Le 15 mai 2025, la CNIL a infligé une amende de 80 000 euros à la société CALOGA pour plusieurs manquements graves aux obligations prévues par le Code des postes et des communications électroniques (CPCE) et le règlement général sur la protection des données (RGPD). Cette sanction intervient dans le cadre des contrôles menés par la CNIL sur la prospection commerciale, notamment auprès des courtiers en données qui revendent des informations de prospects collectées via des jeux-concours et des tests de produits. CALOGA, en tant qu’utilisateur de ces données, menait des campagnes de démarchage électronique pour ses clients et transmettait les données à ces derniers à des fins de prospection, sans que le consentement des personnes concernées soit valablement recueilli.
L’enquête a révélé que les formulaires utilisés pour collecter le consentement présentaient une apparence trompeuse, incitant fortement les utilisateurs à accepter l’utilisation de leurs données. Les boutons d’acceptation étaient visuellement mis en avant, tandis que les liens permettant de refuser étaient dissimulés dans le texte. La CNIL a estimé que ce procédé empêchait la collecte d’un consentement libre et éclairé, et que CALOGA, en tant qu’utilisateur des données, avait l’obligation de s’assurer de la validité de ce consentement. Or, les garanties contractuelles imposées aux fournisseurs et les contrôles annoncés par CALOGA étaient insuffisants, car la société n’avait pas pris les mesures nécessaires malgré les défauts manifestes relevés dans les formulaires.
En outre, la CNIL a constaté un manquement à l’obligation de permettre un retrait du consentement aussi simple que son octroi. Les prospects ne pouvaient pas se désinscrire facilement de l’ensemble des bases de données de CALOGA en un seul clic, mais devaient adresser une demande au délégué à la protection des données par courriel. De plus, la dénomination « CALOGA » pour l’une des quatre bases entretenait une confusion, laissant croire que se désinscrire de « CALOGA » revenait à se désinscrire de toutes les bases gérées par la société, ce qui n’était pas le cas.
La société a également manqué à l’obligation de disposer d’une base légale pour transmettre les données de prospects à ses partenaires, en se fondant sur l’intérêt légitime plutôt que sur un consentement valable, alors même que la prospection commerciale par voie électronique nécessite impérativement le consentement préalable des personnes concernées. La transmission des données réalisée par CALOGA était donc illicite au regard de l’article 6 du RGPD.
Enfin, la CNIL a relevé un manquement à l’obligation de limiter la durée de conservation des données. CALOGA conservait les données des prospects pendant une période de douze mois à compter de la dernière activité détectée, prolongée de quatre ans à des fins probatoires si aucune activité n’était constatée. Or, chaque ouverture de courriel – même involontaire – était considérée comme une activité, prolongeant indéfiniment la durée de conservation. Cette pratique permettait potentiellement une conservation illimitée, ce qui contrevient au principe de limitation de durée prévu par le RGPD, qui autorise une conservation des données de prospection pour une durée maximale de trois ans à compter de la collecte ou du dernier contact véritable émanant du prospect. La société conservait également l’ensemble des données en base active pendant quatre ans, sans opérer le tri nécessaire pour ne garder que les informations strictement nécessaires à des fins probatoires et sans en limiter l’accès aux seules personnes habilitées.
La CNIL a fixé le montant de l’amende à 80 000 euros, en prenant en compte l’ampleur des manquements, le nombre de personnes concernées, l’avantage financier retiré par la société, mais aussi la cessation totale de l’activité de CALOGA intervenue en 2024. Cette décision illustre la vigilance renforcée des autorités de protection des données à l’égard des pratiques des courtiers en données et rappelle l’importance de respecter les principes fondamentaux du consentement libre, éclairé et aisément révocable, ainsi que des durées de conservation limitées et justifiées.