Le Règlement Général sur la Protection des Données (RGPD) n’a pas épargné les courtiers de données – ces fameux data brokers qui collectent et agrègent des informations pour les revendre à des entreprises, notamment à des fins de prospection commerciale. Pour un courtier de données, la conformité au RGPD est aujourd’hui un enjeu majeur, à la fois stratégique et... potentiellement coûteux (en cas de non-conformité). La CNIL, gendarme français des données personnelles, en a d’ailleurs fait l’une de ses cibles prioritaires ces dernières années.
Dans cet article, nous ferons le point sur les obligations spécifiques qui incombent aux courtiers de données en matière de RGPD : transparence, base légale (spoiler : le consentement est roi), droits des personnes, documentation (principe d’accountability), gestion des sous-traitants et partenaires, etc. Nous illustrerons chaque point par des exemples concrets de sanctions récentes prononcées par la CNIL (Solocal Marketing Services, Caloga, Tagadamedia, Foriou...), histoire de montrer que le RGPD, ce n’est pas que de la théorie.
Transparence : informer les personnes, c’est la base
La transparence est un pilier du RGPD. Concrètement, un courtier en données doit informer clairement les personnes concernées dès la collecte de leurs données, même s’il compte les revendre par la suite. Quand un individu participe à un jeu-concours en ligne par exemple (principale source de données pour beaucoup de data brokers), il doit savoir ce que ses données vont devenir. Le courtier doit indiquer la finalité de la collecte (ex: transmission à des partenaires commerciaux) et l’étendue de celle-ci, c’est-à-dire à combien de partenaires et dans quels secteurs ses données pourront être transmises. Avouez que ce n’est pas très glamour sur un formulaire de jeu-concours, mais c’est indispensable.
En outre, si le courtier prévoit de partager les informations avec une longue liste de partenaires, la personne doit pouvoir en prendre connaissance. Le RGPD exige une information « concise, transparente, compréhensible ». Exit les mentions légales cachées en bas de page en police 6 : la liste exhaustive des destinataires potentiels doit être facilement accessible au moment du recueil des données. Sur ce point, la CNIL veille au grain. Par exemple, dans l’affaire Foriou (2024), la CNIL a reproché que les formulaires de collecte utilisés « ne mentionnaient pas systématiquement la société FORIOU dans la liste des partenaires susceptibles de démarcher les personnes concernées », constituant un manquement à l’obligation d’information. En d’autres termes, ne pas être nommément cité comme destinataire sur le formulaire, c’est un carton rouge niveau transparence.
Enfin, n’oublions pas que si un courtier obtient des données indirectement (via un autre intermédiaire), il doit informer les personnes dans un certain délai (généralement lors de la première communication ou dans le mois, selon l’article 14 du RGPD). En pratique, cela signifie que si vous avez acquis un fichier de prospects auprès d’un data broker, vous devez, lors du tout premier message envoyé aux personnes, leur fournir toutes les informations requises par le RGPD – origine des données, droit d’opposition, identité du courtier, etc. Un prospect ne devrait jamais découvrir par surprise que ses données ont été revendues : la transparence exige de lever le voile dès le départ.
Base légale : consentement, consentement, consentement !
Sur quelle base légale un courtier de données peut-il s’appuyer pour exploiter ou revendre les données personnelles ?
Spoiler : dans la grande majorité des cas, cela doit être le consentement préalable de la personne. En matière de prospection commerciale par email ou SMS, la loi française (article L.34-5 du Code des postes et communications électroniques) impose déjà un consentement explicite avant d’envoyer la moindre sollicitation. Le RGPD renforce cela en exigeant que toute donnée personnelle soit traitée sur une base légale valable (article 6 RGPD) – et pour du marketing, le consentement est généralement indispensable (l’intérêt légitime étant très difficile à invoquer pour de la prospection massive de personnes qui n’ont jamais eu de relation avec vous).
