CNIL - Délibération n° SAN-2020-016 du 7 décembre 2020 concernant la société PERFORMECLIC

Délibération de la formation restreinte no SAN-2020-016 du 7 décembre 2020 concernant la société PERFORMECLIC

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Messieurs Alexandre LINDEN, président, Philippe-Pierre CABOURDIN, vice-président, et de Mesdames Anne DEBET, Dominique CASTERA et Christine MAUGÜE, membres ;

Vu la Convention no 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée, notamment ses articles 20 et suivants ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2019-136C du 26 juin 2019 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par cet organisme ou pour le compte de la société PERFORMECLIC ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 26 mai 2020 ;

Vu le signalement de l’association SIGNAL SPAM reçu par la Commission nationale de l’informatique et des libertés le 12 juin 2019 ;

Vu le rapport de Madame Valérie PEUGEOT, commissaire rapporteure, notifié à la société PERFORMECLIC le 22 octobre 2020 ;

Vu le courriel adressé par la société le 25 novembre 2020 ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte du 3 décembre 2020 :

Madame Valérie PEUGEOT, commissaire, entendue en son rapport ;

En qualité de représentant de la société PERFORMECLIC :

[…] ;

La société PERFORMECLIC ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

La société PERFORMECLIC (ci-après la société ) est une société à responsabilité limitée en activité depuis huit ans. Elle emploie entre un et deux salariés. En 2018, elle a réalisé un chiffre d’affaires de 107 089 € et en 2019 un chiffre d’affaires de 182 672 €.

La société a pour activité l’envoi de prospection commerciale par courriers électroniques pour le compte d’annonceurs. À ce titre, elle détient une base de données de 20 millions d’adresses électroniques de prospects, qu’elle indique avoir constituée à partir d’achats effectués auprès de la société […] en 2014 et 2015, avant la liquidation de cette dernière en 2017.

Le 12 juin 2019, l’association SIGNAL SPAM – qui recueille les signalements des internautes relatifs à la réception de courriers électroniques non sollicités et avec laquelle la Commission nationale de l’informatique et des libertés (ci-après la Commission ou la CNIL ) a un partenariat depuis le 30 octobre 2007 – a adressé un signalement à la CNIL concernant les agissements de la société. L’association indiquait ainsi que la société apparaît régulièrement en tête du classement des sociétés émettant le plus de messages signalés comme spam par les internautes français. Ainsi, entre le 1er janvier et le 11 juin 2019, plus de 163 000 signalements d’internautes ont été recensés pour des envois de courriels effectués par cette société.

À la suite d’une ordonnance du 11 septembre 2019 du juge des libertés et de la détention du tribunal de grande instance de Pontoise autorisant la CNIL à procéder à un contrôle sur place dans les locaux de la société, situés au domicile privé de son gérant, une délégation de la CNIL a procédé à une telle mission de contrôle, le 18 septembre 2019, en application de la décision n° 2019-136C de la présidente de la Commission du 26 juin 2019.

Cette mission avait pour objet de vérifier le respect par la société de l’ensemble des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après la loi du 6 janvier 1978 modifiée ou la loi Informatique et Libertés ) et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le RGPD ). Le gérant étant absent, la délégation a établi un procès-verbal de carence, notifié à la société le 19 septembre 2019 par courrier recommandé avec accusé de réception.

Le gérant de la société a été convoqué pour une audition dans les locaux de la CNIL le 15 octobre 2019, en application de l’article 19-III de la loi du 6 janvier 1978 modifiée. Le 14 octobre 2019, le conseil de la société a informé la CNIL que le gérant de la société ne pourrait être entendu en raison de son état de santé et a sollicité un report. Aucun représentant de la société ne s’étant présenté dans les locaux de la CNIL le 15 octobre 2019, un procès-verbal de carence a été dressé et notifié à la société par courrier recommandé avec accusé de réception.

Le 15 octobre 2019, la CNIL a adressé au gérant de la société une deuxième convocation pour une audition le 31 octobre 2019. Lors de l’audition, la société était représentée par son conseil, le gérant ne pouvant s’y rendre en raison de son état de santé. Le conseil de la société a fourni à la délégation de la CNIL des éléments relatifs aux conditions d’acquisition de la base de prospects par la société, au recueil du consentement des personnes à la réception de messages de prospection par courrier électronique, au droit d’opposition de celles-ci ainsi qu’aux durées de conservation des données personnelles des prospects.

La société a fourni des éléments de réponse complémentaires les 20 novembre et 27 décembre 2019 en lien avec le statut de la société dans la réalisation des traitements relatifs à la prospection commerciale, la preuve du recueil du consentement des personnes prospectées et les durées de conservation des données personnelles traitées.

