CONSEIL D'ETAT | CHAMBRES REUNIES | 20 MAI 2026 | n° 492836 | AFFAIRE TAGADAMEDIA |
La délibération SAN-2023-025 du 29 décembre 2023 sanctionne la société TAGADAMEDIA — courtier en données dont l’activité consiste à organiser des jeux-concours en ligne aux fins de collecter des données de prospects et de les revendre à des partenaires annonceurs pour prospection commerciale — d’une amende administrative de 75 000 euros pour manquements aux articles 6 et 30 du RGPD, assortie d’une injonction de mettre en conformité ses formulaires de recueil du consentement sous astreinte de 1 000 euros par jour de retard ;
L’arrêt du Conseil d’État, chambres réunies, n° 492836 du 20 mai 2026 réforme partiellement cette décision en réduisant l’amende à 50 000 euros au motif que la formation restreinte, en substituant au grief de traitement déloyal (art. 5 RGPD) retenu dans le rapport du rapporteur un grief distinct fondé sur l’article 6 du RGPD pour la transmission de données sans consentement par voie postale et téléphonique, a méconnu le principe des droits de la défense — la société n’ayant pas été en mesure de formuler des observations sur ce fondement reformulé — tout en confirmant, par ailleurs, l’intégralité de la délibération L’invalidité du consentement recueilli via les trois générations de formulaires successivement utilisés (bouton unique « JE VALIDE » : double bouton « JE VALIDE/JE REFUSE », puis double bouton « J’ACCEPTE/ÉTAPE SUIVANTE »), en validant l’injonction de mise en conformité, en écartant le moyen tiré de la violation du principe de légalité des délits et des peines, et en accordant à la société la somme de 2 000 euros au titre de l’article L. 761-1 du code de justice administrative ;
La décision présente une portée structurante à plusieurs égards : elle confirme la transposabilité des critères jurisprudentiels développés en matière de cookies à l’ensemble des interfaces de recueil du consentement en ligne, y compris dans le secteur de la prospection commerciale ; elle consacre l’exigence de cohérence entre la base légale déclarée dans la politique de confidentialité et la pratique effective de transmission des données, de sorte que le responsable de traitement ayant déclaré le consentement comme fondement ne peut invoquer l’intérêt légitime a posteriori pour couvrir des transmissions réalisées sans opt-in ; elle fixe un standard élevé d’exigences de design pour les formulaires de collecte (boutons de taille, police, couleur et intitulé équivalents, texte d’information lisible, absence de hiérarchisation visuelle entre les options), confirmé positivement par la délibération SAN-2024-007 du 25 avril 2024 qui a acté la conformité des nouveaux formulaires mis en place par la société à la suite de l’injonction ; enfin, l’arrêt du Conseil d’État produit un enseignement procédural de premier ordre en rappelant que la formation restreinte ne peut pas substituer un grief autonome à celui figurant dans le rapport notifié, même s’il procède des mêmes faits, sans priver le responsable de traitement de ses droits de la défense.
CONSEILS AUX RESPONSABLES DE TRAITEMENT
A. REPENSER FONDAMENTALEMENT L’ARCHITECTURE DU CONSENTEMENT DANS LES MODÈLES ÉCONOMIQUES DE COLLECTE À FINS DE REVENTE
L’affaire TAGADAMEDIA constitue un avertissement direct adressé à l’ensemble des acteurs dont le modèle économique repose sur la collecte de données personnelles à des fins de transmission à des partenaires tiers pour prospection commerciale. La délibération SAN-2023-025 et l’arrêt du Conseil d’État n° 492836 du 20 mai 2026 en dégagent conjointement une règle d’une clarté absolue : lorsque le responsable de traitement a lui-même déclaré fonder la transmission de données à des partenaires sur le consentement, ce consentement doit être valide au sens plein des articles 4, §11, et 6 du RGPD. Il ne saurait être suppléé par aucune autre base légale non déclarée, et il ne peut résulter d’une simple action de l’utilisateur si celle-ci est ambiguë, contrainte ou insuffisamment éclairée.
