Prospection commerciale : la CNIL sanctionne un annonceur pour ne pas avoir contrôlé ses « data brokers »

L’amende de 600 000 euros imposée par la CNIL à l’encontre d’EDF pour des non-conformités notamment en matière de marketing direct souligne l’importance de contrôler et d’auditer les pratiques de ses sous-traitants.

La CNIL avait été saisie de plaintes concernant des actions de prospection réalisées par EDF par l’intermédiaire de courtiers en données (parfois dit « data brokers »).

Or, la CNIL relève que la société « avait des difficultés à obtenir du courtier en données concerné des éléments de preuve concernant le recueil du consentement ». En l’occurrence le courtier n’avait produit que le formulaire de consentement type, et non pas les formulaires individuellement remplis par chaque prospect.

En outre, les formulaires de contact type communiqués à la CNIL dans le cadre du contrôle ne contenaient aucune liste de partenaires incluant EDF. Or la CNIL rappelle que, pour collecter un consentement éclairé à des actions de prospection par des tiers, il est nécessaire d’informer les personnes concernées de l’identité des prospecteurs susceptibles de les contacter.

Il est à noter que, d’après la délibération de la CNIL, la société avait demandé aux courtiers concernés de s’engager contractuellement à respecter le RGPD et les règles applicables en matière de prospection commerciale. Or, EDF « a reconnu n’exercer aucun contrôle sur les formulaires de recueil utilisés, ni réaliser d’audits sur ses co-contractants, mais a affirmé conduire des échanges informels avec eux ».

Dans ces conditions, la CNIL considère que les démarches mises en place par la société pour s’assurer de l’existence d’un consentement valable « étaient insuffisantes ».

Elle estime en conséquence que de telles pratiques sont constitutives d’un manquement aux principes applicables en la matière visés à l’article L. 34-5 du Code des postes et des communications électroniques et à l’article 7 du RGPD.

Cette décision est très instructive pour les responsables de traitement car elle pointe l’insuffisance d’une approche purement contractuelle vis à vis de la conformité de ses partenaires, du moins dans le domaine du courtage en données.

À retenir :

Il appartient aux responsables de traitement de réaliser des contrôles sur les formulaires de recueil utilisés par ces prestataires et d’auditer les pratiques des prestataires.

Au-delà du risque de sanction de la CNIL, l’absence de contrôle de la conformité de vos sous-traitants à leurs obligations en vertu du RGPD peut résulter en un refus de prise en charge de sinistre par votre assureur en cas de faille de sécurité ou autres manquements.

L’équipe IP/IT - DATA

Notre équipe Data est à votre disposition pour conseiller vos équipes de communications et pour vous assister sur cette démarche de contrôle / audit des partenaires. Vous pouvez nous contacter via notre formulaire de contact.