Sanction de CALOGA : un rappel strict des exigences en matière de consentement et de conservation des données

2 Juil 2025 | Droit des nouvelles technologies

Le 15 mai 2025, la CNIL a infligé une amende de 80 000 euros à la société CALOGA pour plusieurs manquements graves aux obligations prévues par le Code des postes et des communications électroniques (CPCE) et le règlement général sur la protection des données (RGPD). Cette sanction intervient dans le cadre des contrôles menés par la CNIL sur la prospection commerciale, notamment auprès des courtiers en données qui revendent des informations de prospects collectées via des jeux-concours et des tests de produits. CALOGA, en tant qu’utilisateur de ces données, menait des campagnes de démarchage électronique pour ses clients et transmettait les données à ces derniers à des fins de prospection, sans que le consentement des personnes concernées soit valablement recueilli.

L’enquête a révélé que les formulaires utilisés pour collecter le consentement présentaient une apparence trompeuse, incitant fortement les utilisateurs à accepter l’utilisation de leurs données. Les boutons d’acceptation étaient visuellement mis en avant, tandis que les liens permettant de refuser étaient dissimulés dans le texte. La CNIL a estimé que ce procédé empêchait la collecte d’un consentement libre et éclairé, et que CALOGA, en tant qu’utilisateur des données, avait l’obligation de s’assurer de la validité de ce consentement. Or, les garanties contractuelles imposées aux fournisseurs et les contrôles annoncés par CALOGA étaient insuffisants, car la société n’avait pas pris les mesures nécessaires malgré les défauts manifestes relevés dans les formulaires.

En outre, la CNIL a constaté un manquement à l’obligation de permettre un retrait du consentement aussi simple que son octroi. Les prospects ne pouvaient pas se désinscrire facilement de l’ensemble des bases de données de CALOGA en un seul clic, mais devaient adresser une demande au délégué à la protection des données par courriel. De plus, la dénomination « CALOGA » pour l’une des quatre bases entretenait une confusion, laissant croire que se désinscrire de « CALOGA » revenait à se désinscrire de toutes les bases gérées par la société, ce qui n’était pas le cas.

La société a également manqué à l’obligation de disposer d’une base légale pour transmettre les données de prospects à ses partenaires, en se fondant sur l’intérêt légitime plutôt que sur un consentement valable, alors même que la prospection commerciale par voie électronique nécessite impérativement le consentement préalable des personnes concernées. La transmission des données réalisée par CALOGA était donc illicite au regard de l’article 6 du RGPD.

Enfin, la CNIL a relevé un manquement à l’obligation de limiter la durée de conservation des données. CALOGA conservait les données des prospects pendant une période de douze mois à compter de la dernière activité détectée, prolongée de quatre ans à des fins probatoires si aucune activité n’était constatée. Or, chaque ouverture de courriel – même involontaire – était considérée comme une activité, prolongeant indéfiniment la durée de conservation. Cette pratique permettait potentiellement une conservation illimitée, ce qui contrevient au principe de limitation de durée prévu par le RGPD, qui autorise une conservation des données de prospection pour une durée maximale de trois ans à compter de la collecte ou du dernier contact véritable émanant du prospect. La société conservait également l’ensemble des données en base active pendant quatre ans, sans opérer le tri nécessaire pour ne garder que les informations strictement nécessaires à des fins probatoires et sans en limiter l’accès aux seules personnes habilitées.

La CNIL a fixé le montant de l’amende à 80 000 euros, en prenant en compte l’ampleur des manquements, le nombre de personnes concernées, l’avantage financier retiré par la société, mais aussi la cessation totale de l’activité de CALOGA intervenue en 2024. Cette décision illustre la vigilance renforcée des autorités de protection des données à l’égard des pratiques des courtiers en données et rappelle l’importance de respecter les principes fondamentaux du consentement libre, éclairé et aisément révocable, ainsi que des durées de conservation limitées et justifiées.

Nos articles dans la même catégorie

Résolution judiciaire d’un contrat web pour non-conformité au RGPD

Dans un arrêt du 13 mai 2025 (n° 23/02044), la Cour d’appel de Bordeaux a prononcé la résolution d’un contrat de création de site internet conclu entre M. X et la société Y, au motif de graves manquements aux obligations découlant du règlement général sur la...

Accessibilité des sites web : une exigence pour une large majorité des entreprises dès le 28 juin 2025 !

A partir du 28 juin 2025, l’accessibilité numérique deviendra une obligation légale pour la majorité des entreprises privées en France. Le texte européen impose que les sites web soient accessibles à tous, y compris aux personnes en situation de handicap. Quelles...

Sanction exemplaire de 80 000 € pour pratique illicite de courtage en données

Le 15 mai 2025, la CNIL a infligé à la société CALOGA, spécialisée dans le courtage et la revente de fichiers de prospects, une amende de 80 000 € pour avoir exploité des données personnelles sans consentement valable et transmis ces informations à des partenaires...

Affichage des listes scolaires par les établissements scolaires : les précautions recommandées par la CNIL

Depuis l’entrée en vigueur de la réglementation sur la protection des données, la CNIL est attentive à plusieurs secteurs en particulier, dont celui de l’enseignement scolaire. Plusieurs sujets reviennent régulièrement : Protéger les élèves de la surexposition sur les...

Plainte contre OpenAI pour manquement au principe d’exactitude des données

NOYB – European Center for Digital Rights a déposé, le 20 mars 2025, une plainte auprès de l’Autorité norvégienne de protection des données (Datatilsynet) à l’encontre d’OpenAI pour violation du principe d’exactitude du RGPD (article 5 § 1 d). Cette action fait suite...

Valeur d’une signature électronique simple

ARRET N°1 Dans un arrêt du 11 février 2025, la cour d’appel de Versailles a jugé qu’une signature électronique imparfaite car non-qualifiée pouvait néanmoins constituer un commencement de preuve par écrit. Dans l’affaire de recouvrement bancaire qui lui était...

Pratiques interdites en IA : les lignes directrices européennes précisées

Le 4 février 2025, la Commission européenne a publié ses lignes directrices sur les pratiques d'intelligence artificielle interdites, en application du Règlement (UE) 2024/1689 (IA Act). Ce document interprète notamment l'article 5 de l'AI Act, en listant les systèmes...

Sanction de 40 000 € pour surveillance excessive des salariés par une entreprise immobilière

Le 19 décembre 2024, la Commission nationale de l’informatique et des libertés (CNIL) a infligé à une société du secteur immobilier une amende de quarante mille euros au motif d’une surveillance jugée disproportionnée des employés. L’autorité a relevé la mise en œuvre...