La leçon pratique est immédiate : tout responsable de traitement opérant dans l’écosystème de la prospection commerciale doit procéder, en priorité, à un audit exhaustif de ses formulaires de recueil du consentement. Cet audit ne saurait se limiter à une vérification de la présence formelle d’un bouton ou d’une case à cocher ; il doit porter sur l’architecture visuelle globale de l’interface, l’équilibre des options présentées, la lisibilité et l’intelligibilité du texte d’information, ainsi que sur la neutralité de la mise en valeur des différentes options. La formation restreinte a en effet démontré — et le Conseil d’État l’a confirmé — qu’un formulaire comportant deux boutons aux intitulés asymétriques, à des polices différentes ou dans des couleurs déséquilibrées ne permet pas un consentement univoque, quand bien même la mention des conséquences de chaque option figure dans le texte d’accompagnement.
À cet égard, la recommandation n° 2020-092 de la CNIL du 17 septembre 2020 sur les cookies, expressément citée dans la délibération comme cadre de référence applicable aux formulaires de prospection, fournit les critères pratiques à mettre en œuvre :
« Afin de ne pas induire en erreur les utilisateurs, la Commission recommande que les responsables de traitement s’assurent que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre. Il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique. »
Ces critères sont désormais directement transposables aux formulaires de collecte de prospects : même taille de bouton, même police, même couleur, même position, mêmes conséquences décrites avec la même précision et la même lisibilité. L’objectif est que l’utilisateur perçoive immédiatement l’existence d’un choix réel entre deux options équivalentes, sans que la mise en page ou la terminologie ne le conduise à percevoir l’une comme l’étape naturelle du parcours et l’autre comme une dérogation marginale.
B. TRAITER LA COHÉRENCE ENTRE LA POLITIQUE DE CONFIDENTIALITÉ DÉCLARÉE ET LA PRATIQUE EFFECTIVE COMME UN IMPÉRATIF DE CONFORMITÉ
L’un des enseignements les plus importants de la délibération tient à ce que la formation restreinte a retenu un manquement à l’article 6 du RGPD y compris au titre de la transmission de données postales et téléphoniques de prospects n’ayant pas consenti, au motif que la politique de confidentialité de la société déclarait elle-même que le fondement légal de cette transmission était le consentement. La société ne pouvait donc s’affranchir de cette exigence en invoquant après coup un intérêt légitime pour des opérations techniques et de qualification qui, en réalité, s’inscrivaient dans le cadre de contrats de commercialisation de données à des fins de prospection.
Cette problématique, confirmée par la formation restreinte aux §§ 58 à 65 de la délibération, appelle une vigilance de premier ordre dans la rédaction et la mise à jour des politiques de confidentialité. Il convient de vérifier que :
----Les bases légales déclarées correspondent exactement aux bases légales effectivement invoquées dans les contrats conclus avec les partenaires ; ----Si la politique déclare le consentement comme fondement, aucune donnée d’un prospect non-opt-in n’est transmise à un partenaire pour quelque finalité que ce soit, y compris des finalités présentées comme techniques ou de qualification ; ----Si une finalité distincte repose sur l’intérêt légitime, celle-ci doit être décrite avec précision dans la politique de confidentialité, de manière à ce que les personnes concernées puissent comprendre que certaines de leurs données peuvent être traitées à cette fin même en l’absence de consentement explicite.
La formation restreinte l’a dit sans ambiguïté : « dès lors qu’un prospect ne consent pas à la transmission de ses données aux partenaires de la société, celle-ci n’est pas autorisée à les transmettre, y compris à des fins de réalisation d’opérations techniques et de qualification » (§ 61). Cette logique de cohérence normative doit guider l’intégralité de la chaîne contractuelle avec les partenaires-annonceurs.
