La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Alexandre LINDEN, président, M. Philippe-Pierre CABOURDIN, vice-président, Mme Isabelle LATOURNARIE-WILLEMS et MM. Alain DRU et Bertrand du MARAIS, membres ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;
Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;
Vu la décision n° 2021-191C du 29 juin 2021 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par la société SFK GROUP, par ses filiales ou pour son compte, en tout lieu susceptible d’être concerné par leur mise en œuvre ;
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 4 avril 2022 ;
Vu le rapport de Mme Valérie PEUGEOT, commissaire rapporteure, notifié à la société FORIOU le 23 août 2023 ;
Vu les observations écrites versées par la société FORIOU le 29 septembre 2023 ;
Vu la réponse de la rapporteure à ces observations, notifiée à la société le 20 octobre 2023 ;
Vu la clôture de l’instruction, notifiée à la société le 22 novembre 2023 ;
Vu les observations orales formulées lors de la séance de la formation restreinte du 7 décembre 2023 ;
Vu la délibération avant-dire droit de la formation restreinte n°SAN-2023-020 du 14 décembre 2023 ;
Vu les observations écrites versées par la rapporteure le 21 décembre 2023 ;
Vu les observations écrites versées par la société le 28 décembre 2023 ;
Vu les observations orales formulées lors de la séance de la formation restreinte du 18 janvier 2024 ;
Vu la note en délibéré transmise par la société le 29 janvier 2024 ;
Vu les autres pièces du dossier ;
Étaient présents, lors de la séance de la formation restreinte :
- Mme Valérie PEUGEOT, commissaire, entendue en son rapport ;
En qualité de représentants de la société FORIOU :
- […]
La société FORIOU ayant eu la parole en dernier ;
La formation restreinte a adopté la décision suivante :
I. Faits et procédure
1. La société FORIOU (ci-après " la société "), dont le siège social est situé 23/25 avenue Kléber à Paris (16ème), est une filiale de la société SFK GROUP. Elle a pour activité la commercialisation et la gestion de programmes et de cartes de fidélité. Elle n’emploie aucun salarié mais s’attache, pour la conduite de ses activités, les services du personnel d’autres sociétés du groupe. La société a indiqué recenser […] clients au 5 octobre 2021. Son chiffre d’affaires pour l’année 2021 s’est élevé à […] euros, pour un résultat net déficitaire […] euros.
2. Afin de promouvoir ses programmes, la société procédait, jusqu’en 2021, à des campagnes de démarchage par téléphone à partir de fichiers de prospects achetés auprès de deux partenaires principaux, les sociétés […] et […].
3. Le 23 septembre 2021, une délégation de la Commission nationale de l’informatique et des libertés (ci-après " la Commission " ou " la CNIL ") a procédé à un contrôle dans les locaux de la société, afin de vérifier le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après " la loi Informatique et Libertés " ou " loi du 6 janvier 1978 modifiée ") et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (ci-après le " Règlement " ou " RGPD ").
4. Le procès-verbal n° 2021-191/1, dressé le jour du contrôle, a été notifié à la société le 30 septembre 2021.
5. La société a communiqué des pièces complémentaires les 5 octobre et 22 novembre 2021.
6. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 4 avril 2022, désigné Mme Valérie PEUGEOT en qualité de rapporteure sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.
7. Le 8 juin 2023, la rapporteure a adressé une demande complémentaire à laquelle la société a répondu le 23 juin 2023.
8. Le 23 août 2023, à l’issue de son instruction, la rapporteure a fait notifier à la société un rapport détaillant les manquements aux articles 6 et 32 du RGPD qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de prononcer une amende administrative à l’encontre de la société. Il proposait également que cette décision soit rendue publique.
9. Le 29 septembre 2023, la société a produit des observations en réponse au rapport de sanction.
10. La rapporteure a répondu aux observations de la société le 20 octobre 2023.
11. Le 22 novembre 2023, la rapporteure a, en application du III de l’article 40 du décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi Informatique et Libertés, informé la société et le président de la formation restreinte que l’instruction était close.
12. Le même jour, la société a été informée que le dossier était inscrit à l’ordre du jour de la formation restreinte du 7 décembre 2023.
13. La formation restreinte a tenu une séance le 7 décembre 2023.
14. Par délibération avant-dire droit n°SAN-2023-020 du 14 décembre 2023, envoyée par courrier électronique à la société le même jour et notifiée par voie postale le 20 décembre 2023, la formation restreinte a demandé à la société FORIOU et à la rapporteure la production d’une pièce complémentaire, évoquée par la société lors de la séance du 7 décembre 2023.
