Dans le cadre de récentes délibérations, la CNIL s’est prononcée sur la collecte et la transmission de données personnelles par des data brokers et leur réutilisation à des fins de prospection commerciale par des sociétés tierces.
Les courtiers en données, également appelés « data brokers », sont des entreprises qui collectent et agrègent des données dans le but de les revendre à des entreprises qui souhaitent les réutiliser, notamment à des fins de prospection commerciale.
Parmi ces données figurent très souvent des données personnelles : noms et prénoms, adresses, emails, numéros de téléphone, etc. Dès lors, le traitement de ces données par les data brokers puis par les acquéreurs à des fins de prospection commerciale doit être conforme au RGPD.
La CNIL, qui avait fait de la prospection commerciale l’une de ses thématiques prioritaires de contrôle en 2022, a récemment prononcé plusieurs sanctions à l’encontre de data brokers et d’organismes ayant effectué des opérations de prospection commerciale à partir de données personnelles collectées par des data brokers.
Les obligations qui s’appliquent à la transmission de données collectées par le data broker
La collecte et la transmission de données personnelles par les data brokers sont soumises à des exigences particulières lorsqu’elles ont pour objectif de permettre aux acquéreurs de ces données d’effectuer des opérations de prospection commerciale par voie électronique[1] (email et sms).
En effet, lors de la collecte des données auprès des personnes concernées, les data brokers doivent :
- les informer de la finalité de la transmission et de l’étendue de celle-ci (nombre et secteur d’activité des destinataires) ;
- recueillir leur consentement à la transmission de leurs données.
Les data brokers pourront également être chargés de recueillir un double consentement : pour la transmission des données et pour leur réutilisation par l’acquéreur de la base de données. Dans cette hypothèse, ils devront mettre à la disposition des personnes concernées la liste exhaustive des destinataires.
À cet égard, la CNIL a récemment prononcé une amende d’un montant de 75 000 euros à l’encontre d’un data broker, qui collectait des données de prospects sur la base du consentement, car les formulaires utilisés à cette fin ne permettaient pas de recueillir un consentement conforme au RGPD[2]. Selon la CNIL, la mise en valeur du bouton permettant de donner son consentement au préjudice du bouton permettant de refuser incitait l’utilisateur à accepter la transmission de données.
Enfin, en cas de demande d’effacement ou de limitation du traitement adressée aux data brokers, ces derniers doivent notifier cette demande aux sociétés auxquelles ils ont vendu les données.
Les obligations à la charge de l’acquéreur de la base de données
- Les obligations spécifiques au traitement de données, acquises auprès d’un data broker, à des fins de prospection commerciale
En cas de prospection commerciale fondée sur le consentement, il appartient à l’acquéreur de la base de données de recueillir lui-même le consentement des personnes concernées lorsque ce consentement n’a pas été recueilli par le data broker pour le compte de ses partenaires.
Sur ce point, la CNIL estime que l’opération qui consiste à proposer aux prospects de recevoir des offres commerciales est elle-même un traitement de données à caractère personnel. Dès lors, l’acquéreur doit prendre certaines précautions, notamment :
- veiller à ce que la demande de consentement ne puisse pas être assimilée à une forme de prospection commerciale elle-même soumise au consentement préalable, en ne promouvant pas les biens et/ou services qu’il commercialise ;
- limiter le nombre de sollicitations adressées à une même personne.
Les sociétés qui souhaitent réutiliser les données acquises auprès de data brokers à des fins de prospection commerciale doivent également, lors de la première communication avec les personnes concernées, fournir l’ensemble des informations listées à l’article 14 du RGPD : droit d’opposition, source des données, etc.
- L’obligation de vérification de la licéité des données transmises par le data broker
Outre le respect des règles précitées, l’acquéreur de la base de données doit également, lorsqu’il a recours à un data broker, s’assurer que les données acquises ont été collectées dans le respect du RGPD.
Les entreprises qui réutilisent des données collectées par des data brokers à des fins de prospection commerciale doivent notamment s’assurer que les personnes concernées ont :
- consenti à la réutilisation de leurs données à des fins de démarchage commercial ;
- exprimé un consentement valide[3] ;
- reçu une information suffisante : la liste des partenaires susceptibles de démarcher les personnes (sur laquelle doit figurer l’identité de l’acquéreur de la base de données), la durée pendant laquelle le data broker sera autorisé à transmettre les données, etc.
En l’absence de vérifications effectives, les acquéreurs peuvent s’exposer à des sanctions pécuniaires importantes.
La CNIL a ainsi prononcé des amendes administratives (310 000 et 525 000 euros) à l’encontre de deux sociétés[4] qui avaient effectué des opérations de prospection commerciale sur la base de données acquises auprès de data brokers sans vérifier que les modalités de la collecte leur permettaient de réaliser de telles opérations.
Or, la formation restreinte a relevé que le mode de collecte utilisé par les data brokers (formulaires de participation à des jeux-concours) ne permettait pas de recueillir le consentement libre et univoque des personnes concernées. En effet, si les formulaires permettaient de participer aux jeux-concours sans recevoir d’offres promotionnelles, cette option n’était pas suffisamment visible (en petits caractères et se confondait avec le corps du texte).
De plus, la CNIL a relevé un manquement à l’obligation d’information des personnes puisque les formulaires ne mentionnaient pas systématiquement les sociétés sanctionnées dans la liste des partenaires susceptibles de démarcher les personnes concernées.
Enfin, la CNIL a souligné que le fait d’imposer, en amont, des exigences contractuelles en matière de RGPD aux data brokers, ne permet pas d’écarter la responsabilité de l’acquéreur de la base de données si ce dernier n’a pas procédé à des vérifications effectives en aval.
Par conséquent, les acquéreurs de bases de données ne peuvent pas se contenter d’obtenir, des courtiers auxquels ils ont recours, la garantie contractuelle que ces derniers ont procédé à la collecte et la transmission des données conformément au RGPD. Il leur appartient d’effectuer des vérifications afin de s’assurer de cette conformité et de documenter, autant que possible, ces vérifications afin de pouvoir en justifier en cas de contrôle.
[1] La prospection commerciale par voie postale répond à un régime distinct (voir la fiche de la CNIL)
[2] CNIL, délibération SAN-2023-025 du 29 décembre 2023
[3] Ces deux premières vérifications sont nécessaires lorsque le traitement de données personnelles réalisé par l’acquéreur repose sur le consentement, notamment en cas de prospection commerciale par voie électronique.
[4] CNIL, délibérations SAN-2024-004 du 4 avril 2024 et SAN-2024-003 du 31 janvier 2024
