernier, l’utilisateur déclare avoir lu la politique de protection des données de la société et accepte que les données collectées soient utilisées pour lui envoyer les offres des partenaires de la société. Des liens hypertextes permettent d’accéder à la politique de protection des données et à la liste des partenaires concernés. La fin du texte précise que si l’utilisateur souhaite continuer sans recevoir les offres des partenaires de la société, il peut cliquer sur un lien présent dans le texte (” cliquez ici “).
48. Ainsi, l’utilisateur confronté à ce formulaire peut, soit cliquer sur un bouton permettant à la fois de valider sa participation au jeu et d’accepter que ses données soient utilisées pour lui envoyer les offres des partenaires de la société, soit cliquer sur le lien ” cliquez ici ” permettant de continuer sans recevoir ces offres.
49. La formation restreinte considère que tels que conçus, les formulaires proposés ne permettent pas aux personnes concernées d’exprimer de manière valable un choix reflétant leurs préférences en matière de transmission de données à des fins de prospection commerciale. L’aperçu global des interfaces met particulièrement en valeur le bouton ” VALIDER “, ” JE VALIDE ” ou ” JE REPONDS AUX QUESTIONS POUR POSTULER ” qui, par sa taille et sa couleur, se distingue des autres informations délivrées. De même, son intitulé évoque davantage la conclusion du parcours utilisateur plutôt qu’une transmission de données à des partenaires. Enfin, son emplacement donne l’impression de devoir obligatoirement être cliqué pour terminer l’inscription et participer au jeu-concours. A contrario, le lien hypertexte permettant de participer au jeu sans accepter la transmission de ses données aux partenaires est présenté dans le corps du texte, en caractères d’une taille nettement inférieure à celle utilisée pour les boutons et sans mise en valeur particulière, de sorte qu’il n’apparait pas intuitif qu’il est possible de participer sans cliquer sur l’un des boutons précités et donc sans transmettre ses données à des tiers à des fins de prospection. Le consentement recueilli est donc dépourvu d’un caractère univoque et libre.
50. La formation restreinte note par ailleurs que, dans le cadre de ses observations écrites, la société a produit deux autres formulaires, présentés comme conformes. Or, la formation restreinte relève que leur conception ne permet pas davantage aux personnes concernées de manifester leur consentement par un acte positif clair et dénué d’ambigüité.
51. D’une part, la formation restreinte observe que la présentation de ces formulaires, à l’instar de ceux consultés par la délégation lors du contrôle sur place, met particulièrement en valeur le bouton ” VALIDER MES COORDONNEES ” et ” CONTINUER “, pour valider la participation au jeu et transmettre ses données aux partenaires. Au contraire, le lien hypertexte ” cliquez ici ” permettant de participer au jeu sans accepter cette transmission est présenté dans le corps du texte, en caractères d’une taille nettement inférieure à celle du bouton et sans mise en valeur particulière. De plus, le visuel global du formulaire accessible à partir du site […], qui contient trois encarts verts (” JE VALIDE MA PARTICIPATION “, ” JE CONFIRME MES COORDONNEES POUR LA LIVRAISON EN CAS DE GAIN ” et ” VALIDER MES COORDONNES “) conduit à penser qu’il existe un séquençage logique entre ces trois actions et que le bouton ” VALIDER MES COORDONNEES ” est le dernier bouton à activer pour participer au jeu et obtenir son gain. Or, ce bouton n’est pas obligatoire puisque l’utilisateur peut utiliser le lien précité ” cliquez ici “, ce qui n’est pas intuitif au regard de l’apparence générale du formulaire.
52. En outre, s’agissant du formulaire mis en œuvre par la société […] à partir du site […], la formation restreinte relève l’existence de deux cases à cocher, l’une concernant la lecture et l’acceptation du règlement du jeu, l’autre la lecture de la politique de confidentialité et l’acceptation de la transmission de ses données. L’aspect similaire de ces cases, présentées comme des mentions légales à lire obligatoirement, et dont le texte d’accompagnement commence par ” j’ai lu “, pousse l’utilisateur à les cocher indistinctement, puis à cliquer sur ” CONTINUER ” en transmettant ses données. La possibilité de participer au tirage au sort sans recevoir d’offres promotionnelles existe en cliquant sur le lien ” ici ” mais est inscrite dans une police plus petite et sans mise en valeur par rapport au bouton ” CONTINUER ” qui d’une part, est particulièrement visible par sa taille, sa couleur et sa police, d’autre part, semble conclure le parcours utilisateur du fait de son emplacement en bas de formulaire. Ainsi, le caractère facultatif du bouton ” CONTINUER ” ne se déduit pas nettement du visuel global du formulaire.
53. D’autre part, la formation restreinte relève qu’un contrôle en ligne réalisé le 17 octobre 2023 a permis de révéler que, compte tenu de sa configuration, le formulaire visé au paragraphe précédent ne permettait matériellement pas à l’utilisateur de participer au jeu sans accepter la transmission de ses données aux partenaires de la société, et donc sans être destinataire de prospection commerciale, contrairement à ce qui est indiqué sur le formulaire.
54. La formation restreinte considère ainsi que les formulaires susvisés n’éclairent pas suffisamment les personnes concernées sur le fait qu’elles consentent à la transmission de leurs données à des fins de prospection commerciale, dans un contexte où l’objet même de ces sites web est d’offrir une perspective de gains ne pouvant laisser supposer l’objectif de collecte pérenne de ces données à de telles fins. Ces personnes ne sont pas mises en mesure de manifester leur consentement par un acte positif clair et dénué d’ambigüité.
55. En troisième et dernier lieu, s’agissant des vérifications que la société affirme réaliser sur les fichiers livrés, la formation restreinte observe que la société ne produit aucun élément permettant d’en attester.
56. D’une part, dans ses observations écrites du 29 septembre 2023, puis dans ses observations orales lors de la séance du 7 décembre 2023, la société a évoqué une pièce intitulée ” leads_701_23-09-2021 […] “, recueillie lors du contrôle sur place et faisant état, selon elle, de ” contrôles des fichiers de prospection réalisés à la suite de leur mise à disposition par le prestataire “. Par délibération n° SAN-2023-020 du 14 décembre 2023, la formation restreinte a sollicité de la rapporteure et de la société la production de cette pièce.
57. La formation restreinte relève que le fichier produit par la rapporteure, dont l’empreinte numérique atteste qu’il s’agit bien du fichier à partir duquel les constats ont été réalisés par la délégation lors du contrôle, ne contient aucun élément de nature à attester des vérifications dont se prévaut la société. Conformément à ce qui est mentionné sur le procès-verbal de contrôle, il s’agit d’un fichier de prospects (” leads “) livré par la société […] au groupe INDEXIA le 23 septembre 2021, contenant les données d’environ 15 000 prospects. Si, pour chacun de ces prospects, un lien URL devant permettre d’accéder à la source des données est présent, la formation restreinte relève qu’aucune mention ne fait état de vérifications qui auraient pu être réalisées par la société FORIOU ou le groupe INDEXIA. Lors de la séance du 18 janvier 2024, la société a indiqué de pas remettre en cause l’intégrité de cette pièce.
