Protection par le droit des données personnelles contre la prospection commerciale non consentie

Le 21 mai, la proposition de loi renforçant la lutte contre les fraudes aux aides publiques a été définitivement adoptée par le Sénat. Son article 3 renforce la protection des consommateurs contre le démarchage commercial non consenti. Le code de la consommation prévoit déjà, à l’article L. 223-1, la possibilité de s’opposer au démarchage téléphonique par l’inscription sur une liste, mais l’initiative doit venir du consommateur lui-même ; à défaut, il est présumé consentir à de telles sollicitations. La proposition de loi adoptée modifie cette disposition en inversant le paradigme : le démarchage est par principe interdit, sauf à ce que le consommateur ait préalablement consenti à en faire l’objet.

La prospection commerciale fait déjà l’objet d’un encadrement par les diverses législations nationales et européennes de protection des données personnelles. L’article L. 223-7 du code de la consommation renvoie à l’article L. 34-5 du code des postes et des communications électroniques s’agissant de « la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique », lequel pose le principe d’un consentement préalable de la part de la personne physique ainsi contactée.

Le 15 mai 2025, la CNIL a rendu une délibération par laquelle elle sanctionne, pour manquement aux articles 6 et 7 du RGPD et à l’article L. 34-5 du code des postes et des communications électroniques, une société réalisant, pour le compte d’annonceurs, des opérations de prospection commerciale par l’envoi de courriers électroniques et de SMS et transférant les données personnelles des prospects à ses clients pour qu’ils réalisent eux-mêmes de telles opérations (société SOMS).

Le démarchage commercial réalisé concerne un grand nombre de personnes : 4,7 millions par SMS et 500 000 par courriel, pour la seule année 2022. La plupart des opérations de prospection sont réalisées grâce à la base de données constituée par la société SOMS. Ces données lui sont transmises par des partenaires, qui les collectent via des formulaires de participation à des jeux-concours en ligne par lesquels les personnes concernées consentent à faire l’objet de prospection commerciale par voie électronique. La société SOMS ne recueille donc pas elle-même le consentement des prospects, elle se fonde sur celui donné à ses partenaires.

Prospection commerciale : l’absence de consentement valide

Prolégomènes

La société SOMS mettait en cause la régularité de la procédure menée à son encontre par la CNIL : elle estimait notamment que les règles en matière de prospection commerciale n’étaient pas suffisamment claires à l’époque du contrôle, notamment en l’absence de recommandation par la CNIL sur la question du recueil du consentement des personnes concernées. Mais comme le rappelle la Commission, la publication de telles recommandations n’est pas une obligation et, conformément au principe de responsabilité de l’article 5, § 2, du RGPD, « c’est bien aux responsables de traitement – et non aux autorités de protection des données – qu’il appartient de déterminer les modalités pratiques de mise en œuvre des traitements qui leur paraissent les plus adaptées ». Outre cette précision, la Commission rappelle tout au long de sa décision que la société ne peut invoquer le caractère postérieur de certaines de ses délibérations pour s’exonérer de sa responsabilité en invoquant des règles peu claires ou imprévisibles.

Était également en cause le principe même d’une responsabilité de la société SOMS qui considérait que les manquements constatés ne pouvaient être reprochés qu’à ses partenaires primo-collectants et que la vérification de la validité du consentement des prospects ne pouvait être mise à sa charge. La CNIL reste sourde à ces arguments et considère qu’il lui incombait de vérifier la validité du consentement ou, à défaut, de le recueillir elle-même, obligation qui découle de sa qualité de responsable de traitement. Les primo-collectants ne sont pas soumis aux dispositions de l’article L. 34-5 du code des postes et des communications électroniques, contrairement à elle, car leur rôle se limite à la collecte des données et non à la prospection. Cette position est étayée par les stipulations des conditions générales de vente des offres proposées par la société SOMS, selon lesquelles cette dernière et les annonceurs sont responsables conjoints de traitement lorsque les données traitées proviennent de la base de la société SOMS.

Enfin, la société SOMS invoquait des vérifications régulières des formulaires de collecte. Celles-ci sont toutefois jugées insuffisantes par la CNIL qui souligne que la société aurait dû constater l’absence de validité du consentement donné découlant de la conception des formulaires et en tirer les conséquences qui s’imposaient en mettant fin à l’utilisation des données transmises par ce biais.

Validité du consentement

Tout comme le rapporteur, la CNIL considère que le consentement des personnes concernées ne saurait être considéré comme libre et univoque, en raison de la manière dont il est recueilli. Elle se fonde sur la conception des formulaires de participation aux jeux-concours en ligne qui, selon elle, ne permet pas aux prospects « d’exprimer de manière valable un choix reflétant leurs préférences en matière de transmission et d’utilisation de leurs données à des fins de prospection commerciale » (§ 66). Se retrouve ici la notion de dark pattern ou interface truquée : ces formulaires incitent fortement les prospects à consentir au traitement de leurs données par la taille, la couleur et l’emplacement des boutons « JE PARTICIPE » ou « JE VALIDE ». Le design utilisé n’est pas anodin, il...