Le 31 janvier 2024, la CNIL a prononcé à l’encontre de la société FORIOU une amende de 310 000 € pour avoir réalisé de la prospection commerciale par téléphone sans base légale valable.
La société FORIOU a pour activité la commercialisation de programmes de fidélité. Afin de promouvoir lesdits programmes, la société a procédé à des campagnes de démarchage par téléphone à partir de fichiers de prospects achetés auprès de partenaires (courtiers en données).
1/ L’étendue du contrôle de la CNIL : la prospection commerciale par appel téléphonique
Conformément à l’article 6 du RGPD, tout traitement de données personnelles doit reposer sur une base légale. Dans le cas d’espèce, plusieurs traitements étaient mis en œuvre :
- la collecte des données, réalisée par le courtier en données ;
- la transmission des données, également réalisée par le courtier en données ;
- la collecte des données (réception des données transmises par le courtier), réalisée par FORIOU ;
- l’utilisation des données, réalisée par FORIOU à des fins de prospection commerciale par appel téléphonique.
Dans le cadre de son contrôle, la CNIL s’est uniquement interrogée sur l’existence d’une base légale valable pour le 4ème traitement.
2/ La recherche d’une base légale valable pour la prospection commerciale
FORIOU n’étant pas en mesure d’indiquer sur quelle base légale son activité de prospection commerciale était fondée, la CNIL a rappelé que de tels traitements peuvent uniquement être fondés sur l’intérêt légitime de la société ou sur le consentement. Elle a donc recherché si ces bases légales étaient invocables en l’espèce.
La CNIL a considéré que :
- Dans un premier temps, FORIOU ne pouvait pas fonder ses opérations de prospection commerciale sur son intérêt légitime. En effet, après avoir analysé les supports de collecte des courtiers en données, la CNIL a constaté que FORIOU n’était pas listée parmi les partenaires susceptibles de démarcher les personnes concernées et qu’ainsi ces dernières ne pouvaient légitimement s’attendre à recevoir des offres commerciales de la société ;
- Dans un second temps, FORIOU ne pouvait pas fonder ses opérations de prospection commerciale sur le consentement des personnes concernées. Effectivement, après avoir analysé les supports de collecte des courtiers en données, la CNIL a considéré que le consentement recueilli par le courtier n’était pas « univoque, spécifique, libre et éclairé ».
Compte tenu de ce qui précède, la CNIL a prononcé une amende de 310 000 euros à l’encontre de la société FORIOU, précisant que « l’écosystème de la revente des données de partenaires en partenaires exige des garanties particulièrement fortes quant à la qualité et à la validité du consentement obtenu par le primo-collectant des données et dont les partenaires se prévalent à des fins de prospection commerciale » et que « l’organisme qui se prévaut d’un tel consentement pour mener des opérations de prospection commerciale endosse une responsabilité essentielle lui imposant […] de s’assurer que les conditions lui permettant de réaliser lesdites opérations sont réunies, indépendamment de la responsabilité éventuelle des fournisseurs de données, primo-collectants ».