58. S’agissant du fichier produit par la société, la formation restreinte relève qu’il ne correspond pas à celui recueilli lors du contrôle, dans la mesure où son empreinte numérique et sa taille diffèrent. Elle relève en outre que cette différence est confirmée par son contenu puisque, contrairement aux constatations figurant au procès-verbal du 23 septembre 2021, il ne contient aucune donnée de prospects mais seulement des liens URL assortis de commentaires (” ok “, ” une seule case à cocher “, ” litigieux “).
59. Enfin, la formation restreinte observe que le contenu du fichier produit n’apparait pas cohérent avec la finalité invoquée dans la mesure où les commentaires sommaires et non datés qui y figurent ne sont reliés à aucune fiche de prospect et qu’il n’est par ailleurs pas démontré que les non conformités identifiées auraient fait l’objet de remontées à la société […]. La formation restreinte considère ainsi qu’en tout état de cause, un tel fichier ne permet pas de démontrer l’existence de vérifications réalisées sur les fichiers livrés.
60. D’autre part, s’agissant des autres pièces du dossier, la formation restreinte note qu’elles attestent exclusivement d’exigences imposées par la société FORIOU à la société […], préalablement à la reprise de leurs relations contractuelles, sans constituer des contrôles par la société FORIOU sur les pratiques ultérieures de son prestataire.
61. La formation restreinte relève en tout état de cause que la proportion de fichiers non conformes parmi ceux examinés de manière aléatoire par la délégation (soit quatre fichiers non conformes sur les sept examinés) démontre l’insuffisance des mesures prises par la société pour s’assurer de la validité du consentement des personnes concernées.
62. Dès lors, en l’absence de base légale permettant à la société FORIOU de fonder ses opérations de prospection commerciale par téléphone, la formation restreinte considère qu’un manquement à l’article 6 du RGPD est constitué.
B. Sur le manquement à l’obligation d’assurer la sécurité des données
63. Aux termes de l’article 32, paragraphe 1 du RGPD, ” compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque […] ” et notamment ” des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ” et d’une ” procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement “.
64. La rapporteure relève que la société a indiqué conserver les données de ses clients pendant une durée de cinq ans à compter de la date de clôture du contrat, conformément aux délais légaux de prescription, précisant que ces données étaient conservées en base active, sans qu’aucun mécanisme d’archivage intermédiaire ne soit mis en œuvre. La rapporteure considère que ces modalités de conservation ne permettent pas de limiter l’accès aux données aux utilisateurs ayant besoin d’en connaître, dans la mesure où les personnes ayant intérêt à avoir accès à ces données pendant la durée du contrat continuent, même après la clôture de ce dernier, à pouvoir y accéder sans restriction pendant une durée de cinq ans, alors même que leurs fonctions ne leur imposent plus nécessairement d’en connaître.
65. En défense, la société ne conteste pas conserver les données de ses clients pendant une durée de cinq ans à compter de l’issue de la relation contractuelle, ni l’absence d’archivage intermédiaire, mais estime que la notion de ” base active ” constitue une terminologie restrictive dans la mesure où les informations accessibles durant la vie d’un contrat restent, pour la grande majorité d’entre elles, toujours nécessaires même après la clôture de ce dernier. Elle souligne également que la mise en place de mesures d’archivage intermédiaire pose la question du rapport entre l’effort d’investissement humain et financier qui serait nécessaire et le gain limité qui en découlerait.
66. La formation restreinte rappelle qu’il résulte des dispositions de l’article 32 du RGPD que le responsable de traitement doit mettre en place des mesures appropriées pour assurer la confidentialité des données et éviter que ces dernières soient traitées de façon illicite par le fait de personnes qui n’ont pas besoin d’en connaître (CNIL, FR, 29 octobre 2021, Sanction, n°SAN-2021-019, publié).
67. Ce besoin d’en connaître est susceptible d’évoluer en fonction du cycle de vie des données et des finalités pour lesquelles elles sont conservées. Ainsi, pendant la phase de leur utilisation courante, qui correspond à la durée nécessaire pour accomplir la finalité déterminée, les données sont conservées en ” base active ” et accessibles à l’ensemble des services chargés de la mise en œuvre du traitement. A l’issue de cette phase, lorsque les données ne sont plus utilisées pour atteindre l’objectif fixé mais qu’elles présentent encore un intérêt administratif pour l’organisme (par exemple pour la gestion d’un éventuel contentieux) ou doivent être conservées pour répondre à une obligation légale, elles doivent pouvoir être consultées uniquement de manière ponctuelle et motivée par des personnes spécifiquement habilitées, participant à l’objectif ayant justifié cette conservation, en faisant l’objet d’un archivage intermédiaire. Cet archivage intermédiaire nécessite d’opérer une séparation avec la base active, qui peut être physique (via un transfert des données au sein d’une base d’archives dédiée), ou logique (via la mise en place de mesures techniques et organisationnelles garantissant que seules les personnes ayant un intérêt à traiter les données en raison de leurs fonctions puissent y accéder).
68. La formation restreinte relève que la société ne conteste pas conserver les données de ses clients à l’issue de la relation contractuelle, sans qu’aucune mesure d’archivage intermédiaire n’intervienne. La formation restreinte rappelle que la cessation des relations contractuelles doit conduire à limiter l’accès aux données à certains salariés en raison de leurs fonctions. Néanmoins, la formation restreinte considère qu’en l’état, les éléments qui figurent au dossier ne permettent pas d’établir que des personnes auraient accès auxdites données sans avoir besoin d’en connaître.
69. Il résulte ce qui précède que le manquement à l’article 32 du RGPD n’est pas constitué.
III. Sur le prononcé de mesures correctrices et la publicité
70. Aux termes de l’article 20 de la loi n° 78-17 du 6 janvier 1978 modifiée : ” Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […] 7° À l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83 “.
71. L’article 83 du RGPD prévoit que : ” Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives “, avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.
72. En premier lieu, la formation restreinte rappelle qu’elle doit tenir compte, pour le prononcé d’une amende administrative, des critères précisés à l’article 83 du RGPD, tels que la nature, la gravité et la durée de la violation, le caractère délibéré ou non de la violation, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données à caractère personnel concernées par la violation.
73. La formation restreinte souligne que le manquement commis par la société porte sur des obligations touchant aux principes fondamentaux de la protection des données à caractère personnel.
74. En effet, la formation restreinte rappelle que la conséquence du manquement à l’obligation de disposer d’une base légale pour traiter les données des prospects dans le cadre de la prospection commerciale par téléphone est de priver de licéité les opérations visées.
75. Elle souligne que, si la société entend fonder ces dernières sur la base légale du consentement, l’écosystème de la revente des données de partenaires en partenaires exige des garanties particulièrement fortes quant à la qualité et à la validité du consentement obtenu par le primo-collectant des données et dont les partenaires se prévalent à des fins de prospection commerciale. Elle souligne qu’à cet égard, l’organisme qui se prévaut d’un tel consentement pour mener des opérations de prospection commerciale endosse une responsabilité essentielle lui imposant, en tant que responsable de traitement, de s’assurer que les conditions lui permettant de réaliser lesdites opérations sont réunies, indépendamment de la responsabilité éventuelle des fournisseurs de données, primo-collectants. La formation restreinte considère que ces exigences doivent être particulièrement renforcées s’agissant des modalités de recueil du consentement des utilisateurs des sites web dont l’objet est d’offrir des perspectives de gains, ces personnes n’ayant pas nécessairement conscience de la portée de leur accord dans le cadre de leur inscription.
