Il était une fois une entreprise française qui transformait chaque numéro de téléphone en prospect et chaque e-mail en cible à « valoriser ». Solocal, le nom ne vous dit rien ? Normal. Mais vous les connaissez tous. C’est cette boîte derrière les Pages Jaunes, qui vous appelle le mardi à 11h42 pour vous vendre du référencement naturel… ou une solution magique pour apparaître premier sur Google, alors que vous êtes déjà plombier depuis 20 ans.
Le problème ? Cette stratégie agressive a outrepassé toutes les règles de la RGPD, et la CNIL, cette fois, n’a pas rigolé. Résultat : 900 000 euros d’amende et une injonction salée. Et nous, chez SecuSlice, on se régale.
🔍 Le crime : consentement ? Quel consentement ?
La CNIL reproche à Solocal Marketing Services d’avoir réalisé des campagnes massives de démarchage, sans consentement explicite ni traçable.
Comment ont-ils récupéré les données ? Facile :
- Jeux-concours avec cases pré-cochées
- Formulaires flous du style : « Recevez des offres exceptionnelles de nos partenaires » (indice : tous les êtres vivants sont leurs partenaires)
- Bases rachetées à des courtiers en données qui eux-mêmes les avaient rachetées à… bref, c’était un vrai marché aux puces numérique.
Et cette donnée, une fois aspirée, finissait dans des outils CRM mal verrouillés, parfois croisés avec d’autres sources, pour créer des profils très détaillés. Du ciblage comportemental à l’insu du plein gré.
On vous parlait déjà de cette logique perverse dans notre article sur le Shadow IT : plus une entreprise déploie de canaux de données hors contrôle, plus elle devient toxique pour elle-même (et pour ses victimes).
🧯 La sanction : 900 000 euros, et une claque réglementaire
La CNIL ne s’est pas contentée de taper du poing sur la table. Elle a :
- prononcé une amende record pour ce type d’infraction purement commerciale,
- ordonné l’arrêt immédiat de ces pratiques,
- assorti cela d’une astreinte de 10 000 €/jour en cas de retard.
Et surtout, elle a nommément dénoncé les techniques employées : données non nettoyées, consentements flous, absence de preuve du « oui » des personnes contactées.
C’est un précédent important : cela montre que même une entreprise bien installée, avec une grosse force commerciale, ne peut plus faire n’importe quoi avec nos données. Une jurisprudence que beaucoup d’acteurs « old school » vont devoir intégrer.
🧠 Pourquoi c’est grave (et techniquement instructif)
Derrière le côté un peu rigolo de cette sanction, se cache un problème fondamental :
- les données personnelles sont utilisées comme du carburant à KPI, sans supervision réelle,
- les systèmes de collecte (landing pages, concours, app mobile…) sont souvent mal sécurisés,
- l’identification des consentements est un mythe dès lors que les sources se mélangent sans logique de traçabilité.
C’est là qu’on rejoint ce qu’on développe dans nos articles sur les fuites de données : une donnée mal gérée n’est pas seulement un outil marketing douteux, c’est une brèche ouverte dans votre architecture.
🔚 Conclusion : Quand le harcèlement téléphonique devient un risque cyber
Solocal n’a pas été piraté. Il s’est piraté lui-même, en transformant la donnée client en arme contre les citoyens. Et ce, sous couvert de performance marketing.
Ce n’est pas seulement une affaire de RGPD. C’est un cas d’école de cybersécurité sociale : quand l’exploitation des données devient abusive, le risque devient global. Rejet de la marque, plaintes, enquête, perte de confiance, et au final, sanctions.
Moralité : à trop vouloir vendre, on finit par payer.