Du point de vue d’un data broker, cela signifie que lors de la collecte initiale, il faut obtenir le consentement de la personne pour deux choses distinctes : d’une part, que ses données soient transmises à des partenaires commerciaux, et d’autre part qu’elles soient réutilisées par ces partenaires pour la prospection. Parfois, cela prend la forme d’une case à cocher double : une pour “J’accepte de partager mes données avec des partenaires”, et une pour “J’accepte de recevoir des offres de ces partenaires”. Et bien sûr, pas de case pré-cochée, pas de formulation ambiguë – le consentement doit être libre, spécifique, éclairé et univoque.
Or, de nombreux courtiers de données ont longtemps usé de ficelles un peu grosses pour forcer la main des utilisateurs. Formulaires au design trompeur, où le bouton “Oui, je veux bien recevoir des offres” est bien visible et coloré, tandis que le lien “participer sans recevoir d’offres” est caché en tout petit… Ce genre de pratique annule la validité du consentement recueilli. La CNIL l’a rappelé à plusieurs reprises. Par exemple, la société Tagadamedia a été sanctionnée en 2023 pour ce motif : les formulaires de jeu-concours qu’elle utilisait n’offraient pas un consentement réellement libre, car « la mise en valeur du bouton permettant de donner son consentement […] incitait fortement l’utilisateur à accepter ». Résultat, Tagadamedia a écopé de 75 000 € d’amende pour absence de consentement valide.
De même, la CNIL a frappé du poing sur la table avec Solocal Marketing Services (filiale de Pages Jaunes) en 2025. Solocal avait démarché par SMS des millions de personnes sans consentement valable et partageait leurs données à des partenaires sans base légale adéquate. Bilan : 900 000 € d’amende et une injonction de cesser ces envois illégaux. Pour Solocal, dont l’activité historique est le marketing direct, c’est un sacré rappel à l’ordre.
Moralité : pas de consentement explicite, pas de data marketing – sous peine de très grosses (et coûteuses) déconvenues.
Droits des personnes : accès, opposition, effacement... et organisation
Les personnes dont les données sont collectées gardent le contrôle – c’est la philosophie du RGPD. Ainsi, un individu a le droit de s’opposer à la prospection, de demander l’accès à ses données, leur rectification ou leur effacement. Pour un courtier de données, cela implique d’avoir des processus en place pour gérer ces demandes, et vite (on rappelle que vous avez en général un mois pour répondre).
Un enjeu particulier pour les data brokers est que lorsqu’une personne exerce par exemple son droit d’effacement, il faut non seulement la supprimer de votre base, mais aussi en informer tous les partenaires à qui vous avez déjà vendu ses informations. Et oui, la chaîne complète doit respecter la volonté de la personne.
La CNIL l’a précisé : en cas de demande d’effacement ou de limitation adressée à un courtier, celui-ci doit notifier la demande à toutes les entreprises à qui il a fourni les données. Imaginez un peu la scène : Monsieur X demande la suppression de ses données, le courtier doit faire suivre la consigne à potentiellement des dizaines de clients qui ont acheté le fichier – une véritable chaîne de purification des données 😅. Mieux vaut donc anticiper et tenir des registres précis de “qui a reçu quoi”, sous peine de courir après les données comme on court après des confettis dispersés par le vent.
Par ailleurs, un data broker doit aussi être prêt à indiquer l’origine des données lorsqu’une personne exerce son droit d’accès. Si Mme Y demande « D’où tenez-vous mon email et mon numéro de téléphone ? », le courtier a intérêt à pouvoir retracer la source (par ex. tel site de quiz ou tel partenaire source). Cela rejoint l’obligation de transparence et de documentation : connaître ses filières de collecte sur le bout des doigts. Enfin, sur le droit d’opposition : toute personne doit pouvoir à tout moment dire stop à l’utilisation de ses données pour du marketing. Les courtiers doivent donc non seulement cesser le traitement, mais aussi avertir leurs partenaires en aval d’arrêter de démarcher cette personne. En pratique, on voit souvent dans les emails ou SMS de prospection une mention “Cliquez ici pour vous opposer à tout démarchage futur” – si le courtier gère des campagnes pour le compte de clients, il doit centraliser ces demandes de désinscription et mettre à jour ses listes et celles transmises aux partenaires.
