En matière de RGPD, on pense souvent aux amendes financières comme principale sanction.
Mais une récente décision de l’autorité grecque de protection des données montre que d’autres mesures peuvent être envisagées et qu’elles peuvent s’avérer redoutables pour les entreprises.
Dans une affaire de prospection abusive par SMS, la perte du nom de domaine est désormais envisagée comme une sanction possible.
Un signal fort envoyé aux organisations qui négligeraient les règles de protection des données.
Voici ce qu’il faut retenir.
Quand la prospection abusive conduit à la perte du nom de domaine
Tout part d’une affaire relativement classique : un site de rencontres en ligne a envoyé en masse des SMS commerciaux à des personnes qui n’avaient pas donné leur consentement.
L’entreprise n’a pas été en mesure de justifier l’origine des numéros utilisés, ce qui laissait supposer une collecte irrégulière et non conforme au RGPD.
Déjà condamné en 2022 à une amende de 54 000 euros, le site n’avait pas régularisé sa situation et avait récidivé en 2024.
Face à cette répétition et au manque de coopération du responsable du site, l’autorité grecque de protection des données (l’équivalent de la CNIL française) a décidé d’aller plus loin.
Plutôt que de se limiter à une nouvelle amende, dont le recouvrement était incertain, l’autorité a saisi l’organisme de gestion des noms de domaine en Grèce (.gr). Elle lui a demandé d’examiner les conditions d’enregistrement du nom de domaine du site et d’appliquer les règles prévues en cas d’utilisation de mauvaise foi ou contraire à l’ordre public.
La sanction envisagée : la suspension, voire le retrait pur et simple du nom de domaine du site fautif.
Cet article pourrait aussi vous intéresser : Données personnelles et IA : OpenAI épinglé par la CNIL italienne, quelles leçons en tirer ?
Pourquoi la perte du nom de domaine est envisagée
En Grèce, comme dans de nombreux pays, l’attribution et la gestion des noms de domaine nationaux (.gr) sont encadrées par des règles spécifiques.
Parmi ces règles figure l’obligation d’utiliser un nom de domaine de manière loyale, sans porter atteinte à l’ordre public ou aux bonnes mœurs.
Dans l’affaire jugée, l’autorité grecque a considéré que :
- L’envoi massif de spams sans consentement constituait une atteinte aux droits fondamentaux des personnes, et donc à l’ordre public numérique.
- Le fait de persister malgré une sanction antérieure et d’ignorer les injonctions de l’autorité de contrôle démontrait une utilisation de mauvaise foi du nom de domaine.
Sur cette base, elle a demandé à l’organisme gestionnaire des .gr d’appliquer l’article 10 de la loi grecque régissant l’attribution des noms de domaine nationaux.
Cet article prévoit notamment la suspension ou le retrait d’un nom de domaine si son utilisation est contraire à l’ordre public ou réalisée de mauvaise foi.
En d’autres termes, pour la première fois, un comportement fautif en matière de données personnelles pourrait aboutir à la perte d’un actif numérique stratégique : son adresse internet.
Quelle portée pour les entreprises françaises ?
Pour l’instant, cette décision est spécifique à la Grèce.
Elle n’implique pas que la CNIL ou d’autres autorités européennes vont immédiatement appliquer la même approche en France ou dans d’autres pays.
Cependant, cette affaire envoie un signal clair : les autorités nationales cherchent à rendre les sanctions RGPD plus effectives et plus dissuasives, au-delà des seules amendes financières.
En ciblant des actifs immatériels comme le nom de domaine, les autorités pourraient toucher directement la visibilité et l’activité commerciale des organisations fautives.
Même si ce type de sanction n’est pas encore pratiqué en France, les entreprises doivent anticiper cette évolution possible.
D’autant plus que les règles de gestion des noms de domaine français (.fr) prévoient également des clauses relatives au respect de l’ordre public et des bonnes mœurs, susceptibles d’être invoquées en cas de comportement manifestement illicite.
Cet article pourrait vous intéresser : Sanctions CNIL 2024 : les TPE/PME de plus en plus contrôlées
En résumé : prospecter sans respecter le RGPD n’est pas seulement un risque financier. C’est aussi un risque stratégique pour votre présence en ligne.
Que faut-il retenir pour se prémunir ?
Même si cette décision reste à ce jour spécifique à l’autorité grecque, elle invite toutes les entreprises à revoir leurs pratiques avec sérieux.
Elle montre que certaines autorités nationales n’hésitent plus à explorer de nouvelles formes de sanctions en cas de manquement au RGPD.
Pour éviter de s’exposer à ce type de sanction :
- Respectez scrupuleusement les règles sur la prospection : obtenez un consentement préalable pour tout envoi de messages commerciaux et respectez les demandes de désinscription sans délai.
- Assurez-vous de la conformité de vos bases de données : utilisez uniquement des listes de contacts obtenues légalement et documentez leur origine.
- Tenez vos informations administratives à jour : le nom de domaine de votre entreprise doit être associé à des coordonnées exactes, régulièrement vérifiées auprès de votre registrar (bureau d’enregistrement).
- Coopérez avec les autorités de contrôle : en cas de signalement ou d’enquête, ne pas répondre ou ignorer les demandes peut aggraver considérablement votre situation.
L’enseignement principal que l’on peut tirer de cette affaire ? Protéger les données personnelles, c’est aussi protéger l’activité et la réputation de son entreprise !
à 
