La CNIL vient de frapper fort. En mai 2025, l'autorité de protection des données a infligé une amende de 900 000 euros à SOLOCAL MARKETING SERVICES (SOMS), une société spécialisée dans la prospection commerciale par SMS et emails. Cette sanction, accompagnée d'une injonction de mise en conformité, marque un tournant décisif pour l'ensemble du secteur du démarchage. Décryptage d'une décision qui redéfinit les règles du jeu.
L'affaire SOMS : 900 000 € d'amende pour prospection abusive
SOLOCAL MARKETING SERVICES n'est pas un acteur anonyme. Filiale du groupe Solocal (éditeur des Pages Jaunes), cette société opère comme intermédiaire entre des collecteurs de données et des annonceurs. Son modèle économique repose sur l'exploitation de bases de données de prospects pour réaliser des campagnes de prospection commerciale par SMS et emails pour le compte de ses clients.
L'ampleur des pratiques en cause est considérable : en 2022, SOMS a contacté 4,7 millions de personnes par SMS et 500 000 par email. Des volumes qui expliquent en partie la sévérité de la sanction.
Le déroulement du contrôle
La CNIL a mené des investigations approfondies sur les pratiques de collecte et d'utilisation des données personnelles par SOMS. L'autorité a notamment examiné :
- Les formulaires de collecte utilisés par les partenaires fournisseurs de données
- Les preuves de consentement détenues par la société
- Les bases légales invoquées pour justifier les traitements de données
Le constat est accablant : sur les trois points, SOMS était en infraction.
💡 À retenir : Le montant de 900 000 € reflète la gravité des manquements ET le volume de personnes concernées.
Les 3 manquements qui ont coûté cher
La délibération de la CNIL identifie trois violations majeures du cadre juridique applicable.
1. Dark patterns : le consentement biaisé par design
Les données exploitées par SOMS provenaient en grande partie de formulaires de participation à des jeux concours en ligne. Sur ces formulaires, les participants étaient censés consentir à recevoir des sollicitations commerciales. Problème : ce consentement était vicié dès l'origine.
La CNIL a relevé l'utilisation de dark patterns :
- Boutons trompeurs : les intitulés "Je participe" ou "Je valide" laissaient croire que cliquer était nécessaire pour participer au jeu
- Design biaisé : la mise en page faisait apparaître le consentement comme obligatoire
- Absence de choix réel : les alternatives de refus étaient visuellement minimisées ou absentes
La CNIL rappelle que selon l'article 7 du RGPD et la jurisprudence de la CJUE (affaire Planet49, 2019), le consentement doit être libre, spécifique, éclairé et univoque.
2. L'absence totale de preuve de consentement
En application du principe d'accountability (article 5 du RGPD), le responsable de traitement doit être capable de démontrer que les personnes ont valablement consenti.
Or, lors du contrôle, SOMS s'est révélée incapable de fournir les preuves de consentement pour les données qu'elle exploitait. La société invoquait ses relations contractuelles avec ses partenaires fournisseurs de données.
La CNIL a balayé cet argument : le responsable de traitement est TOUJOURS responsable de la validité du consentement, même lorsque les données sont collectées par des tiers.
💡 Conséquence pratique : Avant d'acheter une base de données, vous devez exiger de votre fournisseur les preuves de consentement ET les conserver.
3. L'intérêt légitime : une base légale mal invoquée
Pour justifier la transmission des données à ses clients annonceurs, SOMS invoquait l'intérêt légitime (article 6-1-f du RGPD).
La CNIL a opéré une distinction importante :
- Pour les données issues d'annuaires téléphoniques : l'intérêt légitime peut être valable
- Pour les données issues de jeux concours : l'intérêt légitime est REJETÉ. Aucune "attente raisonnable" d'être démarché par des tiers non identifiés
Ce que cette décision change pour les entreprises
La sanction SOMS trace des lignes rouges claires pour l'ensemble des acteurs du secteur des leads et de la prospection.
