La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Alexandre LINDEN, président, M. Philippe-Pierre CABOURDIN, vice-président, Mmes Isabelle LATOURNAIRE-WILLEMS et Christine MAUGÜÉ, MM. Alain DRU et Bertrand du MARAIS, membres ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;
Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;
Vu la décision n° 2022-054C du 25 mars 2022 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par la société TAGADAMEDIA ou pour son compte, en tout lieu susceptible d’être concerné par leur mise en œuvre ;
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 22 juin 2023 ;
Vu le rapport de Mme Valérie PEUGEOT, commissaire rapporteure, notifié à la société TAGADAMEDIA le 25 août 2023 ;
Vu les observations écrites versées par la société TAGADAMEDIA le 29 septembre 2023 ;
Vu la réponse du rapporteur notifié à la société le 20 octobre 2023 ;
Vu les observations écrites versées par la société TAGADAMEDIA le 20 novembre 2023 ;
Vu la clôture de l’instruction, notifiée à la société le 22 novembre 2023 ;
Vu les observations orales formulées lors de la séance de la formation restreinte du 7 décembre 2023 ;
Vu les autres pièces du dossier ;
Étaient présents, lors de la séance de la formation restreinte :
- Mme Valérie PEUGEOT, commissaire, entendue en son rapport ;
En qualité de représentants de la société TAGADAMEDIA :
- […].
La société TAGADAMEDIA ayant eu la parole en dernier ;
La formation restreinte a adopté la décision suivante :
I. Faits et procédure
1. La société TAGADAMEDIA (ci-après " la société ") est une société par actions simplifiée (SAS) au capital de 100 000 euros, sise 55 rue Legendre à PARIS (75017). Créée en 2015, elle met principalement en œuvre des sites en ligne de jeux-concours et de tests de produits par lesquels elle collecte des données de prospects. Ces données sont ensuite vendues à des partenaires annonceurs effectuant des opérations de démarchage.
2. En 2016, la société TAGADAMEDIA a racheté à 100% la société […]. Créée en 2004, la société […] diffuse des newsletters qui incluent des messages commerciaux pour le compte de clients annonceurs. Les newsletters sont adressées à des prospects dont les données ont été collectées par les sites édités par la société TAGADAMEDIA ou la société […].
3. En 2023, la société TAGADAMEDIA comptait six salariés. Elle a réalisé, pour l’année 2022, un chiffre d'affaires de […] euros pour un résultat net de […] euros. Pour la période du 1er janvier 2023 au 31 août 2023, son chiffre d’affaires s’est élevé à […] euros.
4. En application de la décision n° 2022-054C du 25 mars 2022 de la présidente de la Commission, une délégation de la CNIL a effectué une mission de contrôle en ligne du site web accessible via l’URL https://www.tagadamedia.com/fr afin de vérifier le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après " la loi Informatique et Libertés " ou " loi du 6 janvier 1978 ") et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (ci-après le " Règlement " ou " RGPD ").
5. Ce contrôle en ligne a donné lieu à un procès-verbal n° 2022-054/1 du 16 mai 2022, notifié le 27 mai 2022 à la société.
6. En application de la décision n° 2022-054C du 25 mars 2022 de la présidente de la CNIL, une délégation de la Commission a procédé à une mission de contrôle sur place de la société TAGADAMEDIA. Des procès-verbaux n° 2022-054/2 et n° 2022-054/3 des 18 et 19 mai 2022 ont été dressés et notifiés à la société par un courrier du 23 mai 2022.
7. Par des courriers des 3 et 10 juin 2022, la société a communiqué les éléments sollicités dans le cadre des contrôles en ligne et sur place. Les 13 juillet et 30 septembre 2022, la délégation de contrôle a adressé des demandes complémentaires, auxquelles la société a répondu les 26 juillet et 12 octobre 2022.
8. Le 18 octobre 2022, un second contrôle en ligne a été diligenté par les services de la CNIL. Le procès-verbal n° 2022-054/4 a été notifié le 5 décembre 2022 et la société a communiqué les éléments sollicités le 20 décembre 2022. Une dernière demande complémentaire a été adressée le 3 mai 2023, à laquelle la société a répondu le 22 mai 2023.
9. Le 22 juin 2023, la présidente de la Commission a, sur le fondement de l’article 22 de la loi du 6 janvier 1978, désigné Mme Valérie PEUGEOT en qualité de rapporteure aux fins d’instruction de ces éléments.
10. Le 25 août 2023, à l’issue de son instruction, la rapporteure a fait notifier à la société un rapport détaillant les manquements aux articles 5, 6, 30 et 32 du RGPD qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de prononcer une amende administrative à l’encontre de la société. Il proposait également que cette décision soit rendue publique.