15. Le 21 décembre 2023, la rapporteure a communiqué à la formation restreinte une pièce intitulée " leads_701_23-09-2021 […] ".
16. Le 28 décembre 2023, la société a communiqué à la formation restreinte une pièce également intitulée " leads_701_23-09-2021 […] ".
17. En application de l’article 41 du décret n°2019-536 du 29 mai 2019, une convocation à la séance de la formation restreinte du 18 janvier 2024 a été notifiée à la société FORIOU le 20 décembre 2023.
18. La rapporteure et la société ont présenté des observations orales lors de la séance de la formation restreinte.
II. Motifs de la décision
A. Sur le manquement à l’obligation de traiter les données de manière licite
19. Aux termes de l’article 6 du RGPD, " 1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ".
20. La formation restreinte rappelle que les actions de prospection commerciale par appels téléphoniques peuvent être réalisées sur la base légale de l’intérêt légitime de la société (f) ou sur celle du consentement (a).
21. En l’espèce, la société a indiqué réaliser des opérations de prospection commerciale par téléphone à partir de fichiers de prospects achetés auprès de plusieurs fournisseurs de données, ces derniers procédant à la collecte desdites données par l’intermédiaire de formulaires de participation à des jeux-concours en ligne.
22. La formation restreinte relève que la société n’a pas été en mesure, ni dans ses observations écrites, ni dans ses observations orales lors de la séance, d’indiquer précisément sur quelle base légale elle se fondait pour procéder à de tels traitements. Dans ces conditions, les deux bases légales susceptibles d’être applicables en l’espèce seront examinées successivement.
1) Sur l’intérêt légitime
23. La rapporteure soutient que, pour fonder ses opérations de prospection commerciale par téléphone, la société ne peut se prévaloir de la base légale de l’intérêt légitime visée au point f) de l’article 6, paragraphe 1 du RGPD. Elle relève ainsi, s’agissant des formulaires de participation à des jeux-concours en ligne par l’intermédiaire desquels la société […] collecte les données des prospects qu’elle revend à la société FORIOU, que cette dernière n’est pas systématiquement mentionnée dans la liste des partenaires susceptibles de démarcher les personnes concernées, et qu’ainsi ces dernières ne peuvent légitimement s’attendre à recevoir des offres commerciales de cette société.
24. En défense, la société se prévaut des engagements contractuels de la société […], qui prévoient que la société FORIOU doit être mentionnée parmi les destinataires des données collectées. Elle considère qu’elle ne saurait être tenue pour responsable des manquements de son prestataire, et produit un exemple de formulaire mis en œuvre par la société […] contenant un lien URL renvoyant à une liste des partenaires, parmi lesquels figure la société SFAM (un lien vers la politique de confidentialité de cette dernière permettant d’accéder à la liste complète des sociétés faisant partie du même groupe que SFAM, dont la société FORIOU). Enfin, la société affirme mettre en œuvre des contrôles réguliers relatifs à la conformité des fichiers livrés.
25. La formation restreinte rappelle que, si la prospection commerciale par voie non électronique peut être réalisée sur la base de l’intérêt légitime de la société, cette dernière doit s’assurer que le traitement ne heurte pas les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables.
26. A cet égard, le considérant 47 du RGPD dispose que : " […] l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée. Les intérêts et les droits fondamentaux de la personne pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur […]. ".
27. La formation restreinte relève tout d’abord qu’il résulte de ces dispositions qu’en sa qualité de responsable de traitement, la société FORIOU est tenue de vérifier elle-même que les conditions lui permettant de réaliser des opérations de prospection commerciale sont réunies. A cet égard, la responsabilité d’un organisme a pu être retenue en considérant qu’un simple engagement contractuel de son courtier en données à respecter le RGPD et les règles applicables en matière de prospection commerciale ne constituait pas une mesure suffisante (CNIL, FR, 24 novembre 2022, Sanction, n° D-SAN-2022-021, publié).
28. Ainsi, s’agissant des engagements contractuels de la société […] dont se prévaut la société FORIOU, la formation restreinte considère que les obligations contractuelles pouvant être imposées aux fournisseurs ne sauraient exonérer la société FORIOU de sa responsabilité en tant que responsable de traitement, malgré l’existence éventuelle d’une responsabilité des fournisseurs.
29. Par ailleurs, s’agissant des vérifications que la société affirme réaliser sur les formulaires à partir desquels les données sont collectées, la formation restreinte relève qu’elle ne produit aucun élément permettant d’en attester, les engagements contractuels de ses fournisseurs ne constituant pas une mesure de contrôle en tant que telle.