En résumé, les droits des personnes obligent les courtiers en données à être réactifs et organisés. C’est aussi un excellent stress-test de leur sérieux : une entreprise incapable de dire quelles données elle a sur vous, ou de vous retirer de ses fichiers, aura du mal à prouver qu’elle est conforme au RGPD (et la CNIL pourrait bien lui rappeler durement).
Documentation et accountability : le RGPD aime les preuves
L’accountability (ou principe de responsabilité) du RGPD impose aux entreprises de prouver qu’elles respectent leurs obligations. Pour un courtier de données, cela se traduit par tout un volet documentation à tenir à jour. D’abord, le registre des activités de traitement (article 30 RGPD) : ce document interne doit recenser tous les traitements de données effectués, leurs finalités, les catégories de données, les destinataires, etc. Un courtier manipule généralement de gros volumes de données personnelles ; sauf exception (petite structure de moins de 250 employés sans traitement à risque), il doit absolument maintenir ce registre. Et pas n’importe comment : il doit être précis et clair sur qui fait quoi.
Exemple concret : la CNIL a épinglé Tagadamedia non seulement pour ses formulaires trompeurs, mais aussi pour son registre RGPD incomplet. Partageant son registre de traitement avec une autre entité, Tagadamedia avait "oublié" de préciser quelle société était responsable de quel traitement – un manquement à l’article 30 du RGPD. Moralité : un registre flou, c’est un peu comme un bateau sans gouvernail, et la CNIL n’aime pas les bateaux à la dérive.
Au-delà du registre, le courtier doit conserver la preuve des consentements recueillis. Puisque le consentement est la base légale privilégiée, il faut pouvoir démontrer que chaque email ou numéro de téléphone dans vos fichiers provient d’une personne qui a dit “oui” (et pas un “oui” extorqué sous la contrainte d’un design douteux, on a vu ce que ça coûte…). Cela implique de stocker les formulaires ou les logs de consentement, avec date, texte exact approuvé, source, etc. En cas de contrôle, c’est souvent la première chose que la CNIL demande : « Prouvez-nous que vous aviez le droit de contacter ces gens ». Si la réponse du courtier est « euh... on a acheté la base à un fournisseur, on pensait que... », alerte rouge ! D’ailleurs, dans la sanction Solocal, la formation restreinte de la CNIL a pointé des manquements dans le recueil et la preuve du consentement, sanctionnés conjointement sur la base du RGPD et du Code des communications électroniques.
La documentation inclut également les politiques internes (comment vous gérez les données, combien de temps vous les gardez, etc.), les contrats avec vos partenaires et sous-traitants (on y vient juste après), les analyses d’impact si pertinentes, et toutes les preuves de conformité que vous pouvez accumuler. L’objectif : être capable de sortir un dossier béton en cas d’audit RGPD ou de plainte. C’est un peu fastidieux, certes, mais considérez cela comme votre assurance anti-amende. Après tout, 80 000 € d’amende (comme pour Caloga en 2025) coûtent bien plus cher que quelques heures passées sur un registre bien tenu…
Partenaires, fournisseurs, sous-traitants : une responsabilité en chaîne
Le métier de courtier en données s’inscrit dans une chaîne de traitement impliquant plusieurs acteurs. D’un côté, il y a souvent les fournisseurs de données (par ex. les fameux sites de quiz, jeux-concours, etc., qui récoltent les données en premier lieu). De l’autre, il y a les clients du courtier, c’est-à-dire les entreprises qui achètent les données ou qui font appel au courtier pour réaliser des campagnes de prospection en leur nom. Sans oublier d’éventuels sous-traitants techniques (plateformes d’envoi d’emails/SMS, call centers, hébergeurs...). Le RGPD impose une vigilance accrue tout au long de cette chaîne.
Côté amont (fournisseurs de données)
Le courtier doit s’assurer que les données qu’il acquiert ont été collectées légalement. Cela passe par des exigences contractuelles claires vis-à-vis de ses partenaires-fournisseurs (par exemple, le site X certifie qu’il affiche bien les mentions RGPD et obtient le consentement pour transmettre les données à des tiers). Mais attention, la CNIL a bien fait comprendre que le contrat ne suffit pas. Il faut aussi effectuer des vérifications effectives. En d’autres termes, trust but verify : ne faites pas aveuglément confiance à vos fournisseurs, auditez-les, demandez à voir des exemples de formulaires, assurez-vous qu’ils cochent bien toutes les cases RGPD. Car si un fournisseur vous refile des données mal collectées, c’est vous (le courtier et le client final) qui trinquez.