11. Le 29 septembre 2023, la société a produit des observations en réponse au rapport de la rapporteure.
12. Sur demande de la rapporteure et par une décision n° 2023-235C du 17 octobre 2023 de la Présidente de la CNIL, une délégation de la CNIL a procédé à un contrôle en ligne pour vérifier la conformité de tout traitement accessible à partir de l’URL " https://testonsensemble.com/testez-de-nouveaux-produits/signup/1 " ou portant sur des données à caractère personnel collectées à partir de cette dernière. Ce contrôle a donné lieu à un procès-verbal n° 2023-235/1.
13. Le 20 octobre 2023, la réponse de la rapporteure a été notifiée à la société.
14. Le 20 novembre 2023, la société a adressé de nouvelles observations en réponse à celles de la rapporteure.
15. Par courrier du 21 novembre 2023, la rapporteure a, en application du III de l’article 40 du décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi Informatique et Libertés, informé la société que l’instruction était close.
16. La rapporteure et la société ont présenté des observations orales lors de la séance de la formation restreinte du 7 décembre 2023.
I. Motifs de la décision
A. Sur le manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre
17. Aux termes de l’article 6, paragraphe 1, du RGPD, " Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ".
18. En vertu de l’article 4, paragraphe 11, du RGPD, le consentement de la personne concernée s’entend de " toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ".
1) S’agissant des formulaires de collecte de données de prospects
19. La rapporteure relève que la société collecte des données de prospects par l’intermédiaire de formulaires de participation à des jeux-concours en ligne. Ces données sont ensuite transmises à des partenaires de la société, qui procèdent à des opérations de prospection commerciale par voie électronique. La rapporteure note également que la politique de protection des données, accessible via les sites web que la société TAGADAMEDIA édite, prévoit que la base légale de la transmission des données de prospects à des fins de prospection par voie électronique est le consentement.
20. Pour proposer à la formation restreinte de considérer que la société a méconnu ses obligations résultant de l’article 6 du RGPD, tel qu’éclairé par les dispositions de l’article 4, paragraphe 11 du RGPD, la rapporteure se fonde sur le fait que la conception de ces formulaires ne permet pas aux utilisateurs de manifester leur consentement par un acte positif clair et dénué d’ambigüité, et les incite fortement à accepter la transmission de leurs données aux partenaires de la société à des fins de prospection.
21. En défense, la société confirme qu’elle a choisi de fonder son traitement relatif à la prospection commerciale sur le recueil du consentement, que ce soit pour la prospection par voie électronique, par voie postale et par voie téléphonique. Elle précise que le recueil du consentement " à action unique " est accompagné d’un centre de désabonnement qui permet de se désinscrire de manière complète à l’ensemble des moyens de prospection.
22. La société avait recours, successivement, à deux types de formulaire, l’un reposant sur un bouton unique, l’autre sur deux boutons.
23. S’agissant du formulaire à bouton unique, la société indique que sa conception faisait que la participation de l’internaute au jeu/concours n’était conditionnée qu’à son acceptation du règlement. Ce dernier pouvait ainsi cliquer sur le lien situé dans le texte explicatif pour participer au jeu sans accepter de transmettre ses données aux partenaires.
24. Par ailleurs, d’une manière générale, la société affirme que les deux formulaires permettaient bien aux internautes de faire un choix relatif à la transmission de leurs données, ce qui garantirait le caractère libre du consentement. Elle indique, d’une part, que la participation au jeu et le recueil du consentement pour la transmission des données sont décorrélés, d’autre part, que le consentement est spécifiquement recueilli pour la prospection commerciale. Elle précise également que les formulaires indiquent clairement les implications des clics des internautes, tout en reconnaissant que des modifications étaient nécessaires s’agissant des implications du bouton " JE REFUSE " sur le formulaire à deux boutons. Enfin, la société affirme que le consentement serait univoque car manifesté par un clic sur le bouton, ce qui en fait bien une action positive. Lors de la séance de la formation restreinte, la société a précisé que le formulaire à bouton unique a été mis en place en 2015 mais qu’il est aujourd’hui obsolète, le formulaire à deux boutons étant effectif depuis 2017.
25. À la suite de la réception du premier rapport de la rapporteure, la société a indiqué avoir mis en place un nouveau type de formulaire, qu’elle considère conforme aux exigences du RGPD. Selon la société, le texte explicatif est parfaitement lisible et contient toutes les informations nécessaires pour l’utilisateur qui ne présente aucune vulnérabilité particulière. Elle ajoute que la position des boutons, en affichant d’abord le bouton " J’ACCEPTE " avec un texte explicatif en caractère moins grands, telle qu’elle figure sur le nouveau formulaire, serait considérée comme " neutre ", selon les études sur les cookies produites par la CNIL, et serait donc licite. La société précise qu’il est possible de poursuivre son parcours utilisateur sans accepter de recevoir des offres de partenaires.
26. À cet égard, la société relève que la CNIL n’a publié aucune recommandation spécifique sur le secteur du marketing digital. Elle précise qu’elle a mis en place de nombreuses mesures pour assurer le respect des droits des personnes et communique des statistiques révélant un nombre très élevé de personnes " opt-in " et un nombre peu élevé de personnes " non-opt-in ", c’est-à-dire ayant demandé à se désinscrire / ayant demandé la suppression de leurs données / ou ayant rempli un autre formulaire de jeu tout en refusant la transmission de leurs données.
