La CNIL[1] a sanctionné la société PERFORMECLIC[2], le 7 décembre 2020, pour avoir envoyé massivement des e-mails publicitaires non sollicités à des internautes, en contradiction avec les exigences du RGPD[3] et de la législation française.

La société, qui a pour activité l’envoi de prospection commerciale par e-mail, avait acheté une base de données de 20 millions d’adresses auprès d’une autre société, et l’utilisait pour envoyer des campagnes publicitaires pour le compte de ses clients.

L’envoi de ces e-mails avait poussé les internautes à effectuer, en six mois, plus de 163 000 signalements auprès de l’organisme SIGNAL SPAM[4], une plateforme luttant contre le spam avec laquelle la CNIL à un partenariat.

La CNIL a rappelé à l’entreprise que l’envoi d’e-mails de prospection était autorisé uniquement si l’utilisateur avait « exprimé préalablement son consentement à recevoir des prospections »[5]. Or, la société « ne dispose d’aucun élément permettant de matérialiser le consentement des personnes concernées à recevoir de la prospection autre que deux factures ». La Commission considère, à ce sujet, que de simples mentions sur une facture « ne sont pas suffisantes pour attester du recueil effectif du consentement des personnes ».

La Commission reproche aussi à l’agence publicitaire :

  • la conservation des numéros de téléphone des internautes, alors que la société n’en faisait pas usage[6] ;
  • la conservation des données sur les prospects, sous prétexte que les destinataires avaient ouvert les e-mails qui leur avaient été envoyés[7] ;
  • le manque d’informations dans les e-mails[8] ;
  • la difficulté pour les internautes de se désinscrire des listes d’envoi[9] ;
  • l’utilisation d’un contrat incomplet avec son sous-traitant en charge de l’envoi des e-mails et de l’hébergement de sa base de données.

Une sanction de 7 300 euros a été prononcée à l’encontre de la société, soit 4 % de son chiffre d’affaires[10].

Lire :

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. La société PERFORMECLIC est enregistré au Registre du Commerce et des Sociétés de Pontoise sous le numéro 789 335 015.
  3. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  4. SIGNAL SPAM (signal-spam.fr).
  5. La législation indique qu’« Est interdite la prospection directe au moyen de système automatisé de communications électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen » (source : CPCE, article 34-5-§1). La société devait donc obtenir le consentement des personnes avant de leur envoyer des e-mails promotionnels. Voir « Doit-on demander le consentement des personnes avant de leur envoyer des e-mails promotionnels ? » et « Comment obtenir le consentement d’une personne pour l’envoi d’e-mails promotionnels ? ».
  6. Le RGPD indique que les données doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (source : RGPD, article 5-1-c). La société ne pouvait donc pas conserver les numéros de téléphone des prospects si elle ne les utilisait pas et devaient les supprimer. Voir « Quelles données à caractère personnel peut-on collecter ? ».
  7. Le RGPD indique que les données personnelles « doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (source : RGPD, article 5-1-e). La société pouvait conserver les données sur les prospects seulement si cela était justifié. Dans ce cas, il était nécessaire de prouver que les prospects avaient un intérêt particulier pour les e-mails qui leur étaient envoyés. Un clic sur le lien d’un e-mail peut, par exemple, justifier un intérêt, mais pas la simple ouverture de l’e-mail. Voir « L’ouverture d’un e-mail est-elle considérée comme une action significative de l’internaute ? ».
  8. Le RGPD demande qu’un certain nombre d’informations soit communiqué aux personnes lorsque leurs données personnelles sont collectées auprès d’un tiers (source : RGPD, article 14). La société ayant collecté les adresses e-mail des internautes auprès d’un tiers, les e-mails envoyés par la la société devaient donc contenir des informations règlementataires ou un lien vers une politique expliquant les traitements effectués. Voir « Quelles informations doivent obligatoirement figurer dans les e-mails promotionnels ? ».
  9. Le RGPD indique que « lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment » (source : RGPD article 21-2). La société devait donc proposer aux personnes une « manière simple et effective » de s’opposer à la réception d’e-mail promotionnels. Le système mis en place par la société ne permettait pas cela, car il permettait uniquement de s’opposer à certains e-mails. Voir « Quelles informations doivent obligatoirement figurer dans les e-mails promotionnels ? ».
  10. La société a déclaré un chiffre d’affaires de 182 672 € en 2019.