Sur le plan contractuel, tout accord de fourniture ou de location de données doit prévoir explicitement les conditions de sélection des prospects transmis, et notamment la mention du statut opt-in/opt-out de chaque enregistrement. Les contrats de prestations techniques dites de « qualification » ou de « normalisation » doivent être analysés à la lumière de leurs finalités réelles : dès lors que l’opération technique constitue un préalable à une opération de prospection, elle participe de cette finalité et appelle le même fondement juridique.
C. TENIR UN REGISTRE DES ACTIVITÉS DE TRAITEMENT RIGOUREUX, INDIVIDUALISÉ ET À JOUR
Le manquement à l’article 30 du RGPD retenu dans la délibération — bien que de gravité moindre — mérite une attention particulière. La formation restreinte a en effet sanctionné la société non pas pour l’absence de registre, mais pour l’absence d’individualisation dans un registre tenu en commun avec une filiale, sans mention de laquelle des deux sociétés agissait en qualité de responsable de traitement pour chaque activité listée.
Cette exigence de précision est particulièrement significative dans les groupes de sociétés, les structures avec filiales, et les organisations ayant procédé à des acquisitions. Il ne suffit pas de tenir un registre de traitement formellement conforme ; encore faut-il que ce registre permette d’identifier, pour chaque traitement, l’entité juridique exacte qui en assume la responsabilité. Le Conseil d’État n’a d’ailleurs pas remis en cause ce manquement, qui est demeuré définitif.
En pratique, tout responsable de traitement opérant au sein d’un groupe ou d’une structure multi-entités doit :
----Tenir un registre distinct pour chaque entité juridique, quand bien même des activités de traitement seraient partagées ; ----Veiller à ce que chaque ligne du registre identifie clairement l’entité responsable et, le cas échéant, l’entité sous-traitante ; ----Mettre à jour le registre à chaque modification significative des traitements ou de l’organisation (acquisition, fusion, externalisation, évolution des bases légales) ; ----Documenter les délais d’effacement et les mesures de sécurité avec un niveau de précision proportionné au volume et à la sensibilité des données traitées.
La formation restreinte a noté que « la société TAGADAMEDIA aurait dû, au regard du nombre de données traitées et de son activité, veiller au caractère exhaustif, précis et à jour de son registre des activités de traitement » (§ 71). Cette formulation constitue un standard d’exigence croissant en fonction du volume de données traitées : plus l’activité de traitement est importante, plus le niveau de précision attendu du registre est élevé.
D. ANTICIPER LE CONTRÔLE CNIL DÈS LA CONCEPTION DU MODÈLE COMMERCIAL
L’affaire TAGADAMEDIA illustre également la capacité de la CNIL à conduire des opérations de contrôle approfondies et multi-dimensionnelles : cinq opérations successives (trois contrôles en ligne et deux contrôles sur place) ont été effectuées entre mars 2022 et octobre 2023 avant même l’engagement de la procédure de sanction. Ce séquençage procédural démontre que la Commission n’hésite pas à procéder à des contrôles complémentaires au fil de l’instruction, notamment pour vérifier les formulaires présentés par le responsable de traitement en cours de procédure.
Pour les acteurs du marketing digital et de la collecte de leads, cette décision appelle une refonte structurelle de l’approche de conformité :
----Privacy by design : concevoir les formulaires de collecte dès l’origine avec les exigences du consentement valide intégrées dans les spécifications fonctionnelles et les maquettes graphiques ; ----Tests utilisateurs : réaliser des tests d’utilisabilité des formulaires permettant d’évaluer la perception réelle des options par les utilisateurs, et documenter ces tests dans le dossier de conformité ; ----Revue juridique préalable : soumettre tout nouveau formulaire à une revue juridique avant mise en production, impliquant le DPO et, si nécessaire, un conseil extérieur ; ----Traçabilité des versions : conserver l’historique de toutes les versions de formulaires avec leurs dates d’application, afin de pouvoir démontrer à toute date d’un contrôle le formulaire effectivement utilisé.
