Prospection commerciale par e-mail : le petit prestataire Performeclic sanctionné par la Cnil


La toute petite entreprise Performeclic – elle emploie 2 personnes – est sanctionnée d’une amende de 7300 € par la Cnil pour avoir adressé des e-mails de prospection commerciale sans preuve du consentement préalable des personnes et sans information satisfaisante.

Une sanction proportionnée et dissuasive

La Cnil indique que la sanction tient compte de la taille et de la situation financière de Performeclic pour prononcer une amende dissuasive et proportionnée. La Cnil exige que les entreprises recueille le consentement des personnes concernées avant l’envoi d’emails de prospection et d’être en mesure de prouver ce consentement.

Performeclic envoie des emails de prospection commerciale pour le compte d’annonceurs. L’association Signal Spam qui reçoit des signalements d’internautes au sujet d’emails non sollicités, a informé la Cnil que Performeclic apparaît régulièrement en tête du classement des sociétés émettant le plus de messages signalés comme « spam » par les internautes en France.

5 manquements au RGPD

Dès lors, la Cnil a effectué des contrôles et constaté des manquements concernant les données des personnes prospectées. La Cnil retient à l’encontre  de Performeclic 1 manquement au Code des postes et des communications électroniques (CPCE) et 5 manquements au RGPD.  Il s’agit de :

  • un manquement à l’obligation de recueillir le consentement des personnes avant l’envoi de courriels de prospection, en application de l’article L. 34-5 du CPCE, dans la mesure où Performeclic n’est pas en mesure de prouver l’existence d’un consentement valable des personnes prospectées ;
  • un manquement au principe de minimisation des données (article 5.1.c du RGPD), dans la mesure où la société conserve des données non nécessaires à l’envoi de la prospection commerciale électronique, en l’occurrence le numéro de téléphone des prospects ;
  • un manquement en matière de durée de conservation des données (article 5.1.e du RGPD), la société conservant des données de prospects plus trois ans à compter de la simple ouverture des courriels de prospection, sans une autre action de la part des personnes concernées (par exemple sans clic sur un des liens présents dans les courriels de prospection) ;
  • un manquement à l’obligation d’informer correctement les personnes (article 14 du RGPD) ;
  • un manquement au droit d’opposition des personnes (article 21 du RGPD), la société ne permettant pas aux personnes démarchées de s’opposer de manière effective à l’utilisation de leurs données ;
  • un manquement à l’encadrement contractuel des relations avec un sous-traitant (article 28 du RGPD), en raison de l’absence de clauses obligatoires dans le contrat conclu entre la société et son prestataire d’hébergement.

La société doit se mettre en conformité dans un délai de 2 mois sinon elle s’expose au paiement d’une astreinte de 1 000 € par jour de retard.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *