Le 7 avril 2022, la CNIL a mis en demeure trois organismes vendant des listes de prospects et communément appelés data brokers.

Cette pratique consiste à constituer des bases de données de personnes pouvant avoir un intérêt pour un type de produits ou de services particulier.

Par exemple, une liste d’agriculteurs pourrait fortement intéresser un vendeur de matériel agricole : toutes les personnes sur la liste sont des acheteurs potentiels de ses produits.

Il existe aussi des listes de personnes physiques, sans distinction, comportant uniquement leurs informations de contact afin de faciliter la prospection.

Il est cependant nécessaire d’être particulièrement vigilant lors de l’acquisition d’une telle base en se posant la question suivante : les données ont-elles été collectées de manière licite ?

Cette question est d’autant plus importante en matière de prospection commerciale considérant que deux réglementations s’appliquent de manière conjointe :

• L’article L.34-5 du code des postes et des communications électroniques : le régime diffère en fonction de la nature de la personne prospectée (consommateur/professionnel), du type de produits ou services proposés (connexes à un achat antérieur ou non) et de la méthode de prospection (téléphone, mail, automate d’appel) ;
• Le RGPD, et en particulier :
  • L’article 6 qui impose que tout traitement dispose d’une base légale (consentement, contrat, intérêt légitime…)
  • L’article 13 qui oblige un responsable de traitement à fournir à la personne concernée des informations précises sur ce qui sera fait des données qu’il collecte.

Que reproche la CNIL à ces sociétés ?

Un premier organisme est mis en demeure pour avoir transmis des données personnelles sans en informer les personnes concernées, qui ont reçu des appels téléphoniques.

Le cas d’école est le suivant : en naviguant sur Internet, vous accédez à un site Internet qui vous permet de savoir si vous être éligible à telle ou telle aide (par exemple l’isolation de votre logement).

Le site Internet en question n’a qu’un seul objectif : collecter vos données et les transmettre à des sociétés qui pourront vous fournir les prestations correspondantes si vous être éligible.

Ainsi, une fois le questionnaire complété, vous serez contacté par une autre société.

Cette pratique n’a rien d’illégal. Cependant, le site Internet de collecte de données a l’obligation d’indiquer s’il compte adresser les données collectées à des destinataires en particulier, ou des catégories de destinataires.

Nous ajouterons que, dans le cas d’une prospection par automate d’appel, le consentement est nécessaire si l’on se trouve dans une relation BtoC (de professionnel à consommateur).

En l’espèce, la politique de confidentialité devait omettre un point crucial : les données seront transmises à des sociétés partenaires afin que ces dernières vous contactent afin de vous proposer leurs services.

En outre, les organismes visés par les mises en demeure procédaient aussi à la cession de fichiers de prospects afin que ceux-ci bénéficient de prospection par courriel et SMS.

Or, cette pratique nécessite le consentement des personnes concernées (contrairement à la prospection par téléphone, hors automate d’appel).

La CNIL a constaté que le consentement des personnes concernées n’avait pas été collecté. Le traitement se trouve ainsi dépourvu de base légale : il est illicite.

Les trois organismes ont trois mois pour se conformer à la réglementation, faute de quoi la CNIL prendra des sanctions (jusqu’à 4% du chiffre d’affaires mondial du groupe pour ce type de manquement).

Nos recommandations

Les mises en demeures ont été adressées par la CNIL à l’attention de data brokers et non de clients de ces derniers.

Cependant, les clients des data brokers risquent aussi des sanctions, car le traitement des données des prospects (dont les clients sont responsables) n’est pas conforme à la réglementation.

Si vous envisagez d’acquérir une base de données de prospection auprès d’un data broker, voici nos trois recommandations :

1. Commencez par déterminer précisément le périmètre d’utilisation des données : qui souhaitez-vous prospecter, par quel(s) moyen(s), en BtoB ou en BtoC ?
2. Une fois cette étape effectuée, renseignez-vous sur la réglementation applicable à chaque type de prospection envisagée.
3. Enfin, cherchez à obtenir des garanties contractuelles du data brocker : s’il refuse de garantir que les données ont été collectées et transmises conformément à la réglementation pour l’usage que vous souhaitez en faire, il y a fort à parier que cette base de données n’est pas conforme.

Outre les sanctions administratives, le préjudice d’image doit être considéré : il n’y a rien de pire que de prospecter des personnes qui ne le souhaitent pas. Celles-ci garderaient assurément un mauvais souvenir de votre société.

Le Pôle Contrats informatiques, Données et Conformité accompagne ses clients dans la conformité de leurs opérations de prospection commerciale et de constitution de base de données personnelles.