Formulaires trompeurs, conservation et partage des données non conformes : sanction de 80 000 € de Caloga

Le 15 mai 2025, la Cnil a sanctionné la société Caloga d’une amende de 80 000 euros pour avoir démarché des prospects sans leur consentement recueilli de façon conforme au RGPD et avoir transmis leurs données à des partenaires sans base légale valable. La société Caloga a cessé son activité en 2024.

Contrôle des courtiers en données

La Cnil a défini le contrôle de la prospection commerciale comme étant prioritaire en 2022. Dès lors, l’Autorité s’est intéressée aux pratiques des professionnels de cet écosystème, en particulier aux intermédiaires qui procèdent à la revente de données, appelés courtiers en données ou data brokers en anglais.

Caloga a été contrôlé. La société acquiert des données de prospects principalement auprès d’autres courtiers en données et des éditeurs de sites de jeux-concours et de tests de produits. Ces acteurs sont les premiers maillons de la chaîne et ils sont à l’origine de la collecte des données des prospects, appelés les primo-collectants.  Caloga utilisait ces données pour démarcher les personnes par email pour le compte d’annonceurs. Elle pouvait également transmettre certaines de ces données à ses clients, afin qu’ils réalisent eux-mêmes de la prospection par voie électronique.

A l’issue du contrôle, la Cnil considère que Caloga a manqué aux obligations prévues par le Code des postes et des communications électroniques (CPCE) et par le règlement général sur la protection des données (RGPD). Il est reproché à Caloga un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (article L .34-5 du CPCE).

Prospection par email

Caloga proposait aux entreprises de réaliser, pour leur compte, des campagnes de prospection par email. Pour procéder à ces campagnes, la société utilisait des données de prospects détenues par plusieurs courtiers en données, qui procédaient à leur collecte via des formulaires de participation à des jeux-concours ou à des tests de produits en ligne sur différents sites web.

Mais selon la Cnil, les formulaires avaient une apparence trompeuse, ce qui ne permettait pas de recueillir un consentement libre et univoque, conforme aux exigences du RGPD, qui permettrait de fonder les opérations de prospection réalisées par Caloga. La Cnil souligne que la mise en valeur des boutons entraînant l’utilisation des données à des fins de prospection commerciale (par leur taille, leur couleur, leur intitulé et leur emplacement), comparée aux liens hypertextes permettant de participer au jeu sans accepter l’utilisation des données (d’une taille nettement inférieure et se confondant avec le corps du texte) pousse fortement l’utilisateur à accepter.

La Cnil déclare que Caloga devait s’assurer que les personnes aient exprimé un consentement valide auprès de ses courtiers en données avant de mener ses campagnes de démarchage. La Cnil déclare que les formulaires qu’elle a examinés ne permettaient pas de recueillir un consentement valide.

Difficulté à retirer son consentement

Autre manquement, il y a l’obligation de respecter le droit au retrait du consentement (article L. 34-5 du CPCE tel qu’éclairé par l’article 7, paragraphe 3 du RGPD). Caloga organisait ses traitements autour de quatre bases de données (ou « marques ») : CALOGA, ZEPLAN, BASYLO et VOZEKO. La Cnil observe qu’il n’était pas possible pour un prospect, de se désinscrire en un seul clic des différentes bases de données de Caloga dans lesquelles il était inscrit.

Le prospect devait adresser une demande par email au délégué à la protection des données. Il n’était donc pas aussi facile pour un prospect de retirer son consentement que de le donner. De plus, la société Caloga a intitulé une de ses quatre bases de données (ou marques) « CALOGA », ce qui porte à confusion puisque le prospect, en cliquant sur le lien de désinscription intitulé « ne plus recevoir aucune offre des annonceurs de CALOGA », pouvait légitimement penser que sa demande valait pour se désinscrire de toutes les bases de données de la société.

La Cnil pointe d’autre part un manquement à l’obligation de disposer d’une base légale pour transmettre les données de prospects à des fins de prospection commerciale (article 6 du RGPD). Caloga transmettait des bases de données à d’autres partenaires, qui adressaient de la prospection commerciale par email pour leurs clients annonceurs. Caloga fondait cette transmission des données sur la base légale de l’intérêt légitime. La Cnil insiste sur le fait que ce traitement doit être fondé sur le consentement des personnes concernées, dont Caloga ne disposait pas.

L’ouverture d’un email n’est pas la preuve d’une activité

Enfin, Caloga a manqué à l’obligation de conserver les données pour une durée limitée (article 5-1-e du RGPD). Caloga appliquait une durée de conservation de douze mois maximum à compter de la dernière action du prospect « actif », en prenant en compte notamment la date d’ouverture de l’email.

Au-delà de ces douze mois, lorsque le prospect était considéré comme « inactif », une durée de conservation supplémentaire de quatre ans était appliquée par la société à des fins probatoires. La Cnil sanctionne cette pratique. Elle relève que à chaque fois qu’un prospect ouvrait un email de la société – même par inadvertance –, Caloga prolongeait la conservation des données de ce prospect dans ses bases, et ce potentiellement sans limitation. La Cnil déclare que les données de prospects peuvent être conservées pour une durée de trois ans à compter de leur collecte ou du dernier contact émanant du prospect et ce contact ne peut pas être la simple ouverture d’un email.

De plus, la Cnil constate que Caloga conservait l’ensemble des données de ses prospects en base active pendant 4 ans à compter du moment où le prospect était considéré comme « inactif ». Or, Caloga aurait du trier ces données, pour ne conserver que les données strictement nécessaires à des fins probatoires, et d’en limiter l’accès aux seules personnes ayant le besoin d’en connaitre.