Le 16 octobre 2025, la Commission nationale de l'informatique et des libertés (CNIL) a prononcé une sanction de 250 000 euros à l'encontre d'une société de centres d'appels. Cette décision, publiée sur le site de la CNIL, constitue un signal fort pour l'ensemble du secteur de la téléprospection.
Les trois manquements sanctionnés
La CNIL a relevé trois catégories de violations du Règlement général sur la protection des données (RGPD) :
1. Défaut de minimisation des données (Article 5-1-c du RGPD)
Le centre d'appels collectait et conservait des informations non nécessaires à l'exécution de ses missions. Dans le cadre de la prospection téléphonique, seules les données strictement indispensables à la prise de contact et au suivi des échanges doivent être traitées.
Exemples de données souvent collectées à tort :
- Informations sur la composition familiale détaillée
- Données de revenus précises non justifiées par l'offre proposée
- Historique complet des interactions avec d'autres prestataires
2. Non-respect des durées de conservation (Article 5-1-e du RGPD)
Les données des prospects étaient conservées au-delà des durées légales. Selon les recommandations de la CNIL, les données de prospection commerciale doivent être supprimées au maximum 3 ans après le dernier contact avec le prospect.
La société sanctionnée conservait certaines données pendant plus de 5 ans, sans justification légitime ni base légale.
3. Défaut de sécurité des données (Article 32 du RGPD)
Des failles de sécurité ont été identifiées dans le système d'information du centre d'appels :
- Accès non restreints aux bases de données prospects
- Absence de traçabilité des consultations
- Chiffrement insuffisant des données sensibles
Pourquoi cette sanction concerne tous les call centers
Cette décision n'est pas isolée. Elle s'inscrit dans une stratégie de contrôles renforcés de la CNIL sur le secteur de la prospection téléphonique en 2025-2026.
Les centres d'appels sont particulièrement exposés car ils cumulent plusieurs facteurs de risque :
- Volumes massifs de données personnelles traitées quotidiennement
- Multiplicité des sources de leads (achat, partenariats, collecte directe)
- Turnover élevé des téléconseillers, compliquant la formation RGPD
- Sous-traitance fréquente, avec des responsabilités partagées
Comment éviter une sanction similaire
Pour se conformer aux exigences du RGPD, les centres d'appels doivent mettre en place une gouvernance data rigoureuse :
Audit des données collectées
Réaliser un audit complet des champs collectés dans le CRM et supprimer ceux qui ne sont pas strictement nécessaires à l'activité.
Politique de purge automatique
Implémenter des mécanismes de suppression automatique après 3 ans d'inactivité, avec alertes avant expiration pour permettre une éventuelle relance conforme.
Sécurisation des accès
Mettre en place :
- Des profils d'accès limités selon les missions de chaque opérateur
- Une authentification forte (2FA) pour les accès aux données sensibles
- Des logs de consultation consultables en cas de contrôle
Formation continue
Former régulièrement les équipes aux obligations RGPD, avec des rappels sur les nouvelles règles du démarchage téléphonique.
Le montant de 250 000 € : proportionné ou dissuasif ?
Le montant de l'amende représente un signal d'avertissement pour le secteur. La CNIL peut infliger des sanctions allant jusqu'à 4 % du chiffre d'affaires mondial ou 20 millions d'euros.
À titre de comparaison, d'autres sanctions récentes dans le secteur de la prospection :
- 900 000 € pour SOMS (mai 2025) – prospection commerciale abusive
- 80 000 € pour un courtier en données (mai 2025) – défaut de consentement
- 600 000 € pour un site de vente à distance (juillet 2025) – durée de conservation et prospection
Ce que les centres d'appels doivent retenir
Cette décision rappelle que la CNIL intensifie ses contrôles sur les acteurs de la téléprospection. Les centres d'appels doivent anticiper en :
- Documentant précisément leurs traitements de données
- Vérifiant la conformité de leurs fournisseurs de leads
- Mettant à jour leur registre des activités de traitement
- Testant régulièrement la sécurité de leurs systèmes
La sanction de 250 000 € n'est qu'un avertissement. Les prochaines décisions pourraient être bien plus lourdes pour les récidivistes ou les cas de négligence grave.
