FORIOU, filiale d’Indexia, une société spécialisée dans le démarchage téléphonique à des fins de vente de programmes de fidélités, achetait les données des prospects contactés auprès de courtiers en données. Si la pratique n’est pas interdite, la CNIL fait un énième rappel sur l’importance du recueil d’un consentement valide. On vous détaille toute l’affaire ici ! 

Contexte et rappel des faits 

FORIOU achetait des bases de données clients auprès de courtiers, opérateurs de jeux concours et de tests de produits, et basait sa prospection commerciale sur la base légale du consentement. 

La CNIL, lors d’une enquête, relève l’apparence des formulaires servant à la collecte de données par les courtiers puis utilisés par FORIOU, et estime qu’il ne permet pas le recueil valide du consentement de la personne concernée. 

Ce problème de transparence entre le courtier (société) et le l’individu (client) (BtoC), justifie aujourd’hui une sanction pour une transaction en BtoB ! 

En effet, la CNIL relève que les boutons permettant de consentir à la prospection sont trop mis en valeur par rapport aux boutons permettant de participer sans accepter la transmission de données. 

Les couleurs, emplacements et tailles de police utilisées constituent ici, selon la CNIL, une forte orientation de la part de l’éditeur du site à ce que les individus souhaitant participer acceptent le transfert de données. 

La CNIL fournit plusieurs exemples d’illustration de ce qu’il ne faut pas faire : 

Cet article pourrait également vous intéresser : Sécurité des données et conservation : sanction de 100 000 euros à l’encontre de PAP.fr.

Une mise en page qui prive la prospection de base légale 

En effet, la CNIL estime que les conditions de recueil du consentement ne sont ici pas valides. Le consentement n’est pas libre mais orienté, ce qui est une violation de l’article 4 du RGPD. 

La CNIL rappelle qu’il appartient à la société utilisatrice des données recueillies – en l’espèce FORIOU – de s’assurer que les personnes concernées ont exprimé un consentement valide, respectant les conditions du RGPD. 

L’acquéreur d’un fichier client – en l’espèce Foriou – doit s’assurer de la validité du formulaire de recueil de consentement. 

Cette vérification incombe non au courtier mais bel et bien à la société qui se sert de ce fichier client, et qui ne peut donc se prévaloir d’une quelconque ignorance et doit procéder à des vérifications antérieures. 

Et la CNIL rappelle que des clauses contractuelles ne suffisent pas : une vérification et des contrôles effectifs doivent être réalisés antérieurement à l’utilisation des données.  

Des faits aggravants

La CNIL prononce une amende très élevée, représentant 1% du chiffre d’affaires de FORIOU. Une amende justifiée par le nombre important de fichiers clients déclarés non conformes, et donc désormais inutiles pour FORIOU. 

La prospection commerciale non désirée est l’une des sources principales des plaintes adressées à la CNIL. La CNIL traite 100% des plaintes qui lui sont adressées, et très fréquemment ces plaintes aboutissent à un contrôle. Pour en savoir plus, consultez notre article dédié à ce sujet : Plaintes CNIL : 100% des plaintes sont traitées ! Comprendre l’impact des vérifications systématiques.

Conclusion

Une vérification en amont aurait permis à la société de ne pas perdre ces précieux fichiers clients.

Il faut, avant tout achat de fichier client, s’assurer que le courtier ait utilisé un formulaire de recueil de consentement valide. 

Le formulaire du courtier doit être valide pour qu’il puisse collecter valablement des données et ensuite les vendre en tant que fichier client, puis l’acquéreur doit faire une vérification effective du formulaire utilisé du courtier. 

💡 Le conseil MERGPD : Vérifier la conformité du formulaire du courtier avant l’achat d’un fichier client et d’annexer au contrat le ou les formulaires utilisés lors de la collecte, pour pouvoir en justifier en cas de contrôle de la CNIL.