Aux fins d’instruction de ces éléments, la présidente de la Commission a désigné Madame Valérie PEUGEOT en qualité de rapporteure, le 26 mai 2020, conformément à l’article 39 du décret n° 2019-536 du 29 mai 2019.

À l’issue de son instruction, la rapporteure a fait signifier par huissier de justice à la société PERFORMECLIC, le 23 octobre 2020, un rapport détaillant les manquements au RGPD et au code des postes et des communications électroniques (le CPCE ) qu’elle estimait constitués en l’espèce.

Ce rapport proposait à la formation restreinte de la Commission de prononcer une injonction de mettre en conformité le traitement avec les dispositions des articles 5, 14, 21 et 28 du Règlement et de l’article L. 34-5 du CPCE, assortie d’une astreinte, ainsi qu’une amende administrative. Il proposait également que cette décision soit rendue publique et ne permette plus d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

Le 22 octobre 2020, la société a été convoquée à la séance de la formation restreinte du 3 décembre 2020.

Le 25 novembre 2020, la société a adressé un courriel aux services de la CNIL.

La société et la rapporteure ont présenté des observations orales lors de la séance de la formation restreinte.

Aux termes de l’article 3, paragraphe 1, du RGPD le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union .

L’article 3, paragraphe 2, du RGPD prévoit que Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable de traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque ses activités sont liées :

À l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes (…) .

Aux termes de l’article 8 I° de la loi Informatique et Libertés, la CNIL (…) est l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679 du 27 avril 2016 (…) .

Aux termes de l’article 3 I° de la loi Informatique et Libertés l’ensemble des dispositions de la présente loi s’appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France .

Aux termes de l’article L. 34-5, alinéa 6, du CPCE La Commission nationale de l’informatique et des libertés veille, pour ce qui concerne la prospection directe utilisant les coordonnées d’un abonné ou d’une personne physique, au respect des dispositions du présent article en utilisant les compétences qui lui sont reconnues par la loi n° 78-17 du 6 janvier 1978 précitée. À cette fin, elle peut notamment recevoir, par tous moyens, les plaintes relatives aux manquements aux dispositions du présent article .

Lors du contrôle sur place effectué par la délégation de la CNIL le 18 septembre 2019, le gérant de la société a indiqué à la délégation que les activités opérationnelles de la société étaient mises en œuvre depuis le Maroc et que, dans un futur proche, il comptait mettre un terme aux activités de la société en France pour les réaliser dans leur intégralité depuis le Maroc.

La rapporteure considère qu’à supposer que certaines activités opérationnelles de la société soient effectivement menées depuis le Maroc et que les serveurs de la société se trouvent au Maroc, ce dont la société n’apporte pas la preuve, les critères prévus par l’article 3, paragraphes 1 et 2, du RGPD sont remplis – la société en cause étant établie en France et la société adressant ses messages de prospection au seul public français. En conséquence, le RGPD est applicable aux traitements de données à caractère personnel mis en œuvre par la société.

En premier lieu, la formation restreinte relève que la société est établie en France. En effet, la société est immatriculée au RCS de Pontoise sous le numéro 789 335 015 depuis le 13 novembre 2012 et dispose de locaux en France. La formation restreinte observe que la société ne dispose pas d’autres locaux pour la mise en œuvre du traitement lié à l’envoi de prospection commerciale par voie électronique.

La formation restreinte rappelle que la Cour de justice de l’Union européenne (ci-après la CJUE ) considère de façon constante que la notion d’établissement doit être appréciée de manière souple. En effet, selon la CJUE, la notion d’établissement s’étend à toute activité réelle et effective, même minime, exercée au moyen d’une installation stable , le critère de stabilité de l’installation étant examiné au regard de la présence de moyens humains et techniques nécessaires à la fourniture de services concrets en question (CJUE Weltimmo, 1er octobre 2015, C‑230/14, points 30 et 31). Ainsi, la Cour a considéré que la présence d’un seul représentant peut, dans certaines circonstances, suffire pour constituer une installation stable .

En l’occurrence, la formation restreinte relève qu’au jour du contrôle, la société était immatriculée en France, disposait de locaux en France et éditait un site internet rédigé en français (www.website.performeclic.fr) à destination du public français.

Dès lors, la formation restreinte considère que le traitement de données personnelles mis en œuvre par la société était effectué dans le cadre des activités d’un établissement d’un responsable du traitement sur le territoire de l’Union, en l’espèce sur le territoire français, conformément aux critères posés par l’article 3, paragraphe 1, du RGPD et de l’article 3 I° de la loi Informatique et Libertés, de sorte que la CNIL est compétente pour sanctionner les manquements au RGPD et au CPCE commis par la société.

En second lieu, la formation restreinte relève que la société a indiqué à la délégation de la CNIL, le 27 décembre 2019, que seule la France a été visée pour [s]es campagnes et qu’elle a acheté une base de données de prospects français aux fins de réaliser des campagnes françaises .

