Le 15 mai 2025, la Formation restreinte de la Commission Nationale de l'Informatique et des Libertés (CNIL) a prononcé une sanction de 900 000 euros à l'encontre de la société SOLOCAL MARKETING SERVICES pour des manquements graves aux règles encadrant la prospection commerciale et la protection des données personnelles.
- Cette décision s'inscrit dans le cadre des contrôles menés en 2022 par la CNIL sur la prospection commerciale, avec une attention particulière portée aux pratiques des courtiers en données (data brokers).
- La société SOLOCAL MARKETING SERVICES, acteur majeur du marché, acquiert des données de prospects auprès de divers fournisseurs pour :
- Réaliser des campagnes de démarchage par SMS et par mail pour ses clients annonceurs
- Transmettre ces données directement à ses clients pour leurs propres opérations de prospection (par téléphone et par courrier)
Principaux manquements
1. Absence de consentement valable à la prospection par mail (Article L.34-5 du CPCE)
- Les formulaires utilisés par les courtiers en données partenaires présentaient une apparence trompeuse
- La mise en forme des boutons de consentement (taille, couleur, emplacement) induisait fortement l'utilisateur en erreur
- Les options de refus étaient visuellement minimisées et difficiles à repérer
2. Incapacité à démontrer le consentement (Article 7 du RGPD)
- SOLOCAL MARKETING SERVICES n'a pas pu fournir la preuve du consentement des personnes dont les données lui avaient été transmises par l'un de ses principaux fournisseurs
- Malgré la connaissance de cette défaillance, la société a continué d'utiliser ces données pendant près de 17 mois
Portée de la décision
Cette décision confirme la responsabilité des entreprises utilisatrices de données telles que les data-brokers, même lorsqu'elles ne sont pas à l'origine de leur collecte.
Points clés rappelés par la CNIL
- Tout responsable de traitement doit s'assurer de la légalité de la collecte des données qu'il exploite
- Les vérifications contractuelles avec les fournisseurs de données doivent être rigoureuses et effectivement mises en œuvre
- L'impossibilité de démontrer le consentement constitue à lui-seul un manquement grave au RGPD
Sanction
La sanction, qui comprend également une injonction assortie d'une astreinte de 10.000 € par jour de retard, souligne l'importance cruciale d'une politique stricte de vérification des consentements dans toute la chaîne de valorisation des données personnelles.
Pour en savoir plus
Retrouvez la délibération de la CNIL en intégralité ⇒ https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000051630617