27. Enfin, la société affirme qu’elle n’a jamais eu la volonté de tromper ou d’induire en erreur les prospects inscrits dans sa base de données, le succès de son activité reposant sur la qualité de ses pratiques de collecte et des personnes inscrites sur sa base de données.
28. La formation restreinte relève d’abord que, aussi bien la politique de protection des données, accessible via les sites web, que le registre des activités de traitement de la société, prévoient que la base légale de la transmission des données de prospects à des fins de prospection par voie électronique, téléphonique ou postale est le consentement, ce que confirme la société.
29. La formation restreinte rappelle que le consentement spécifique requis par les dispositions de l’article 6 du RGPD ne peut résulter que d’un consentement exprès de l’utilisateur, donné en toute connaissance de cause après une information adéquate sur l’usage qui sera fait de ses données à caractère personnel. Il convient à cet égard de s’assurer que les personnes concernées ont donné un consentement univoque, spécifique, libre et éclairé lors de la collecte de leurs données à caractère personnel par le biais des formulaires de participation à des jeux-concours.
30. La formation restreinte relève à cet égard que les travaux conduits sur les pratiques mises en œuvre en matière de cookies s’agissant des bannières de recueil du consentement peuvent utilement servir à apprécier de manière plus générale les conditions de recueil d’un consentement libre, univoque, spécifique et éclairé, et servir de référence en matière de prospection commerciale lorsqu’elle est fondée sur le recueil du consentement.
31. Par ailleurs, sur les mêmes conditions du consentement, la Cour de justice de l’Union européenne (CJUE) a précisé, dans sa décision Planet49 GmbH : " l’article 7, sous a), de la directive 95 prévoit que le consentement de la personne concernée peut rendre un tel traitement licite pour autant que ce consentement est " indubitablement " donné par la personne concernée. Or, seul un comportement actif de la part de cette personne en vue de manifester son consentement est de nature à remplir cette exigence " (CJUE, grande chambre, 1er octobre 2019, Planet49 GmbH, C-673/17, ECLI:EU:C:2019:801, §54). Dès lors, il convient de considérer qu’à défaut d’être donné indubitablement, le consentement doit être considéré comme faisant défaut, ce qui rend le traitement illégal pour défaut de base légale. Plus précisément sur les modalités de recueil, la CJUE affirme que " la manifestation de volonté visée à l’article 2, sous h), de la directive 95/46 doit, notamment, être " spécifique ", en ce sens qu’elle doit porter précisément sur le traitement de données concerné et ne saurait être déduite d’une manifestation de volonté ayant un objet distinct. En l’occurrence, contrairement à ce qu’a fait valoir Planet49, le fait pour un utilisateur d’activer le bouton de participation au jeu promotionnel organisé par cette société ne saurait dès lors suffire pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies " (Idem, §§ 58-59).
32. En outre, le Conseil d’Etat a retenu que " le consentement libre, spécifique, éclairé et univoque ne peut qu'être un consentement exprès de l'utilisateur, donné en toute connaissance de cause et après une information adéquate sur l'usage qui sera fait de ses données personnelles. " (CE, 10ème et 9ème chambres réunies, 19 juin 2020, Google LLC, n° 430810, pt. 21).
33. La formation restreinte relève également, à titre d’exemple, que les lignes directrices 5/2020 sur le consentement, adoptées le 4 mai 2020 par le groupe de travail " article 29 " (devenu le Comité européen de la protection des données, ci-après " CEPD "), précisent que le caractère libre du consentement " implique un choix et un contrôle réel pour les personnes concernées. En règle générale, le RGPD dispose que si la personne concernée n’est pas véritablement en mesure d’exercer un choix, se sent contrainte de consentir ou subira des conséquences négatives importantes si elle ne donne pas son consentement, le consentement n’est pas valable […] En termes généraux, toute pression ou influence inappropriée exercée sur la personne concernée (pouvant se manifester de différentes façons) l’empêchant d’exercer sa volonté rendra le consentement non valable ".
34. À titre d’illustration et de comparaison, dans sa délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux " cookies et autres traceurs ", la Commission recommande ainsi aux organismes concernés de s’assurer " que les utilisateurs prennent la pleine mesure des options qui s’offrent à eux, notamment au travers du design choisi et de l’information délivrée (§ 10) […] Afin de ne pas induire en erreur les utilisateurs, la Commission recommande que les responsables de traitement s’assurent que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre. Il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique " (§ 34). Elle ajoute qu’il convient " d’être attentif à ce que l’information accompagnant chaque élément actionnable permettant d’exprimer un consentement ou un refus soit facilement compréhensible et ne nécessite pas d’efforts de concentration ou d’interprétation de la part de l’utilisateur. Ainsi, il est notamment recommandé de s’assurer qu’elle n’est pas rédigée de telle manière qu’une lecture rapide ou peu attentive pourrait laisser croire que l’option sélectionnée produit l’inverse de ce que les utilisateurs pensaient choisir. " (§ 23). A défaut, le caractère univoque du consentement ne serait pas caractérisé.