Dès lors, la formation restreinte considère que les opérations de prospection de la société ciblent le public français, ce qui rend le RGPD également applicable au titre du critère du ciblage prévu à l’article 3, paragraphe 2, du RGPD.

Il en résulte que le RGPD et la loi française sont applicables et que la CNIL est compétente pour exercer ses pouvoirs, y compris celui de prendre une mesure de sanction.

Aux termes de l’article 4, point 7 du RGPD, le responsable de traitement est défini comme la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement .

La rapporteure considère qu’en l’espèce la société est responsable du traitement de données personnelles lié à la gestion et la mise à disposition de sa base de données pour l’envoi de campagnes publicitaires à des prospects par courriel électronique pour le compte d’annonceurs. Ce constat est notamment établi à partir de l’analyse des relations contractuelles entre la société et ses clients, dont il ressort que la société s’engage vis-à-vis des annonceurs à disposer d’adresses électroniques d’internautes ayant donné leur consentement à recevoir des messages publicitaires de la part de personnes tierces et est rémunérée pour ce faire par ses partenaires, et que la société utilise pour ce faire sa propre base de données de prospects, dont elle définit les données personnelles qu’elle contient, les durées pendant lesquelles elles sont conservées et les éventuelles mises à jour devant être opérées.

La formation restreinte relève qu’il ressort d’un faisceau d’indices concordants que la société est responsable du traitement de données personnelles lié à la gestion et la mise à disposition de sa base de données personnelles à des fins de prospection commerciale par courrier électronique.

En effet, la notion de responsable de traitement doit faire l’objet d’une appréciation concrète prenant en compte l’ensemble des éléments permettant d’attribuer cette qualité à une entité. En ce sens, à titre d’éclairage, dans son avis 1/2010 du 16 février 2010 sur la notion de responsable de traitement et de sous-traitant, le groupe de travail de l’article 29 (G29) énonce que la notion de responsable de traitement est une notion fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait, et [qu’]elle s’appuie donc sur une analyse factuelle plutôt que formelle . En outre, cet avis précise qu’il convient, lorsqu’il s’agit d’évaluer la détermination des finalités et des moyens en vue d’attribuer le rôle de responsable de traitement, d’adopter une approche pragmatique mettant davantage l’accent sur le pouvoir discrétionnaire de déterminer les finalités et sur la latitude laissée pour prendre des décisions . Cette approche factuelle est réaffirmée par le Comité européen de la protection des données ( CEPD ) dans ses lignes directrices 07/2020 sur la notion de responsable de traitement et de sous-traitant, soumises à la concertation publique le 2 septembre 2020, dont il ressort que la qualification de responsable de traitement doit être établie sur la base d’une évaluation du contexte factuel entourant le traitement. Toutes les circonstances factuelles pertinentes doivent être prises en compte pour parvenir à une conclusion sur le point de savoir si une entité particulière exerce une influence déterminante sur le traitement des données personnelles (§ 23).

À titre liminaire, la formation restreinte relève que dans son courrier du 27 décembre 2019, la société a explicitement indiqué à la délégation de contrôle de la CNIL que c’est elle qui est le responsable des traitements dans la réalisation des traitements relatifs à la prospection commerciale réalisée auprès des personnes, dont les données figurant dans sa base . La formation restreinte estime que plusieurs éléments confirment cette qualification.

En premier lieu, s’agissant de la détermination des finalités, la formation restreinte relève que la mise à disposition de sa base de prospects à des fins de prospection commerciale est au cœur de l’activité de la société. Ainsi, la société s’engage contractuellement vis-à-vis des annonceurs à disposer d’adresses électroniques d’internautes ayant donné leur consentement à recevoir des courriels publicitaires de la part de personnes tierces et est rémunérée pour ce faire par ses partenaires.

La formation restreinte note en outre que la société est propriétaire de la base de données utilisée dans le cadre des campagnes de prospection, les annonceurs et agences web ne fournissant pas les données à caractère personnel des prospects à contacter et n’ayant n’ont pas accès aux données à caractère personnel des prospects.

En second lieu, la formation restreinte considère que la société détermine les moyens essentiels du traitement en ce qu’elle définit les données personnelles qui figurent dans sa base de prospects, les durées pendant lesquelles ces données y sont conservées et les éventuelles mises à jour devant être opérées.

En conséquence, et sans qu’en l’espèce il soit nécessaire de se prononcer sur une éventuelle responsabilité conjointe des partenaires annonceurs de la société PERFORMECLIC, la formation restreinte retient que cette dernière a défini les finalités et les moyens du traitement lié à la gestion et la mise à disposition de sa base de données personnelles à des fins de prospection commerciale par courrier électronique.

