Le 31 janvier 2024, la CNIL a sanctionné la société FORIOU d’une amende de 310 000 euros pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées.
Le contexte
FORIOU procède à des campagnes de démarchage par téléphone pour promouvoir les programmes et cartes de fidélité qu’elle commercialise. Les données des prospects démarchés sont achetées par FORIOU auprès de courtiers en données, éditeurs de sites de jeux-concours et de tests de produits.
Sur la base des constatations effectuées lors de contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte ne permettait pas de recueillir un consentement valide des personnes concernées. La société FORIOU ne disposait donc d’aucune base légale lui permettant d’utiliser ces données à des fins de prospection, en violation des dispositions de l’article 6 du règlement général sur la protection des données (RGPD).
Elle a prononcé à son encontre une amende de 310 000 euros rendue publique.
Le montant de cette amende, qui représente environ 1 % du chiffre d’affaires de la société, a notamment été décidé au regard de la gravité du manquement retenu et de la responsabilité endossée par l’organisme utilisant les données collectées.
Une absence de consentement libre et univoque et une information insuffisante
Pour réaliser ses campagnes de démarchage téléphonique, la société FORIOU achète des données de prospects auprès de plusieurs courtiers en données. La collecte de ces données est effectuée par les courtiers via des formulaires de participation à des jeux-concours ou à des tests de produits en ligne sur différents sites web.
La formation restreinte considère que l’apparence trompeuse de ces formulaires ne permet pas de recueillir un consentement libre et univoque, conforme aux exigences du RGPD, qui permettrait de fonder les opérations de prospection de la société.
Exemples de formulaires utilisés par les courtiers :
En effet, la mise en valeur des boutons entraînant la transmission de ses données à des fins de prospection commerciale (par leur taille, leur couleur, leur intitulé et leur emplacement), comparée aux liens hypertextes permettant de participer au jeu sans accepter cette transmission (d’une taille nettement inférieure et se confondant avec le corps du texte) oriente fortement les utilisateurs à accepter.
Il appartient à la société, en tant qu’utilisatrice des données recueillies, de s’assurer que les personnes concernées ont exprimé un consentement valide. À cet égard, la formation restreinte a relevé que, même si la société a imposé certaines exigences contractuelles à ses fournisseurs de données en amont, aucun contrôle effectif de ces exigences n’était opéré en aval. La CNIL a, à cet égard, constaté une proportion importante de fichiers de prospects non conformes.
En outre, les formulaires de jeux-concours à partir desquels les données des prospects étaient collectées ne mentionnaient pas systématiquement la société FORIOU dans la liste des partenaires susceptibles de démarcher les personnes concernées.
La décision