30. En l’espèce, la formation restreinte relève que certains formulaires de jeu-concours à partir desquels la société […] collecte des données de prospects qu’elle transmet à la société FORIOU ne permettent pas aux personnes concernées de s’attendre raisonnablement à recevoir des offres de prospection commerciale de la part de cette société.
31. Ainsi, s’agissant du formulaire accessible depuis le site web […], la formation restreinte observe que ce dernier contient un lien hypertexte renvoyant à une liste nominative de partenaires et non à des catégories de partenaires. Ainsi, les personnes concernées peuvent légitimement s’attendre à ce que cette liste de partenaires soit exhaustive. Or, ladite liste ne mentionne pas la société FORIOU.
32. Concernant les formulaires présents sur les sites […] (ce formulaire renvoyant au site […]) et […], la formation restreinte relève qu’ils ne mentionnent pas la liste des partenaires ou des catégories de partenaires auxquels les données sont susceptibles d’être transmises, et qu’ils ne contiennent en outre aucun lien permettant d’accéder à une telle liste.
33. La formation restreinte considère que dans ces conditions, la protection des intérêts, libertés et droits fondamentaux des personnes concernées prime sur les intérêts légitimes de la société, et que cette dernière ne peut dès lors se prévaloir de la base légale mentionnée à l’article 6, paragraphe 1, f) pour fonder ses opérations de prospection commerciale par téléphone.
2) Sur le consentement
34. La rapporteure considère que, pour fonder ses opérations de prospection commerciale par téléphone, la société ne peut se prévaloir de la base légale du consentement visée au point a) de l’article 6, paragraphe 1, du RGPD. Elle relève que les constatations réalisées par la délégation ont permis d’établir que les courtiers en données auprès desquels se fournit la société FORIOU collectent lesdites données par l’intermédiaire de formulaires de participation à des jeux-concours en ligne, dont la conception ne permet pas aux utilisateurs de manifester leur consentement par un acte positif clair et dénué d’ambigüité, et les incite fortement à accepter la transmission de leurs données aux partenaires de la société à des fins de prospection.
35. En défense, la société se prévaut des termes du contrat passé avec la société […]. Elle prend note des constats matérialisés, mais indique que, si les manquements existent, ils ne sont représentatifs ni d’une volonté de méconnaître ses obligations, ni de pratiques généralisées. Elle fournit à cet égard deux exemples de formulaires de collecte mis en œuvre par ses fournisseurs, qu’elle estime conformes. Enfin, elle fait état de contrôles réalisés sur les fichiers à la suite de leur mise à disposition par le prestataire, et insiste sur l’impossibilité, compte tenu de la volumétrie de ces fichiers, de mettre en œuvre un contrôle unitaire.
36. La formation restreinte rappelle qu’aux termes de l’article 4, paragraphe 11, du RGPD, on entend par " consentement " de la personne concernée " toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ".
37. S’agissant des opérations de prospection commerciale, elle souligne que lorsque les données des prospects n’ont pas été collectées directement auprès d’eux par l’organisme qui prospecte, le consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte de l’organisme qui réalisera les opérations de prospection ultérieures. À défaut, il revient à l’organisme qui prospecte de recueillir un tel consentement avant de procéder à des actes de prospection (CNIL, FR, 24 novembre 2022, Sanction, n°SAN-2022-021, publié)
38. En premier lieu, s’agissant des engagements contractuels de la société […] dont se prévaut la société FORIOU, la formation restreinte renvoie aux éléments développés aux points 27 et 28. Elle rappelle en outre que, si le caractère intentionnel de la violation doit être pris en compte pour décider s’il y a lieu de prononcer une amende et pour décider de son montant, il est sans incidence sur la caractérisation du manquement, ce dernier pouvant résulter d’une négligence. Il en va de même du caractère généralisé ou non dudit manquement.
39. En deuxième lieu, la formation restreinte rappelle que le consentement mentionné par les dispositions de l’article 6, paragraphe 1, a) du RGPD, qui permet de fonder un traitement de données à caractère personnel, ne peut résulter que d’un consentement exprès de l’utilisateur, donné en toute connaissance de cause après une information adéquate sur l’usage qui sera fait de ses données personnelles. Il convient ainsi de s’assurer que les personnes concernées ont donné un consentement univoque, spécifique, libre et éclairé lors de la collecte de leurs données à caractère personnel par le biais des formulaires de participation à des jeux-concours.
40. La formation restreinte relève à cet égard que les travaux conduits sur les pratiques mises en œuvre en matière de cookies s’agissant des bannières de recueil du consentement peuvent utilement servir à apprécier de manière plus générale les conditions de recueil d’un consentement libre, univoque, spécifique et éclairé, et servir de référence en matière de prospection commerciale lorsqu’elle est fondée sur le recueil du consentement.
41. Par ailleurs, sur les mêmes conditions du consentement, la Cour de justice de l’Union européenne (ci-après " CJUE ") a précisé, dans sa décision Planet49 GmbH : " l’article 7, sous a) de la direc-tive 95 prévoit que le consentement de la personne concernée peut rendre un tel traitement licite pour autant que ce consentement est " indubitablement " donné par la personne concernée. Or, seul un comportement actif de la part de cette personne en vue de manifester son consentement est de nature à remplir cette exigence " (CJUE, grande chambre, 1er octobre 2019, Planet49 GmbH, C-673/17, ECLI:EU:C:2019:801, §54). Dès lors, il convient de considérer qu’à défaut d’être donné indubitablement, le consentement doit être considéré comme faisant défaut, ce qui rend le traitement illégal pour défaut de base légale. Plus précisément sur les modalités de recueil, la CJUE affirme que " la manifestation de volonté visée à l’article 2, sous h), de la directive 95/46 doit, notamment, être " spécifique ", en ce sens qu’elle doit porter précisément sur le traitement de données concerné et ne saurait être déduite d’une manifestation de volonté ayant un objet distinct. En l’occurrence, contrairement à ce qu’a fait valoir Planet49, le fait pour un utilisateur d’activer le bouton de participation au jeu promotionnel organisé par cette société ne saurait dès lors suffire pour considérer que l’utilisateur a valablement donné son consentement au placement de coo-kies " (Idem, §§ 58-59).
42. En outre, le Conseil d’Etat a retenu que " le consentement libre, spécifique, éclairé et univoque ne peut qu'être un consentement exprès de l'utilisateur, donné en toute connaissance de cause et après une information adéquate sur l'usage qui sera fait de ses données personnelles. " (CE, 10ème et 9ème chambres réunies, 19 juin 2020, Google LLC, n° 430810, pt. 21).
43. La formation restreinte relève également, à titre d’exemple, que les lignes directrices 5/2020 sur le consentement, adoptées le 4 mai 2020 par le groupe de travail " article 29 " (devenu le Comité européen de la protection des données, ci-après " CEPD "), précisent que le caractère libre du consentement " implique un choix et un contrôle réel pour les personnes concernées. En règle générale, le RGPD dispose que si la personne concernée n’est pas véritablement en mesure d’exercer un choix, se sent contrainte de consentir ou subira des conséquences négatives importantes si elle ne donne pas son consentement, le consentement n’est pas valable […] En termes généraux, toute pression ou influence inappropriée exercée sur la personne concernée (pouvant se manifester de différentes façons) l’empêchant d’exercer sa volonté rendra le consentement non valable ".
44. A titre d’illustration et de comparaison, dans sa délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux " cookies et autres traceurs ", la Commission recommande aux organismes concernés de s’assurer " que les utilisateurs prennent la pleine mesure des options qui s’offrent à eux, notamment au travers du design choisi et de l’information délivrée (§ 10) […] Afin de ne pas induire en erreur les utilisateurs, la Commission recommande que les responsables de traitement s’assurent que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre. Il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique " (§ 34). Elle ajoute qu’il convient " d’être attentif à ce que l’information accompagnant chaque élément actionnable permettant d’exprimer un consentement ou un refus soit facilement compréhensible et ne nécessite pas d’efforts de concentration ou d’interprétation de la part de l’utilisateur. Ainsi, il est notamment recommandé de s’assurer qu’elle n’est pas rédigée de telle manière qu’une lecture rapide ou peu attentive pourrait laisser croire que l’option sélectionnée produit l’inverse de ce que les utilisateurs pensaient choisir. " (§ 23). A défaut, le caractère univoque du consentement ne serait pas caractérisé.
45. La formation restreinte rappelle également que des études menées sur les pratiques des interfaces numériques, en particulier concernant les cookies, relèvent l’impact considérable de l’apparence des bannières de recueil du consentement sur le choix des utilisateurs, pouvant inciter ces derniers à faire des choix ne reflétant pas leurs préférences sur le partage des données.
46. En l’espèce, il ressort des pièces du dossier que les sociétés […] et […], fournisseurs des données de prospects à la société FORIOU, collectent les données des personnes concernées (nom, prénom, civilité, adresse électronique, numéro de téléphone mobile, date de naissance et adresse postale) par l’intermédiaire de formulaires de participation à des jeux-concours en ligne, afin de permettre à leurs partenaires de les utiliser dans le cadre de leur prospection commerciale.