CHECKLIST PRATIQUE
La délibération SAN-2023-025 et l’arrêt CE n° 492836 définissent un référentiel pratique que tout acteur du secteur doit confronter à ses propres pratiques. Les vérifications suivantes s’imposent dans les meilleurs délais :
Audit des formulaires de consentement ----Vérifier que les boutons d’acceptation et de refus sont strictement identiques en taille, police, couleur et positionnement ; ----Vérifier que l’intitulé de chaque bouton est sans ambiguïté sur les conséquences qu’il entraîne (éviter les formules telles que « Je valide », « Je continue », « Étape suivante » qui ne renvoient pas explicitement à la notion de consentement à la prospection) ; ----Vérifier que le texte d’information accompagnant les boutons est lisible avec une police d’une taille comparable à celle des boutons ; ----Vérifier qu’aucun élément visuel (couleur dominante, position prioritaire, taille supérieure) ne met en valeur le bouton d’acceptation au détriment du bouton de refus.
Audit de la chaîne de transmission des données ----Vérifier que seules les données de prospects ayant donné un consentement valide (opt-in) sont transmises aux partenaires, quelle que soit la finalité déclarée de la transmission ; ----Vérifier la concordance entre les bases légales déclarées dans la politique de confidentialité et celles stipulées dans les contrats avec les partenaires ; ----S’assurer que les exports de données transmis aux partenaires comportent systématiquement une colonne ou un identifiant permettant de distinguer les prospects opt-in des non-opt-in, et que les contrats prévoient des obligations de non-utilisation des données non-opt-in.
Revue du registre des activités de traitement ----Vérifier que chaque traitement est attribué à une entité juridique précisément identifiée comme responsable de traitement ; ----S’assurer que les durées d’effacement et les mesures de sécurité sont renseignées de manière suffisamment précise au regard du volume de données concernées.
CONSEILS AUX PERSONNES CONCERNÉES PAR LES TRAITEMENTS
A. COMPRENDRE LE MODÈLE ÉCONOMIQUE DES JEUX-CONCOURS EN LIGNE ET SES IMPLICATIONS POUR VOS DONNÉES PERSONNELLES
L’affaire TAGADAMEDIA révèle un modèle économique dont les personnes concernées ne sont pas toujours conscientes : les sites de jeux-concours, de tests de produits et de sondages en ligne peuvent fonctionner, pour tout ou partie, comme des instruments de collecte de données personnelles à des fins de revente à des partenaires commerciaux. La participation à un jeu-concours peut ainsi avoir pour conséquence la transmission de votre nom, prénom, adresse postale, adresse électronique et numéro de téléphone à un nombre potentiellement important de partenaires annonceurs qui utiliseront ces données pour vous adresser des sollicitations commerciales.
Ce modèle n’est pas en soi illégal, dès lors qu’il est mis en œuvre dans le respect du RGPD, notamment en recueillant un consentement valide avant toute transmission. La délibération CNIL démontre cependant que certains acteurs utilisaient des interfaces délibérément ambiguës pour inciter les utilisateurs à accepter cette transmission sans en mesurer pleinement les conséquences. Il vous appartient donc de développer une vigilance accrue à l’égard de ces formulaires.
B. EXERCER VOTRE DROIT À L’INFORMATION ET À LA TRANSPARENCE
Avant de participer à tout jeu-concours ou de remplir tout formulaire en ligne vous invitant à communiquer vos données personnelles, vous avez le droit d’obtenir une information claire et complète sur l’utilisation qui sera faite de ces données. Cette information doit vous être fournie conformément aux articles 13 et 14 du RGPD, et doit notamment indiquer :
----L’identité et les coordonnées du responsable de traitement ; ----La ou les finalités du traitement et la base légale correspondante ; ----Les éventuels destinataires ou catégories de destinataires des données, et notamment l’identité des partenaires auxquels elles pourraient être transmises ; ----Les durées de conservation des données ; ----L’existence de vos droits (accès, rectification, effacement, opposition, portabilité, limitation).
Si la politique de confidentialité accessible sur le site ne contient pas ces informations de manière claire, ou si elle mentionne une liste de partenaires qui vous semble extensive ou opaque, exercez votre droit d’opposition avant de remplir le formulaire ou renoncez à la participation si les conditions vous semblent insuffisamment transparentes.
