CONSEIL D'ETAT | CHAMBRES REUNIES | 20 MAI 2026 | n° 492836 | AFFAIRE TAGADAMEDIA |
1. La déclaration volontaire du consentement comme base légale engage irrévocablement le responsable de traitement pour l’intégralité de la chaîne de collecte et de transmission
La délibération SAN-2023-025 repose sur un constat préliminaire d’une portée normative considérable : TAGADAMEDIA avait elle-même déclaré, dans sa politique de protection des données accessible via ses sites web, que « le fondement légal du traitement » de la transmission des données de prospects à ses partenaires à des fins de prospection « par courrier électronique, par SMS/MMS, par courrier postal ou par télémarketing » était le consentement. La formation restreinte rappelle au § 28 que « aussi bien la politique de protection des données, accessible via les sites web, que le registre des activités de traitement de la société, prévoient que la base légale de la transmission des données de prospects à des fins de prospection par voie électronique, téléphonique ou postale est le consentement, ce que confirme la société ». Cette déclaration volontaire a eu pour effet d’interdire à la société de se prévaloir, en cours de procédure, d’une base légale alternative — l’intérêt légitime — pour couvrir les transmissions de données à des fins d’opérations techniques et de qualification réalisées au bénéfice de ses partenaires. La formation restreinte a en effet retenu (§ 59) que « les finalités visées par la société comme relevant de la réalisation d’opérations techniques et de qualification, à savoir la normalisation postale, le dédoublonnage, l’enrichissement téléphonique, etc., participent à la réalisation des opérations de prospection commerciale de ses partenaires ». Ce raisonnement implique qu’un responsable de traitement qui choisit librement le consentement comme base légale ne peut pas, sans modifier sa politique de confidentialité et sans informer les personnes concernées, prétendre couvrir les opérations préparatoires ou connexes par une autre base légale, sauf à violer l’article 6 du RGPD et, potentiellement, le principe de transparence de l’article 5.
2. Le design des interfaces de recueil du consentement constitue désormais un critère de légalité pleinement opposable, transposé des cookies à la prospection commerciale
L’apport doctrinal le plus significatif de la délibération tient dans la transposition explicite des critères de design issus de la recommandation CNIL n° 2020-092 du 17 septembre 2020 sur les cookies aux formulaires de recueil du consentement pour la prospection commerciale. La formation restreinte l’affirme sans ambiguïté au § 30 : « les travaux conduits sur les pratiques mises en œuvre en matière de cookies s’agissant des bannières de recueil du consentement peuvent utilement servir à apprécier de manière plus générale les conditions de recueil d’un consentement libre, univoque, spécifique et éclairé, et servir de référence en matière de prospection commerciale lorsqu’elle est fondée sur le recueil du consentement ». La recommandation 2020-092 prescrit notamment que « les responsables de traitement s’assurent que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses […] Il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique » (§ 34 de la recommandation). La formation restreinte a appliqué ce standard aux trois générations de formulaires TAGADAMEDIA — bouton unique « JE VALIDE », double bouton « JE VALIDE / JE REFUSE », et troisième formulaire « J’ACCEPTE / ÉTAPE SUIVANTE » — en les déclarant tous non-conformes pour des motifs successifs de défaut d’univocité, de défaut d’information éclairée, ou de séquençage sémantique trompeur. Cette transposition, confirmée par le Conseil d’État au § 11 de l’arrêt CE n° 492836, produit un effet normatif considérable : tous les acteurs qui fondent leur collecte de données sur le consentement — quelle que soit l’interface utilisée — sont désormais tenus de respecter des critères de neutralité visuelle et de lisibilité équivalents à ceux applicables aux bannières cookies.
