La CNIL a adressé une lourde amende au courtier en données Caloga, accusé de prospection illégale. L'autorité française explique que l'entreprise n'a pas suivi les règles de consentement et de transmission des données à des tiers.

Les courtiers en données sont dans le viseur de la CNIL © Yuri A / Shutterstock
Les courtiers en données sont dans le viseur de la CNIL © Yuri A / Shutterstock

Le gendarme français des données personnelles, la CNIL, ne plaisante plus avec les courtiers en données. Caloga, une entreprise spécialisée dans l'achat et la revente d'informations de prospects, vient d'écoper d'une amende salée pour avoir bafoué les règles du RGPD, le règlement européen sur la protection des données. La sanction, prononcée le 15 mai dernier mais rendue publique ce mardi, montre les dérives persistante d'un secteur resté longtemps dans l'ombre. Une affaire qui mérite quelques explications.

Quand la collecte de données du courtier tourne au piège à consentement

Caloga fonctionnait comme un intermédiaire peu scrupuleux dans l'écosystème de la prospection commerciale. La société achetait des fichiers de prospects auprès d'autres courtiers, principalement alimentés par des sites de jeux-concours et de tests produits. Ces formulaires en ligne, analysés par la CNIL, ont rapidement révélé des pratiques pour le moins trompeuses.

Les boutons d'acceptation, par exemple, étaient mis en valeur par leur taille, leur couleur et leur emplacement stratégique. À l'inverse, les liens permettant de participer sans consentir à la prospection commerciale étaient volontairement discrets, se confondant carrément avec le corps du texte. Cette mise en scène visuelle poussait clairement les utilisateurs vers l'acceptation.

Caloga utilisait ensuite ces données pour bombarder les prospects d'e-mails commerciaux, pour son propre compte ou celui de ses clients annonceurs. Le problème ? Ces consentements n'avaient rien de libre ni d'éclairé, et ils violaient frontalement les exigences du RGPD en matière de prospection électronique.

Illustrations de formulaires non conformes utilisés par des courtiers en données © CNIL
Illustrations de formulaires non conformes utilisés par des courtiers en données © CNIL

Un système de désinscription volontairement complexe et une conservation abusive des données

La société avait organisé ses activités autour de quatre bases de données aux noms évocateurs : Caloga, Basylo, Zeplan et Vozeko. Se désinscrire de ces listes relevait du parcours du combattant. D'après la Commission nationale de l'informatique et des libertés, il était impossible de le faire en un clic, comme l'exige pourtant la réglementation.

Les prospects devaient en fait envoyer un e-mail au délégué à la protection des données (DPO) pour exercer leur droit de retrait. Pire encore, le lien de désinscription « ne plus recevoir d'offres Caloga » ne concernait qu'une seule base. Voilà qui trompait de façon légitime les utilisateurs qui pensaient se désabonner de tous les services de l'entreprise.

Caloga conservait également les données collectées bien au-delà des durées légales. Celle-ci pouvait atteindre douze mois après la dernière « action » du prospect, y compris une simple ouverture d'e-mail par inadvertance. Elle pouvait aussi grimper à quatre années supplémentaires, soi-disant à des fins probatoires. La CNIL a rappelé que cette conservation ne peut excéder trois ans, et seulement avec un archivage approprié des données strictement nécessaires.