76. La formation restreinte rappelle également l’importance, en l’absence de recueil d’un consentement valide, de permettre aux personnes concernées de mesurer l’ampleur des traitements dont leurs données sont susceptibles de faire l’objet. Ainsi, le fait qu’au moment de la collecte des données, une liste détaillée des partenaires susceptibles de réaliser des opérations de prospection commerciale soit mise à la disposition des personnes concernées, sans que la société FORIOU y figure, et sans que cette liste soit complétée par une mention précisant les catégories de partenaires dont pourrait faire partie la société FORIOU, prive les personnes concernées du socle minimal d’information permettant de préserver leurs intérêts, libertés et droits fondamentaux.
77. La formation restreinte insiste sur le fait que la société FORIOU, en tant que filiale de la société SFK GROUP, dispose de ressources humaines, financières et techniques suffisantes pour s’assurer du respect des règles relatives à la protection des données à caractère personnel.
78. Enfin, la formation restreinte entend tenir compte […]
79. Au vu de l’ensemble de ces éléments, la formation restreinte considère qu’il y a lieu de prononcer une amende administrative pour le manquement à l’article 6 du RGPD.
80. En deuxième lieu, s’agissant du montant de l’amende administrative, la formation restreinte rappelle que la violation relevée en l’espèce concerne un manquement susceptible de faire l’objet, en vertu de l’article 83 du RGPD, d’une amende administrative pouvant s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.
81. Elle considère que l’activité de la société et sa situation financière doivent notamment être prises en compte. Elle relève à cet égard qu’au titre de l’année 2021, la société a réalisé un chiffre d’affaires de […] euros, pour un résultat d’exploitation de […] euros. La formation restreinte note que, si la société présente un résultat net déficitaire de […] euros, ce n’est qu’en raison d’un abandon de créance de […] euros au groupe INDEXIA. Par ailleurs, ce résultat exceptionnel n’étant pas déductible, la société FORIOU a été soumise, pour l’année 2021, à un montant de […] euros au titre de l’impôt sur les sociétés. Compte tenu de l’ensemble de ces éléments, la formation restreinte considère que la situation financière de la société est saine.
82. Dès lors, au regard de la responsabilité de la société, de ses capacités financières et des critères pertinents de l’article 83, paragraphe 2, du RGPD évoqués ci-avant, la formation restreinte estime qu’une amende de trois cent dix mille euros (310 000 €) apparaît justifiée.
83. En troisième lieu, s’agissant de la publicité de la sanction, la formation restreinte considère que celle-ci se justifie au regard de la gravité du manquement en cause, de la position de la société sur le marché, de la portée du traitement et du nombre de personnes concernées.
84. Elle relève également que cette mesure a notamment vocation à informer les personnes concernées par les opérations de prospection de la société. Cette information leur permettra, le cas échéant, de faire valoir leurs droits.
85. Enfin, elle estime que cette mesure est proportionnée dès lors que la décision n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide de :
• prononcer une amende administrative à l’encontre de la société FORIOU d’un montant de trois cent dix mille euros (310 000 €) pour manquement à l’article 6 du RGPD ;
• rendre publique, sur le site web de la CNIL et sur le site web de Légifrance, sa délibération, qui ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication.
Le président
Alexandre LINDEN
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.
Délibération de la formation restreinte n°SAN-2023-025 du 29 décembre 2023 concernant la société TAGADAMEDIA
La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Alexandre LINDEN, président, M. Philippe-Pierre CABOURDIN, vice-président, Mmes Isabelle LATOURNAIRE-WILLEMS et Christine MAUGÜÉ, MM. Alain DRU et Bertrand du MARAIS, membres ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;
Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;
Vu la décision n° 2022-054C du 25 mars 2022 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par la société TAGADAMEDIA ou pour son compte, en tout lieu susceptible d’être concerné par leur mise en œuvre ;
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 22 juin 2023 ;
Vu le rapport de Mme Valérie PEUGEOT, commissaire rapporteure, notifié à la société TAGADAMEDIA le 25 août 2023 ;
Vu les observations écrites versées par la société TAGADAMEDIA le 29 septembre 2023 ;
Vu la réponse du rapporteur notifié à la société le 20 octobre 2023 ;
Vu les observations écrites versées par la société TAGADAMEDIA le 20 novembre 2023 ;
Vu la clôture de l’instruction, notifiée à la société le 22 novembre 2023 ;
Vu les observations orales formulées lors de la séance de la formation restreinte du 7 décembre 2023 ;
Vu les autres pièces du dossier ;
Étaient présents, lors de la séance de la formation restreinte :
– Mme Valérie PEUGEOT, commissaire, entendue en son rapport ;
En qualité de représentants de la société TAGADAMEDIA :
– […].
La société TAGADAMEDIA ayant eu la parole en dernier ;
La formation restreinte a adopté la décision suivante :
I. Faits et procédure
1. La société TAGADAMEDIA (ci-après ” la société “) est une société par actions simplifiée (SAS) au capital de 100 000 euros, sise 55 rue Legendre à PARIS (75017). Créée en 2015, elle met principalement en œuvre des sites en ligne de jeux-concours et de tests de produits par lesquels elle collecte des données de prospects. Ces données sont ensuite vendues à des partenaires annonceurs effectuant des opérations de démarchage.
2. En 2016, la société TAGADAMEDIA a racheté à 100% la société […]. Créée en 2004, la société […] diffuse des newsletters qui incluent des messages commerciaux pour le compte de clients annonceurs. Les newsletters sont adressées à des prospects dont les données ont été collectées par les sites édités par la société TAGADAMEDIA ou la société […].
3. En 2023, la société TAGADAMEDIA comptait six salariés. Elle a réalisé, pour l’année 2022, un chiffre d’affaires de […] euros pour un résultat net de […] euros. Pour la période du 1er janvier 2023 au 31 août 2023, son chiffre d’affaires s’est élevé à […] euros.
4. En application de la décision n° 2022-054C du 25 mars 2022 de la présidente de la Commission, une délégation de la CNIL a effectué une mission de contrôle en ligne du site web accessible via l’URL https://www.tagadamedia.com/fr afin de vérifier le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après ” la loi Informatique et Libertés ” ou ” loi du 6 janvier 1978 “) et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (ci-après le ” Règlement ” ou ” RGPD “).
5. Ce contrôle en ligne a donné lieu à un procès-verbal n° 2022-054/1 du 16 mai 2022, notifié le 27 mai 2022 à la société.
6. En application de la décision n° 2022-054C du 25 mars 2022 de la présidente de la CNIL, une délégation de la Commission a procédé à une mission de contrôle sur place de la société TAGADAMEDIA. Des procès-verbaux n° 2022-054/2 et n° 2022-054/3 des 18 et 19 mai 2022 ont été dressés et notifiés à la société par un courrier du 23 mai 2022.