3. La requalification d’un grief par la formation restreinte, sans débat contradictoire, constitue une violation des droits de la défense sanctionnée par le Conseil d’État
L’arrêt CE n° 492836 du 20 mai 2026 a introduit une règle procédurale d’une portée générale pour l’ensemble des procédures de sanction CNIL : la formation restreinte ne peut pas, sans violer les droits de la défense, substituer un grief autonome à celui figurant dans le rapport du rapporteur qui lui a été notifié, quand bien même les faits sous-jacents seraient identiques. En l’espèce, la rapporteure avait proposé de retenir un manquement à l’article 5, paragraphe 1, a) du RGPD (traitement déloyal) pour la transmission de données postales et téléphoniques à des partenaires sans consentement. La formation restreinte lui avait substitué un manquement à l’article 6, fondé sur le défaut de base légale. Le Conseil d’État a censuré cette substitution au § 8 de son arrêt : « la formation restreinte a méconnu le principe des droits de la défense », en relevant que la société « n’avait donc pas pu formuler d’observations en réponse sur ce point ». Ce principe est ancré dans l’article 16 de la Déclaration des droits de l’homme et du citoyen de 1789, qui garantit à toute personne faisant l’objet d’une sanction punitive d’être « informée, avec une précision suffisante et dans un délai raisonnable avant le prononcé de la sanction, des griefs formulés à son encontre » (§ 6 de l’arrêt). Il est crucial de souligner que cette censure ne porte pas sur le bien-fondé du grief lui-même — le Conseil d’État ne valide pas la licéité de la pratique — mais uniquement sur l’irrégularité procédurale de la substitution. Toute procédure de sanction CNIL dans laquelle la formation restreinte entendrait retenir un manquement distinct de celui instruit dans le rapport notifié devrait, sous peine d’annulation, être soumise à un nouveau débat contradictoire.
4. La présence formelle d’un bouton de refus ne suffit pas : l’absence de description des conséquences du refus invalide le consentement
L’un des apports les plus opérationnels de la délibération réside dans la démonstration que la simple présence d’un bouton de refus sur un formulaire de consentement ne suffit pas à rendre ce dernier valide. La formation restreinte a en effet constaté, s’agissant du formulaire à deux boutons « JE VALIDE / JE REFUSE » utilisé de 2017 à 2023, qu’« il n’est fait aucune mention des conséquences d’un clic sur le bouton “JE REFUSE” » (§ 43). Ce silence était rédhibitoire car « ce dernier pourrait tout aussi bien signifier que le refus de transmettre ses données ne permet pas de participer au jeu-concours, ce qui n’est pas le cas en l’espèce » (§ 46). Autrement dit, l’utilisateur ne pouvait pas savoir si cliquer sur « JE REFUSE » le privait de la possibilité de participer au jeu-concours — ce qui aurait affecté le caractère libre de son consentement — ou s’il pouvait participer sans accepter la transmission. La formation restreinte a ainsi établi que la validité du consentement exige non seulement une option de refus visible mais également une description précise et symétrique des conséquences de chaque option, aussi bien de l’acceptation que du refus. Ce standard, confirmé par le Conseil d’État, impose en pratique que chaque formulaire de recueil du consentement précise explicitement, pour les deux boutons : ce à quoi l’utilisateur consent en cliquant sur l’un, et ce qu’il se passe lorsqu’il clique sur l’autre — notamment le fait que le refus n’empêche pas l’accès à la prestation ou au service principal proposé.
5. L’écosystème du data brokering impose des exigences renforcées de qualité et de validité du consentement sur l’ensemble de la chaîne de transmission
La formation restreinte a insisté, au § 85 de la délibération, sur la spécificité de l’écosystème dans lequel opère TAGADAMEDIA pour caractériser la gravité du manquement : « l’écosystème de la revente de données de partenaires en partenaires exige des garanties particulièrement fortes quant à la qualité et à la validité du consentement obtenu par le primo-collectant des données et dont les partenaires se prévalent à des fins de prospection commerciale ». Ce constat est d’une importance considérable : dans le modèle du data brokering, le consentement recueilli au moment de la collecte initiale — via le formulaire de jeu-concours — est ensuite invoqué par des partenaires successifs, souvent nombreux, pour légitimer leurs propres opérations de prospection. Si ce consentement originel est invalide, c’est l’intégralité de la chaîne de transmission qui se trouve dépourvue de base légale — le primo-collectant comme chacun des partenaires successifs. La formation restreinte souligne également que « les exigences doivent être particulièrement renforcées s’agissant des modalités de recueil du consentement des utilisateurs des sites web édités par la société, dont l’objet est d’offrir des perspectives de gains, ces personnes n’ayant pas nécessairement conscience de la portée de leur accord dans le cadre de leur inscription ». Ce raisonnement, couplé à la délibération SAN-2024-007 actant la conformité des nouveaux formulaires, trace ainsi la frontière entre la pratique licite du data brokering — fondée sur un consentement explicite, éclairé et librement exprimé — et les pratiques qui violent l’article 6 du RGPD en instrumentalisant l’architecture des interfaces pour orienter les utilisateurs vers l’opt-in sans que leur choix reflète leurs préférences réelles.