L’article L. 34-5 alinéa 1 du CPCE précise que Est interdite la prospection directe au moyen de système automatisé de communications électroniques au sens du 6° de l’article L. 32, d’un télécopieur ou de courriers électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen. Pour l’application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe . Ainsi, le consentement des personnes doit être recueilli avant toute prospection par voie d’un courrier électronique.

La rapporteure relève dans son rapport de sanction que la société ne dispose d’aucun élément permettant de matérialiser le consentement des personnes concernées à recevoir de la prospection autre que deux factures établies en 2014 et 2015 par la société […], mentionnant un opt-in partenaire pour des fichiers base ouvreurs 17 millions de mails et un double opt-in partenaire pour des fichiers base ouvreurs 3 millions de mails , ce qui l’amène à considérer que les éléments constitutifs d’un manquement à l’article L. 34-5 du CPCE sont réunis.

Lors de la séance de la formation restreinte, la société a fait valoir que, si elle ne dispose pas d’éléments matérialisant le recueil effectif du consentement des prospects, elle a rémunéré la société […] auprès de laquelle elle a acquis les bases de données de prospects précisément pour que ces dernières contiennent des données personnelles de personnes ayant consenti à l’envoi de prospection commerciale.

La formation restreinte relève que la société n’est en mesure de prouver ni qu’elle-même recueille de manière effective le consentement des personnes prospectées ni que la société […] aurait valablement recueilli le consentement desdits prospects préalablement à la cession de sa base à la société en 2014 et 2015, étant précisé que cette société a été liquidée en 2017.

En ce sens, la formation restreinte observe que, lors de l’audition du 31 octobre 2019, le conseil de la société a indiqué qu’à sa connaissance hors la mention indiquant opt-in figurant sur les factures, la société PERFORMECLIC ne dispose pas d’autres éléments matériels relatifs aux conditions de recueil du consentement .

Or, la formation restreinte considère que de telles mentions ne sont pas suffisantes pour attester du recueil effectif du consentement des personnes concernées aux fins de prospection commerciale par courriel électronique, que ce soit par la société elle-même ou par la société […] à des fins de transmission à la société PERFORMECLIC pour la réalisation d’une telle finalité.

La formation restreinte souligne que l’envoi de prospection commerciale par voie électronique est au cœur de l’activité de la société, qui s’engage vis-à-vis de ses cocontractants à disposer d’une base d’adresses électroniques de personnes ayant donné leur consentement pour recevoir de la prospection commerciale de la part de partenaires tiers, par courrier électronique, dans le respect de la réglementation relative à la protection des données à caractère personnel.

Pour autant, la formation restreinte relève que cet engagement à l’égard des partenaires ne repose sur aucun élément matérialisant l’existence du consentement des personnes concernées et permettant de le démontrer, par exemple par des vérifications qui auraient été opérées préalablement auprès de la société […] sur ce point ou en recueillant directement un tel consentement et en le documentant.

L’absence d’éléments, hormis les factures produites par la société, venant attester de l’existence effective d’un consentement valable des personnes concernées, rapportée au nombre de signalements reçus par l’association SIGNAL SPAM concernant la société, à savoir 163 126 signalements sur la période du 1er janvier 2019 au 11 juin 2019, ce qui en fait, sur cette période, l’émetteur de courriers électroniques le plus signalé par les internautes français auprès de SIGNAL SPAM, amène la formation restreinte à considérer que les éléments constitutifs d’un manquement à l’article L. 34-5 du CPCE sont réunis.

Aux termes de l’article 5, paragraphe1, c) du RGPD les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) .

La rapporteure relève dans son rapport de sanction que la délégation de contrôle de la CNIL a relevé que les champs code postal et numéro de téléphone étaient renseignés sur une fiche de contact d’un prospect alors qu’il ressort du procès-verbal de l’audition que ces informations ne sont pas utilisées par la société et qu’elles figuraient sur les fiches probablement déjà au moment du rachat des listes de prospects . Elle reproche ainsi à la société de méconnaitre ses obligations résultant de l’article précité.

Lors de la séance de la formation restreinte, la société a indiqué qu’elle utilise le code postal pour adresser certains messages promotionnels uniquement aux personnes habitant dans des départements ciblés, notamment s’agissant de l’envoi de messages promotionnels dans le secteur immobilier.

La formation restreinte prend note de ce que le code postal est une donnée pertinente pour l’activité de la société et qu’elle est exploitée par cette dernière à ce titre. Elle retient toutefois que le numéro de téléphone n’est pas exploité par la société, qui adresse uniquement de la prospection par courriel, ce que la société ne conteste pas. La formation restreinte considère dès lors que le numéro de téléphone n’aurait pas dû être collecté et traité par la société dans le cadre de l’achat des bases de données en 2014 et 2015 et qu’il aurait dû, en tout état de cause, être immédiatement supprimé à réception desdites bases.