7. Par des courriers des 3 et 10 juin 2022, la société a communiqué les éléments sollicités dans le cadre des contrôles en ligne et sur place. Les 13 juillet et 30 septembre 2022, la délégation de contrôle a adressé des demandes complémentaires, auxquelles la société a répondu les 26 juillet et 12 octobre 2022.
8. Le 18 octobre 2022, un second contrôle en ligne a été diligenté par les services de la CNIL. Le procès-verbal n° 2022-054/4 a été notifié le 5 décembre 2022 et la société a communiqué les éléments sollicités le 20 décembre 2022. Une dernière demande complémentaire a été adressée le 3 mai 2023, à laquelle la société a répondu le 22 mai 2023.
9. Le 22 juin 2023, la présidente de la Commission a, sur le fondement de l’article 22 de la loi du 6 janvier 1978, désigné Mme Valérie PEUGEOT en qualité de rapporteure aux fins d’instruction de ces éléments.
10. Le 25 août 2023, à l’issue de son instruction, la rapporteure a fait notifier à la société un rapport détaillant les manquements aux articles 5, 6, 30 et 32 du RGPD qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de prononcer une amende administrative à l’encontre de la société. Il proposait également que cette décision soit rendue publique.
11. Le 29 septembre 2023, la société a produit des observations en réponse au rapport de la rapporteure.
12. Sur demande de la rapporteure et par une décision n° 2023-235C du 17 octobre 2023 de la Présidente de la CNIL, une délégation de la CNIL a procédé à un contrôle en ligne pour vérifier la conformité de tout traitement accessible à partir de l’URL ” https://testonsensemble.com/testez-de-nouveaux-produits/signup/1 ” ou portant sur des données à caractère personnel collectées à partir de cette dernière. Ce contrôle a donné lieu à un procès-verbal n° 2023-235/1.
13. Le 20 octobre 2023, la réponse de la rapporteure a été notifiée à la société.
14. Le 20 novembre 2023, la société a adressé de nouvelles observations en réponse à celles de la rapporteure.
15. Par courrier du 21 novembre 2023, la rapporteure a, en application du III de l’article 40 du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi Informatique et Libertés, informé la société que l’instruction était close.
16. La rapporteure et la société ont présenté des observations orales lors de la séance de la formation restreinte du 7 décembre 2023.
I. Motifs de la décision
A. Sur le manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre
17. Aux termes de l’article 6, paragraphe 1, du RGPD, ” Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant “.
18. En vertu de l’article 4, paragraphe 11, du RGPD, le consentement de la personne concernée s’entend de ” toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement “.
1) S’agissant des formulaires de collecte de données de prospects
19. La rapporteure relève que la société collecte des données de prospects par l’intermédiaire de formulaires de participation à des jeux-concours en ligne. Ces données sont ensuite transmises à des partenaires de la société, qui procèdent à des opérations de prospection commerciale par voie électronique. La rapporteure note également que la politique de protection des données, accessible via les sites web que la société TAGADAMEDIA édite, prévoit que la base légale de la transmission des données de prospects à des fins de prospection par voie électronique est le consentement.
20. Pour proposer à la formation restreinte de considérer que la société a méconnu ses obligations résultant de l’article 6 du RGPD, tel qu’éclairé par les dispositions de l’article 4, paragraphe 11 du RGPD, la rapporteure se fonde sur le fait que la conception de ces formulaires ne permet pas aux utilisateurs de manifester leur consentement par un acte positif clair et dénué d’ambigüité, et les incite fortement à accepter la transmission de leurs données aux partenaires de la société à des fins de prospection.
21. En défense, la société confirme qu’elle a choisi de fonder son traitement relatif à la prospection commerciale sur le recueil du consentement, que ce soit pour la prospection par voie électronique, par voie postale et par voie téléphonique. Elle précise que le recueil du consentement ” à action unique ” est accompagné d’un centre de désabonnement qui permet de se désinscrire de manière complète à l’ensemble des moyens de prospection.
22. La société avait recours, successivement, à deux types de formulaire, l’un reposant sur un bouton unique, l’autre sur deux boutons.
23. S’agissant du formulaire à bouton unique, la société indique que sa conception faisait que la participation de l’internaute au jeu/concours n’était conditionnée qu’à son acceptation du règlement. Ce dernier pouvait ainsi cliquer sur le lien situé dans le texte explicatif pour participer au jeu sans accepter de transmettre ses données aux partenaires.
24. Par ailleurs, d’une manière générale, la société affirme que les deux formulaires permettaient bien aux internautes de faire un choix relatif à la transmission de leurs données, ce qui garantirait le caractère libre du consentement. Elle indique, d’une part, que la participation au jeu et le recueil du consentement pour la transmission des données sont décorrélés, d’autre part, que le consentement est spécifiquement recueilli pour la prospection commerciale. Elle précise également que les formulaires indiquent clairement les implications des clics des internautes, tout en reconnaissant que des modifications étaient nécessaires s’agissant des implications du bouton ” JE REFUSE ” sur le formulaire à deux boutons. Enfin, la société affirme que le consentement serait univoque car manifesté par un clic sur le bouton, ce qui en fait bien une action positive. Lors de la séance de la formation restreinte, la société a précisé que le formulaire à bouton unique a été mis en place en 2015 mais qu’il est aujourd’hui obsolète, le formulaire à deux boutons étant effectif depuis 2017.
25. À la suite de la réception du premier rapport de la rapporteure, la société a indiqué avoir mis en place un nouveau type de formulaire, qu’elle considère conforme aux exigences du RGPD. Selon la société, le texte explicatif est parfaitement lisible et contient toutes les informations nécessaires pour l’utilisateur qui ne présente aucune vulnérabilité particulière. Elle ajoute que la position des boutons, en affichant d’abord le bouton ” J’ACCEPTE ” avec un texte explicatif en caractère moins grands, telle qu’elle figure sur le nouveau formulaire, serait considérée comme ” neutre “, selon les études sur les cookies produites par la CNIL, et serait donc licite. La société précise qu’il est possible de poursuivre son parcours utilisateur sans accepter de recevoir des offres de partenaires.
26. À cet égard, la société relève que la CNIL n’a publié aucune recommandation spécifique sur le secteur du marketing digital. Elle précise qu’elle a mis en place de nombreuses mesures pour assurer le respect des droits des personnes et communique des statistiques révélant un nombre très élevé de personnes ” opt-in ” et un nombre peu élevé de personnes ” non-opt-in “, c’est-à-dire ayant demandé à se désinscrire / ayant demandé la suppression de leurs données / ou ayant rempli un autre formulaire de jeu tout en refusant la transmission de leurs données.
27. Enfin, la société affirme qu’elle n’a jamais eu la volonté de tromper ou d’induire en erreur les prospects inscrits dans sa base de données, le succès de son activité reposant sur la qualité de ses pratiques de collecte et des personnes inscrites sur sa base de données.
28. La formation restreinte relève d’abord que, aussi bien la politique de protection des données, accessible via les sites web, que le registre des activités de traitement de la société, prévoient que la base légale de la transmission des données de prospects à des fins de prospection par voie électronique, téléphonique ou postale est le consentement, ce que confirme la société.
