La CNIL a sanctionné à quelques mois d’intervalle, dans une décision du 31 janvier 2024 et dans une décision du 4 avril 2024, deux opérateurs appartenant au même groupe d’assurances (Indexia).

Les entreprises Foriou, opérateur de programmes de fidélité et Hubside.Store, revendeur d’objets multimédias neufs ou reconditionnés, ont respectivement été condamnées à des amendes de 310 000 euros et de 525 000 euros pour avoir notamment utilisé à des fins commerciales des données fournies par des courtiers en données (data brokers), sans s’assurer que le consentement des personnes concernées avait été valablement recueilli au regard des exigences posées par le règlement général sur la protection des données (RGPD).

Ces deux affaires font suite à un contrôle de la CNIL effectué dans les locaux de ces sociétés le 23 septembre 2021. Il ressort de l’enquête que, pour promouvoir leurs ventes de produits ou de services, ces deux sociétés ont réalisé des opérations de prospection par téléphone (et pour Hubside.Store également par SMS) à partir de fichiers de prospects achetés auprès de courtiers en données dont l’activité consiste à collecter les données d’internautes afin de les vendre à des partenaires. La collecte par les data brokers des données contenues dans ces fichiers se faisait en l’espèce au moyen de formulaires de participation à des jeux-concours en ligne, dont les mentions ont été considérées par la CNIL comme « d’apparence trompeuse » pour recueillir le consentement valable des personnes concernées.

Ces deux décisions de la CNIL rappellent que les sociétés ayant acquis des fichiers de prospects et réalisant des opérations de prospection par téléphone ou SMS doivent mettre en œuvre des procédures de contrôle en amont pour s’assurer que les personnes démarchées ont préalablement consenti à la transmission de leurs données à des fins de prospection commerciale.