Prospection commerciale : double sanction de la CNIL

Infligeant une sanction à l’encontre de deux opérateurs notamment pour défaut d’information et de consentement des personnes concernées en matière de prospection commerciale, la CNIL a rendu, somme toute, des décisions assez classiques mais qui méritent d’être soulevées en ce qu’elles se fondent en partie sur le code des postes et des communications électroniques.

La prospection commerciale est régie par l’article 13 de la directive ePrivacy 2002/58/CE du 12 juillet 2002, transposée à l’article L. 34-5 du code des postes et des communications électroniques (CPCE) qui interdit en son premier alinéa « la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen ».

Performeclic a pour activité la prospection commerciale par le biais de courriels pour le compte d’annonceurs tandis que Nestor procédait à la prospection par le biais de son activité de préparation et la livraison de repas à destination d’employés de bureaux. Les deux sociétés reprochaient à la CNIL son incompétence pour mener des procédures d’enquête et de sanction. Or, il ressort de l’article L. 34-5, alinéa 6, du CPCE que la CNIL « veille, pour ce qui concerne la prospection directe utilisant les coordonnées d’une personne physique, au respect des dispositions du présent article en utilisant les compétences qui lui sont reconnues par la loi n° 78-17 du 6 janvier 1978 précitée. À cette fin, elle peut notamment recevoir, par tous moyens, les plaintes relatives aux infractions aux dispositions du présent article ». De la sorte, il lui est possible d’utiliser les pouvoirs reconnus par la loi Informatique et libertés n° 78-17 pour poursuivre un responsable de traitement ayant méconnu les dispositions de l’article L. 34-5 du CPCE. Dans le cadre de la délibération n° SAN-2020-018 en particulier, il était reproché le fait que le septième alinéa de l’article L. 34-5 du CPCE donnait compétence aux agents de la concurrence, de la consommation et de la répression des fraudes et aux fonctionnaires chargés de missions de protection économique des consommateurs pour réaliser des mesures d’investigation. Selon la CNIL, à l’inverse, c’est sans méconnaître ce septième alinéa que la délégation de la CNIL a procédé a des contrôles et a, par la suite, saisi la formation restreinte puisque qu’elle dispose d’une telle compétence lorsqu’il s’agit de protection de données à caractère personnel en matière de prospection directe utilisant les coordonnées d’un abonné ou d’une personne physique (V. sur ce même fondement, CE 11 mars 2015, req n° 368624, TUTO4PC, Lebon ; AJDA 2015. 1112 , concl. A. Bretonneau ).

À l’instar des décisions rendues en matière de cookies et autres traceurs fondées sur l’article 82 de la loi Informatique et libertés qui transpose l’article 5 de la directive ePrivacy, les présentes délibérations rappellent que le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD) n’est pas l’unique texte sur lequel la CNIL fonde sa compétence. Sur le fond, en revanche, l’articulation des dispositions protectrices du RGPD avec d’autres reste à éclaircir. En effet, l’alinéa 1^er de l’article L. 34-5 du CPCE exige le recueil d’un consentement préalable à la prospection directe et l’alinéa 2 définit le consentement comme « toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe », ce qui diffère légèrement de l’article 4, 11, du RGPD par lequel le consentement est « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Les débats soulevés à l’occasion de la procédure à l’encontre de la société Performeclic se sont malheureusement glissés sur la preuve du consentement (délib. n° SAN-2020-016). Performeclic soutenait en effet avoir rémunéré la société auprès de laquelle elle avait acquis les données spécifiquement parce qu’elles auraient été obtenues avec le consentement des personnes. Cette preuve étant insuffisante, la CNIL a estimé que la société n’avait pas valablement recueilli le consentement des personnes concernées. Lors de la procédure engagée à l’encontre de la société Nestor (délib. n° SAN-2020-018), les données étaient récoltées de la manière suivante : Nestor transférait une liste de prospect établie par une société A à une société B qui l’enrichissait à son tour, notamment en ajoutant l’adresse électronique professionnelle. Une troisième société C était chargée de procéder aux envois des courriels pour le compte de Nestor. Ces données étaient collectées sans consentement des personnes concernées au regard de l’article L. 34-5 du CPCE. Or, Nestor prétendait que la base légale du traitement, conformément à l’article 6 du RGPD, n’était pas fondée sur le consentement de la personne concernée (RGPD, art. 6, § 1, a), mais sur le fait que le traitement était nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement (RGPD, art. 6, § 1, f). La licéité du traitement n’étant pas fondée sur le consentement, selon Nestor, le consentement des personnes concernées n’est pas requis. Tel n’est pas le raisonnement suivi par la CNIL, qui énonce que « la prospection commerciale réalisée par la société entre dans le champ de l’alinéa 1 de l’article L. 34-5 du CPCE qui prévoit une base légale spécifique fondée sur le consentement, écartant ainsi la possibilité de l’intérêt légitime comme base légale pour ces opérations de prospection ».

Les autres manquements reprochés restent habituels en la matière : manquement à l’obligation d’information (RGPD, art. 12 à 14) pour les deux sociétés ; minimisation des données (RGPD, art. 5, § 1, c) pour Performeclic ; limitation de la durée de conservation (RGPD, art. 5, § 1, c) pour Performeclic ; droit d’accès des personnes (RGPD, art. 15) pour Nestor ; droit d’opposition des personnes (RGPD, art. 21, § 2) pour Performeclic ; encadrement contractuel du sous-traitant (RGPD, art. 28) pour Performeclic ; et sécurité des données (RGPD, art. 32) pour Nestor.