testez votre conformité
logo_agence
testez votre conformitéDevenir franchisé

Courtiers en données : SOLOCAL sanctionnée à hauteur de 900 000 € par la CNIL

Introduction

Le 21 mai 2025, la CNIL a sanctionné la société SOLOCAL MARKETING SERVICES d’une amende administrative de 900 000 euros. En cause : des campagnes de prospection électronique menées sans consentement préalable, et la transmission de données à des partenaires sans base légale.

Cette décision s’inscrit dans une série de sanctions visant les pratiques des courtiers en données et rappelle que le respect du consentement est au cœur du RGPD, en particulier dans les activités de courtage et de marketing.

Prospection sans consentement : une infraction claire

Des e-mails envoyés sans autorisation préalable

La CNIL a constaté que des messages promotionnels avaient été adressés à des personnes physiques sans que celles-ci aient donné leur accord préalable, en contradiction avec les articles 6 et 7 du RGPD, l’article L34-5 du Code des postes et des communications électroniques, ainsi que les dispositions de la directive ePrivacy.

Le consentement doit être libre, éclairé, spécifique et univoque, ce qui implique une démarche active et non équivoque de la part de la personne concernée.

Une politique de consentement jugée défaillante

SOLOCAL, en tant que responsable de traitement, n’a pas pu démontrer l’existence d’un recueil explicite et documenté du consentement des personnes prospectées. L’entreprise n’a pas été en mesure de fournir la preuve que les personnes avaient effectivement consenti à recevoir des communications commerciales, ni de préciser les modalités exactes de ce recueil.

En pratique, cela revient à considérer ces traitements comme illicites, le consentement étant la seule base légale valable pour la prospection électronique auprès des personnes physiques non-clientes.

Transmission illégale de données à des partenaires

Absence de base légale valide

Outre la prospection, la CNIL reproche également à la société d’avoir communiqué des données personnelles à des partenaires commerciaux, sans information claire ni consentement des personnes concernées.

Le RGPD impose de justifier toute transmission de données par une base légale solide, notamment lorsque celle-ci est fondée sur le consentement. Dans le cas présent, SOLOCAL n’a pas été en mesure de démontrer que les personnes avaient été correctement informées de cette transmission ni qu’elles y avaient consenti.

Information insuffisante des personnes

La politique de confidentialité de SOLOCAL n’était pas suffisamment claire sur les finalités réelles des traitements ni sur les destinataires effectifs des données[1]. Les personnes concernées n’étaient pas en mesure de comprendre qui allait recevoir leurs données ni pour quelles utilisations précises.

Cette opacité constitue une violation du principe de transparence énoncé à l’article 5 du RGPD et empêche les personnes d’exercer efficacement leurs droits.

Sanction et obligations correctives

Amende de 900 000 euros

Compte tenu du volume de données concernées (plusieurs millions de contacts) et de la gravité des manquements, la CNIL a prononcé une amende significative de 900 000 euros. Cette sanction a été déterminée en application de l’article 83 du RGPD, qui prévoit des critères tels que la nature, la gravité et la durée de l’infraction, le caractère intentionnel ou négligent, et les mesures prises pour atténuer les dommages.

Elle reflète également la nature répétée et systémique des pratiques constatées, ainsi que le modèle économique de l’entreprise fondé sur l’exploitation commerciale des données personnelles.

Astreinte journalière imposée

La société doit se mettre en conformité dans un délai de trois mois à compter de la notification de la décision. Les mesures correctives exigées incluent :

  • La mise en place d’un système de recueil du consentement conforme au RGPD
  • La révision complète de la politique de confidentialité
  • La purge des données collectées sans consentement valable
  • La mise en œuvre d’un mécanisme de traçabilité des consentements

En cas de retard, une astreinte de 10 000 euros par jour sera appliquée, ce qui peut représenter une charge financière considérable si la non-conformité persiste.

Droits des personnes concernées

Possibilité d’exercer ses droits

Les personnes dont les données ont été traitées illégalement par SOLOCAL peuvent exercer leurs droits prévus par le RGPD, notamment :

  • Le droit d’accès à leurs données
  • Le droit à l’effacement (“droit à l’oubli”)
  • Le droit à la limitation du traitement
  • Le droit d’opposition au traitement de leurs données à des fins de prospection

Ces demandes peuvent être adressées directement à SOLOCAL ou, en cas de difficulté, à la CNIL.

Ce qu’il faut retenir

Le consentement est une condition indispensable

Que ce soit pour de la prospection ou pour la revente de données, aucun traitement ne peut être réalisé sans une base légale solide et documentée. Le consentement doit être recueilli de manière active, spécifique et non ambiguë, et l’entreprise doit être en mesure d’en apporter la preuve.

Transparence et documentation

Les entreprises doivent être en mesure de démontrer comment elles recueillent et gèrent les consentements, informer clairement les utilisateurs, et tracer l’origine et la finalité des données personnelles utilisées. Cette obligation de documentation est essentielle pour prouver la conformité en cas de contrôle.

Une jurisprudence qui s’applique à tous les acteurs de la donnée

Même si la décision vise spécifiquement le secteur du marketing, les enseignements à en tirer concernent tous les secteurs manipulant des bases de données à des fins commerciales. D’autres autorités européennes de protection des données ont adopté des positions similaires, créant ainsi une jurisprudence cohérente au niveau européen.

Bonnes pratiques à adopter

Pour éviter de telles sanctions, les entreprises devraient :

  • Mettre en place des mécanismes clairs de recueil du consentement (cases à cocher non pré-cochées, formulations explicites)
  • Documenter systématiquement l’origine des données et les consentements obtenus
  • Réviser régulièrement leurs politiques de confidentialité pour garantir leur clarté et leur exhaustivité
  • Former leur personnel aux exigences du RGPD en matière de prospection commerciale
  • Mettre en place des procédures d’audit interne pour vérifier la conformité des pratiques

Conclusion

Cette décision de la CNIL constitue un rappel important des obligations en matière de consentement et de transparence dans le traitement des données personnelles, particulièrement dans le secteur du marketing et du courtage en données. Elle souligne que les autorités de protection des données n’hésitent pas à prononcer des sanctions significatives en cas de manquements, même pour des pratiques commerciales courantes.

Les entreprises doivent donc accorder une attention particulière à la conformité de leurs activités de prospection et de partage de données, sous peine de s’exposer à des risques juridiques et financiers importants.

Restez informé !

Des nouveautés RGPD

Suivez les actualités et les évolutions de la réglementation relative à la protection des données et profitez des conseils de l’Agence RGPD.



    Les informations recueillies sur ce formulaire permettent à l’Agence RGPD de vous transmettre sa Newsletter mensuelle. Les champs « * » sont indispensable à cette fin ; la non-fourniture de ces données entraine l’impossibilité pour nous de vous transmettre notre Newsletter.
    Pour en savoir plus sur la gestion de vos données personnelles et pour exercer vos droits, cliquez ici»