I/ Le contexte et les raisons de la sanction
Le 15 mai 2025, la CNIL (Commission nationale de l’informatique et des libertés) a sanctionné la société SOLOCAL MARKETING SERVICES en lui infligeant une amende de 900 000 euros. Cette entreprise a été punie pour avoir contacté des personnes à des fins commerciales sans leur consentement et pour avoir transmis leurs données personnelles à d’autres entreprises, sans base juridique valable.
Ce contrôle s’inscrit dans une enquête plus large lancée par la CNIL en 2022, qui visait à examiner les pratiques de prospection commerciale, notamment chez les courtiers en données (appelés data brokers en anglais). Ces acteurs récoltent des données via des sites de jeux-concours ou de tests de produits, puis les revendent à d’autres sociétés comme SOLOCAL.
SOLOCAL MARKETING SERVICES utilisait ces données pour envoyer des SMS ou des e-mails publicitaires, soit directement, soit en les transmettant à ses clients. Ces derniers menaient alors leur propre prospection par téléphone ou par courrier.
Après enquête, la CNIL a constaté plusieurs manquements graves aux règles de protection des données, notamment l’absence de consentement clair et prouvé des personnes contactées. En plus de l’amende, la CNIL a imposé à SOLOCAL d’arrêter toute campagne publicitaire électronique sans consentement valide, sous peine d’une astreinte de 10 000 euros par jour de retard après un délai de 9 mois.
Le montant élevé de la sanction s’explique par plusieurs facteurs :
• le nombre important de personnes concernées (plusieurs millions),
• la place historique de la société sur le marché,
• les avantages économiques tirés des pratiques illégales,
• mais aussi les efforts récents de l’entreprise pour améliorer sa conformité.

II/ Les manquements constatés par la CNIL
1. Absence de consentement valable (article L.34-5 du CPCE)
Pour ses campagnes de publicité, SOLOCAL achetait des données à des courtiers en données. Ces derniers les récoltaient via des formulaires sur des sites de jeux ou de tests produits.
Cependant, la CNIL a estimé que ces formulaires étaient trompeurs :
• Les boutons “acceptant” l’utilisation des données étaient très visibles (grands, colorés, bien placés),
• Tandis que les liens permettant de refuser étaient discrets, peu visibles, presque cachés dans le texte.
Autrement dit, l’utilisateur était fortement incité à accepter sans vraiment s’en rendre compte. Le consentement n’était donc ni libre, ni clair, ce qui viole les règles du RGPD.
Même si SOLOCAL affirmait avoir mis des clauses dans ses contrats avec ses fournisseurs et effectué des vérifications, cela ne suffisait pas. Elle restait responsable et aurait dû vérifier que le consentement avait bien été obtenu de manière valable.
2. Incapacité à prouver le consentement (article 7 du RGPD)
La société n’a pas pu fournir la preuve que les personnes dont elle utilisait les données avaient bien donné leur accord. L’un de ses principaux partenaires n’avait tout simplement pas conservé les formulaires de consentement, ce qui empêchait toute vérification.
Pire encore, même après avoir constaté ce problème, SOLOCAL a continué à utiliser ces données pendant 17 mois avant d’y mettre fin. Ce comportement montre un manque de réactivité et de respect des règles.

Conclusion
La CNIL rappelle ici un principe fondamental : lorsqu’une entreprise utilise des données personnelles à des fins de prospection, elle doit obtenir un vrai consentement, et surtout pouvoir en apporter la preuve. En négligeant ces obligations, SOLOCAL MARKETING SERVICES s’est exposé à de lourdes sanctions.