47. S’agissant des constatations réalisées par la délégation lors du contrôle, la formation restreinte relève que les formulaires accessibles à partir des sites web […], […], […] et […] se présentent de façon similaire. Sous les champs permettant aux personnes concernées d’inscrire leurs coordonnées (qui leur sont demandées par les formules " remplissez vos coordonnées ci-dessous en cas de gain " ou " remplissez vos coordonnées ci-dessous pour postuler ") est situé un bouton " VALIDER ", " JE VALIDE " ou " JE REPONDS AUX QUESTIONS POUR POSTULER ". Au-dessus ou en-dessous de ce bouton, un texte précise qu’en cliquant sur ce dernier, l’utilisateur déclare avoir lu la politique de protection des données de la société et accepte que les données collectées soient utilisées pour lui envoyer les offres des partenaires de la société. Des liens hypertextes permettent d’accéder à la politique de protection des données et à la liste des partenaires concernés. La fin du texte précise que si l’utilisateur souhaite continuer sans recevoir les offres des partenaires de la société, il peut cliquer sur un lien présent dans le texte (" cliquez ici ").
48. Ainsi, l’utilisateur confronté à ce formulaire peut, soit cliquer sur un bouton permettant à la fois de valider sa participation au jeu et d’accepter que ses données soient utilisées pour lui envoyer les offres des partenaires de la société, soit cliquer sur le lien " cliquez ici " permettant de continuer sans recevoir ces offres.
49. La formation restreinte considère que tels que conçus, les formulaires proposés ne permettent pas aux personnes concernées d’exprimer de manière valable un choix reflétant leurs préférences en matière de transmission de données à des fins de prospection commerciale. L’aperçu global des interfaces met particulièrement en valeur le bouton " VALIDER ", " JE VALIDE " ou " JE REPONDS AUX QUESTIONS POUR POSTULER " qui, par sa taille et sa couleur, se distingue des autres informations délivrées. De même, son intitulé évoque davantage la conclusion du parcours utilisateur plutôt qu’une transmission de données à des partenaires. Enfin, son emplacement donne l’impression de devoir obligatoirement être cliqué pour terminer l’inscription et participer au jeu-concours. A contrario, le lien hypertexte permettant de participer au jeu sans accepter la transmission de ses données aux partenaires est présenté dans le corps du texte, en caractères d’une taille nettement inférieure à celle utilisée pour les boutons et sans mise en valeur particulière, de sorte qu’il n’apparait pas intuitif qu’il est possible de participer sans cliquer sur l’un des boutons précités et donc sans transmettre ses données à des tiers à des fins de prospection. Le consentement recueilli est donc dépourvu d’un caractère univoque et libre.
50. La formation restreinte note par ailleurs que, dans le cadre de ses observations écrites, la société a produit deux autres formulaires, présentés comme conformes. Or, la formation restreinte relève que leur conception ne permet pas davantage aux personnes concernées de manifester leur consentement par un acte positif clair et dénué d’ambigüité.
51. D’une part, la formation restreinte observe que la présentation de ces formulaires, à l’instar de ceux consultés par la délégation lors du contrôle sur place, met particulièrement en valeur le bouton " VALIDER MES COORDONNEES " et " CONTINUER ", pour valider la participation au jeu et transmettre ses données aux partenaires. Au contraire, le lien hypertexte " cliquez ici " permettant de participer au jeu sans accepter cette transmission est présenté dans le corps du texte, en caractères d’une taille nettement inférieure à celle du bouton et sans mise en valeur particulière. De plus, le visuel global du formulaire accessible à partir du site […], qui contient trois encarts verts (" JE VALIDE MA PARTICIPATION ", " JE CONFIRME MES COORDONNEES POUR LA LIVRAISON EN CAS DE GAIN " et " VALIDER MES COORDONNES ") conduit à penser qu’il existe un séquençage logique entre ces trois actions et que le bouton " VALIDER MES COORDONNEES " est le dernier bouton à activer pour participer au jeu et obtenir son gain. Or, ce bouton n’est pas obligatoire puisque l’utilisateur peut utiliser le lien précité " cliquez ici ", ce qui n’est pas intuitif au regard de l’apparence générale du formulaire.
52. En outre, s’agissant du formulaire mis en œuvre par la société […] à partir du site […], la formation restreinte relève l’existence de deux cases à cocher, l’une concernant la lecture et l’acceptation du règlement du jeu, l’autre la lecture de la politique de confidentialité et l’acceptation de la transmission de ses données. L’aspect similaire de ces cases, présentées comme des mentions légales à lire obligatoirement, et dont le texte d’accompagnement commence par " j’ai lu ", pousse l’utilisateur à les cocher indistinctement, puis à cliquer sur " CONTINUER " en transmettant ses données. La possibilité de participer au tirage au sort sans recevoir d’offres promotionnelles existe en cliquant sur le lien " ici " mais est inscrite dans une police plus petite et sans mise en valeur par rapport au bouton " CONTINUER " qui d’une part, est particulièrement visible par sa taille, sa couleur et sa police, d’autre part, semble conclure le parcours utilisateur du fait de son emplacement en bas de formulaire. Ainsi, le caractère facultatif du bouton " CONTINUER " ne se déduit pas nettement du visuel global du formulaire.