Illustration frappante : la société Foriou, spécialisée dans les programmes de fidélité, a été sanctionnée de 310 000 € en 2024 pour avoir utilisé des données achetées à des courtiers sans vérifier la qualité du consentement en amont. Les formulaires source étaient trompeurs (option de refus peu visible, donc consentement invalide) et Foriou n’avait pas détecté le problème. Résultat : absence de base légale pour démarcher ces personnes, d’où la sanction pour manquement à l’article 6 du RGPD. La CNIL a souligné que même si Foriou avait imposé des clauses contractuelles RGPD à ses fournisseurs, cela ne la dédouanait pas de vérifier concrètement le respect de ces clauses. Morale de l’histoire : en RGPD, la diligence raisonnable n’est pas une option, c’est une obligation.
Côté aval (clients du courtier)
Si le courtier agit en tant que simple fournisseur de données, chaque client qui utilise ces données devient responsable de son traitement et doit, lui aussi, respecter le RGPD. Par exemple, une entreprise qui achète un fichier d’emails devra, lors de sa première campagne, envoyer aux personnes toutes les informations obligatoires (origine des données, droit d’opposition, etc.). Si la prospection se fait par téléphone, elle devra respecter les règles (consentement si automatisé, liste d’opposition Bloctel en France, etc.). Le courtier a tout intérêt à éduquer ses clients sur ces obligations, car leur non-conformité peut aussi rejaillir sur lui (mauvaise réputation, enquêtes de la CNIL qui remonteront la chaîne jusqu’au fournisseur initial…).
Si le courtier réalise lui-même les campagnes pour le compte de ses clients (par ex. en envoyant des emails en leur nom), il agit alors comme un sous-traitant et un correspondant à la prospection. Dans ce cas, il doit y avoir un contrat de sous-traitance RGPD entre le client (responsable de traitement) et le courtier (sous-traitant) qui précise les instructions, mesures de sécurité, etc. (article 28 RGPD). Et bien sûr, le courtier devra exiger de son client que les listes fournies sont “propres” (ou que la collecte via le courtier est conforme, si c’est lui qui fournit la base). Vous voyez le tableau : chacun doit s’assurer que l’autre est conforme, sinon tout le château de cartes s’effondre.
En somme, être courtier de données, c’est un sport d’équipe avec les partenaires. Mais nul n’est censé ignorer la loi : pas de délégation de responsabilité en cas de manquement. La CNIL pourra sanctionner tout le monde dans la chaîne, du collecteur initial au dernier utilisateur, si chacun n’a pas fait sa part. Mieux vaut donc jouer collectif en matière de conformité !
CNIL : le coup de balai sur les mauvais élèves (exemples de sanctions)
Pour ceux qui penseraient encore que “bon, ça passe, la CNIL ne verra rien”, détrompez-vous. Ces dernières années, l’autorité a intensifié ses contrôles sur les courtiers de données et distributeurs de fichiers prospects. Voici quelques exemples édifiants de sanctions récentes qui devraient convaincre les plus téméraires :
- Solocal Marketing Services – Amende de 900 000 € (2025).
Motifs : Démarchage de millions de personnes par SMS sans consentement valable, formulaires de collecte trompeurs chez les partenaires, et transmission des données à des annonceurs sans base légale suffisante.
Obligations RGPD en cause : Consentement préalable pour prospection (CPCE art. L34-5, RGPD art. 6 et art. 7), obligation d’information et preuve du consentement. - Caloga – Amende de 80 000 € (2025).
Motifs : Envois d’emails de prospection sans consentement des personnes, et partage de leurs données à des partenaires sans base légale valide (décidément une “recette” courante…).