29. La formation restreinte rappelle que le consentement spécifique requis par les dispositions de l’article 6 du RGPD ne peut résulter que d’un consentement exprès de l’utilisateur, donné en toute connaissance de cause après une information adéquate sur l’usage qui sera fait de ses données à caractère personnel. Il convient à cet égard de s’assurer que les personnes concernées ont donné un consentement univoque, spécifique, libre et éclairé lors de la collecte de leurs données à caractère personnel par le biais des formulaires de participation à des jeux-concours.
30. La formation restreinte relève à cet égard que les travaux conduits sur les pratiques mises en œuvre en matière de cookies s’agissant des bannières de recueil du consentement peuvent utilement servir à apprécier de manière plus générale les conditions de recueil d’un consentement libre, univoque, spécifique et éclairé, et servir de référence en matière de prospection commerciale lorsqu’elle est fondée sur le recueil du consentement.
31. Par ailleurs, sur les mêmes conditions du consentement, la Cour de justice de l’Union européenne (CJUE) a précisé, dans sa décision Planet49 GmbH : ” l’article 7, sous a), de la directive 95 prévoit que le consentement de la personne concernée peut rendre un tel traitement licite pour autant que ce consentement est ” indubitablement ” donné par la personne concernée. Or, seul un comportement actif de la part de cette personne en vue de manifester son consentement est de nature à remplir cette exigence ” (CJUE, grande chambre, 1er octobre 2019, Planet49 GmbH, C-673/17, ECLI:EU:C:2019:801, §54). Dès lors, il convient de considérer qu’à défaut d’être donné indubitablement, le consentement doit être considéré comme faisant défaut, ce qui rend le traitement illégal pour défaut de base légale. Plus précisément sur les modalités de recueil, la CJUE affirme que ” la manifestation de volonté visée à l’article 2, sous h), de la directive 95/46 doit, notamment, être ” spécifique “, en ce sens qu’elle doit porter précisément sur le traitement de données concerné et ne saurait être déduite d’une manifestation de volonté ayant un objet distinct. En l’occurrence, contrairement à ce qu’a fait valoir Planet49, le fait pour un utilisateur d’activer le bouton de participation au jeu promotionnel organisé par cette société ne saurait dès lors suffire pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies ” (Idem, §§ 58-59).
32. En outre, le Conseil d’Etat a retenu que ” le consentement libre, spécifique, éclairé et univoque ne peut qu’être un consentement exprès de l’utilisateur, donné en toute connaissance de cause et après une information adéquate sur l’usage qui sera fait de ses données personnelles. ” (CE, 10ème et 9ème chambres réunies, 19 juin 2020, Google LLC, n° 430810, pt. 21).
33. La formation restreinte relève également, à titre d’exemple, que les lignes directrices 5/2020 sur le consentement, adoptées le 4 mai 2020 par le groupe de travail ” article 29 ” (devenu le Comité européen de la protection des données, ci-après ” CEPD “), précisent que le caractère libre du consentement ” implique un choix et un contrôle réel pour les personnes concernées. En règle générale, le RGPD dispose que si la personne concernée n’est pas véritablement en mesure d’exercer un choix, se sent contrainte de consentir ou subira des conséquences négatives importantes si elle ne donne pas son consentement, le consentement n’est pas valable […] En termes généraux, toute pression ou influence inappropriée exercée sur la personne concernée (pouvant se manifester de différentes façons) l’empêchant d’exercer sa volonté rendra le consentement non valable “.
34. À titre d’illustration et de comparaison, dans sa délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux ” cookies et autres traceurs “, la Commission recommande ainsi aux organismes concernés de s’assurer ” que les utilisateurs prennent la pleine mesure des options qui s’offrent à eux, notamment au travers du design choisi et de l’information délivrée (§ 10) […] Afin de ne pas induire en erreur les utilisateurs, la Commission recommande que les responsables de traitement s’assurent que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre. Il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique ” (§ 34). Elle ajoute qu’il convient ” d’être attentif à ce que l’information accompagnant chaque élément actionnable permettant d’exprimer un consentement ou un refus soit facilement compréhensible et ne nécessite pas d’efforts de concentration ou d’interprétation de la part de l’utilisateur. Ainsi, il est notamment recommandé de s’assurer qu’elle n’est pas rédigée de telle manière qu’une lecture rapide ou peu attentive pourrait laisser croire que l’option sélectionnée produit l’inverse de ce que les utilisateurs pensaient choisir. ” (§ 23). A défaut, le caractère univoque du consentement ne serait pas caractérisé.
35. La formation restreinte rappelle également que des études menées sur les pratiques des interfaces numériques, en particulier concernant les cookies, relèvent l’impact considérable de l’apparence des bannières de recueil du consentement sur le choix des utilisateurs, pouvant inciter ces derniers à faire des choix ne reflétant pas leurs préférences sur le partage de données.
36. En l’espèce, il ressort des pièces du dossier que la société TAGADAMEDIA transmet à des partenaires les données collectées, à savoir le nom, le prénom, la civilité, la date de naissance, l’adresse postale, de courrier électronique, le numéro de téléphone des prospects, collectés via ses sites de jeux-concours, de tests de produits et de sondages. Ces partenaires procèdent ensuite à des opérations de prospection commerciale, notamment par voie électronique, auprès de ces prospects.
37. La formation restreinte relève que, au moment des contrôles, l’accès à deux formulaires de collecte a été constaté sur les sites utilisés pour collecter les données de prospects : un formulaire à bouton unique et un formulaire à deux boutons.
38. S’agissant du formulaire à bouton unique, la formation restreinte note que sous les champs permettant aux personnes concernées d’insérer leurs coordonnées est situé un bouton unique ” JE VALIDE ” sur fond vert avec une flèche. Au-dessus de ce bouton, un texte inscrit en caractères d’une taille nettement inférieure à celle utilisée pour les boutons précise qu’en cliquant sur ledit bouton, l’utilisateur accepte que les données collectées soient utilisées pour lui envoyer les offres des partenaires de la société. Des liens hypertextes permettent d’accéder à la politique de protection des données et à la liste des partenaires concernés. La fin du texte précise que si l’utilisateur souhaite continuer sans recevoir les offres des partenaires de la société, il peut cliquer sur un lien présent dans le texte (” je clique ici “). En outre, une case à cocher est prévue pour accepter le règlement de l’opération.
39. Ainsi, l’utilisateur confronté à ce formulaire peut, soit cocher la case d’acceptation du règlement de l’opération et cliquer sur le bouton vert ” JE VALIDE ” pour participer au jeu-concours tout en acceptant que ses données soient utilisées pour lui envoyer les offres des partenaires de la société, soit cocher la case d’acceptation du règlement et cliquer sur le lien ” je clique ici ” permettant de continuer sans recevoir ces offres.
