L'entreprise, dont l'activité principale est de mettre en ligne des sites de jeux-concours et de tests de produits « par lesquels elle collecte des données de prospects », dixit la CNIL, cite dans sa liste de clients, pêle-mêle, SFR, Hyundai, Prisma Média, Webedia, Google ou encore l'association Action contre la faim.

Mais Tagadamedia a appuyé la création de sa base de données sur une conception de formulaires qui « ne permet pas aux utilisateurs de manifester leur consentement par un acte positif, clair et dénué d’ambigüité, et les incite fortement à accepter la transmission de leurs données aux partenaires de la société à des fins de prospection ». L'autorité lui a donc infligé une amende de 75 000 euros dans une délibération du 29 décembre dernier, publiée ce mardi 30 janvier. Elle y ajoute une astreinte de 1 000 euros par jour de retard à l'issue d'un délai d'un mois suivant la notification.

La CNIL lui reproche les dark patterns utilisés dans ses formulaires de jeux-concours. Ces derniers lui permettent de récupérer les données de personnes qui, pensant seulement jouer, se retrouvent dans une base de données de potentiels clients de ces grands comptes.

Deux formulaires sans consentement « univoque et libre de l’utilisateur »

Lors de plusieurs contrôles en ligne en 2022, la CNIL a récupéré deux exemples de formulaire de collecte de données de prospects. Mais, comme on peut le voir sur l'image ci-dessous communiquée par l'autorité, ces formulaires utilisent des dark patterns pour pousser l'utilisateur au consentement :

La CNIL considère que la conception du premier formulaire, mis en place en 2015, mais toujours utilisé en 2022 selon les constats de l'autorité, « ne permet pas aux personnes concernées d’exprimer de manière valable un choix reflétant leurs préférences en matière de transmission de données à des fins de prospection commerciale » car l'interface met « particulièrement en valeur le bouton " JE VALIDE " qui, par sa taille et sa couleur se distingue des autres informations délivrées ».

« A contrario, le lien hypertexte permettant de participer au jeu sans accepter la transmission de ses données est présenté dans le corps du texte, en caractères d’une taille nettement inférieure à celle utilisée pour les boutons et sans mise en valeur particulière, de sorte qu’il n’apparait pas intuitif qu’il est possible de participer sans cliquer sur le bouton " JE VALIDE " et donc sans transmettre ses données à des tiers à des fins de prospection. Le consentement recueilli est donc privé de son caractère univoque et libre », explique l'autorité.

Pour le deuxième, mis en place depuis 2017, la CNIL « constate que sur ce formulaire, il n’est fait aucune mention des conséquences d’un clic sur le bouton " JE REFUSE " ». C'est pourtant ce bouton qui permet de continuer à participer au jeu-concours sans recevoir les offres.

L'autorité considère ainsi que Tagadamedia ne dispose pas d'une base légale pour effectuer le traitement des données recueillies par ses formulaires et contrevient à l'article 6 du RGPD.

Un nouveau design toujours aussi problématique

Pendant l'enquête de la CNIL, Tagadamedia a proposé le nouveau formulaire ci-dessous.

Mais celui-ci ne satisfait toujours pas la CNIL. En effet, s'il met deux boutons en avant, l'autorité explique que « les termes choisis incitent fortement les utilisateurs à cliquer en tout premier lieu sur " J’ACCEPTE " placé avant le bouton " ÉTAPE SUIVANTE " ». Et effectivement, le choix ne semble plus une alternative entre le consentement à l'utilisation des données ou non à des fins de prospection commerciale, mais une succession d'étapes dans le formulaire.

Pourtant, nous avons pu constater que ce design est utilisé par Tagadamedia sur plusieurs de ses jeux-concours en ligne actuellement :

La CNIL explique avoir effectué ce contrôle dans le cadre de sa volonté de s'intéresser aux pratiques des professionnels du secteur de la prospection commerciale, « en particulier de ceux qui procèdent à la revente de données, y compris des nombreux intermédiaires de cet écosystème appelés courtiers en données ou data brokers en anglais ». L'amende de Tagadamedia pourrait donc être suivie d'autres décisions de l'autorité dans ce secteur.

Comme toujours pour ce genre de décisions, Tagadamedia peut faire un recours devant le Conseil d'État dans un délai de deux mois après notification.