Dans ces conditions, la formation restreinte considère que la société a failli à l’obligation prévue à l’article 5, paragraphe 1, c) du RGPD de ne traiter que des données à caractère personnel adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

L’article 5, paragraphe 1, e) du RGPD prévoit que les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) .

Il ressort des constatations de la délégation de la CNIL que la société conserve plus de trois ans les coordonnées d’environ 5 millions de prospects ayant uniquement ouvert les courriels de prospection adressés par la société, sans autre action de leur part, notamment sans avoir cliqué sur un des liens présents dans lesdits courriels de prospection.

La rapporteure considère que l’action permettant de matérialiser le point de départ fixé par la société pour calculer le délai de conservation des données des prospects - à savoir trois ans à compter du dernier contact émanant du prospect - ne saurait être la simple ouverture d’un courriel dans la mesure où l’ouverture d’un courriel ne reflète pas nécessairement l’intérêt du prospect pour les produits ou services de l’expéditeur du message, le prospect pouvant avoir ouvert le courriel par erreur ou de manière automatique, notamment en raison du fonctionnement de son logiciel de messagerie (par exemple, lors de la suppression d’un autre message). Dès lors, la rapporteure considère que la société méconnaît ses obligations au regard de l’article 5, paragraphe 1, e) du RGPD.

Lors de la séance de la formation restreinte, la société a indiqué que, selon elle, l’ouverture d’un courriel matérialise l’intérêt du prospect pour le message de l’expéditeur.

En l’espèce, la formation restreinte retient que la société n’est pas fondée à considérer que le point de départ de la durée de conservation de trois ans pourrait consister en la simple ouverture d’un courrier électronique. En effet, la société doit s’assurer d’un intérêt effectif des personnes concernées pour les messages de prospection commerciale qu’elle envoie avant de pouvoir considérer qu’il a bien eu un contact avec le prospect, de nature à rallonger la durée de conservation de ses données à caractère personnel. À cet égard, la simple ouverture d’un courriel, en ce qu’elle peut être réalisée par erreur ou de manière automatique, ne saurait être suffisante pour matérialiser cet intérêt effectif, a fortiori, dans la mesure où la société n’a pas elle-même collecté les données personnelles des personnes concernées, mais les a acquises auprès de la société […], ce qui implique un engagement moins fort des personnes concernées envers la société que lors d’une collecte directe.

A titre d’éclairage, la formation restreinte rappelle que la norme simplifiée n° NS-048 concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects, publiée par la CNIL en 2005, ainsi que le projet de référentiel sur les traitements de gestion commerciale actualisant la n° NS-048, soumis pour consultation publique le 29 novembre 2018, recommandent que les données à caractère personnel relatives à un prospect non client soient conservées pendant un délai de trois ans à compter du dernier contact émanant du prospect, matérialisé par exemple par un clic sur un lien hypertexte contenu dans un courrier électronique.

Au vu de l’ensemble de ces éléments, la formation restreinte considère que la prise en compte par la société de l’ouverture d’un de ses courriels par les prospects afin de déterminer le dernier contact de ceux-ci la conduit à traiter des données à caractère personnel pendant une durée excédant celle nécessaire au regard des finalités pour lesquelles elles sont traitées. La formation restreinte considère que la société a méconnu ainsi ses obligations au regard de l’article 5, paragraphe 1, e) du RGPD.

Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, l’article 14 du RGPD impose que le responsable de traitement fournisse à la personne concernée plusieurs informations, portant notamment sur l’identité et les coordonnées du responsable du traitement, les finalités du traitement, sa base juridique, les catégories de données à caractère personnel concernées, le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel, la durée de conservation des données à caractère personnel, l’existence des différents droits dont bénéficient les personnes, le droit d’introduire une réclamation auprès d’une autorité de contrôle et la source d’où proviennent les données à caractère personnel. Ces informations doivent être fournies au plus tard au moment de la première communication avec la personne, en application de l’article 14, paragraphe 3, b) du RGPD.

Il ressort des constations de la délégation de la CNIL que l’information des prospects est assurée par le biais d’une mention type apposée en bas des courriers électroniques qui sont adressés aux prospects, rédigée ainsi : Vous recevez ce message parce que vous êtes inscrits sur la base [par exemple, la-bonne-table ou ciel-info] qui relaye l’offre ci-dessus. Conformément à la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et libertés, vous bénéficiez d’un droit d’opposition, d’accès, de modification, de rectification et de suppression, de vos données à caractère personnel. Ces informations sont déclarées à la Commission Nationale de l’Informatique et des Libertés (CNIL) et plus bas, en plus petits caractères, Pour vous désinscrire de nos bases, cliquez ici .

