Le 15 mai 2025, la CNIL a infligé à la société CALOGA, spécialisée dans le courtage et la revente de fichiers de prospects, une amende de 80 000 € pour avoir exploité des données personnelles sans consentement valable et transmis ces informations à des partenaires commerciaux sans base légale. À l’issue d’un contrôle inscrit dans la thématique prioritaire « prospection commerciale » lancée en 2022, la formation restreinte de la CNIL a relevé que CALOGA se fournissait auprès de courtiers en données et d’éditeurs de jeux-concours, puis utilisait ces fichiers pour adresser des campagnes d’e-mailing au profit de ses clients annonceurs.
La CNIL a considéré que les formulaires de collecte initiaux, mis en valeur de manière trompeuse, ne permettaient pas d’obtenir un consentement libre, spécifique et univoque, tel qu’exigé par l’article 5 § 1 c) du RGPD et l’article L. 34-5 du Code des postes et communications électroniques. CALOGA, utilisatrice de ces données, aurait dû vérifier en amont la validité du consentement des individus avant de lancer ses opérations de démarchage. Les garanties contractuelles imposées à ses fournisseurs et les contrôles déclarés en aval se sont avérés manifestement insuffisants.
Par ailleurs, les prospects ne pouvaient pas se désinscrire en un seul clic des quatre bases de données exploitées (CALOGA, ZEPLAN, BASYLO et VOZEKO), ce qui violait le droit au retrait du consentement (article 7 § 3 du RGPD). Le lien de désinscription, ambigu et limité, obligeait l’utilisateur à adresser un courriel au délégué à la protection des données, rendant la procédure disproportionnée.
La formation restreinte a également sanctionné un manquement à l’obligation de disposer d’une base légale pour la transmission des données à des fins de prospection commerciale, en l’occurrence l’usage injustifié de l’intérêt légitime plutôt que du consentement. Enfin, la conservation excessive a été pointée : au-delà de douze mois d’inactivité, la société prolongeait indéfiniment le stockage des données, en considérant comme « actif » l’ouverture d’un courriel, sans procéder à un archivage ou à un tri pour ne retenir que les éléments strictement nécessaires à des fins probatoires, en violation de l’article 5 § 1 e) du RGPD.
Le montant de l’amende prend en compte l’ampleur des manquements, le nombre important de personnes concernées, l’avantage financier retiré et la cessation d’activité de CALOGA en 2024. Cette décision rappelle aux acteurs du marketing direct l’exigence d’établir des dispositifs de collecte loyaux, de garantir la portabilité et le retrait simple du consentement, et de limiter strictement la durée de conservation des données, sous peine de sanctions financières lourdes.