Objet de frustration, le démarchage commercial est une pratique intrusive, source d'agacement pour les millions de français qui le subissent, malgré un encadrement juridique de plus en plus strict.
Dans sa délibération du 21 mai 2025, la CNIL a infligé une amende de 900 000 € à la société SOLOCAL MARKETING SERVICES (SOMS), spécialisée dans la prospection par SMS et courriels, en raison de plusieurs manquements au RGPD et à l'article L. 34-5du Code des postes et communications électroniques, compte tenu de l'ampleur des données traitées (4,7 millions par SMS et 500 000 par courriels en 2022) ainsi que de la gravité des infractions constatées.
Cette décision s'inscrit dans un contexte d'opinion publique très défavorable à cette activité et de durcissement législatif : la loi du 21 mai 2025, renforçant la lutte contre les fraudes aux aides publiques, a modifié le régime de la prospection commerciale. Alors qu'auparavant ce régime reposait sur une inscription proactive du consommateur sur une liste anti-prospection, la prospection est désormais interdite par défaut à partir du 11 août 2026, sauf consentement préalable de la personne concernée, marquant ainsi un renversement du paradigme en matière de prospection commerciale.
Formulaires en ligne : la CNIL rejette le consentement biaisé
La société SOMS exploitait une base de données alimentée par des partenaires qui collectaient des données via des formulaires en ligne liés à des jeu concours. Les participants étaient censés donner leur accord pour recevoir des sollicitations commerciales.
Or, la CNIL a relevé que le consentement n'était ni libre, ni univoque : les formulaires comportaient des dark patterns, utilisant des intitulés flous (« Je participe », « Je valide ») et des choix de design trompeurs, laissant penser à tort que le consentement est obligatoire.
La CNIL rappelle que ce type de recueil du consentement est contraire au RGPD1, à la jurisprudence de la CJUE2 ainsi qu'aux lignes directrices du Comité Européen de la Protection des Données3. SOMS ne pouvait donc se prévaloir d'un consentement valide.
Le responsable de traitement est-il tenu de démontrer le consentement RGPD ?
En opposition au principe d'accountability4, la société SOMS était dans l'incapacité de prouver la validité des consentements obtenus par ses partenaires. Pourtant, en tant que responsable de traitement, elle doit vérifier cette validité ou recueillir elle-même un consentement conforme. Le refus d'un partenaire de fournir la preuve ne la dégage pas de sa responsabilité.
La CNIL souligne que l'obligation de démontrer un consentement valide5 pèse sur le responsable de traitement, indépendamment des relations contractuelles. En exploitant des données sans preuve de consentement, la société SOMS a enfreint les articles 6 et 7 du RGPD ainsi que l'article L. 34-5 du CPCE.
Peut-on invoquer l'intérêt légitime pour la prospection commerciale ?
Enfin, pour justifier la transmission des données à ses clients, la société SOMS invoquait l'intérêt légitime6. La CNIL valide cette base pour les données issues d'opérateurs télécoms éditant des annuaires, estimant que les personnes pouvaient raisonnablement s'attendre à cette utilisation, à condition qu'elles ne soient pas inscrites sur une liste d'opposition.
En revanche, les données collectées via les jeux concours ne pouvaient être traitées sur cette base : le consentement étant invalide et les personnes n'étant pas informées de la transmission à des tiers, aucune attente légitime ne pouvait être invoquée.
Par conséquent, dans cette délibération, la CNIL rappelle avec force que :
- le consentement à la prospection commerciale doit être libre, spécifique, éclairé et univoque;
- le responsable de traitement est toujours pleinement responsable de la validité du consentement, même lorsque les données sont collectées par des tiers ;
- l'intérêt légitime peut constituer la base légale du traitement mais il doit être rigoureusement encadré et documenté.
Cette décision exemplaire de la CNIL illustre la volonté croissante des autorités de protéger efficacement les droits des personnes face à une prospection commerciale trop souvent abusive.
Si le cadre juridique ne cesse de se renforcer, cette évolution soulève aussi des défis pratiques majeurs pour les entreprises, appelées à revoir en profondeur leurs méthodes de collecte et de traitement des données.
À l'heure où la frontière entre innovation marketing et respect de la vie privée devient de plus en plus ténue, une question demeure : Les acteurs économiques sauront-ils concilier performance commerciale et exigences éthiques dans un environnement numérique toujours plus surveillé ?
Footnotes
1. Article 7 du RGPD
2. Affaire Planet49, 2019
3. CEPD, Lignes directrices 5/2020 sur le consentement
4. Article 5 du RGPD
5. Article 7§1 du RGPD
6. article 6 §1 f du RGPD
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
