Par une délibération du 8 décembre 2020, la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) a enjoint à une société de justifier notamment de la suppression de données relatives à des prospects collectées à des fins de prospection commerciale sans leur consentement préalable (Délibération SAN-2020-018 du 8 décembre 2020). Elle a également prononcé une sanction pécuniaire d’un montant de 20 000 euros.
Comment la société constituait-elle sa base de prospects ? Pourquoi un consentement préalable était-il nécessaire ?
Bref rappel sur les faits
La société sanctionnée est spécialisée dans la préparation et la livraison de repas à destination d’employés de bureaux. A ce titre, elle édite un site Internet ainsi qu’une application mobile.
Dans le cadre de ses opérations de prospection commerciale, la société sanctionnée recourait à plusieurs prestataires pour constituer sa base de données. L’un des prestataires collectait les noms et prénoms des membres d’un réseau social professionnel accessibles en ligne, ainsi que la dénomination sociale de la société dans laquelle ils exerçaient leur fonction. Cette liste de prospects était ensuite transmise à un autre prestataire qui l’enrichissait avec les adresses électroniques professionnelles des personnes concernées. Un autre prestataire effectuait quant à lui l’envoi de courriels d’information et de codes promotionnels pour le compte de la société sanctionnée.
Parmi les 635 033 prospects ayant reçu de tels courriels, plusieurs ont saisi la Cnil. Ils faisaient notamment valoir qu’ils n’avaient pas consenti à la réception de ces courriels et qu’ils continuaient à les recevoir malgré l’exercice de leur droit d’opposition.
Défaut de consentement préalable à la prospection commerciale par voie électronique
Rappelons qu’en vertu de l’article L.34-5 du Code des postes et des communications électroniques (CPCE), il est nécessaire de recueillir un consentement préalable à l’envoi de communications commerciales par voie électronique (courriel, SMS, etc.), sauf exception. Ce consentement doit être libre, spécifique et éclairé.
Dans le cadre des relations entre professionnels (BtoB), il existe une exemption au recueil du consentement préalable selon une doctrine établie de la Cnil. Pour que cette exemption s’applique, il faut que les communications commerciales soient en rapport avec la profession de leurs destinataires. Dans une telle hypothèse, il suffit d’informer les professionnels des caractéristiques du traitement en question et de leur fournir un moyen d’opposition au moment de la collecte de leurs données. Une faculté d’opposition doit également être offerte à chaque fois qu’un courrier électronique de prospection est adressé (lien de désinscription par exemple).
En l’espèce, la société sanctionnée faisait valoir qu’elle ne recueillait pas le consentement des prospects parce que ses opérations de prospection intervenaient « strictement dans le cadre professionnel que constituent les déjeuneurs d’entreprise (adresse de courriel professionnelle, livraison dans les locaux professionnels, aux heures d’exercice de l’activité professionnelle du client, etc.). »
Sur ce point, la formation restreinte précise que le réseau social professionnel à partir duquel les données sont collectées permet à ses membres d’entrer en relation et d’échanger avec d’autres professionnels.
Toutefois, elle considère que les communications commerciales adressées par la société sanctionnée n’ont « que peu de lien avec l’activité professionnelle des prospects ». En d’autres termes, la formation restreinte semble exclure la qualification de prospection commerciale à destination de professionnels dans le cas qui lui était soumis.
En conséquence, un manquement à l’article L34-5 du CPCE a été retenu.
Suppression des données appartenant à des prospects et collectées sans consentement
Les données accessibles sur les réseaux sociaux ne sont pas librement réutilisables. La formation restreinte s’était déjà prononcée sur le caractère déloyal de données collectées sur les réseaux sociaux à l’insu des personnes concernées (Délibération 2011-203 du 21 septembre 2011).
Dans la présente affaire, sans se prononcer expressément sur les modalités de collecte des données, la formation restreinte demande à la société d’apporter la preuve de la suppression de sa base de prospects au motif que les données ont été collectées sans base légale (défaut de consentement). Toutefois, elle considère que « la suppression des données des prospects qui sont aujourd’hui devenus des clients de la société n’est pas nécessaire ».
Par ailleurs, pour prononcer une sanction pécuniaire, la formation restreinte prend en compte, entre autres, la gravité du manquement pour défaut de consentement. A ce titre, elle souligne le nombre important des personnes concernées et le dépôt de nombreuses plaintes auprès de la Cnil. Il est toutefois intéressant de soulever que les avantages financiers tirés par la société, dont notamment la fidélisation de ses prospects et leur transformation, ne semblent pas être pris en compte par la formation restreinte pour fixer le montant de l’amende alors même que cela est possible en vertu de l’article 83-1 du RGPD.
Mathias Avocats se tient à votre disposition pour vous informer et vous conseiller sur votre conformité.