40. La formation restreinte considère que tel qu’il est conçu, le formulaire proposé ne permet pas aux personnes concernées d’exprimer de manière valable un choix reflétant leurs préférences en matière de transmission de données à des fins de prospection commerciale. L’aperçu global de l’interface met particulièrement en valeur le bouton ” JE VALIDE ” qui, par sa taille et sa couleur se distingue des autres informations délivrées. De même, son intitulé évoque davantage la conclusion du parcours utilisateur qu’une transmission de données à des partenaires. Enfin, son emplacement et l’usage du verbe valider donnent l’impression de devoir obligatoirement être cliqué pour terminer l’inscription et participer au jeu-concours. A contrario, le lien hypertexte permettant de participer au jeu sans accepter la transmission de ses données est présenté dans le corps du texte, en caractères d’une taille nettement inférieure à celle utilisée pour les boutons et sans mise en valeur particulière, de sorte qu’il n’apparait pas intuitif qu’il est possible de participer sans cliquer sur le bouton ” JE VALIDE ” et donc sans transmettre ses données à des tiers à des fins de prospection. Le consentement recueilli est donc privé de son caractère univoque et libre.
41. Tout en relevant que ce formulaire était encore accessible en mai 2022, soit au moment des contrôles de la délégation de la CNIL, la formation restreinte prend bonne note que la société n’y recourt plus de façon opérationnelle.
42. S’agissant du formulaire à double bouton mis en place depuis 2017 jusqu’à la notification du rapport de sanction en 2023, la formation restreinte note que, sous les champs permettant aux personnes concernées d’insérer leurs coordonnées, sont situés deux boutons : un bouton ” JE VALIDE “, écrit en blanc sur fond rouge, et un bouton ” JE REFUSE “, écrit en noir sur fond gris et dont la taille de police est inférieure à celle du bouton ” JE VALIDE “. Au-dessus de ces boutons, un texte inscrit en caractères d’une taille nettement inférieure à celle utilisée pour les boutons précise qu’en cliquant sur le bouton ” JE VALIDE “, l’utilisateur accepte que les données collectées soient utilisées pour lui envoyer les offres des partenaires de la société. En outre, une case à cocher est prévue pour accepter le règlement de l’opération.
43. La formation restreinte constate que sur ce formulaire, il n’est fait aucune mention des conséquences d’un clic sur le bouton ” JE REFUSE “.
44. Ainsi, l’utilisateur confronté à cette interface peut, soit cocher la case d’acceptation du règlement de l’opération et cliquer sur le bouton ” JE VALIDE ” pour participer au jeu-concours tout en acceptant que ses données soient utilisées pour lui envoyer les offres des partenaires de la société, soit cocher la case d’acceptation du règlement et cliquer sur le bouton ” JE REFUSE ” pour continuer sans recevoir ces offres.
45. À l’instar du formulaire évoqué aux paragraphes 38 à 40 et pour les mêmes motifs, la formation restreinte considère que tel qu’il est conçu, le formulaire décrit ne permet pas de recueillir un consentement univoque et libre de l’utilisateur.
46. Elle relève en outre qu’en l’absence de toute précision sur les conséquences liées au fait de cliquer sur le bouton ” JE REFUSE “, le recueil du consentement n’est pas éclairé. Ce dernier pourrait tout aussi bien signifier que le refus de transmettre ses données ne permet pas de participer au jeu-concours, ce qui n’est pas le cas en l’espèce.
47. S’agissant du nouveau formulaire proposé par la société à la suite du rapport de la rapporteure, la formation restreinte note que sous les champs permettant aux personnes concernées d’insérer leurs coordonnées sont situés deux boutons : un bouton ” J’ACCEPTE “, écrit en blanc sur fond rouge, et un bouton ” ÉTAPE SUIVANTE “, dont l’apparence est identique au premier. Au-dessus de ces boutons, un texte inscrit en caractères d’une taille nettement inférieure à celle utilisée pour les boutons précise qu’en cliquant sur le bouton ” J’ACCEPTE “, l’utilisateur accepte que les données collectées soient utilisées pour lui envoyer les offres des partenaires de la société. En cliquant sur ” ÉTAPE SUIVANTE “, il continue sans recevoir les offres des partenaires.
48. La formation restreinte considère que, bien qu’ils soient de taille, police et couleur identiques, les termes choisis incitent fortement les utilisateurs à cliquer en tout premier lieu sur ” J’ACCEPTE ” placé avant le bouton ” ÉTAPE SUIVANTE “. En effet, les utilisateurs sont poussés à cliquer sur le premier bouton ” J’ACCEPTE ” puis le second bouton ” ÉTAPE SUIVANTE ” laissant penser qu’il existe un séquençage entre ces deux boutons, le premier constituant un préalable au second, alors que le parcours des utilisateurs se poursuit en cliquant sur ” J’ACCEPTE “, sans qu’il soit nécessaire de cliquer sur ” ÉTAPE SUIVANTE “. La formation restreinte note que si les explications sont fournies sur les conséquences de chacune des deux options, la mise en valeur particulière des deux boutons dans le visuel global du formulaire, par rapport à l’apparence dudit texte en termes de police et de couleur, ne permet pas de compenser le risque que la personne passe directement du remplissage des champs au bouton ” J’ACCEPTE ” sans en mesurer les conséquences.
49. La formation restreinte considère ainsi que les formulaires n’éclairent pas suffisamment les personnes concernées sur le fait qu’elles consentent à la transmission de leurs données à des fins de prospection commerciale, dans un contexte où l’objet même de ces sites web est d’offrir une perspective de gains ne pouvant laisser supposer l’objectif de collecte pérenne de ces données à de telles fins. Ces personnes ne sont pas mises en mesure de manifester leur consentement par un acte positif clair et dénué d’ambigüité.
50. La formation restreinte considère, dans ces conditions, que la société TAGADAMEDIA ne dispose pas, pour transmettre les données de prospects à ses partenaires aux fins de réaliser des opérations de prospection commerciale, d’un consentement valide au sens des articles 6 et 4 du RGPD.
51. En outre et pour les mêmes motifs, la formation restreinte considère que le consentement recueilli par le biais du dernier formulaire proposé par la société au cours de l’instruction ne répond pas aux exigences du RGPD et que le manquement à l’article 6 du RGPD persiste.
2) S’agissant de la transmission de données de prospects aux partenaires
52. La rapporteure note que la société TAGADAMEDIA transmet des données de prospects à des partenaires à des fins de démarchage par voie postale ou électronique. La rapporteure note que la politique de protection des données à caractère personnel, accessible via le site web de la société, précise que la base légale de la transmission des données aux partenaires de TAGADAMEDIA aux fins de prospection ” par courrier postal ou par télémarketing ” est le consentement.
53. La rapporteure observe que le fait de ne pas consentir à la transmission de ses données permet bien à l’utilisateur d’empêcher la transmission de son adresse électronique. Toutefois, la rapporteure relève que, malgré l’absence de consentement, l’adresse postale ou le numéro de téléphone est transmis aux partenaires à des fins de prospection par voie postale ou par téléphone.
54. La rapporteure considère donc que la société a procédé à un traitement déloyal des données de prospects n’ayant pas consenti à leur transmission aux partenaires, ce qui constitue un traitement déloyal, contraire à l’article 5, paragraphe 1, a) du RGPD.
