L’APD met un courtier en données à l’amende

---

Revente de données à des fins de marketing sans consentement valable 

Après avoir reçu des communications marketing dans sa boîte aux lettres de la part d’une entreprise dont il n’était pas client, le plaignant dans ce dossier a demandé à l’entreprise émettrice de la publicité comment celle-ci avait obtenu ses données. Les données avaient été obtenues d’une agence média, qui elle-même les avait reçues du courtier en données Infobel. Infobel s’était initialement procuré les données auprès d’un opérateur télécom. 

Interrogé dans ce dossier, le courtier en données a indiqué qu’il revend(ait) des données personnelles sur la base du consentement des personnes concernées. La Chambre Contentieuse de l’APD rappelle cependant qu’un consentement, pour être valable au sens du Règlement Général sur la protection des données (RGPD), doit satisfaire à toute une série de conditions. Celui-ci doit, entre autres, être : 

• Informé : la personne doit savoir qui traite ses données et pourquoi afin de pouvoir consentir de manière éclairée au traitement de ses données. Or le plaignant n’avait nulle part été informé que ses données seraient commercialisées par Infobel. Ce manque d’information empêchait également au plaignant de contacter la société pour faire valoir son droit à retirer son consentement, étant donné qu’il n’était pas au courant que cette entreprise détenait et traitait ses données. 
• Univoque : le consentement doit être donné de manière active, il ne peut pas être supposé par défaut en cas d’inactivité ou de case pré-cochée.  Or selon l’entreprise, le consentement du plaignant à la revente de ses données découlait de la lecture de conditions générales, et non pas d’une action positive claire de sa part. 
• Spécifique : l’entreprise qui sollicite le consentement pour diverses finalités spécifiques devrait prévoir un consentement distinct pour chaque finalité : la personne doit en effet avoir la liberté de consentir (ou non) pour chacune d’elles.  Or aucun consentement distinct n’a été demandé dans le cas d’espèce pour la revente de données à des fins de marketing direct. 

La Chambre Contentieuse a donc constaté  que les conditions pour un consentement au sens du RGPD n’étaient pas réunies, et qu’Infobel n’a pas démontré que le plaignant avait consenti (valablement) à la revente de ses données. 

Effacement des données et communication aux entreprises clientes

La Chambre Contentieuse impose donc à Infobel une amende de 40.000 euros pour la revente de données à des fins de marketing sans disposer d’un consentement valable. Dans le calcul de l’amende, la Chambre Contentieuse a pris en compte le fait que selon Infobel, la base de données en cause n’est plus utilisée depuis 2023, et que les données de cette base de données ont été supprimées. 

De surcroit, elle impose à l’entreprise de supprimer les données personnelles pour lesquelles l’entreprise ne peut pas démontrer qu’elle dispose d’une base juridique (comme par exemple un consentement valable) permettant de traiter les données. 

Enfin, la Chambre Contentieuse ordonne à Infobel de contacter les entreprises clientes qui ont reçu des données de sa part et de les informer, d’une part, de l’injonction d’effacement des données, et, d’autre part, de la non-conformité au RGPD du consentement sur lequel reposait leur traitement. 

Les parties concernées par la décision disposent d’un délai de 30 jours pour faire appel.

Hielke Hijmans, directeur de la Chambre Contentieuse : « Les activités de courtiers en données  (« data brokers ») impliquent que des données sur une personne sont obtenues de manière indirecte et transférées entre une multitude d’acteurs avec lesquels celle-ci n’est pas forcément liée, de sorte qu’elle n’est pas toujours au courant que ses données sont traitées, dans quel but, et par qui. C’est pourquoi nous avons imposé une amende dans le cas d’espèce, étant donné que la revente de données ne reposait pas sur un consentement informé valable. » 

Courtiers en données : une activité qui doit être transparente 

Les courtiers en données (ou data brokers en anglais) sont des entreprises qui collectent des données personnelles de sources variées, parfois indirectes, les traite et les revend à des tiers qui les utilisent pour différents types de finalités (ex : marketing, recherche, etc.).

Le fait que les données traitées et revendues par les courtiers en données ne sont généralement pas collectées directement auprès des personnes concernées peut poser des difficultés en termes de transparence, or la transparence est l’une des pierres angulaires du RGPD. C’est parce que les personnes sont informées que leurs données sont traitées qu’elles peuvent exercer leurs droits en matière de protection des données, comme par exemple le droit de s’opposer au traitement de ses données, ou le droit de les faire effacer.

Les courtiers en données doivent donc être particulièrement vigilants quant à l’information fournie aux personnes dont ils traitent des données. L’APD a déjà sanctionné des courtiers en données, notamment en 2021, 2024 et 2025.