35. La formation restreinte rappelle également que des études menées sur les pratiques des interfaces numériques, en particulier concernant les cookies, relèvent l’impact considérable de l’apparence des bannières de recueil du consentement sur le choix des utilisateurs, pouvant inciter ces derniers à faire des choix ne reflétant pas leurs préférences sur le partage de données.
36. En l’espèce, il ressort des pièces du dossier que la société TAGADAMEDIA transmet à des partenaires les données collectées, à savoir le nom, le prénom, la civilité, la date de naissance, l’adresse postale, de courrier électronique, le numéro de téléphone des prospects, collectés via ses sites de jeux-concours, de tests de produits et de sondages. Ces partenaires procèdent ensuite à des opérations de prospection commerciale, notamment par voie électronique, auprès de ces prospects.
37. La formation restreinte relève que, au moment des contrôles, l’accès à deux formulaires de collecte a été constaté sur les sites utilisés pour collecter les données de prospects : un formulaire à bouton unique et un formulaire à deux boutons.
38. S’agissant du formulaire à bouton unique, la formation restreinte note que sous les champs permettant aux personnes concernées d’insérer leurs coordonnées est situé un bouton unique " JE VALIDE " sur fond vert avec une flèche. Au-dessus de ce bouton, un texte inscrit en caractères d’une taille nettement inférieure à celle utilisée pour les boutons précise qu’en cliquant sur ledit bouton, l’utilisateur accepte que les données collectées soient utilisées pour lui envoyer les offres des partenaires de la société. Des liens hypertextes permettent d’accéder à la politique de protection des données et à la liste des partenaires concernés. La fin du texte précise que si l’utilisateur souhaite continuer sans recevoir les offres des partenaires de la société, il peut cliquer sur un lien présent dans le texte (" je clique ici "). En outre, une case à cocher est prévue pour accepter le règlement de l’opération.
39. Ainsi, l’utilisateur confronté à ce formulaire peut, soit cocher la case d’acceptation du règlement de l’opération et cliquer sur le bouton vert " JE VALIDE " pour participer au jeu-concours tout en acceptant que ses données soient utilisées pour lui envoyer les offres des partenaires de la société, soit cocher la case d’acceptation du règlement et cliquer sur le lien " je clique ici " permettant de continuer sans recevoir ces offres.
40. La formation restreinte considère que tel qu’il est conçu, le formulaire proposé ne permet pas aux personnes concernées d’exprimer de manière valable un choix reflétant leurs préférences en matière de transmission de données à des fins de prospection commerciale. L’aperçu global de l’interface met particulièrement en valeur le bouton " JE VALIDE " qui, par sa taille et sa couleur se distingue des autres informations délivrées. De même, son intitulé évoque davantage la conclusion du parcours utilisateur qu’une transmission de données à des partenaires. Enfin, son emplacement et l’usage du verbe valider donnent l’impression de devoir obligatoirement être cliqué pour terminer l’inscription et participer au jeu-concours. A contrario, le lien hypertexte permettant de participer au jeu sans accepter la transmission de ses données est présenté dans le corps du texte, en caractères d’une taille nettement inférieure à celle utilisée pour les boutons et sans mise en valeur particulière, de sorte qu’il n’apparait pas intuitif qu’il est possible de participer sans cliquer sur le bouton " JE VALIDE " et donc sans transmettre ses données à des tiers à des fins de prospection. Le consentement recueilli est donc privé de son caractère univoque et libre.
41. Tout en relevant que ce formulaire était encore accessible en mai 2022, soit au moment des contrôles de la délégation de la CNIL, la formation restreinte prend bonne note que la société n’y recourt plus de façon opérationnelle.
42. S’agissant du formulaire à double bouton mis en place depuis 2017 jusqu’à la notification du rapport de sanction en 2023, la formation restreinte note que, sous les champs permettant aux personnes concernées d’insérer leurs coordonnées, sont situés deux boutons : un bouton " JE VALIDE ", écrit en blanc sur fond rouge, et un bouton " JE REFUSE ", écrit en noir sur fond gris et dont la taille de police est inférieure à celle du bouton " JE VALIDE ". Au-dessus de ces boutons, un texte inscrit en caractères d’une taille nettement inférieure à celle utilisée pour les boutons précise qu’en cliquant sur le bouton " JE VALIDE ", l’utilisateur accepte que les données collectées soient utilisées pour lui envoyer les offres des partenaires de la société. En outre, une case à cocher est prévue pour accepter le règlement de l’opération.
43. La formation restreinte constate que sur ce formulaire, il n’est fait aucune mention des conséquences d’un clic sur le bouton " JE REFUSE ".
