Le diable est dans les petits caractères. D’où la grosse amende de 310 000 € infligée à la société Foriou par la Cnil pour des formulaires de collecte de données personnelles trompeurs employés par ses fournisseurs de données.
La société Foriou commercialise des programmes et des cartes de fidélité pour 4000 commerçants. Pour cela, Foriou procède à des campagnes de démarchage des particuliers par téléphone. Seul hic, Foriou utilise des données fournies par ses courtiers en données pour sa prospection commerciale mais elle ne s’est pas assurée que les personnes appelées avaient valablement consenti à être démarchées selon le RGPD. Les formulaires employés étaient trompeurs de manière particulièrement astucieuse montre la Cnil.
La sanction représente 1% du chiffre d’affaires de Foriou
Dès lors, la Cnil a sanctionné Foriou le 31 janvier 2024, d’une amende de 310 000 € qui représente environ 1% de son chiffre d’affaires. Foriou acquiert ses données auprès de courtiers en données, d’éditeurs de sites de jeux-concours et de tests de produits. La Cnil a mené des contrôles et a considéré que les formulaires de collecte mis en œuvre par les courtiers ont une apparence trompeuse et que cela ne permettait pas de recueillir un consentement valide des personnes concernées.
Cette apparence trompeuse des formulaires de collecte fait que Foriou ne disposait donc d’aucune base légale lui permettant d’utiliser ces données à des fins de prospection. La collecte des données est effectuée par les courtiers via des formulaires de participation à des jeux-concours ou à des tests de produits en ligne sur différents sites web.
Mise en scène des formulaires pour déclencher l’accord de l’internaute
La Cnil décortique le dessin des formulaires utilisés par les courtiers afin de montre que l’acceptation de la transmission des données est manipulée. Elle pointe que la mise en scène des boutons qu’il faut cliquer oriente fortement les internautes à accepter ce qui leur est proposé.
Les boutons qui entrainent la transmission des données personnelles à des fins de prospection commerciale sont mis en valeur par leur taille, leur couleur, leur intitulé et leur emplacement. Tandis que les liens hypertextes à cliquer afin de participer au jeu sans transmettre de données, sont moins visibles car ils sont d’une taille nettement inférieure et se confondent avec le corps du texte.
Foriou est responsable des formulaires utilisés par les courtiers
La Cnil déclare que c’est à la société Foriou de s’assurer que les personnes concernées ont exprimé un consentement valide car elle est utilisatrice des données recueillies. Les formulaires ne sont donc pas de la seule responsabilité des courtiers en données qui collectent les informations.
La Cnil reconnaît que la société Foriou a imposé certaines exigences contractuelles à ses fournisseurs de données en amont, mais elle lui reproche de n’effectuer aucun contrôle effectif de ces exigences en aval. La Cnil affirme avoir, à cet égard, constaté une proportion importante de fichiers de prospects non conformes.
Enfin, les formulaires de jeux-concours à partir desquels les données des prospects étaient collectées ne mentionnaient pas systématiquement la société Foriou dans la liste des partenaires susceptibles de démarcher les personnes concernées.