Obligations RGPD en cause : Même tableau que Solocal : consentement obligatoire non respecté (CPCE L34-5), absence de base légale RGPD pour le partage des données, manquement à l’article 7 (pas de preuve du consentement valide). À noter que Caloga a cessé son activité en 2024, d’où une amende plus modérée. - Tagadamedia – Amende de 75 000 € (2023).
Motifs : Collecte de données de prospects via des jeux-concours sans consentement valide (les fameux formulaires trompeurs qui incitent abusivement à accepter), et en prime un registre des traitements mal tenu.
Obligations RGPD en cause : Base légale (article 6) non respectée faute de vrai consentement, design trompeur prohibé (violation du principe de consentement libre, article 7). Également, manquement à l’obligation de documentation (article 30 RGPD) pour le registre qui ne précisait même pas qui était responsable du traitement. La CNIL a aussi ordonné une mise en conformité sous 1 mois, sous astreinte, pour que Tagadamedia revoie ses formulaires. - Foriou – Amende de 310 000 € (2024).
Motifs : Campagnes de démarchage téléphonique menées à partir de données achetées à des courtiers, sans s’assurer que les personnes avaient donné un consentement valable pour être appelées. Les formulaires sources étaient trompeurs et, cerise sur le gâteau, Foriou n’était même pas mentionnée clairement comme destinataire possible sur ces formulaires.
Obligations RGPD en cause : Absence de base légale (violation de l’article 6) – puisque pas de consentement valide, pas de droit d’utiliser les données – et manquement à l’obligation de transparence (articles 13/14) car les personnes n’étaient pas suffisamment informées de la réutilisation de leurs données par Foriou. La CNIL a rappelé que la charge de la preuve du consentement et de la vérification incombe à l’utilisateur des données.
Il est intéressant de voir que la tendance des sanctions vise autant les courtiers eux-mêmes (collecte/revente) que les entreprises clientes qui utilisent ces données. Personne n’a le droit de fermer les yeux en se disant « ce n’est pas moi qui ai collecté, je fais confiance ». Au contraire, la CNIL attend des entreprises acheteuses de bases de données qu’elles redoublent de vigilance. Par exemple, dans deux sanctions de 2024, dont celle de Foriou (310k€) et une autre de 525k€ (entreprise Hubside.Store), la CNIL a tapé fort pour l’absence de vérification de la licéité des fichiers acquis. Le message est clair : si vous réutilisez des données provenant d’un courtier, auditez la collecte ou sortez le carnet de chèques pour payer l’amende.
(CPCE = Code des postes et communications électroniques, pour la loi spécifique en France sur le démarchage par voie électronique.)
Conclusion : conformité RGPD, la clé de voûte pour les data brokers
Pour les courtiers de données, le RGPD représente certes des contraintes importantes, mais aussi une occasion de bâtir une activité plus saine et digne de confiance. Dans un contexte où le grand public est de plus en plus sensible à l’usage de ses données personnelles, afficher une conformité exemplaire peut devenir un avantage compétitif – si, si ! Plutôt que de voir le RGPD comme un obstacle, mieux vaut le considérer comme un GPS : un guide qui vous indique le bon chemin pour exploiter la data sans finir dans le ravin des sanctions.
Soyons clairs : les enjeux du RGPD pour un courtier de données ne sont pas à prendre à la légère. Transparence renforcée, consentements béton, respect scrupuleux des droits des individus, documentation de chaque instant et vigilance à chaque maillon de la chaîne – tout cela demande du travail et de la rigueur. Mais le jeu en vaut la chandelle : c’est le prix à payer pour continuer à exercer ce métier (très lucratif) en toute légalité et sérénité. À défaut, la sanction guette, et la CNIL a montré qu’elle n’hésitera pas à sortir le carton rouge et le carnet d’amendes.
En adoptant une approche conforme (et pourquoi pas innovante) de la data, les courtiers peuvent transformer la contrainte en opportunité : mieux connaître leurs données, améliorer la qualité des fichiers, obtenir des consentements réellement éclairés (des prospects consentants, c’est aussi un taux de conversion meilleur à la clé !). Bref, faire du RGPD un allié plutôt qu’un ennemi. Et puis, entre nous, dormir sur ses deux oreilles vaut bien quelques efforts de mise en conformité, non ? 😉
.png)