44. Ainsi, l’utilisateur confronté à cette interface peut, soit cocher la case d’acceptation du règlement de l’opération et cliquer sur le bouton " JE VALIDE " pour participer au jeu-concours tout en acceptant que ses données soient utilisées pour lui envoyer les offres des partenaires de la société, soit cocher la case d’acceptation du règlement et cliquer sur le bouton " JE REFUSE " pour continuer sans recevoir ces offres.
45. À l’instar du formulaire évoqué aux paragraphes 38 à 40 et pour les mêmes motifs, la formation restreinte considère que tel qu’il est conçu, le formulaire décrit ne permet pas de recueillir un consentement univoque et libre de l’utilisateur.
46. Elle relève en outre qu’en l’absence de toute précision sur les conséquences liées au fait de cliquer sur le bouton " JE REFUSE ", le recueil du consentement n’est pas éclairé. Ce dernier pourrait tout aussi bien signifier que le refus de transmettre ses données ne permet pas de participer au jeu-concours, ce qui n’est pas le cas en l’espèce.
47. S’agissant du nouveau formulaire proposé par la société à la suite du rapport de la rapporteure, la formation restreinte note que sous les champs permettant aux personnes concernées d’insérer leurs coordonnées sont situés deux boutons : un bouton " J’ACCEPTE ", écrit en blanc sur fond rouge, et un bouton " ÉTAPE SUIVANTE ", dont l’apparence est identique au premier. Au-dessus de ces boutons, un texte inscrit en caractères d’une taille nettement inférieure à celle utilisée pour les boutons précise qu’en cliquant sur le bouton " J’ACCEPTE ", l’utilisateur accepte que les données collectées soient utilisées pour lui envoyer les offres des partenaires de la société. En cliquant sur " ÉTAPE SUIVANTE ", il continue sans recevoir les offres des partenaires.
48. La formation restreinte considère que, bien qu’ils soient de taille, police et couleur identiques, les termes choisis incitent fortement les utilisateurs à cliquer en tout premier lieu sur " J’ACCEPTE " placé avant le bouton " ÉTAPE SUIVANTE ". En effet, les utilisateurs sont poussés à cliquer sur le premier bouton " J’ACCEPTE " puis le second bouton " ÉTAPE SUIVANTE " laissant penser qu’il existe un séquençage entre ces deux boutons, le premier constituant un préalable au second, alors que le parcours des utilisateurs se poursuit en cliquant sur " J’ACCEPTE ", sans qu’il soit nécessaire de cliquer sur " ÉTAPE SUIVANTE ". La formation restreinte note que si les explications sont fournies sur les conséquences de chacune des deux options, la mise en valeur particulière des deux boutons dans le visuel global du formulaire, par rapport à l’apparence dudit texte en termes de police et de couleur, ne permet pas de compenser le risque que la personne passe directement du remplissage des champs au bouton " J’ACCEPTE " sans en mesurer les conséquences.
49. La formation restreinte considère ainsi que les formulaires n’éclairent pas suffisamment les personnes concernées sur le fait qu’elles consentent à la transmission de leurs données à des fins de prospection commerciale, dans un contexte où l’objet même de ces sites web est d’offrir une perspective de gains ne pouvant laisser supposer l’objectif de collecte pérenne de ces données à de telles fins. Ces personnes ne sont pas mises en mesure de manifester leur consentement par un acte positif clair et dénué d’ambigüité.
50. La formation restreinte considère, dans ces conditions, que la société TAGADAMEDIA ne dispose pas, pour transmettre les données de prospects à ses partenaires aux fins de réaliser des opérations de prospection commerciale, d’un consentement valide au sens des articles 6 et 4 du RGPD.
51. En outre et pour les mêmes motifs, la formation restreinte considère que le consentement recueilli par le biais du dernier formulaire proposé par la société au cours de l’instruction ne répond pas aux exigences du RGPD et que le manquement à l’article 6 du RGPD persiste.
2) S’agissant de la transmission de données de prospects aux partenaires
52. La rapporteure note que la société TAGADAMEDIA transmet des données de prospects à des partenaires à des fins de démarchage par voie postale ou électronique. La rapporteure note que la politique de protection des données à caractère personnel, accessible via le site web de la société, précise que la base légale de la transmission des données aux partenaires de TAGADAMEDIA aux fins de prospection " par courrier postal ou par télémarketing " est le consentement.
53. La rapporteure observe que le fait de ne pas consentir à la transmission de ses données permet bien à l’utilisateur d’empêcher la transmission de son adresse électronique. Toutefois, la rapporteure relève que, malgré l’absence de consentement, l’adresse postale ou le numéro de téléphone est transmis aux partenaires à des fins de prospection par voie postale ou par téléphone.
54. La rapporteure considère donc que la société a procédé à un traitement déloyal des données de prospects n’ayant pas consenti à leur transmission aux partenaires, ce qui constitue un traitement déloyal, contraire à l’article 5, paragraphe 1, a) du RGPD.