La rapporteure reproche à la société de ne pas fournir une information complète aux personnes concernées, la mention précitée ne comportant pas l’ensemble des éléments prévus par l’article 14 du RGPD. La rapporteure note en outre qu’aucun lien hypertexte ne renvoie vers des mentions d’information plus complètes que celles reproduites ci-dessus.

La société ne produit pas d’éléments en défense sur ce point.

La formation restreinte relève que la mention d’information présente en bas des courriels de prospection adressés aux personnes dont les données à caractère personnel ont été collectées de manière indirecte n’est pas conforme à l’article 14 du RGPD en ce qu’elle ne précise pas l’identité du responsable de traitement, sa base juridique, les catégories de données personnelles concernées, la durée de conservation des données, l’ensemble des droits des personnes (en particulier le droit à la portabilité et le droit à la limitation du traitement), le droit d’introduire une réclamation auprès d’une autorité de contrôle et la source d’où proviennent les données.

La formation restreinte observe en outre qu’aucune modalité d’information complémentaire n’est mise en place par la société pour fournir une information complète aux personnes concernées, par le biais par exemple d’un lien figurant dans les courriels de prospection renvoyant vers une page dédiée contenant la totalité des informations prévues par le RGPD ou ne serait-ce que celles manquantes par rapport à celles figurant dans le courriel de prospection.

Or, la formation restreinte rappelle que la société doit fournir aux personnes une information complète, que ce soit dès ce premier niveau d’information donné dans les courriels ou en leur permettant d’accéder aisément à des informations complémentaires, au sein d’un second niveau d’information.

Au regard de l’ensemble de ces éléments, la formation restreinte retient que l’information fournie aux personnes concernées par la société n’est pas complète et que la société a méconnu ses obligations au titre de l’article 14 du RGPD.

L’article 21, paragraphe 2, du RGPD dispose : Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection .

La délégation de contrôle a constaté qu’un lien permettant de s’opposer à la réception de nouveaux courriels de prospection est présent en bas des courriels envoyés par la société. Toutefois, la rapporteure note dans son rapport de sanction que la société effectue son activité de prospection commerciale par silos , les données personnelles des prospects contenues dans la base de données étant répliquées au sein de neuf compartiments de données différents, dénommés comptes (par exemple perfo13 ou perfo20 ), et chaque compte étant associé à deux noms de domaines différents (par exemple […]). Ce découpage en noms de domaine permet de répartir les envois en les adressant sur différents domaines, à des listes de prospects de taille plus réduite, limitant ainsi le risque de blocage de l’émetteur du message par les fournisseurs d’accès à Internet des personnes visées par la campagne de prospection.

La rapporteure indique que lorsqu’une personne clique sur un lien de désabonnement pour exercer son droit d’opposition, celle-ci est désabonnée du compte utilisé pour l’envoi de la campagne de prospection concernée mais pas des autres comptes utilisés par la société pour d’autres campagnes. Par exemple, une personne s’étant désabonnée à partir d’un courriel émanant d’un domaine rattaché au compte perfo13 pourra continuer à recevoir de la prospection commerciale émanant de domaines rattachés au compte perfo20 . Le droit d’opposition des personnes n’est ainsi pas pris en compte de manière effective.

En outre la rapporteure relève que la société a indiqué à la délégation de contrôle que, pour être désinscrite de l’ensemble des comptes utilisés pour l’envoi de courriels de prospection par la société, la personne concernée doit soit formuler cette demande en répondant par retour de message aux courriels de prospection reçus, soit remplir un formulaire en ligne disponible à partir du domaine PERFORMECLIC.FR . La rapporteure reproche à la société de ne pas informer les personnes concernées des deux autres canaux permettant de se désinscrire de l’ensemble des comptes et de ne les inviter à aucun moment à exercer leur droit d’opposition autrement qu’en cliquant sur le lien, de sorte que le droit d’opposition des prospects n’est pas effectivement assuré par la société.

La société ne produit pas d’éléments en défense sur ce point.

La formation restreinte relève que la gestion des campagnes de prospection par silos par la société rend ineffective l’opposition des personnes au traitement de leurs données par cette dernière à des fins de prospection par courrier électronique lorsque ce droit est exercé au moyen du lien de désinscription figurant en bas des messages électroniques. En effet, lorsqu’une personne clique sur un lien de désabonnement pour exercer son droit d’opposition, celle-ci est désabonnée seulement du compte utilisé pour l’envoi de la campagne de prospection concernée mais pas des autres comptes utilisés par la société pour d’autres campagnes.