I- CONSEILS AUX PERSONNES CONCERNÉES PAR LES TRAITEMENTS
A. COMPRENDRE LE MODÈLE ÉCONOMIQUE DES JEUX-CONCOURS EN LIGNE ET SES IMPLICATIONS POUR VOS DONNÉES PERSONNELLES
L’affaire TAGADAMEDIA révèle un modèle économique dont les personnes concernées ne sont pas toujours conscientes : les sites de jeux-concours, de tests de produits et de sondages en ligne peuvent fonctionner, pour tout ou partie, comme des instruments de collecte de données personnelles à des fins de revente à des partenaires commerciaux. La participation à un jeu-concours peut ainsi avoir pour conséquence la transmission de votre nom, prénom, adresse postale, adresse électronique et numéro de téléphone à un nombre potentiellement important de partenaires annonceurs qui utiliseront ces données pour vous adresser des sollicitations commerciales.
Ce modèle n’est pas en soi illégal, dès lors qu’il est mis en œuvre dans le respect du RGPD, notamment en recueillant un consentement valide avant toute transmission. La délibération CNIL démontre cependant que certains acteurs utilisaient des interfaces délibérément ambiguës pour inciter les utilisateurs à accepter cette transmission sans en mesurer pleinement les conséquences. Il vous appartient donc de développer une vigilance accrue à l’égard de ces formulaires.
B. EXERCER VOTRE DROIT À L’INFORMATION ET À LA TRANSPARENCE
Avant de participer à tout jeu-concours ou de remplir tout formulaire en ligne vous invitant à communiquer vos données personnelles, vous avez le droit d’obtenir une information claire et complète sur l’utilisation qui sera faite de ces données. Cette information doit vous être fournie conformément aux articles 13 et 14 du RGPD, et doit notamment indiquer :
----L’identité et les coordonnées du responsable de traitement ; ----La ou les finalités du traitement et la base légale correspondante ; ----Les éventuels destinataires ou catégories de destinataires des données, et notamment l’identité des partenaires auxquels elles pourraient être transmises ; ----Les durées de conservation des données ; ----L’existence de vos droits (accès, rectification, effacement, opposition, portabilité, limitation).
Si la politique de confidentialité accessible sur le site ne contient pas ces informations de manière claire, ou si elle mentionne une liste de partenaires qui vous semble extensive ou opaque, exercez votre droit d’opposition avant de remplir le formulaire ou renoncez à la participation si les conditions vous semblent insuffisamment transparentes.
C. EXERCER VOS DROITS D’ACCÈS, DE RECTIFICATION, D’EFFACEMENT ET D’OPPOSITION
Le RGPD vous confère des droits substantiels que vous pouvez exercer à tout moment auprès de tout organisme qui détient vos données personnelles :
Le droit d’accès (article 15 RGPD) vous permet d’obtenir la confirmation que des données vous concernant sont traitées, et d’en obtenir une copie. Dans le contexte de la prospection commerciale, cela vous permettra de connaître précisément quelles données ont été collectées, à quelles fins elles sont utilisées, et à quels partenaires elles ont été transmises.
Le droit d’opposition (article 21 RGPD) vous permet de vous opposer à tout moment au traitement de vos données à des fins de prospection commerciale. La formation restreinte a rappelé dans la délibération que la société avait mis en place un « centre de désabonnement » permettant de se désinscrire de manière complète de l’ensemble des moyens de prospection. Vous pouvez utiliser ces outils, mais vous pouvez également exercer votre droit d’opposition directement par écrit auprès du responsable de traitement.
Le droit à l’effacement (article 17 RGPD) vous permet de demander la suppression de vos données lorsque, notamment, les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, ou lorsque vous avez retiré votre consentement sur lequel le traitement était fondé.
Dans le contexte spécifique de la prospection commerciale, le retrait du consentement (article 7-3 RGPD) est un droit fondamental : vous pouvez retirer votre consentement à tout moment, sans que cela n’affecte la licéité du traitement effectué avant ce retrait. Ce retrait doit être aussi simple que l’octroi du consentement : si vous avez donné votre consentement en cochant une case ou en cliquant sur un bouton, vous devez pouvoir le retirer par un mécanisme d’une simplicité comparable.
