CONTACT

Prospection commerciale : la CNIL condamne une agence de marketing à une amende de 7.300 euros

14 janvier 2021 | Derriennic Associés |

Par une délibération en date du 7 décembre 2020 (accessible ici), la CNIL a prononcé une amende d’un montant de 7.300 euros à l’encontre de la société PERFORMECLIC en raison de manquements au RGPD et au Code des postes et des communications électroniques (« CPCE »).

La société PERFORMECLIC est une petite entreprise ayant pour activité l’envoi de prospection commerciale par courriers électroniques pour le compte d’annonceurs. Elle détient, à cette fin, une base de données de plus de 20 millions d’adresses électroniques de prospects.

Le 12 juin 2019, la CNIL a été alertée des pratiques de la société PERFORMECLIC par l’association SIGNAL SPAM, en charge de recueillir les signalements des internautes relatifs à la réception de courriers électroniques non sollicités (« SPAM »).

Dans son signalement, l’association indiquait que la société PERFORMECLIC apparaissait régulièrement en tête du classement des sociétés émettant le plus de messages signalés comme « SPAM » par les internautes français (163.000 signalements recensés entre le 1er janvier et le 11 juin 2019).

A l’issue d’un contrôle sur place puis d’une audition, la CNIL a, après avoir qualifié la société PERFORMECLIC de responsable du traitement au sens du RGPD, retenu plusieurs manquements.

1. Sur la qualification de responsable du traitement

La CNIL a estimé qu’il ressort d’un « faisceau d’indices concordants » que la société PERFORMECLIC est responsable du traitement lié à la gestion et la mise à disposition de sa base de données pour l’envoi de campagnes publicitaires à des prospects par courrier électronique pour le compte d’annonceurs.

Tout d’abord, il ressort des échanges intervenus entre la CNIL et la société PERFORMECLIC que cette dernière indiquait explicitement être responsable du traitement.

Selon la CNIL, plusieurs éléments confirmaient cette qualification :

  • En premier lieu, la CNIL a estimé que la société PERFORMECLIC détermine les finalités du traitement puisque « la mise à disposition de sa base de prospects à des fins de prospection commerciale est au cœur de l’activité de la société » et que cette dernière est « propriétaire de la base de données utilisée dans le cadre des campagnes de prospection » ;
  • En second lieu, la CNIL a considéré que la société PERFORMECLIC détermine les moyens essentiels du traitement en ce qu’elle « définit les données personnelles qui figurent dans sa base de prospects, les durées pendant lesquelles ces données y sont conservées et les éventuelles mises à jour devant être opérées ».

En conséquence, la CNIL a qualifié la société PERFORMECLIC de responsable du traitement « sans qu’il soit nécessaire de se prononcer sur une éventuelle responsabilité conjointe des partenaires annonceurs de la société PERFORMECLIC ».

2. Sur les manquements au RGPD et au CPCE

La CNIL a retenu un manquement au CPCE et cinq manquements au RGPD :

  • Tout d’abord, la CNIL a relevé un manquement de la société PERFORMECLIC à son obligation de recueillir le consentement de la personne concernée par une opération de prospection directe au moyen d’un courrier électronique (art. L.34-5 du CPCE). En effet, la CNIL a considéré que la société ne disposait d’aucun élément permettant de matérialiser le recueil effectif du consentement des prospects à l’envoi de prospection commerciale, que ce soit par elle-même ou par la société qui lui avait vendu la base de données.
  • La CNIL a relevé un manquement de la société PERFORMECLIC à son obligation de minimisation des données (art. 5.1.c du RGPD), compte tenu de la présence du numéro de téléphone sur les fiches des prospects alors qu’il n’est pas utilisé dans le cadre de l’envoi des courriers électroniques.
  • Aussi, la CNIL a estimé que la société PERFORMECLIC conservait les données pendant une durée excessive (art. 5.1.e du RGPD). En effet, la société conservait plus de trois ans les coordonnées d’environ 5 millions de prospects ayant uniquement ouvert les courriels de prospection, sans autre action de leur part, ce qui « ne saurait être [suffisant] pour matérialiser [leur] intérêt effectif ».

A ce titre, la CNIL a rappelé qu’elle recommande dans sa norme dédiée (NS-048, accessible ici) « que les données à caractère personnel relatives à un prospect non client soient conservées pendant un délai de trois ans à compter du dernier contact émanant du prospect, matérialisé par exemple par un clic sur un lien hypertexte contenu dans un courrier électronique ».

  • La CNIL a également considéré que la société PERFORMECLIC avait manqué à son obligation d’information des personnes concernées en ne communiquant pas toutes les informations requises par l’article 14 du RGPD, à savoir : « l’identité du responsable de traitement, sa base juridique, les catégories de données personnelles concernées, la durée de conservation des données, l’ensemble des droits des personnes (en particulier le droit à la portabilité et le droit à la limitation du traitement), le droit d’introduire une réclamation auprès d’une autorité de contrôle et la source d’où proviennent les données ».
  • En outre, la CNIL a considéré que le droit d’opposition des personnes concernées (art. 21 du RGPD) n’était pas pris en compte de manière effective puisque « lorsqu’une personne clique sur un lien de désabonnement pour exercer son droit d’opposition, celle-ci est désabonnée du compte utilisé pour l’envoi de la campagne de prospection concernée mais pas des autres comptes utilisés par la société pour d’autres campagnes ». De plus, la CNIL a relevé que les personnes concernées n’étaient pas informées de la marche à suivre pour être désinscrites de l’ensemble des comptes utilisés pour l’envoi de courriels de prospection par la société PERFORMECLIC.
  • Enfin, la CNIL a estimé que la société PERFORMECLIC avait manqué à son obligation d’encadrer contractuellement ses relations avec son sous-traitant (art. 28 du RGPD), lequel était en charge de la diffusion technique des courriels, de l’hébergement de sa base de données et du traitement des campagnes publicitaires des annonceurs. En effet, la CNIL a relevé que certaines clauses requises par l’article 28 du RGPD ne figuraient pas dans le contrat puisque « le contrat conclu entre la société et son sous-traitant ne contenait pas de clauses prévoyant que le sous-traitant :
    • Veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
    • Met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits ».

Compte tenu de ces manquements, la CNIL a prononcé une amende administrative d’un montant de 7.300 euros et a enjoint la société de se mettre en conformité dans un délai de 2 mois. A défaut de mise en conformité dans ce délai, la société s’exposera au paiement d’une astreinte de 1 000 euros par jour de retard.

Lien vers la délibération : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042774286?isSuggest=true