Au demeurant, la formation restreinte rappelle que l’article 12, paragraphe 2, du RGPD impose au responsable de traitement de faciliter l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22 du RGPD, ce qu’en tout état de cause la société n’a pas fait, en n’offrant pas aux personnes concernées de modalité d’exercice des droit satisfaisante et en ne les informant pas de l’existence de canaux permettant de se désinscrire de l’ensemble des comptes et en les invitant à les utiliser pour exercer leur droit d’opposition.

En conséquence, la formation retreinte retient que les faits précités constituent un manquement à l’article 21, paragraphe 2, du RGPD, dès lors que la société ne permet pas de s’opposer de manière simple et effective au traitement de ses données personnelles par la société à des fins de prospection commerciale par courrier électronique.

L’article 28 du RGPD prévoit que le traitement effectué par un sous-traitant pour le compte d’un responsable de traitement est régi par un contrat. Ce dernier doit définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement, ainsi que des informations relatives aux obligations et droits du responsable du traitement et du sous-traitant.

En l’espèce, la société est une agence de marketing qui est chargée, pour le compte d’annonceurs, de l’envoi de leurs campagnes publicitaires à des prospects par courriel électronique. Pour ce faire, la société fait appel à un sous-traitant, auquel la société a confié la diffusion technique des campagnes de prospection de ses clients, l’hébergement de sa base de données et le traitement des campagnes publicitaires des annonceurs, ce qui recouvre notamment le traitement des demandes de désinscription des personnes concernées ne souhaitant plus recevoir de messages de prospection.

Dans son rapport de sanction, la rapporteure indique que le contrat de prestation de services, signé le 12 septembre 2018, entre la société PERFORMECLIC et son sous-traitant contient plusieurs clauses prévues par l’article 28 du RGPD, notamment s’agissant de la finalité du traitement, du type des données personnelles traitées et des obligations et droits du responsable du traitement. Cependant, elle relève que certaines clauses sont manquantes.

La société ne produit pas d’éléments en défense sur ce point.

La formation restreinte relève à cet égard que le contrat conclu entre la société et son sous-traitant ne contient pas de clauses prévoyant que le sous-traitant :

veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;

met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits .

La formation restreinte considère en conséquence qu’un manquement à l’article 28 du RGPD est constitué.

Aux termes du III de l’article 20 de la loi du 6 janvier 1978 modifiée :

Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […]

2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’État, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; […]

7° À l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83 .

L’article 83 du RGPD prévoit en outre que chaque autorité de contrôle veille à ce que les amendes administratives imposées […] soient, dans chaque cas, effectives, proportionnées et dissuasives , avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.

Sur le prononcé d’une amende et son montant, la formation restreinte estime que, dans le cas d’espèce, les manquements précités justifient que soit prononcée une amende administrative à l’encontre de la société.

Concernant l’amende proposée par la rapporteure, la société soutient que le montant de l’amende proposée est excessif, compte tenu de ces capacités financières.

La formation restreinte analyse les critères dressés par l’article 83 de la manière suivante.

Tout d’abord, la formation restreinte relève que les manquements constatés sont graves au vu de l’atteinte aux droits et libertés fondamentaux des personnes concernées.

La société a manqué à plusieurs principes fondamentaux prévus par le RGPD et le CPCE visant à garantir une protection effective des données à caractère personnel. En effet, la formation restreinte considère que la réalisation de campagnes de prospection massives par courrier électronique, sans consentement des personnes, l’absence d’information claire et complète sur le traitement effectué et l’absence de mise en place d’un mécanisme d’opposition efficace constituent une atteinte substantielle au droit au respect de la vie privée et à la protection des données à caractère personnel des personnes, comme le démontre d’ailleurs le nombre de signalements reçus par l’association SIGNAL SPAM, qui place la société en tête du classement des sociétés émettant le plus de spam .

La formation restreinte souligne également que le non-respect de la réglementation par la société porte précisément sur l’envoi de prospection commerciale par voie électronique, qui est au cœur de l’activité de la société.

Par ailleurs, la formation restreinte considère que la gravité des manquements est constituée au regard du nombre particulièrement important de personnes concernées, la base d’adresses électroniques détenue par la société comptant près de 20 millions d’adresses.

Enfin, la formation restreinte observe qu’au jour de la séance la société n’a pris aucune mesure pour se mettre en conformité aux dispositions du RGPD et du CPCE.

L’ensemble de ces manquements et leur gravité justifie qu’une amende soit prononcée.

S’agissant du montant de l’amende administrative, la formation restreinte note qu’en 2018 le chiffre d’affaires de la société s’est élevé à 107 089 € avec un résultat net comptable de 7 676 €. En 2019, le chiffre d’affaires de la société s’est élevé à 182 672 € avec un résultat net comptable de 483 €.

Dès lors, au regard des critères pertinents de l’article 83, paragraphe 2, du RGPD évoqués ci-avant, la formation restreinte considère que le prononcé d’une amende de 7 300 euros apparaît effectif, proportionné et dissuasif, conformément aux exigences de l’article 83, paragraphe 1, du RGPD, au regard de la taille de l’entreprise et de sa situation financière.