D. SIGNALER LES PRATIQUES DÉLOYALES À LA CNIL
Si vous constatez des pratiques de collecte de données personnelles qui vous semblent contraires au RGPD — formulaires de consentement ambigus, utilisation de vos données à des fins non déclarées, transmission à des partenaires non identifiés, ou refus de répondre à vos demandes d’exercice de droits — vous avez le droit de déposer une plainte auprès de la CNIL.
La plainte peut être déposée : ----En ligne, sur le site cnil.fr, via la plateforme dédiée aux plaintes ; ----Par courrier postal à : CNIL – 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07.
La CNIL ne donne pas nécessairement suite à chaque plainte individuelle par une décision de sanction, mais les plaintes constituent une source d’information précieuse qui peut déclencher des contrôles. Dans l’affaire TAGADAMEDIA, la procédure résultait d’une thématique prioritaire de contrôle définie par la CNIL sur la prospection commerciale en 2022, ce qui démontre l’importance des signalements pour orienter les priorités de l’autorité de contrôle.
LE RISQUE DE LA PROSPECTION NON DÉSIRÉE
La délibération SAN-2023-025 a mis en évidence que la base de données de TAGADAMEDIA comptait environ six millions de prospects dont les données avaient été collectées dans des conditions ne permettant pas un consentement valide. Pour les personnes figurant dans cette base et dans des bases comparables détenues par d’autres acteurs du même secteur, cela se traduit concrètement par :
----La réception de sollicitations commerciales par courrier électronique, SMS, courrier postal ou téléphone, sans avoir consenti valablement à leur envoi ; ----L’impossibilité de savoir précisément combien de partenaires détiennent vos données et les utilisent à des fins de prospection ; ----Le risque que vos données soient revendues à des chaînes de partenaires successifs, chacun invoquant le consentement initial — lui-même invalide — pour justifier ses propres opérations de prospection.
En cas de réception de sollicitations commerciales non désirées, vous disposez du droit de désinscription inscrit dans chaque message commercial (lien de désabonnement), du droit d’inscription sur la liste d’opposition au démarchage téléphonique Bloctel, et du droit de signaler les sollicitations illégales aux autorités compétentes.
II - CONSEILS AUX RESPONSABLES DE TRAITEMENT
A. REPENSER FONDAMENTALEMENT L’ARCHITECTURE DU CONSENTEMENT DANS LES MODÈLES ÉCONOMIQUES DE COLLECTE À FINS DE REVENTE
L’affaire TAGADAMEDIA constitue un avertissement direct adressé à l’ensemble des acteurs dont le modèle économique repose sur la collecte de données personnelles à des fins de transmission à des partenaires tiers pour prospection commerciale. La délibération SAN-2023-025 et l’arrêt du Conseil d’État n° 492836 du 20 mai 2026 en dégagent conjointement une règle d’une clarté absolue : lorsque le responsable de traitement a lui-même déclaré fonder la transmission de données à des partenaires sur le consentement, ce consentement doit être valide au sens plein des articles 4, §11, et 6 du RGPD. Il ne saurait être suppléé par aucune autre base légale non déclarée, et il ne peut résulter d’une simple action de l’utilisateur si celle-ci est ambiguë, contrainte ou insuffisamment éclairée.
La leçon pratique est immédiate : tout responsable de traitement opérant dans l’écosystème de la prospection commerciale doit procéder, en priorité, à un audit exhaustif de ses formulaires de recueil du consentement. Cet audit ne saurait se limiter à une vérification de la présence formelle d’un bouton ou d’une case à cocher ; il doit porter sur l’architecture visuelle globale de l’interface, l’équilibre des options présentées, la lisibilité et l’intelligibilité du texte d’information, ainsi que sur la neutralité de la mise en valeur des différentes options. La formation restreinte a en effet démontré — et le Conseil d’État l’a confirmé — qu’un formulaire comportant deux boutons aux intitulés asymétriques, à des polices différentes ou dans des couleurs déséquilibrées ne permet pas un consentement univoque, quand bien même la mention des conséquences de chaque option figure dans le texte d’accompagnement.