55. En défense, la société affirme qu’elle transmet des données à ses partenaires d’une part, à des fins de prospection commerciale et d’autre part, pour la réalisation d’opérations techniques et de qualification, cette dernière finalité relavant de l’intérêt légitime. La transmission des exports de base de données se fait via un " dessin d’enregistrement " propre à chaque partenaire. Ces dessins d’enregistrement peuvent comporter, ou non, une colonne relative au statut de " l’opt-in prospect ". Si la colonne est présente, l’ensemble des données est transmis, la colonne devant encadrer l’utilisation des données de prospects (s’il est indiqué " opt-in = 0 ", le partenaire ne doit pas prospecter sur les données transmises mais se contentera de réaliser les opérations techniques et de qualification). S’il n’y a pas de colonne, l’adresse courriel et le numéro de téléphone du prospect ne sont pas transmis et le partenaire ne recevra que les coordonnées postales pour les opérations techniques et de qualification.
56. La société soutient que l’exploitation des données postales alors que les prospects ont refusé la transmission de leurs données n’est pas le résultat d’un fait généralisé et qu’elle a découvert l’existence de cette pratique au moment du contrôle. Elle ajoute que si certains partenaires ont procédé de la sorte, cette situation ne concerne pas tous les partenaires, ne présente pas un caractère intentionnel de la part de TAGADAMEDIA et ne lui apporte d’ailleurs aucun avantage économique.
57. Enfin, la société précise qu’elle ne transmet plus à ses partenaires, depuis le 1er février 2023, les données de prospects n’ayant pas donné leur consentement ( " non-opt-in " ) .
58. La formation restreinte relève que la politique de protection des données à caractère personnel de la société indique que : " En cas d’acceptation expresse de votre part, vos données pourront également être utilisées par Tagadamedia et/ou ses partenaires pour : • Vous envoyer des offres commerciales et promotionnelles par courrier électronique, y compris à caractère politique ou syndical, par courrier électronique, par SMS/MMS, par courrier postal ou par télémarketing • Vous transmettre des newsletters • Procéder à l'évaluation statistique de la fréquentation du site • Réaliser de la segmentation et des recoupement statistiques. Le fondement légal du traitement est le consentement ".
59. La formation restreinte considère que les finalités visées par la société comme relevant de la réalisation d’opérations techniques et de qualification, à savoir la normalisation postale, le dédoublonnage, l’enrichissement téléphonique, etc., participent à la réalisation des opérations de prospection commerciale de ses partenaires. Ces traitements sont réalisés sur la base de données transmises par la société TAGADAMEDIA, dans le cadre de contrats dont l’objet est, notamment avec la société […], " l’intégration technique de la base de données TAGADAMEDIA SAS chez […] et de sa commercialisation en location par […] " (article 1 du contrat).
60. La formation restreinte note que les données des personnes n’ayant pas consenti à leur transmission aux partenaires sont entièrement ou partiellement transmises aux sociétés partenaires à des fins d’opérations techniques et de qualification et sont utilisées, dans certains cas, à des fins de prospection.
61. La formation restreinte considère que dès lors qu’un prospect ne consent pas à la transmission de ses données aux partenaires de la société, celle-ci n’est pas autorisée à les transmettre, y compris à des fins de réalisation d’opérations techniques et de qualification.
62. Au demeurant, la formation restreinte note que la politique de confidentialité de la société ne précise pas que les données des utilisateurs ayant refusé la transmission de leurs données aux partenaires à des fins de prospection commerciale sont tout de même transmises à ces partenaires pour d’autres finalités et sur le fondement d’une autre base légale.
63. La formation restreinte relève que la société n’a eu connaissance de l’exploitation des données postales par ses partenaires à des fins de prospection commerciale, alors que les prospects avaient refusé la transmission de leurs données, qu’au moment du contrôle en 2022.
64. Elle estime que pour transmettre ces données à ses partenaires, et dans la mesure où elle a choisi la base légale du consentement pour les traitements relatifs à la prospection par voie postale ou par téléphone, la société aurait dû recueillir le consentement des personnes concernées, ce qui n’est pas le cas en l’espèce.
65. La formation restreinte conclut, ainsi, qu’un manquement à l’article 6 du RGPD est constitué. Elle note toutefois que la société ne procède plus, depuis le 1er février 2023, à la transmission de données de prospects " non-opt-in " à ses partenaires.
B. Sur le manquement à l’obligation de mettre en œuvre un registre des activités de traitement
66. L’article 30 du Règlement dispose que le responsable de traitement, quel que soit le nombre de ses employés, a l’obligation de tenir un registre des activités de traitement, dès lors que le traitement des données à caractère personnel n’est pas occasionnel. Dans ce cas, le registre des activités de traitement doit comporter toutes les informations listées au 1. de l’article 30 du RGPD, à savoir : le nom et les coordonnées du responsable de traitement, de son représentant et du délégué à la protection des données, les finalités du traitement, les catégories de personnes concernées et les catégories de données à caractère personnel, les éventuels transferts de données et, dans la mesure du possible, les délais prévus pour l’effacement des données et la description des mesures techniques et organisationnelles mises en œuvre pour garantir un niveau de sécurité des données adapté au risque.