C. EXERCER VOS DROITS D’ACCÈS, DE RECTIFICATION, D’EFFACEMENT ET D’OPPOSITION
Le RGPD vous confère des droits substantiels que vous pouvez exercer à tout moment auprès de tout organisme qui détient vos données personnelles :
Le droit d’accès (article 15 RGPD) vous permet d’obtenir la confirmation que des données vous concernant sont traitées, et d’en obtenir une copie. Dans le contexte de la prospection commerciale, cela vous permettra de connaître précisément quelles données ont été collectées, à quelles fins elles sont utilisées, et à quels partenaires elles ont été transmises.
Le droit d’opposition (article 21 RGPD) vous permet de vous opposer à tout moment au traitement de vos données à des fins de prospection commerciale. La formation restreinte a rappelé dans la délibération que la société avait mis en place un « centre de désabonnement » permettant de se désinscrire de manière complète de l’ensemble des moyens de prospection. Vous pouvez utiliser ces outils, mais vous pouvez également exercer votre droit d’opposition directement par écrit auprès du responsable de traitement.
Le droit à l’effacement (article 17 RGPD) vous permet de demander la suppression de vos données lorsque, notamment, les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, ou lorsque vous avez retiré votre consentement sur lequel le traitement était fondé.
Dans le contexte spécifique de la prospection commerciale, le retrait du consentement (article 7-3 RGPD) est un droit fondamental : vous pouvez retirer votre consentement à tout moment, sans que cela n’affecte la licéité du traitement effectué avant ce retrait. Ce retrait doit être aussi simple que l’octroi du consentement : si vous avez donné votre consentement en cochant une case ou en cliquant sur un bouton, vous devez pouvoir le retirer par un mécanisme d’une simplicité comparable.
D. SIGNALER LES PRATIQUES DÉLOYALES À LA CNIL
Si vous constatez des pratiques de collecte de données personnelles qui vous semblent contraires au RGPD — formulaires de consentement ambigus, utilisation de vos données à des fins non déclarées, transmission à des partenaires non identifiés, ou refus de répondre à vos demandes d’exercice de droits — vous avez le droit de déposer une plainte auprès de la CNIL.
La plainte peut être déposée : ----En ligne, sur le site cnil.fr, via la plateforme dédiée aux plaintes ; ----Par courrier postal à : CNIL – 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07.
La CNIL ne donne pas nécessairement suite à chaque plainte individuelle par une décision de sanction, mais les plaintes constituent une source d’information précieuse qui peut déclencher des contrôles. Dans l’affaire TAGADAMEDIA, la procédure résultait d’une thématique prioritaire de contrôle définie par la CNIL sur la prospection commerciale en 2022, ce qui démontre l’importance des signalements pour orienter les priorités de l’autorité de contrôle.
LE RISQUE DE LA PROSPECTION NON DÉSIRÉE
La délibération SAN-2023-025 a mis en évidence que la base de données de TAGADAMEDIA comptait environ six millions de prospects dont les données avaient été collectées dans des conditions ne permettant pas un consentement valide. Pour les personnes figurant dans cette base et dans des bases comparables détenues par d’autres acteurs du même secteur, cela se traduit concrètement par :
----La réception de sollicitations commerciales par courrier électronique, SMS, courrier postal ou téléphone, sans avoir consenti valablement à leur envoi ; ----L’impossibilité de savoir précisément combien de partenaires détiennent vos données et les utilisent à des fins de prospection ; ----Le risque que vos données soient revendues à des chaînes de partenaires successifs, chacun invoquant le consentement initial — lui-même invalide — pour justifier ses propres opérations de prospection.
En cas de réception de sollicitations commerciales non désirées, vous disposez du droit de désinscription inscrit dans chaque message commercial (lien de désabonnement), du droit d’inscription sur la liste d’opposition au démarchage téléphonique Bloctel, et du droit de signaler les sollicitations illégales aux autorités compétentes.
Pas de contribution, soyez le premier