À cet égard, la recommandation n° 2020-092 de la CNIL du 17 septembre 2020 sur les cookies, expressément citée dans la délibération comme cadre de référence applicable aux formulaires de prospection, fournit les critères pratiques à mettre en œuvre :
« Afin de ne pas induire en erreur les utilisateurs, la Commission recommande que les responsables de traitement s’assurent que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre. Il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique. »
Ces critères sont désormais directement transposables aux formulaires de collecte de prospects : même taille de bouton, même police, même couleur, même position, mêmes conséquences décrites avec la même précision et la même lisibilité. L’objectif est que l’utilisateur perçoive immédiatement l’existence d’un choix réel entre deux options équivalentes, sans que la mise en page ou la terminologie ne le conduise à percevoir l’une comme l’étape naturelle du parcours et l’autre comme une dérogation marginale.
B. TRAITER LA COHÉRENCE ENTRE LA POLITIQUE DE CONFIDENTIALITÉ DÉCLARÉE ET LA PRATIQUE EFFECTIVE COMME UN IMPÉRATIF DE CONFORMITÉ
L’un des enseignements les plus importants de la délibération tient à ce que la formation restreinte a retenu un manquement à l’article 6 du RGPD y compris au titre de la transmission de données postales et téléphoniques de prospects n’ayant pas consenti, au motif que la politique de confidentialité de la société déclarait elle-même que le fondement légal de cette transmission était le consentement. La société ne pouvait donc s’affranchir de cette exigence en invoquant après coup un intérêt légitime pour des opérations techniques et de qualification qui, en réalité, s’inscrivaient dans le cadre de contrats de commercialisation de données à des fins de prospection.
Cette problématique, confirmée par la formation restreinte aux §§ 58 à 65 de la délibération, appelle une vigilance de premier ordre dans la rédaction et la mise à jour des politiques de confidentialité. Il convient de vérifier que :
----Les bases légales déclarées correspondent exactement aux bases légales effectivement invoquées dans les contrats conclus avec les partenaires ; ----Si la politique déclare le consentement comme fondement, aucune donnée d’un prospect non-opt-in n’est transmise à un partenaire pour quelque finalité que ce soit, y compris des finalités présentées comme techniques ou de qualification ; ----Si une finalité distincte repose sur l’intérêt légitime, celle-ci doit être décrite avec précision dans la politique de confidentialité, de manière à ce que les personnes concernées puissent comprendre que certaines de leurs données peuvent être traitées à cette fin même en l’absence de consentement explicite.
La formation restreinte l’a dit sans ambiguïté : « dès lors qu’un prospect ne consent pas à la transmission de ses données aux partenaires de la société, celle-ci n’est pas autorisée à les transmettre, y compris à des fins de réalisation d’opérations techniques et de qualification » (§ 61). Cette logique de cohérence normative doit guider l’intégralité de la chaîne contractuelle avec les partenaires-annonceurs.
Sur le plan contractuel, tout accord de fourniture ou de location de données doit prévoir explicitement les conditions de sélection des prospects transmis, et notamment la mention du statut opt-in/opt-out de chaque enregistrement. Les contrats de prestations techniques dites de « qualification » ou de « normalisation » doivent être analysés à la lumière de leurs finalités réelles : dès lors que l’opération technique constitue un préalable à une opération de prospection, elle participe de cette finalité et appelle le même fondement juridique.
C. TENIR UN REGISTRE DES ACTIVITÉS DE TRAITEMENT RIGOUREUX, INDIVIDUALISÉ ET À JOUR
Le manquement à l’article 30 du RGPD retenu dans la délibération — bien que de gravité moindre — mérite une attention particulière. La formation restreinte a en effet sanctionné la société non pas pour l’absence de registre, mais pour l’absence d’individualisation dans un registre tenu en commun avec une filiale, sans mention de laquelle des deux sociétés agissait en qualité de responsable de traitement pour chaque activité listée.
Cette exigence de précision est particulièrement significative dans les groupes de sociétés, les structures avec filiales, et les organisations ayant procédé à des acquisitions. Il ne suffit pas de tenir un registre de traitement formellement conforme ; encore faut-il que ce registre permette d’identifier, pour chaque traitement, l’entité juridique exacte qui en assume la responsabilité. Le Conseil d’État n’a d’ailleurs pas remis en cause ce manquement, qui est demeuré définitif.
