Source : Délibération SAN-2020-016 du 7 décembre 2020
L’activité de prospection commerciale est encadrée par l’article L.34-5 du Code des postes et des communications électroniques qui dispose que :
« Est interdite la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen ».
Ce même article définit la notion de consentement :
« On entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe. »
Ainsi que celle de prospection directe :
« Constitue une prospection directe l’envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services. »
En application de ces dispositions, le consentement des personnes doit être recueilli préalablement à toute action de prospection par voie de courrier électronique
Une société ayant pour activité la prospection commerciale par emails pour le compte d’annonceurs a constitué une base de données de plusieurs millions d’adresses électroniques de prospects à partir d’acquisitions d’autres fichiers, ces acquisitions ayant été conditionnées, selon ses dires, par le fait que les vendeurs lui auraient garanti l’obtention du consentement des personnes dont les données sont présentes sur ces bases.
Saisie après des signalements d’internautes relatifs à la réception de courriers électroniques non sollicités, la CNIL avait mené des investigations aboutissant à entendre ladite société.
En premier lieu, celle-ci soulève l’incompétence de l’autorité administrative pour mener des procédures d’enquête et de sanction, dès lors qu’il est prétendu par cette société que ses activités opérationnelles s’effectuaient depuis le Maroc.
En réponse, la CNIL considère que le traitement de données personnelles mis en œuvre par la société est effectué dans le cadre des activités d’un établissement d’un responsable du traitement situé sur le territoire de l’Union européenne, en l’espèce sur le territoire français, conformément aux critères posés par l’article 3 du RGPD (Règlement Général sur la Protection des Données n°2016/679 du 27 avril 2016) et de l’article 3-I de la loi relative à l’informatique, aux fichiers et aux libertés.
Elle précise également qu’en application de l’article L.34-5 du Code des postes et des communications électroniques, elle « veille, pour ce qui concerne la prospection directe utilisant les coordonnées d’une personne physique, au respect des dispositions du présent article en utilisant les compétences qui lui sont reconnues par la loi n° 78-17 du 6 janvier 1978 précitée. A cette fin, elle peut notamment recevoir, par tous moyens, les plaintes relatives aux infractions aux dispositions du présent article. »
Ainsi, elle retient sa compétence, relevant de surcroit que les campagnes de prospection de cette société étaient adressées au seul public français.
Sur le fond et s’agissant en premier lieu d’analyser les finalités, la CNIL relève que cette société s’engage vis-à-vis de ses cocontractants à disposer d’une base d’adresses électroniques de personnes ayant donné leur consentement pour recevoir de la prospection commerciale de la part de partenaires tiers par courrier électronique.
Elle note également que la société est propriétaire de la base de données utilisée dans le cadre des campagnes de prospection, les annonceurs et agences web ne fournissant pas les données à caractère personnel des prospects à contacter.
En second lieu, la CNIL considère que cette société détermine les moyens essentiels du traitement en ce qu’elle définit les données personnelles qui figurent dans sa base de prospects, les durées pendant lesquelles ces données y sont conservées et les éventuelles mises à jour devant être opérées.
En conséquence, la CNIL retient que cette société a défini les finalités et les moyens du traitement lié à la gestion et la mise à disposition de sa base de données personnelles à des fins de prospection commerciale par courrier électronique.
Suivant le fil de son raisonnement, l’autorité administrative constate ensuite que la société n’est pas en mesure de prouver qu’elle recueille ou a recueilli le consentement des personnes prospectées et en conclut qu’elle n’a pas valablement recueilli le consentement des personnes concernées.
Divers autres manquements sont relevés, portant sur l’adéquation et la pertinence des données traitées, le respect d’une durée n’excédant pas celle nécessaire au regard des finalités, au respect du droit d’information et du droit d’opposition, outre l’encadrement contractuel des sous-traitants.
L’ensemble de ces manquements et leur gravité conduisent la CNIL à prononcer une amende ici fixée à la somme de 7.300 €uros sur le fondement à la fois de l’article L.34-5 précité du Code des postes et des communications électroniques et du RGPD, outre une injonction de mise en conformité sous astreinte.