30 avril 2020
En 2019, la CNIL a réalisé plusieurs contrôles auprès de sociétés récupérant les données d’internautes publiquement accessibles sur Internet afin de vérifier la conformité des pratiques à la loi Informatique et Libertés et au RGPD.
La CNIL reçoit régulièrement des plaintes concernant les pratiques de sociétés récupérant des données personnelles sur des sites web afin d’effectuer de la prospection commerciale.
Elles visent par exemple des sociétés collectant des coordonnées téléphoniques de personnes figurant sur des annonces diffusées sur un site web entre particuliers ou encore des annuaires en ligne. Ces informations sont ensuite utilisées pour de la prospection alors même que ces personnes ont indiqué s’opposer au démarchage commercial.
Ces sociétés sont, par exemple :
Ces entreprises ont recours à des outils, comme des logiciels d’extractions (ou web scraping en anglais), permettant de collecter automatiquement les coordonnées d’internautes dans les espaces publics de l’Internet.
Ces données, bien que publiquement accessibles, sont des données personnelles. Dès lors, elles ne sont pas librement réutilisables par tout et ne peuvent être réexploitées à l’insu de la personne concernée.
Or, les contrôles menés en 2019 révèlent plusieurs manquements à la législation sur la protection des données :
Afin de respecter les droits des personnes, la CNIL rappelle aux responsables de traitements ainsi qu’à leurs prestataires les bonnes pratiques à adopter.
Lorsque les personnes qui ont diffusé leurs données auprès d’un premier ne s’attendent pas raisonnablement à faire l’objet, par exemple, de prospection commerciale par une autre société, la réutilisation des données par cette autre société à des fins commerciales n’est possible qu’avec leur consentement.
Exemple : un particulier qui dépose une annonce sur un site de ventes entre particuliers ne s’attend raisonnablement pas à être prospecté par un professionnel. Ses données ne peuvent donc être traitées sans son consentement.
De même, lorsque la société réutilise des données publiquement accessibles sur l’Internet afin d’effectuer de la prospection directe concernant ses produits et services par message électronique ou automate d’appels, elle doit impérativement recueillir le consentement des personnes avant ces actions.
Il est nécessaire de s’assurer du caractère libre, spécifique, éclairé et univoque du consentement. À ce titre, l’acceptation par un internaute, de manière générale et indifférenciée, des conditions d’utilisation (CGU) d’un service ne peut être assimilée à un consentement spécifique, même si ces conditions d’utilisation informeraient l’internaute de son engagement à recevoir de la prospection commerciale par voie électronique.
Lorsque la société démarche commercialement les personnes par un autre moyen (par exemple par démarchage téléphonique sans automate d’appel), les logiciels doivent permettre de ne pas collecter les données des personnes inscrites sur des listes anti-prospection auprès d’un opérateur téléphonique ou auprès du dispositif BLOCTEL.
En tout état de cause, la société utilisant ces logiciels ne doit pas démarcher les personnes s’étant déjà opposées à la réception par cette dernière de sollicitations commerciales.
Les sociétés ayant recours à ces logiciels doivent s’assurer de la nature et de l’origine des données collectées. En effet, certains logiciels extraient ces informations à partir de sites web dont les conditions générales d’utilisation (CGU) interdisent l’aspiration et la réutilisation des données à des fins commerciales. Dans cette hypothèse, cette pratique n’est donc pas autorisée.
Comme pour tout , la collecte de données à des fins de démarchage téléphonique doit être réduite à ce qui est strictement nécessaire.
Les sociétés utilisant ces logiciels doivent en particulier se montrer vigilantes pour éviter la collecte d’informations non pertinentes ou excessives, notamment si elles sont sensibles (par exemple des informations sur la santé, la religion ou l’orientation sexuelle des personnes).
Pour respecter l’équilibre entre les intérêts des sociétés ayant recours à ces logiciels et les intérêts des personnes concernées, il est primordial que la société utilisant le logiciel d’aspiration de données fournisse, au plus tard au moment de la première communication avec les personnes dont les données sont traitées, les informations prévues à l’article 14 du RGPD et notamment celle relative à la source des données. L’information doit être concise, compréhensible et aisément accessible aux personnes concernées.
Lorsqu’une société a recours aux services d’un prestataire qui utilise le logiciel pour son compte, la société doit s’assurer que les mesures précédemment indiquées sont prises en compte.
De plus, lorsque le prestataire agit en qualité de sous-traitant au sens du RGPD, les contrats entre les parties doivent respecter l’article 28 du RGPD en définissant, notamment :
Le guide du sous-traitant publié par la CNIL détaille les obligations du sous-traitant et propose notamment un exemple de clauses contractuelles.
Dans certaines situations, une analyse d’impact relative à la protection des données (AIPD) est obligatoire avant la mise en œuvre du traitement. Par ailleurs, même si une telle analyse d’impact n’est pas obligatoire, il s’agit d’une bonne pratique à adopter pour s’assurer que le traitement de données envisagé est respectueux du RGPD.
La CNIL restera vigilante sur cette préoccupation du quotidien des Français et concernant le respect de leurs droits.
03 avril 2026
25 mars 2026
18 février 2026
L