Le responsable de traitement est toujours en première ligne
Que vous collectiez vous-même les données ou que vous les achetiez à des courtiers, VOUS êtes responsable de la conformité du traitement. Concrètement :
- Auditer les formulaires de vos partenaires AVANT de signer un contrat
- Exiger contractuellement les preuves de consentement
- Vérifier périodiquement la conformité des pratiques de collecte
- Refuser les bases de données "à l'origine douteuse"
L'obligation de documenter le consentement
La CNIL exige désormais une traçabilité complète du consentement. Pour chaque personne démarchée, vous devez pouvoir produire :
- La date et l'heure du consentement
- Le formulaire exact utilisé
- Le texte d'information présenté à la personne
- L'action positive de la personne (coche, clic, etc.)
Loi du 21 mai 2025 : le renversement à venir
La sanction SOMS intervient dans un contexte législatif en pleine mutation. La loi du 21 mai 2025 contient une disposition qui va bouleverser le secteur du démarchage téléphonique.
Le régime actuel : l'opt-out
Aujourd'hui, le démarchage téléphonique fonctionne sur un principe d'opt-out : les entreprises peuvent appeler n'importe qui, SAUF les personnes inscrites sur Bloctel.
Le régime futur : l'opt-in obligatoire
À partir du 11 août 2026, le paradigme s'inverse totalement. La prospection téléphonique sera interdite par défaut. Les entreprises ne pourront appeler que les personnes ayant expressément consenti.
Ce renversement représente un séisme pour l'industrie :
- Les call centers devront revoir entièrement leurs pratiques d'acquisition
- Les fichiers de prospection "froide" deviendront inutilisables
- Seuls les leads opt-in qualifiés pourront être exploités
- La valeur des consentements valides va exploser
💡 Anticipez : Les entreprises qui attendent le 11 août 2026 pour se mettre en conformité risquent de se retrouver sans fichier exploitable.
Comment éviter le sort de SOMS : checklist conformité
Audit des formulaires de consentement
Passez en revue TOUS les formulaires qui alimentent vos bases de prospection :
- ☐ Le consentement est-il distinct de l'action principale ?
- ☐ Le texte est-il explicite sur la nature du démarchage ?
- ☐ Les partenaires destinataires sont-ils identifiés ?
- ☐ Les boutons Accepter/Refuser sont-ils visuellement équilibrés ?
- ☐ Aucune case n'est pré-cochée ?
Traçabilité des preuves
- ☐ Horodatage de chaque consentement
- ☐ Archivage des versions de formulaires
- ☐ Conservation des logs techniques
- ☐ Durée de conservation alignée sur la durée d'utilisation
Relations avec les partenaires
- ☐ Clause d'audit permettant de vérifier les pratiques de collecte
- ☐ Obligation de transmission des preuves de consentement sur demande
- ☐ Garantie de conformité au RGPD et à l'article L. 34-5 CPCE
- ☐ Clause de reversement en cas de sanction liée aux données fournies
FAQ
Quelle est la différence entre opt-in et opt-out en prospection ?
L'opt-in exige un consentement préalable explicite avant tout démarchage. L'opt-out permet le démarchage par défaut, la personne devant s'opposer activement. La loi de mai 2025 fait basculer le démarchage téléphonique de l'opt-out vers l'opt-in à partir du 11 août 2026. Pour en savoir plus, consultez notre FAQ complète.
Un acheteur de leads est-il responsable si le consentement a été mal collecté par le vendeur ?
Oui, pleinement. La décision SOMS le confirme : le responsable de traitement qui exploite les données est responsable de la validité du consentement, même s'il n'a pas lui-même collecté les données.
L'intérêt légitime peut-il remplacer le consentement pour la prospection commerciale ?
Rarement, et jamais pour la prospection électronique (SMS, emails). L'article L. 34-5 du CPCE exige un consentement préalable pour toute prospection par voie électronique. L'intérêt légitime ne peut être invoqué que pour la prospection téléphonique classique, et uniquement si la personne peut "raisonnablement s'attendre" à être contactée.
Sources : CNIL - Les sanctions prononcées, HAAS Avocats - Analyse décision SOMS