55. En défense, la société affirme qu’elle transmet des données à ses partenaires d’une part, à des fins de prospection commerciale et d’autre part, pour la réalisation d’opérations techniques et de qualification, cette dernière finalité relavant de l’intérêt légitime. La transmission des exports de base de données se fait via un ” dessin d’enregistrement ” propre à chaque partenaire. Ces dessins d’enregistrement peuvent comporter, ou non, une colonne relative au statut de ” l’opt-in prospect “. Si la colonne est présente, l’ensemble des données est transmis, la colonne devant encadrer l’utilisation des données de prospects (s’il est indiqué ” opt-in = 0 “, le partenaire ne doit pas prospecter sur les données transmises mais se contentera de réaliser les opérations techniques et de qualification). S’il n’y a pas de colonne, l’adresse courriel et le numéro de téléphone du prospect ne sont pas transmis et le partenaire ne recevra que les coordonnées postales pour les opérations techniques et de qualification.
56. La société soutient que l’exploitation des données postales alors que les prospects ont refusé la transmission de leurs données n’est pas le résultat d’un fait généralisé et qu’elle a découvert l’existence de cette pratique au moment du contrôle. Elle ajoute que si certains partenaires ont procédé de la sorte, cette situation ne concerne pas tous les partenaires, ne présente pas un caractère intentionnel de la part de TAGADAMEDIA et ne lui apporte d’ailleurs aucun avantage économique.
57. Enfin, la société précise qu’elle ne transmet plus à ses partenaires, depuis le 1er février 2023, les données de prospects n’ayant pas donné leur consentement ( ” non-opt-in ” ) .
58. La formation restreinte relève que la politique de protection des données à caractère personnel de la société indique que : ” En cas d’acceptation expresse de votre part, vos données pourront également être utilisées par Tagadamedia et/ou ses partenaires pour : • Vous envoyer des offres commerciales et promotionnelles par courrier électronique, y compris à caractère politique ou syndical, par courrier électronique, par SMS/MMS, par courrier postal ou par télémarketing • Vous transmettre des newsletters • Procéder à l’évaluation statistique de la fréquentation du site • Réaliser de la segmentation et des recoupement statistiques. Le fondement légal du traitement est le consentement “.
59. La formation restreinte considère que les finalités visées par la société comme relevant de la réalisation d’opérations techniques et de qualification, à savoir la normalisation postale, le dédoublonnage, l’enrichissement téléphonique, etc., participent à la réalisation des opérations de prospection commerciale de ses partenaires. Ces traitements sont réalisés sur la base de données transmises par la société TAGADAMEDIA, dans le cadre de contrats dont l’objet est, notamment avec la société […], ” l’intégration technique de la base de données TAGADAMEDIA SAS chez […] et de sa commercialisation en location par […] ” (article 1 du contrat).
60. La formation restreinte note que les données des personnes n’ayant pas consenti à leur transmission aux partenaires sont entièrement ou partiellement transmises aux sociétés partenaires à des fins d’opérations techniques et de qualification et sont utilisées, dans certains cas, à des fins de prospection.
61. La formation restreinte considère que dès lors qu’un prospect ne consent pas à la transmission de ses données aux partenaires de la société, celle-ci n’est pas autorisée à les transmettre, y compris à des fins de réalisation d’opérations techniques et de qualification.
62. Au demeurant, la formation restreinte note que la politique de confidentialité de la société ne précise pas que les données des utilisateurs ayant refusé la transmission de leurs données aux partenaires à des fins de prospection commerciale sont tout de même transmises à ces partenaires pour d’autres finalités et sur le fondement d’une autre base légale.
63. La formation restreinte relève que la société n’a eu connaissance de l’exploitation des données postales par ses partenaires à des fins de prospection commerciale, alors que les prospects avaient refusé la transmission de leurs données, qu’au moment du contrôle en 2022.
64. Elle estime que pour transmettre ces données à ses partenaires, et dans la mesure où elle a choisi la base légale du consentement pour les traitements relatifs à la prospection par voie postale ou par téléphone, la société aurait dû recueillir le consentement des personnes concernées, ce qui n’est pas le cas en l’espèce.
65. La formation restreinte conclut, ainsi, qu’un manquement à l’article 6 du RGPD est constitué. Elle note toutefois que la société ne procède plus, depuis le 1er février 2023, à la transmission de données de prospects ” non-opt-in ” à ses partenaires.
B. Sur le manquement à l’obligation de mettre en œuvre un registre des activités de traitement
66. L’article 30 du Règlement dispose que le responsable de traitement, quel que soit le nombre de ses employés, a l’obligation de tenir un registre des activités de traitement, dès lors que le traitement des données à caractère personnel n’est pas occasionnel. Dans ce cas, le registre des activités de traitement doit comporter toutes les informations listées au 1. de l’article 30 du RGPD, à savoir : le nom et les coordonnées du responsable de traitement, de son représentant et du délégué à la protection des données, les finalités du traitement, les catégories de personnes concernées et les catégories de données à caractère personnel, les éventuels transferts de données et, dans la mesure du possible, les délais prévus pour l’effacement des données et la description des mesures techniques et organisationnelles mises en œuvre pour garantir un niveau de sécurité des données adapté au risque.
67. La rapporteure a constaté que la société partage un registre des activités de traitement avec la société […]. Or ce registre ne précise pas laquelle des sociétés agit en qualité de responsable de traitement.
68. En défense, la société relève tout d’abord qu’elle a bien mis en place un registre des activités de traitement et qu’il s’agit d’un modèle de registre simplifié proposé par la CNIL. Elle ajoute que ce registre comprend bien toutes les mentions prévues à l’article 30 du RGPD.
69. Elle ajoute qu’il est relativement rare que la CNIL sanctionne des organismes sur le fondement de l’article 30 du RGPD et que les décisions qui visent ce manquement concerneraient des faits plus graves (absence totale de registre, absence de mise en conformité après une mise en demeure, etc.).
70. La formation restreinte relève que la société TAGADAMEDIA met en œuvre un registre des activités de traitement, tenu en commun avec la société […], rachetée par elle, pour des traitements relatifs aux ressources humaines ou aux activités de prospection.
71. La formation restreinte note que ledit registre ne distingue pas quelle société agit en qualité de responsable de traitement pour l’activité en question. En effet, il n’est pas précisé pour les activités de ressources humaines ou de prospection si c’est la société TAGADAMEDIA ou la société […] qui agit en qualité de responsable de traitement. Or la société TAGADAMEDIA aurait dû, au regard du nombre de données traitées et de son activité, veiller au caractère exhaustif, précis et à jour de son registre des activités de traitement.
72. Il résulte de ce qui précède que le manquement à l’article 30 du RGPD est caractérisé.
73. La formation restreinte note que la société a mis à jour son registre des activités de traitement qui est désormais conforme aux exigences du RGPD.
C. Sur le manquement à l’obligation d’assurer la sécurité des données à caractère personnel
74. L’article 32, paragraphe 1, du RGPD prévoit que ” Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque […] ” et notamment ” des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ” et d’une ” procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement “.
75. La rapporteure relève que dans le cadre du contrôle effectué sur place le 19 mai 2022, la société a indiqué qu’” il existe un seul compte administrateur de la base de données. Il est partagé par Monsieur […] et le directeur technique “. Elle considère que cette pratique n’est pas conforme aux exigences de sécurité et rappelle que conformément aux règles élémentaires relatives à la sécurité des systèmes d’information, pour être efficace, un mot de passe doit demeurer secret et individuel. Or, l’utilisation de comptes non individuels ne permet pas d’identifier de façon précise les connexions et de tracer les usages et actions réalisées par les personnes ayant accès au compte administrateur.
