La CNIL1 a sanctionné la société PERFORMECLIC2, le 7 décembre 2020, pour avoir envoyé massivement des e-mails publicitaires non sollicités à des internautes, ce qui est contraire au RGPD3.

La société, qui a pour activité l’envoi de prospection commerciale par e-mail, avait acheté une base de données de 20 millions d’adresses auprès d’une autre société, et l’utilisait pour envoyer des campagnes publicitaires pour le compte de ses clients annonceurs.

La société n’a cependant pas pu justifier le fait que les internautes, dont elle possédait les adresses e-mails, avaient donné leur consentement pour recevoir ces e-mails4. L’entreprise s’engageait cependant sur ce point auprès de ses clients annonceurs, qui la rémunéraient pour cette tâche.

La Commission reproche aussi à l’agence publicitaire :

  • la conservation des numéros de téléphone des internautes, alors que la société n’en faisait pas usage5 ;
  • la conservation des coordonnées de millions d’internautes6, malgré le fait qu’ils n’aient pas manifesté d’intérêt pendant plus de trois ans7 ;
  • la difficulté pour les internautes de se désinscrire des listes d’envoi ;
  • le manque d’informations légales auprès des destinataires des e-mails8.

L’envoi de ces millions d’e-mails non sollicités avait poussé les internautes à effectuer plus de 163 000 signalements auprès de l’organisme SIGNAL SPAM, association avec laquelle la CNIL à un partenariat. Ces milliers de signalements avaient été reçus en seulement six mois.

Une sanction de 7 300 euros a été prononcée à l’encontre de la société, soit 4 % de son chiffre d’affaires9.

Lire la décision complète

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. La société PERFORMECLIC est enregistré au Registre du Commerce et des Sociétés de Pontoise sous le numéro 789 335 015.
  3. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  4. Le RGPD demande que le consentement des personnes soit obtenu avant l’envoi d’e-mails promotionnels. Voir « Doit-on demander le consentement des personnes avant de leur envoyer des e-mails promotionnels ? ».
  5. Le RPGD impose que seules les données avec une finalité prédéfinie soient collectées et traitées. Voir « Quelles données à caractère personnel peut-on collecter ? ».
  6. Le RGPD impose que les données à caractère personnel doivent être conservées pendant une limite prédéfinie, la plus courte possible, en fonction de la finalité de traitement. Voir « Combien de temps peut-on conserver des données à caractère personnel ? ».
  7. Le seul fait d’ouvrir un e-mail n’est pas considéré comme une activité de la personne et ne peut donc pas être utilisé pour rallonger la durée de conservation des données. Voir « L’ouverture d’un e-mail est-il considéré comme une action significative de l’internaute ? ».
  8. Le Code des Postes et des Communications Électroniques (CPCE) et le RGPD exigent que les e-mails promotionnels contiennent certaines informations, surtout quand les données à caractère personnel ont été collectées auprès d’un tiers, comme c’est le cas ici. Voir « Quelles informations doivent obligatoirement figurer dans les e-mails promotionnels ? ».
  9. La société a déclaré un chiffre d’affaires de 182 672 € en 2019.