67. La rapporteure a constaté que la société partage un registre des activités de traitement avec la société […]. Or ce registre ne précise pas laquelle des sociétés agit en qualité de responsable de traitement.
68. En défense, la société relève tout d’abord qu’elle a bien mis en place un registre des activités de traitement et qu’il s’agit d’un modèle de registre simplifié proposé par la CNIL. Elle ajoute que ce registre comprend bien toutes les mentions prévues à l’article 30 du RGPD.
69. Elle ajoute qu’il est relativement rare que la CNIL sanctionne des organismes sur le fondement de l’article 30 du RGPD et que les décisions qui visent ce manquement concerneraient des faits plus graves (absence totale de registre, absence de mise en conformité après une mise en demeure, etc.).
70. La formation restreinte relève que la société TAGADAMEDIA met en œuvre un registre des activités de traitement, tenu en commun avec la société […], rachetée par elle, pour des traitements relatifs aux ressources humaines ou aux activités de prospection.
71. La formation restreinte note que ledit registre ne distingue pas quelle société agit en qualité de responsable de traitement pour l’activité en question. En effet, il n’est pas précisé pour les activités de ressources humaines ou de prospection si c’est la société TAGADAMEDIA ou la société […] qui agit en qualité de responsable de traitement. Or la société TAGADAMEDIA aurait dû, au regard du nombre de données traitées et de son activité, veiller au caractère exhaustif, précis et à jour de son registre des activités de traitement.
72. Il résulte de ce qui précède que le manquement à l’article 30 du RGPD est caractérisé.
73. La formation restreinte note que la société a mis à jour son registre des activités de traitement qui est désormais conforme aux exigences du RGPD.
C. Sur le manquement à l’obligation d’assurer la sécurité des données à caractère personnel
74. L’article 32, paragraphe 1, du RGPD prévoit que " Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque […] " et notamment " des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement " et d’une " procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ".
75. La rapporteure relève que dans le cadre du contrôle effectué sur place le 19 mai 2022, la société a indiqué qu’" il existe un seul compte administrateur de la base de données. Il est partagé par Monsieur […] et le directeur technique ". Elle considère que cette pratique n’est pas conforme aux exigences de sécurité et rappelle que conformément aux règles élémentaires relatives à la sécurité des systèmes d’information, pour être efficace, un mot de passe doit demeurer secret et individuel. Or, l’utilisation de comptes non individuels ne permet pas d’identifier de façon précise les connexions et de tracer les usages et actions réalisées par les personnes ayant accès au compte administrateur.
76. En défense, la société affirme que l’authentification et l’accès à la base de données sont rendus possibles via deux étapes d’authentification : une connexion par VPN grâce à une clé d’authentification individuelle et une seconde étape d’authentification au compte d’administration partagé entre les deux salariés habilités. La connexion VPN se fait grâce à un processus d’édition de clés d’authentification individuelles, les clés n’étant pas partagées entre les salariés.
77. Elle ajoute que les arguments de la rapporteure ne sont pas pertinents au regard de la taille et de la structure de TAGADAMEDIA.
78. La formation restreinte considère que la connexion au VPN au moyen de clés d’authentification individuelles constitue une bonne pratique et qu’elle permet, au regard du nombre restreint de personnes accédant au compte d’administration et de leur qualité, d’imputer les accès et actions effectuées au sein de la base de données par un compte administrateur partagé en cas de nécessité.
79. La formation restreinte conclut, compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques, que la société avait mis en œuvre les mesures techniques appropriées afin de garantir un niveau de sécurité adapté au risque.
80. Il résulte ce qui précède que le manquement à l’article 32 du RGPD n’est pas constitué.
II. Sur le prononcé de mesures correctrices
81. L’article 20 de la loi n° 78-17 du 6 janvier 1978 modifiée prévoit que : " lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […]2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; […] 7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 ".
82. L’article 83 du RGPD prévoit quant à lui que : " Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives ", avant de préciser les éléments devant être pris en compte pour décider s'il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.
83. La société indique qu’elle estime que le montant proposé par la rapporteure, de cinq-cent-mille euros, n’est pas proportionné au regard de la gravité des faits reprochés. La société évoque les lignes directrices 04/2022 du CEPD du 12 mai 2022 sur le calcul du montant des amendes administratives. A la lumière de ces lignes directrices, elle rappelle que les traitements entrepris n’emportent pas une sensibilité particulière, que le traitement n’est pas transfrontalier, que le préjudice subi par les prospects n’est pas substantiel et qu’elle n’a pas souhaité tromper les prospects dans le cadre de la collecte des données.