53. D’autre part, la formation restreinte relève qu’un contrôle en ligne réalisé le 17 octobre 2023 a permis de révéler que, compte tenu de sa configuration, le formulaire visé au paragraphe précédent ne permettait matériellement pas à l’utilisateur de participer au jeu sans accepter la transmission de ses données aux partenaires de la société, et donc sans être destinataire de prospection commerciale, contrairement à ce qui est indiqué sur le formulaire.
54. La formation restreinte considère ainsi que les formulaires susvisés n’éclairent pas suffisamment les personnes concernées sur le fait qu’elles consentent à la transmission de leurs données à des fins de prospection commerciale, dans un contexte où l’objet même de ces sites web est d’offrir une perspective de gains ne pouvant laisser supposer l’objectif de collecte pérenne de ces données à de telles fins. Ces personnes ne sont pas mises en mesure de manifester leur consentement par un acte positif clair et dénué d’ambigüité.
55. En troisième et dernier lieu, s’agissant des vérifications que la société affirme réaliser sur les fichiers livrés, la formation restreinte observe que la société ne produit aucun élément permettant d’en attester.
56. D’une part, dans ses observations écrites du 29 septembre 2023, puis dans ses observations orales lors de la séance du 7 décembre 2023, la société a évoqué une pièce intitulée " leads_701_23-09-2021 […] ", recueillie lors du contrôle sur place et faisant état, selon elle, de " contrôles des fichiers de prospection réalisés à la suite de leur mise à disposition par le prestataire ". Par délibération n° SAN-2023-020 du 14 décembre 2023, la formation restreinte a sollicité de la rapporteure et de la société la production de cette pièce.
57. La formation restreinte relève que le fichier produit par la rapporteure, dont l’empreinte numérique atteste qu’il s’agit bien du fichier à partir duquel les constats ont été réalisés par la délégation lors du contrôle, ne contient aucun élément de nature à attester des vérifications dont se prévaut la société. Conformément à ce qui est mentionné sur le procès-verbal de contrôle, il s’agit d’un fichier de prospects (" leads ") livré par la société […] au groupe INDEXIA le 23 septembre 2021, contenant les données d’environ 15 000 prospects. Si, pour chacun de ces prospects, un lien URL devant permettre d’accéder à la source des données est présent, la formation restreinte relève qu’aucune mention ne fait état de vérifications qui auraient pu être réalisées par la société FORIOU ou le groupe INDEXIA. Lors de la séance du 18 janvier 2024, la société a indiqué de pas remettre en cause l’intégrité de cette pièce.
58. S’agissant du fichier produit par la société, la formation restreinte relève qu’il ne correspond pas à celui recueilli lors du contrôle, dans la mesure où son empreinte numérique et sa taille diffèrent. Elle relève en outre que cette différence est confirmée par son contenu puisque, contrairement aux constatations figurant au procès-verbal du 23 septembre 2021, il ne contient aucune donnée de prospects mais seulement des liens URL assortis de commentaires (" ok ", " une seule case à cocher ", " litigieux ").
59. Enfin, la formation restreinte observe que le contenu du fichier produit n’apparait pas cohérent avec la finalité invoquée dans la mesure où les commentaires sommaires et non datés qui y figurent ne sont reliés à aucune fiche de prospect et qu’il n’est par ailleurs pas démontré que les non conformités identifiées auraient fait l’objet de remontées à la société […]. La formation restreinte considère ainsi qu’en tout état de cause, un tel fichier ne permet pas de démontrer l’existence de vérifications réalisées sur les fichiers livrés.
60. D’autre part, s’agissant des autres pièces du dossier, la formation restreinte note qu’elles attestent exclusivement d’exigences imposées par la société FORIOU à la société […], préalablement à la reprise de leurs relations contractuelles, sans constituer des contrôles par la société FORIOU sur les pratiques ultérieures de son prestataire.
61. La formation restreinte relève en tout état de cause que la proportion de fichiers non conformes parmi ceux examinés de manière aléatoire par la délégation (soit quatre fichiers non conformes sur les sept examinés) démontre l’insuffisance des mesures prises par la société pour s’assurer de la validité du consentement des personnes concernées.
62. Dès lors, en l’absence de base légale permettant à la société FORIOU de fonder ses opérations de prospection commerciale par téléphone, la formation restreinte considère qu’un manquement à l’article 6 du RGPD est constitué.
B. Sur le manquement à l’obligation d’assurer la sécurité des données
63. Aux termes de l’article 32, paragraphe 1 du RGPD, " compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque […] " et notamment " des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement " et d’une " procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ".
64. La rapporteure relève que la société a indiqué conserver les données de ses clients pendant une durée de cinq ans à compter de la date de clôture du contrat, conformément aux délais légaux de prescription, précisant que ces données étaient conservées en base active, sans qu’aucun mécanisme d’archivage intermédiaire ne soit mis en œuvre. La rapporteure considère que ces modalités de conservation ne permettent pas de limiter l’accès aux données aux utilisateurs ayant besoin d’en connaître, dans la mesure où les personnes ayant intérêt à avoir accès à ces données pendant la durée du contrat continuent, même après la clôture de ce dernier, à pouvoir y accéder sans restriction pendant une durée de cinq ans, alors même que leurs fonctions ne leur imposent plus nécessairement d’en connaître.
65. En défense, la société ne conteste pas conserver les données de ses clients pendant une durée de cinq ans à compter de l’issue de la relation contractuelle, ni l’absence d’archivage intermédiaire, mais estime que la notion de " base active " constitue une terminologie restrictive dans la mesure où les informations accessibles durant la vie d’un contrat restent, pour la grande majorité d’entre elles, toujours nécessaires même après la clôture de ce dernier. Elle souligne également que la mise en place de mesures d’archivage intermédiaire pose la question du rapport entre l’effort d’investissement humain et financier qui serait nécessaire et le gain limité qui en découlerait.
66. La formation restreinte rappelle qu’il résulte des dispositions de l’article 32 du RGPD que le responsable de traitement doit mettre en place des mesures appropriées pour assurer la confidentialité des données et éviter que ces dernières soient traitées de façon illicite par le fait de personnes qui n’ont pas besoin d’en connaître (CNIL, FR, 29 octobre 2021, Sanction, n°SAN-2021-019, publié).
67. Ce besoin d’en connaître est susceptible d’évoluer en fonction du cycle de vie des données et des finalités pour lesquelles elles sont conservées. Ainsi, pendant la phase de leur utilisation courante, qui correspond à la durée nécessaire pour accomplir la finalité déterminée, les données sont conservées en " base active " et accessibles à l’ensemble des services chargés de la mise en œuvre du traitement. A l’issue de cette phase, lorsque les données ne sont plus utilisées pour atteindre l’objectif fixé mais qu’elles présentent encore un intérêt administratif pour l’organisme (par exemple pour la gestion d’un éventuel contentieux) ou doivent être conservées pour répondre à une obligation légale, elles doivent pouvoir être consultées uniquement de manière ponctuelle et motivée par des personnes spécifiquement habilitées, participant à l’objectif ayant justifié cette conservation, en faisant l’objet d’un archivage intermédiaire. Cet archivage intermédiaire nécessite d’opérer une séparation avec la base active, qui peut être physique (via un transfert des données au sein d’une base d’archives dédiée), ou logique (via la mise en place de mesures techniques et organisationnelles garantissant que seules les personnes ayant un intérêt à traiter les données en raison de leurs fonctions puissent y accéder).
68. La formation restreinte relève que la société ne conteste pas conserver les données de ses clients à l’issue de la relation contractuelle, sans qu’aucune mesure d’archivage intermédiaire n’intervienne. La formation restreinte rappelle que la cessation des relations contractuelles doit conduire à limiter l’accès aux données à certains salariés en raison de leurs fonctions. Néanmoins, la formation restreinte considère qu’en l’état, les éléments qui figurent au dossier ne permettent pas d’établir que des personnes auraient accès auxdites données sans avoir besoin d’en connaître.
69. Il résulte ce qui précède que le manquement à l’article 32 du RGPD n’est pas constitué.
III. Sur le prononcé de mesures correctrices et la publicité
70. Aux termes de l’article 20 de la loi n° 78-17 du 6 janvier 1978 modifiée : " Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […] 7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 ".
71. L’article 83 du RGPD prévoit que : " Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives ", avant de préciser les éléments devant être pris en compte pour décider s'il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.
72. En premier lieu, la formation restreinte rappelle qu’elle doit tenir compte, pour le prononcé d’une amende administrative, des critères précisés à l’article 83 du RGPD, tels que la nature, la gravité et la durée de la violation, le caractère délibéré ou non de la violation, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données à caractère personnel concernées par la violation.
