Le 15 mai 2025, la CNIL (le « gendarme » des données personnelles en France) a infligé une amende de 80 000 € à la société CALOGA. Pourquoi ? Parce qu’elle utilisait des données de personnes sans avoir obtenu leur accord de façon claire.
🕵️♂️ Des données achetées à des sources douteuses
CALOGA ne collecte pas elle-même les informations (emails, noms, etc.) des personnes qu'elle contacte. Elle les achète à d’autres entreprises, comme des sites de jeux-concours ou de tests produits. Problème : ces sites présentaient des formulaires peu clairs, voire trompeurs.
Résultat : les personnes pensaient simplement participer à un jeu, sans savoir que leurs données allaient être revendues.
Même si CALOGA ne collectait pas les données elle-même, elle reste responsable de leur bon usage. En utilisant ces données pour envoyer des publicités, elle doit s'assurer que la collecte et l'information préalable ont été faites dans les règles. Ce n'était pas le cas.
❌ Se désinscrire ? Mission (presque) impossible
CALOGA utilisait plusieurs noms de marques (CALOGA, ZEPLAN, BASYLO, VOZEKO). Quand quelqu’un recevait un e-mail publicitaire, il pouvait se désinscrire… mais seulement d’une marque à la fois.
Compliqué pour l’utilisateur, qui continuait à recevoir d’autres mails ! Or, la loi exige une désinscription simple, claire, et qui couvre l'ensemble des sociétés liées.
🚫 Partager des données sans vrai accord = interdit
CALOGA envoyait aussi des fichiers à ses partenaires, en pensant que c’était légal grâce à ce qu’on appelle « l’intérêt légitime ».
Mais pour partager ce type d’information, il faut un vrai consentement, explicite. Et comme ce n'était pas le cas, ces partages de données étaient illégaux.
🕒 Garder des données trop longtemps, c’est non !
Autre problème : CALOGA conservait les données jusqu’à 4 ans, même si la seule « activité » de la personne était juste d’avoir ouvert un e-mail (sans cliquer, sans répondre).
Ce n’est pas suffisant pour justifier une conservation aussi longue. La CNIL a aussi noté qu’il n’y avait aucune vraie règle pour trier ou supprimer les données inutiles.
⚠️ Le message à retenir ?
Même si vous achetez des fichiers à un prestataire, vous êtes responsable. Il faut toujours vérifier comment ces données ont été obtenues.
Le RGPD, ce n’est pas juste du papier : c’est du concret, et mal le respecter peut coûter cher.
Tom Pujade-Lauraine
Juriste protection des données personnelles - Mission RGPD