84. En premier lieu, la formation restreinte rappelle qu’elle doit tenir compte, pour le prononcé d’une amende administrative, des critères précisés à l’article 83 du RGPD, tels que la nature, la gravité et la durée de la violation, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données à caractère personnel concernées par la violation.
85. S’agissant de l’obligation de disposer d’une base légale pour les traitements mis en oeuvre, la formation restreinte insiste d’abord sur le fait que l’écosystème de la revente de données de partenaires en partenaires exige des garanties particulièrement fortes quant à la qualité et à la validité du consentement obtenu par le primo-collectant des données et dont les partenaires se prévalent à des fins de prospection commerciale. Elle rappelle que l’absence de recueil d’un consentement valide prive de base légale la transmission des données de prospects à des partenaires, qui apparait dès lors illicite. Elle considère que les exigences doivent être particulièrement renforcées s’agissant des modalités de recueil du consentement des utilisateurs des sites web édités par la société, dont l’objet est d’offrir des perspectives de gains, ces personnes n’ayant pas nécessairement conscience de la portée de leur accord dans le cadre de leur inscription. Elle souligne également que la base de données de prospects de la société compte environ six millions de prospects.
86. La formation restreinte note également que, en transmettant des données de prospects à ses partenaires à des fins d’opérations techniques et de qualification alors que ce traitement relève de la prospection commerciale et que les personnes concernées n’ont pas spécifiquement consenti à cette transmission, la société TAGADEMEDIA ne disposait pas d’une base juridique. La formation restreinte relève que la société a cessé cette pratique.
87. S’agissant du manquement à l’obligation de mettre en œuvre un registre des activités de traitement, la formation restreinte estime que même si ce manquement est de faible gravité, le prononcé d’une amende apparaît justifié.
88. Au vu de l’ensemble de ces éléments, la formation restreinte considère qu’il y a lieu de prononcer une amende administrative pour les manquements aux articles 6 et 30 du RGPD.
89. En deuxième lieu, s’agissant du montant de l’amende administrative, la formation restreinte rappelle que certaines violations du RGPD relevées comportent des manquements à des principes susceptibles de faire l’objet, en vertu de l’article 83 du RGPD, d’une amende pouvant s’élever jusqu’à 20 000 000 euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.
90. Elle considère que l’activité de la société et sa situation financière doivent notamment être prises en compte.
91. Dès lors, au regard de la responsabilité de la société, de ses capacités financières, de sa coopération au cours de la procédure et des critères pertinents de l’article 83, paragraphe 2, du RGPD, la formation restreinte estime qu’une amende de soixante-quinze mille euros apparaît justifiée.
92. En troisième lieu, s’agissant du prononcé d’une injonction, la formation restreinte relève que le consentement recueilli par le biais du formulaire de collecte proposé par la société dans le cadre de ses premières observations et visé aux paragraphes 47 et 48 ne présente toujours pas un caractère univoque. La formation restreinte considère qu’il est nécessaire de prononcer une injonction sur ce point.
93. Au regard de ces éléments, la formation restreinte considère comme justifié le prononcé d’une astreinte d’un montant de mille (1 000) euros par jour de retard et liquidable à l’issue d’un délai d’un mois.
94. En quatrième lieu, s’agissant de la publicité de la sanction, la société soulève les conséquences désastreuses pour sa réputation en la désignant comme un acteur négligent alors même qu’elle est réellement investie dans le respect des normes du RGPD. Cette publicité impacterait aussi bien sa réputation auprès de ses partenaires économiques que des internautes. Elle demande donc que la décision ne soit pas publique ou, à défaut, qu’elle soit anonymisée dans les quinze jours suivant la publication.
95. La formation restreinte considère que la publicité de la présente décision se justifie au regard de la gravité de certains des manquements en cause, de la portée du traitement et du nombre de personnes concernées, soit environ 6 millions de prospects.
96. Elle relève également que cette mesure permettra d’informer les personnes concernées par les opérations de prospection de la société. Cette information leur permettra, le cas échéant, de faire valoir leurs droits auprès de la société.
97. Enfin, elle estime que cette mesure est proportionnée dès lors que la décision n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide de :
• prononcer une amende administrative à l’encontre de la société TAGADAMEDIA d’un montant de soixante-quinze mille ( 75 000 €) pour manquements aux articles 6 et 30 du RGPD ;
• prononcer à l’encontre de la société TAGADAMEDIA une injonction de mettre en œuvre sur les sites qu’elle édite un formulaire de collecte des données de prospects permettant de recueillir un consentement libre, spécifique, éclairée et univoque quant à la transmission de leurs données à caractère personnel à des partenaires à des fins de prospection ;
• assortir l’injonction d’une astreinte de mille (1 000) euros par jour de retard à l’issue d’un délai d’un mois suivant la notification de la présente délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai ;
• rendre publique, sur le site web de la CNIL et sur le site web de Légifrance, sa délibération, qui ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication.
Le président
Alexandre LINDEN
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.