73. La formation restreinte souligne que le manquement commis par la société porte sur des obligations touchant aux principes fondamentaux de la protection des données à caractère personnel.
74. En effet, la formation restreinte rappelle que la conséquence du manquement à l’obligation de disposer d’une base légale pour traiter les données des prospects dans le cadre de la prospection commerciale par téléphone est de priver de licéité les opérations visées.
75. Elle souligne que, si la société entend fonder ces dernières sur la base légale du consentement, l’écosystème de la revente des données de partenaires en partenaires exige des garanties particulièrement fortes quant à la qualité et à la validité du consentement obtenu par le primo-collectant des données et dont les partenaires se prévalent à des fins de prospection commerciale. Elle souligne qu’à cet égard, l’organisme qui se prévaut d’un tel consentement pour mener des opérations de prospection commerciale endosse une responsabilité essentielle lui imposant, en tant que responsable de traitement, de s’assurer que les conditions lui permettant de réaliser lesdites opérations sont réunies, indépendamment de la responsabilité éventuelle des fournisseurs de données, primo-collectants. La formation restreinte considère que ces exigences doivent être particulièrement renforcées s’agissant des modalités de recueil du consentement des utilisateurs des sites web dont l’objet est d’offrir des perspectives de gains, ces personnes n’ayant pas nécessairement conscience de la portée de leur accord dans le cadre de leur inscription.
76. La formation restreinte rappelle également l’importance, en l’absence de recueil d’un consentement valide, de permettre aux personnes concernées de mesurer l’ampleur des traitements dont leurs données sont susceptibles de faire l’objet. Ainsi, le fait qu’au moment de la collecte des données, une liste détaillée des partenaires susceptibles de réaliser des opérations de prospection commerciale soit mise à la disposition des personnes concernées, sans que la société FORIOU y figure, et sans que cette liste soit complétée par une mention précisant les catégories de partenaires dont pourrait faire partie la société FORIOU, prive les personnes concernées du socle minimal d’information permettant de préserver leurs intérêts, libertés et droits fondamentaux.
77. La formation restreinte insiste sur le fait que la société FORIOU, en tant que filiale de la société SFK GROUP, dispose de ressources humaines, financières et techniques suffisantes pour s’assurer du respect des règles relatives à la protection des données à caractère personnel.
78. Enfin, la formation restreinte entend tenir compte […]
79. Au vu de l’ensemble de ces éléments, la formation restreinte considère qu’il y a lieu de prononcer une amende administrative pour le manquement à l’article 6 du RGPD.
80. En deuxième lieu, s’agissant du montant de l’amende administrative, la formation restreinte rappelle que la violation relevée en l’espèce concerne un manquement susceptible de faire l’objet, en vertu de l’article 83 du RGPD, d’une amende administrative pouvant s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.
81. Elle considère que l’activité de la société et sa situation financière doivent notamment être prises en compte. Elle relève à cet égard qu’au titre de l’année 2021, la société a réalisé un chiffre d’affaires de […] euros, pour un résultat d’exploitation de […] euros. La formation restreinte note que, si la société présente un résultat net déficitaire de […] euros, ce n’est qu’en raison d’un abandon de créance de […] euros au groupe INDEXIA. Par ailleurs, ce résultat exceptionnel n’étant pas déductible, la société FORIOU a été soumise, pour l’année 2021, à un montant de […] euros au titre de l’impôt sur les sociétés. Compte tenu de l’ensemble de ces éléments, la formation restreinte considère que la situation financière de la société est saine.
82. Dès lors, au regard de la responsabilité de la société, de ses capacités financières et des critères pertinents de l’article 83, paragraphe 2, du RGPD évoqués ci-avant, la formation restreinte estime qu’une amende de trois cent dix mille euros (310 000 €) apparaît justifiée.
83. En troisième lieu, s’agissant de la publicité de la sanction, la formation restreinte considère que celle-ci se justifie au regard de la gravité du manquement en cause, de la position de la société sur le marché, de la portée du traitement et du nombre de personnes concernées.
84. Elle relève également que cette mesure a notamment vocation à informer les personnes concernées par les opérations de prospection de la société. Cette information leur permettra, le cas échéant, de faire valoir leurs droits.
85. Enfin, elle estime que cette mesure est proportionnée dès lors que la décision n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide de :
• prononcer une amende administrative à l’encontre de la société FORIOU d’un montant de trois cent dix mille euros (310 000 €) pour manquement à l’article 6 du RGPD ;
• rendre publique, sur le site web de la CNIL et sur le site web de Légifrance, sa délibération, qui ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication.
Le président
Alexandre LINDEN
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.