76. En défense, la société affirme que l’authentification et l’accès à la base de données sont rendus possibles via deux étapes d’authentification : une connexion par VPN grâce à une clé d’authentification individuelle et une seconde étape d’authentification au compte d’administration partagé entre les deux salariés habilités. La connexion VPN se fait grâce à un processus d’édition de clés d’authentification individuelles, les clés n’étant pas partagées entre les salariés.
77. Elle ajoute que les arguments de la rapporteure ne sont pas pertinents au regard de la taille et de la structure de TAGADAMEDIA.
78. La formation restreinte considère que la connexion au VPN au moyen de clés d’authentification individuelles constitue une bonne pratique et qu’elle permet, au regard du nombre restreint de personnes accédant au compte d’administration et de leur qualité, d’imputer les accès et actions effectuées au sein de la base de données par un compte administrateur partagé en cas de nécessité.
79. La formation restreinte conclut, compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques, que la société avait mis en œuvre les mesures techniques appropriées afin de garantir un niveau de sécurité adapté au risque.
80. Il résulte ce qui précède que le manquement à l’article 32 du RGPD n’est pas constitué.
II. Sur le prononcé de mesures correctrices
81. L’article 20 de la loi n° 78-17 du 6 janvier 1978 modifiée prévoit que : ” lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […]2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’Etat, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; […] 7° À l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83 “.
82. L’article 83 du RGPD prévoit quant à lui que : ” Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives “, avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.
83. La société indique qu’elle estime que le montant proposé par la rapporteure, de cinq-cent-mille euros, n’est pas proportionné au regard de la gravité des faits reprochés. La société évoque les lignes directrices 04/2022 du CEPD du 12 mai 2022 sur le calcul du montant des amendes administratives. A la lumière de ces lignes directrices, elle rappelle que les traitements entrepris n’emportent pas une sensibilité particulière, que le traitement n’est pas transfrontalier, que le préjudice subi par les prospects n’est pas substantiel et qu’elle n’a pas souhaité tromper les prospects dans le cadre de la collecte des données.
84. En premier lieu, la formation restreinte rappelle qu’elle doit tenir compte, pour le prononcé d’une amende administrative, des critères précisés à l’article 83 du RGPD, tels que la nature, la gravité et la durée de la violation, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données à caractère personnel concernées par la violation.
85. S’agissant de l’obligation de disposer d’une base légale pour les traitements mis en oeuvre, la formation restreinte insiste d’abord sur le fait que l’écosystème de la revente de données de partenaires en partenaires exige des garanties particulièrement fortes quant à la qualité et à la validité du consentement obtenu par le primo-collectant des données et dont les partenaires se prévalent à des fins de prospection commerciale. Elle rappelle que l’absence de recueil d’un consentement valide prive de base légale la transmission des données de prospects à des partenaires, qui apparait dès lors illicite. Elle considère que les exigences doivent être particulièrement renforcées s’agissant des modalités de recueil du consentement des utilisateurs des sites web édités par la société, dont l’objet est d’offrir des perspectives de gains, ces personnes n’ayant pas nécessairement conscience de la portée de leur accord dans le cadre de leur inscription. Elle souligne également que la base de données de prospects de la société compte environ six millions de prospects.
86. La formation restreinte note également que, en transmettant des données de prospects à ses partenaires à des fins d’opérations techniques et de qualification alors que ce traitement relève de la prospection commerciale et que les personnes concernées n’ont pas spécifiquement consenti à cette transmission, la société TAGADEMEDIA ne disposait pas d’une base juridique. La formation restreinte relève que la société a cessé cette pratique.
87. S’agissant du manquement à l’obligation de mettre en œuvre un registre des activités de traitement, la formation restreinte estime que même si ce manquement est de faible gravité, le prononcé d’une amende apparaît justifié.
88. Au vu de l’ensemble de ces éléments, la formation restreinte considère qu’il y a lieu de prononcer une amende administrative pour les manquements aux articles 6 et 30 du RGPD.
89. En deuxième lieu, s’agissant du montant de l’amende administrative, la formation restreinte rappelle que certaines violations du RGPD relevées comportent des manquements à des principes susceptibles de faire l’objet, en vertu de l’article 83 du RGPD, d’une amende pouvant s’élever jusqu’à 20 000 000 euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.
90. Elle considère que l’activité de la société et sa situation financière doivent notamment être prises en compte.
91. Dès lors, au regard de la responsabilité de la société, de ses capacités financières, de sa coopération au cours de la procédure et des critères pertinents de l’article 83, paragraphe 2, du RGPD, la formation restreinte estime qu’une amende de soixante-quinze mille euros apparaît justifiée.
92. En troisième lieu, s’agissant du prononcé d’une injonction, la formation restreinte relève que le consentement recueilli par le biais du formulaire de collecte proposé par la société dans le cadre de ses premières observations et visé aux paragraphes 47 et 48 ne présente toujours pas un caractère univoque. La formation restreinte considère qu’il est nécessaire de prononcer une injonction sur ce point.
93. Au regard de ces éléments, la formation restreinte considère comme justifié le prononcé d’une astreinte d’un montant de mille (1 000) euros par jour de retard et liquidable à l’issue d’un délai d’un mois.
94. En quatrième lieu, s’agissant de la publicité de la sanction, la société soulève les conséquences désastreuses pour sa réputation en la désignant comme un acteur négligent alors même qu’elle est réellement investie dans le respect des normes du RGPD. Cette publicité impacterait aussi bien sa réputation auprès de ses partenaires économiques que des internautes. Elle demande donc que la décision ne soit pas publique ou, à défaut, qu’elle soit anonymisée dans les quinze jours suivant la publication.
95. La formation restreinte considère que la publicité de la présente décision se justifie au regard de la gravité de certains des manquements en cause, de la portée du traitement et du nombre de personnes concernées, soit environ 6 millions de prospects.
96. Elle relève également que cette mesure permettra d’informer les personnes concernées par les opérations de prospection de la société. Cette information leur permettra, le cas échéant, de faire valoir leurs droits auprès de la société.
97. Enfin, elle estime que cette mesure est proportionnée dès lors que la décision n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide de :
• prononcer une amende administrative à l’encontre de la société TAGADAMEDIA d’un montant de soixante-quinze mille ( 75 000 €) pour manquements aux articles 6 et 30 du RGPD ;
• prononcer à l’encontre de la société TAGADAMEDIA une injonction de mettre en œuvre sur les sites qu’elle édite un formulaire de collecte des données de prospects permettant de recueillir un consentement libre, spécifique, éclairée et univoque quant à la transmission de leurs données à caractère personnel à des partenaires à des fins de prospection ;
• assortir l’injonction d’une astreinte de mille (1 000) euros par jour de retard à l’issue d’un délai d’un mois suivant la notification de la présente délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai ;
• rendre publique, sur le site web de la CNIL et sur le site web de Légifrance, sa délibération, qui ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication.
Le président
Alexandre LINDEN
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.
