Prospection commerciale sans consentement – nouvelle amende de 90 000 euros
Le 15 mai 2025, même jour que la sanction prononcée contre Solocal, la CNIL a sanctionné la société Caloga pour des manquements au code des postes et communications électroniques et RGPD.
La société constitue des bases de données de prospects (nom, prénom, civilité, adresse électronique, code postal, date de naissance, adresse postale) collectées auprès de partenaires via des formulaires de jeux-concours. Elle utilise ensuite ces données pour mener des campagnes de prospection commerciale pour le compte d’annonceurs, ou les transmet à des partenaires chargés de réaliser des opérations de prospection pour le compte de leurs propres clients.
Manquement à l’obligation de recueillir le consentement pour la prospection commerciale: les formulaires de collecte utilisés pour collecter le consentement de prospects étaient trompeurs et ne permettaient pas de recueillir un consentement valide des personnes concernées (boutons d’acceptation plus visibles que ceux de refus, formulations ambiguës, dissimulation de la fonctionnalité permettant de refuser l’utilisation des données). Comme dans sa sanction à l’encontre de Solocal, la CNIL considère que Caloga aurait dû « opérer des vérifications concrètes sur les conditions de recueil du consentement sur lequel elle entend se fonder pour réaliser ses opérations de prospection ».
Manquement au respect du droit au retrait du consentement : la société a également été sanctionnée pour ne pas avoir permis un retrait du consentement aussi simple que son obtention. La CNIL exige que, si un clic suffit pour donner son consentement, un seul clic doit aussi suffire pour le retirer. Or, les prospects souhaitant se désinscrire de la prospection devaient parfois envoyer un e-mail ou suivre des démarches via plusieurs liens.
Manquement à l’obligation de conservation limitée des données: la CNIL reproche à Caloga d’avoir conservé en base active plus de 13,5 millions données de prospects inactifs pendant 4 ans, sans tri, ni archivage intermédiaire, ni restriction d’accès. Caloga prenait en compte la simple ouverture d’un courriel comme une interaction, comme point de départ du délai de conservation, permettant ainsi de prolonger indéfiniment la durée de conservation. La CNIL rappelle que pour les prospects non clients, les données ne doivent pas être conservées au-delà de 3 ans à compter de la date de collecte ou du dernier contact émanant du prospect, tel qu’un clic sur un lien dans un e-mail commercial.
