La conformité ne se présume pas. Elle se démontre.
Avec Sirdata, transformez une obligation réglementaire en levier de confiance et de croissance.
La CNIL a annoncé, le 15 mai 2025, la condamnation d’une entreprise au paiement d’une amende de près d’1 million d’euros pour « avoir démarché des prospects sans leur consentement et transmis leurs données à des partenaires sans base légale valable. »
La société sanctionnée, spécialisée dans les opérations de prospection commerciale par voie électronique (principalement par email et SMS), exploitait les données personnelles de plusieurs millions de personnes afin de leur adresser des offres commerciales. Toutefois, elle ne collectait pas elle-même les données des personnes prospectées. Elle les recevait de la part de partenaires tiers, appelés primo-collectants, qui les avaient recueillies en amont, notamment via des formulaires en ligne ou des jeux-concours organisés sur divers sites internet.
Cette décision constitue un véritable rappel à l'ordre sur la manière dont les responsables de traitement doivent recueillir, vérifier et documenter le consentement des personnes concernées. C’est la raison pour laquelle la CNIL a décidé de publier sa décision.
Elle a d’ailleurs ouvert la voie à la reconnaissance d’un préjudice subi par les personnes concernées même si elles n’ont pas déposé plainte. Il est caractérisé dès l’existence d’une « certaine gêne ou irritation à la réception de messages de prospection commerciale sans y avoir consenti, ou à voir ses données transmises à des tiers sans pouvoir raisonnablement s’y attendre. »
Chez Sirdata nous avons conçu notre CMP sur la base des textes légaux, de la jurisprudence et des recommandations de la CNIL publiées sur son site. C’est pourquoi nous avons à cœur de suivre les travaux de la CNIL, ainsi que les précisions ou évolutions réglementaires apportées, et qu'en plus de les implémenter nous vous aidons à les décrypter.
Cette décision ne concerne pas uniquement les acteurs du marketing direct, mais aussi tous les acteurs du marketing digital, en ce sens qu’elle apporte des éclairages nouveaux sur la définition du consentement, et impacte donc les UI des CMP.
Nous vous détaillons donc ci-dessous les sous-jacents de la décision rendue par la CNIL.
1. Le consentement doit être « actif, spécifique et indubitable »
La CNIL a rappelé l’arrêt Planet49 de la CJUE : « Seul un comportement actif de la part de la personne concernée est de nature à remplir l'exigence de consentement indubitable. » (Point 45).
Le consentement ne peut pas être supposé à partir d’une action sans rapport, comme cliquer sur “Je participe” ou “Je valide” dans un formulaire de jeu-concours. Cela illustre l’application littérale de l’article 4 du RGPD, qui exige que le consentement soit donné de manière libre, spécifique, éclairée et univoque.
C’est sur cette base légale, et éclairée par les délibérations de la CNIL, que Sirdata a conçu sa CMP afin d’offrir un mécanisme de recueil de consentement respectueux des droits des personnes.
La CMP de Sirdata repose ainsi sur un mécanisme clair, fondé sur un acte actif, volontaire et spécifiquement dédié, aussi bien à l’acceptation qu’au refus, conformément aux exigences formulées par la CNIL dans sa Recommandation Cookies du 17 septembre 2020.
2. Toute entreprise utilisant des données à des fins marketing est censée connaître le RGPD
En rappelant qu’elle a déjà clarifié les règles encadrant le recueil du consentement aux points 48 et 52, la CNIL clarifie qu’un responsable de traitement ne peut plus prétendre à l’incertitude juridique ou à l’absence de jurisprudence pour justifier ses manquements.
La CNIL a donc clairement établi qu’il appartient à chaque acteur de la chaîne de traitement de s’assurer que le consentement dont il se prévaut est valide, tant dans son principe que dans ses modalités concrètes de recueil, après avoir clarifié les règles pour les marques, elle “remonte la chaîne”.
C’est précisément pour répondre à cette nouvelle exigence de sécurité juridique et à la responsabilité qui pèse sur le responsable de traitement que Sirdata a fait évoluer sa CMP pour mentionner l’identité des intermédiaires et des marques dès la collecte des données qu’elles souhaitent utiliser, et assurer la traçabilité du consentement dont ils peuvent se prévaloir tout au long de la chaîne de transmission des données.
3. Le design de l'interface, s’il influence le choix, n’est pas conforme au RGPD
La CNIL a sanctionné les interfaces à "bouton unique" de type « JE PARTICIPE » ou « JE VALIDE » et les interfaces manipulatoires. En effet, le design pousse les utilisateurs à consentir sans réflexion, ou sans même percevoir qu’ils donnent leur accord pour être prospectés (Points 65-66-69).
