Courtiers en données, lead generation. La CNIL sanctionne Tagadamedia d’une amende de 75 000 euros
Il n'est décidément pas simple de faire de la génération de leads, de collecter des données personnelles en restant du bon côté de la ligne jaune. Mais si le gendarme vous arrête, engagez la conversation : vous saurez enfin comment concevoir des boutons de clic conformes. Le 29 décembre 2023, la CNIL a ainsi sanctionné la société bien connue Tagadamedia d’une amende de 75 000 euros, notamment pour avoir collecté des données de prospects sans consentement valide, en raison de l’apparence trompeuse de ses formulaires de jeux-concours.
La sanction initialement prévue était d’un montant bien supérieur : 510 000 euros ; la CNIL a choisi de la limiter à 1,6% du CA de l’entreprise concernée. Plus récemment, Yahoo Emea Ltd et Amazon France Logistique ont été sanctionnés pour des motifs ou manquements très similaires, à des montants de 10 et 32 millions d’euros respectivement, de même que EDF, Free ou Canal +.
Les dirigeants de Tagadamedia se sont réjouis que le paysage juridique soit éclairci sur la façon de recueillir des données personnelles lors de la collecte de leads. L'entreprise est la première et seule condamnée à ce stade, mais des contrôles seraient en cours chez de très nombreux acteurs du secteur (les principaux acteurs de ce marché sont par exemple Cardata-Dataventure, IQVIA, Lead Performance, WebRivage, etc) et probablement non encore achevés.
Le contexte
Dans le cadre de sa thématique prioritaire de contrôle sur la prospection commerciale en 2022, la CNIL s’est intéressée aux pratiques des professionnels du secteur, en particulier de ceux qui procèdent à la revente de données, y compris des nombreux intermédiaires de cet écosystème appelés courtiers en données ou data brokers en anglais.
À cette occasion, la CNIL a décidé d’engager une procédure de contrôle à l’encontre de la société TAGADAMEDIA, qui exploite principalement des sites en ligne de jeux-concours et de tests de produits par lesquels elle collecte des données de prospects.
Sur la base des constatations effectuées lors des contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société avait manqué à plusieurs obligations prévues par le règlement général sur la protection des données (RGPD). Elle a prononcé à l’encontre de la société TAGADAMEDIA une amende de 75 000 euros rendue publique. Elle a également enjoint la société de mettre en œuvre un formulaire de collecte conforme aux exigences du RGPD dans un délai d’un mois, sous peine de 1 000 euros par jour de retard.
Le montant de cette amende, qui représente environ 1,6 % du chiffre d’affaires de la société, a été décidé au regard des manquements retenus, ainsi qu’en tenant compte de la coopération de la société et des mesures qu’elle a prises au cours de la procédure pour se mettre en conformité sur certains manquements qui lui étaient reprochés.
Les manquements sanctionnés
Un manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre (article 6 du RGPD)
Tagadamedia collecte des données de prospects par le biais de formulaires qu’elle met en œuvre sur ses sites de participation à des jeux-concours ou de tests de produits. Ces données sont ensuite transmises à des partenaires de la société pour de la prospection commerciale. Alors qu’elle affirme fonder le traitement sur le recueil du consentement, les formulaires utilisés ne permettent pas de collecter un consentement conforme aux exigences du RGPD.
Lors des contrôles, la société a fourni à la CNIL deux exemples de formulaire de collecte de données des prospects tels que ceux présentés ci-dessous. Toutefois, l’apparence de ces formulaires ne permet pas de recueillir un consentement libre, éclairé et univoque. En effet, la mise en valeur du bouton permettant de donner son consentement contrairement à celle du bouton par lequel l’utilisateur ne consent pas, ou encore le texte incomplet et en taille réduite incitent fortement les utilisateurs à accepter la transmission de leurs données aux partenaires.
Un nouveau formulaire a été transmis par la société au cours de la procédure de sanction, correspondant à l’exemple ci-dessous. Le consentement recueilli par le biais de celui-ci ne permet toujours pas un recueil de consentement valide, privant ainsi le traitement de base légale.
Un manquement à l’obligation de mettre en œuvre un registre des activités de traitement (article 30 du RGPD)
Les vérifications effectuées par la CNIL ont également permis de mettre en évidence un manquement relatif à la mise en œuvre du registre des activités de traitement, retenu dans la décision de sanction.
Le registre des activités de traitement de Tagadamedia qui est partagé avec une seconde société, ne précisait pas laquelle des deux sociétés agit en qualité de responsable de traitement.
Délibération de la formation restreinte n°SAN-2023-025 du 29 décembre 2023 concernant la société TAGADAMEDIA - Légifrance
Pour aller plus loin.
Le 1er et seul forum en France consacré uniquement à l'acquisition de nouveaux clients se tiendra en Juin 2024. Malpaso-RCM en a annoncé la création en Janvier. Son nom: New Biz Forum.
hipto, spécialiste des leads intentionnistes et ses deux co-fondateurs racontent dans le podcast qui suit ce qui les a marqués lors du salon LeadsCon, à Las Vegas.
On ne le sait pas suffisamment mais le marché mondial du lead pèse quelques centaines de milliards.
Eric Bennephtali, co-fondateur de l'entreprise Tagadamedia, estime que cette sanction contribue à clarifier un paysage juridique qui n'était pas très explicite. Lire ici.
L'entreprise sanctionnée risque-t-elle de perdre en crédit ou la confiance de ses grands annonceurs, soucieux d'être clean sur la collecte de ses données ? On en a sollicité quelques-uns aujourd'hui dont un DPO d'une société cotée : “ les fondateurs de Tagadamedia sont des professionnels sérieux. Ils vont améliorer leurs dispositifs. Le vrai sujet, c'est le nombre de condamnations d'entreprises telle qu'Amazon et le montant des sanctions. 1,6% du CA d'Amazon France, ça remplirait judicieusement les caisses de l'Etat”
Les textes de référence
Article 6 du RGPD (bases légales)
Article 30 du RGPD (registre des activités de traitement)