Sur le prononcé d’une injonction, la formation restreinte relève que, s’agissant de l’ensemble des manquements, la société n’a apporté aucun élément depuis le début de la procédure qui permettrait de considérer qu’elle s’est mise en conformité avec les dispositions du RGPD.

Lors de la séance de la formation restreinte, la société a indiqué avoir besoin d’un mois et demi pour se mettre en conformité.

Dès lors, faute pour la société de s’être conformée à l’article L. 34-5 du CPCE et aux articles 5, paragraphe 1, c), 5, paragraphe 1, e), 14, 21 et 28 du RGPD, la formation restreinte considère qu’il y a lieu de prononcer une injonction, assortie d’une astreinte de mille euros (1 000 euros) par jour de retard à l’issue d’un délai de deux mois suivant la notification de la délibération de la formation restreinte.

Sur la publicité de la décision, la formation restreinte considère, premièrement, que la gravité de certains manquements justifie, par elle-même, la publicité de la présente décision.

La formation restreinte rappelle, deuxièmement, que les manquements ont concerné un très grand nombre de personnes, la base détenue par la société comportant 20 millions d’adresses électroniques de prospects. Elle considère que la publicité de sa décision permet d’informer les personnes de l’existence des manquements commis par la société.

Il résulte de tout ce qui précède et de la prise en compte des critères fixés à l’article 83 du règlement qu’une amende administrative à hauteur de 7 300 euros, accompagné d’une injonction de mettre en conformité le traitement, ainsi qu’une sanction complémentaire de publication pour une durée de deux ans sont justifiées et proportionnées.

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

Prononcer à l’encontre de la société PERFORMECLIC une amende administrative d’un montant de sept mille trois cents euros (7 300 euros), au regard des manquements constitués à l’article L. 34-5 du code des postes et des communications électroniques et aux articles 5, paragraphe 1, c), 5, paragraphe 1, e), 14, 21 et 28 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;

prononcer à l’encontre de la société PERFORMECLIC une injonction de mettre en conformité le traitement avec les dispositions des articles L. 34-5 du code des postes et des communications électroniques et des articles 5, paragraphe 1, c), 5, paragraphe 1, e), 14, 21 et 28 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, assortie d’une astreinte de mille euros (1 000 euros) par jour de retard à l’issue d’un délai de deux mois suivant la notification de la délibération de la formation restreinte et en particulier :

- s’agissant du manquement à l’obligation de recueillir le consentement des personnes concernées aux fins de prospection commerciale par voie électronique :

o recueillir le consentement des personnes concernées, préalablement à l’envoi de toute prospection commerciale par courrier électronique et justifier de la suppression des données à caractère personnel des personnes n’ayant pas consenti ;

- s’agissant du manquement à l’obligation de minimisation des données à caractère personnel :

o procéder à la suppression du numéro de téléphone des prospects dont les coordonnées sont enregistrées dans la base et en justifier ;

- s’agissant du manquement à l’obligation de limitation de la durée de conservation des données à caractère personnel :

o cesser de prendre en compte comme dernier point de contact émanant des prospects la simple ouverture d’un courriel ;

- s’agissant du manquement à l’obligation d’informer les personnes concernées du traitement de leurs données personnelles :

o informer les personnes concernées de manière claire et complète, conformément aux dispositions de l’article 14 du RGPD, notamment en fournissant une information relative à l’identité du responsable de traitement, à sa base juridique, aux catégories de données personnelles concernées, à la durée de conservation des données, à l’ensemble des droits des personnes (en particulier le droit à la portabilité et le droit à la limitation du traitement), au droit d’introduire une réclamation auprès d’une autorité de contrôle et à la source d’où proviennent les données ;

- s’agissant du manquement à l’obligation de respecter le droit d’opposition des personnes concernées :

o mettre en œuvre une procédure permettant d’assurer l’effectivité du droit d’opposition exprimé par les personnes prospectées, notamment en s’assurant que le lien de désinscription figurant en bas des messages électroniques de prospection permette de se désinscrire de manière définitive de l’ensemble des listes de diffusion de la société ;

- s’agissant du manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement :

o compléter le contrat de prestation de service, signé entre la société et son sous-traitant, qui régit les traitements de données à caractère personnel réalisés par cette dernière, afin qu’il comporte l’ensemble des mentions visées à l’article 28-3) du RGPD ;

- justifier auprès de la CNIL que l’ensemble des demandes précitées ont été respectées, et ce dans le délai imparti, en adressant les justificatifs de la mise en conformité à la formation restreinte dans ce délai ;

rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

Le président

Alexandre LINDEN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.