Elle a d’ailleurs publié l’exemple suivant pour illustrer son propos :
Pour la CNIL, la mise en forme, le vocabulaire, la taille ou la couleur des boutons influencent le consentement ce qui n’est pas conforme au RGPD.
La problématique ici n’est pas tant le bouton "unique”, mais le fait qu’il a une double utilité, à savoir valider l’inscription au concours ET donner son consentement. Il est nécessaire selon la CNIL que l’utilisateur comprenne qu’il peut s’inscrire sans consentir obligatoirement au démarchage.
C’est pourquoi, les boutons et liens de la CMP de Sirdata ont été conçus pour ne traiter que des choix en matière de cookies et traitements de données à caractère personnel, sans risque de compréhension altérée via la validation simultanée d’une autre action.
4. L'information relative au refus de consentir doit être claire
Un lien de refus enfoui, en petit caractère, ou mal expliqué invalide le consentement. Les utilisateurs doivent comprendre immédiatement que leur refus est possible, simple et sans conséquence négative pour eux (Point 68).
C’est la raison pour laquelle il n’est pas possible de cacher, masquer ou diluer la mécanique d’expression du refus dans la CMP de Sirdata.
5. Le responsable de traitement doit s’assurer de la licéité du consentement obtenu en application de l’article L.34-5 du CPCE et article 4 du RGPD
Pour la CNIL, c’est au responsable de traitement et non aux primo-collectants, qu’il appartient de garantir la licéité du traitement, en s’assurant lui-même de la validité du consentement ou, à défaut, en procédant directement à sa collecte (Points 57, 61, 62, 63).
Cette vérification constitue une obligation positive, proactive et continue. Le responsable de traitement doit être en mesure de fournir des éléments précis : interfaces utilisées, scripts, formulaires, volumes concernés, captures d’écran ou preuves techniques. À défaut, il engage sa pleine responsabilité en cas de prospection illicite.
Des clauses contractuelles standards ne peuvent justifier une absence de vérification. C'est le contrôle effectif des conditions de recueil qui fonde la conformité (Point 71).
Pour la CNIL, le rappel est clair : un responsable de traitement ne peut pas se décharger de ses obligations sur ses partenaires, ni se contenter d’engagements contractuels. Il doit opérer des contrôles concrets et en tirer les conséquences.
La CNIL rappelle que le responsable de traitement doit être en mesure de démontrer que la personne concernée a effectivement donné son consentement. L'absence de preuve constitue à elle seule un manquement à l’article 7 du RGPD (Points 77, 78).
La CMP de Sirdata fournit une chaîne « euconsent-v2 conforme TCF v2 » traçable, exportable et juridiquement opposable.
Ainsi, l’utilisation de la CMP de Sirdata permet non seulement de recueillir un consentement valide, mais aussi d’en garantir la preuve en temps réel.
Cela protège juridiquement les clients de Sirdata et leur permet de démontrer leur conformité sans dépendre d’interprétations contractuelles ou de pratiques techniques extérieures à leur contrôle.
6. Le consentement doit être apprécié au moment du recueil
Seul le contexte visible au moment du clic compte. Le design de l’interface au moment du recueil est déterminant pour juger de la validité du consentement « ce qui suppose, en l’espèce, d’examiner les formulaires de collecte mis en œuvre par les partenaires de la société. » (Point 62).
C’est précisément là que la CMP de Sirdata se distingue : elle permet, au moment exact où l’utilisateur exprime son choix, des conditions visibles, équilibrées et compréhensibles. L’intégralité du texte est d’ailleurs rédigée en application des recommandations de la CNIL.
7. L'absence de coopération du partenaire n'est pas une excuse
La CNIL rejette l'argument selon lequel le refus d'un partenaire de transmettre les preuves ou les formulaires empêcherait d’être en règle. La responsabilité du traitement repose sur le responsable lui-même, de manière personnelle et directe (Points 86, 87).
Grâce à la CMP de Sirdata, vous conservez la pleine maîtrise de vos preuves, sans dépendre d’intermédiaires opaques ou défaillants. Et lorsque vos partenaires utilisent eux aussi la CMP de Sirdata, vous bénéficiez d’une chaîne de conformité unifiée, continue et documentée.
En optant pour la CMP de Sirdata, les responsables de traitement assurent :
● la conformité immédiate et durable aux règles de consentement ;
● la centralisation du recueil, sans sous-traitance non vérifiée ;
● la preuve documentée et opposable en cas de contrôle ;
● une expérience utilisateur éthique et claire ;
● une traçabilité complète, adaptée aux exigences posées par la CNIL et le RGPD.
La conformité ne se présume pas. Elle se démontre ! Avec Sirdata, transformez une obligation réglementaire en levier de confiance et de croissance.
Sirdata