En pratique, tout responsable de traitement opérant au sein d’un groupe ou d’une structure multi-entités doit :
----Tenir un registre distinct pour chaque entité juridique, quand bien même des activités de traitement seraient partagées ; ----Veiller à ce que chaque ligne du registre identifie clairement l’entité responsable et, le cas échéant, l’entité sous-traitante ; ----Mettre à jour le registre à chaque modification significative des traitements ou de l’organisation (acquisition, fusion, externalisation, évolution des bases légales) ; ----Documenter les délais d’effacement et les mesures de sécurité avec un niveau de précision proportionné au volume et à la sensibilité des données traitées.
La formation restreinte a noté que « la société TAGADAMEDIA aurait dû, au regard du nombre de données traitées et de son activité, veiller au caractère exhaustif, précis et à jour de son registre des activités de traitement » (§ 71). Cette formulation constitue un standard d’exigence croissant en fonction du volume de données traitées : plus l’activité de traitement est importante, plus le niveau de précision attendu du registre est élevé.
D. ANTICIPER LE CONTRÔLE CNIL DÈS LA CONCEPTION DU MODÈLE COMMERCIAL
L’affaire TAGADAMEDIA illustre également la capacité de la CNIL à conduire des opérations de contrôle approfondies et multi-dimensionnelles : cinq opérations successives (trois contrôles en ligne et deux contrôles sur place) ont été effectuées entre mars 2022 et octobre 2023 avant même l’engagement de la procédure de sanction. Ce séquençage procédural démontre que la Commission n’hésite pas à procéder à des contrôles complémentaires au fil de l’instruction, notamment pour vérifier les formulaires présentés par le responsable de traitement en cours de procédure.
Pour les acteurs du marketing digital et de la collecte de leads, cette décision appelle une refonte structurelle de l’approche de conformité :
----Privacy by design : concevoir les formulaires de collecte dès l’origine avec les exigences du consentement valide intégrées dans les spécifications fonctionnelles et les maquettes graphiques ; ----Tests utilisateurs : réaliser des tests d’utilisabilité des formulaires permettant d’évaluer la perception réelle des options par les utilisateurs, et documenter ces tests dans le dossier de conformité ; ----Revue juridique préalable : soumettre tout nouveau formulaire à une revue juridique avant mise en production, impliquant le DPO et, si nécessaire, un conseil extérieur ; ----Traçabilité des versions : conserver l’historique de toutes les versions de formulaires avec leurs dates d’application, afin de pouvoir démontrer à toute date d’un contrôle le formulaire effectivement utilisé.
CHECKLIST PRATIQUE
La délibération SAN-2023-025 et l’arrêt CE n° 492836 définissent un référentiel pratique que tout acteur du secteur doit confronter à ses propres pratiques. Les vérifications suivantes s’imposent dans les meilleurs délais :
Audit des formulaires de consentement ----Vérifier que les boutons d’acceptation et de refus sont strictement identiques en taille, police, couleur et positionnement ; ----Vérifier que l’intitulé de chaque bouton est sans ambiguïté sur les conséquences qu’il entraîne (éviter les formules telles que « Je valide », « Je continue », « Étape suivante » qui ne renvoient pas explicitement à la notion de consentement à la prospection) ; ----Vérifier que le texte d’information accompagnant les boutons est lisible avec une police d’une taille comparable à celle des boutons ; ----Vérifier qu’aucun élément visuel (couleur dominante, position prioritaire, taille supérieure) ne met en valeur le bouton d’acceptation au détriment du bouton de refus.
Audit de la chaîne de transmission des données ----Vérifier que seules les données de prospects ayant donné un consentement valide (opt-in) sont transmises aux partenaires, quelle que soit la finalité déclarée de la transmission ; ----Vérifier la concordance entre les bases légales déclarées dans la politique de confidentialité et celles stipulées dans les contrats avec les partenaires ; ----S’assurer que les exports de données transmis aux partenaires comportent systématiquement une colonne ou un identifiant permettant de distinguer les prospects opt-in des non-opt-in, et que les contrats prévoient des obligations de non-utilisation des données non-opt-in.
Revue du registre des activités de traitement ----Vérifier que chaque traitement est attribué à une entité juridique précisément identifiée comme responsable de traitement ; ----S’assurer que les durées d’effacement et les mesures de sécurité sont renseignées de manière suffisamment précise au regard du volume de données concernées.
Pas de contribution, soyez le premier