La CNIL vient d'infliger une sanction administrative de 310 000 euros à un marchand de cartes de fidélité « pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées ».

Sur son site web, FORIOU se présente comme « un moyen simple d’économiser sur vos achats » via des « réductions exclusives, jusqu’à 35 % de cashback et de nombreux autres avantages » telles que des « offres exceptionnelles, des meilleures remises et de cadeaux » chez « plus de 4 000 commerçants ».

À cet effet, elle propose des « offres » allant de 9,99 €, 24,99 €, 44,99 € à 99,98 € par mois, avec « un engagement d’une durée de 6 mois qui comprend un premier mois de gratuité », et permettant d'escompter des avantages cumulés allant de 250, 600, 1 200 à 2 400 € par an.

Pour démarcher de nouveaux clients, explique la CNIL, FORIOU procède à des campagnes de démarchage par téléphone en achetant les données des prospects démarchés auprès de courtiers en données, qui alimentent eux-mêmes leurs bases de données via des formulaires de participation à des jeux-concours ou à des tests de produits en ligne sur différents sites web.

• CNIL : un bilan record pour les sanctions en 2022
• CNIL : baisse de 10 % du montant global des sanctions en 2023

Or, la formation restreinte de la CNIL, chargée de prononcer les sanctions, a considéré que « l’apparence trompeuse » des formulaires de collecte mis en œuvre par les courtiers ne permettait pas de recueillir un « consentement valide, libre et univoque » des personnes concernées.

La société FORIOU ne disposait donc d’ « aucune base légale » lui permettant d’utiliser ces données à des fins de prospection, en violation des dispositions de l’article 6 du règlement général sur la protection des données (RGPD).

La formation restreinte estime en effet que la mise en valeur des boutons entraînant la transmission de ses données à des fins de prospection commerciale (« par leur taille, leur couleur, leur intitulé et leur emplacement »), comparée aux liens hypertextes permettant de participer au jeu sans accepter cette transmission (« d’une taille nettement inférieure et se confondant avec le corps du texte »), « oriente fortement les utilisateurs à accepter ».

Des formulaires trompeurs

Dans sa délibération, la formation restreinte « considère que tels que conçus, les formulaires proposés ne permettent pas aux personnes concernées d’exprimer de manière valable un choix reflétant leurs préférences en matière de transmission de données à des fins de prospection commerciale ».

Leur intitulé évoque en effet « davantage la conclusion du parcours utilisateur plutôt qu’une transmission de données à des partenaires ». En outre, « il n’apparait pas intuitif qu’il est possible de participer sans cliquer sur l’un des boutons précités et donc sans transmettre ses données à des tiers à des fins de prospection ».

En réponse, FORIOU a produit deux autres formulaires, « présentés comme conformes ». Mais la formation restreinte a estimé que leur conception « ne permet pas davantage aux personnes concernées de manifester leur consentement par un acte positif clair et dénué d’ambigüité ».

Les formulaires mettaient ainsi particulièrement en valeur le bouton « VALIDER MES COORDONNÉES » et « CONTINUER », pour valider la participation au jeu et transmettre ses données aux partenaires. A contrario, le lien hypertexte « cliquez ici », permettant de participer au jeu sans accepter cette transmission, « est présenté dans le corps du texte, en caractères d’une taille nettement inférieure à celle du bouton et sans mise en valeur particulière ».

En outre, la possibilité de participer au tirage au sort sans recevoir d’offres promotionnelles existe en cliquant sur le lien « ici ». Mais ce dernier est inscrit dans une police plus petite et sans mise en valeur par rapport au bouton « CONTINUER », de sorte que le caractère facultatif de ce dernier « ne se déduit pas nettement du visuel global du formulaire ».

La formation restreinte relève au surplus que, « compte tenu de sa configuration », le formulaire « ne permettait matériellement pas à l’utilisateur de participer au jeu sans accepter la transmission de ses données aux partenaires de la société », et donc sans être destinataire de prospection commerciale, « contrairement à ce qui est indiqué sur le formulaire ».

Des mentions manquantes

La CNIL recense plusieurs autres pratiques trompeuses. Elle relève par exemple que, s’agissant des formulaires de participation à des jeux-concours, via lesquels l'un des brokers collecte les données qu’elle revend à la société FORIOU, « cette dernière n’est pas systématiquement mentionnée dans la liste des partenaires susceptibles de démarcher les personnes concernées, et qu’ainsi ces dernières ne peuvent légitimement s’attendre à recevoir des offres commerciales de cette société ».

De plus, certains formulaires de jeu-concours à partir desquels le prestataire (anonymisé) collecte des données de prospects qu’elle transmet à la société FORIOU « ne permettent pas aux personnes concernées de s’attendre raisonnablement à recevoir des offres de prospection commerciale de la part de cette société ».

La formation restreinte relève également que les formulaires « ne mentionnent pas la liste des partenaires ou des catégories de partenaires auxquels les données sont susceptibles d’être transmises », et qu’ils ne contiennent en outre aucun lien permettant d’accéder à une telle liste.

Une absence de contrôles

En défense, FORIOU avait rétorqué que la société devait pourtant être mentionnée parmi les destinataires des données collectées, qu'elle mettait en œuvre des contrôles réguliers relatifs à la conformité des fichiers livrés, et qu’elle ne saurait être tenue pour responsable des manquements de son prestataire.

À quoi la formation restreinte lui avait rappelé qu’en sa qualité de responsable de traitement, la société FORIOU « est tenue de vérifier elle-même que les conditions lui permettant de réaliser des opérations de prospection commerciale sont réunies ».

Or, au sujet de ces vérifications, la formation restreinte observe que la société « ne produit aucun élément permettant d’en attester ». Les engagements contractuels de ses fournisseurs ne constituant pas, par ailleurs, une mesure de contrôle en tant que telle.

Quatre fichiers non conformes sur les sept examinés

La formation restreinte note d'autre part que les autres pièces du dossier « attestent exclusivement d’exigences imposées par la société FORIOU à la société […], préalablement à la reprise de leurs relations contractuelles, sans constituer des contrôles par la société FORIOU sur les pratiques ultérieures de son prestataire ».

En outre, les obligations contractuelles pouvant être imposées aux fournisseurs « ne sauraient exonérer la société FORIOU de sa responsabilité en tant que responsable de traitement, malgré l’existence éventuelle d’une responsabilité des fournisseurs ».

La formation restreinte relève en tout état de cause que la proportion de fichiers non conformes parmi ceux examinés de manière aléatoire par la délégation, « soit quatre fichiers non conformes sur les sept examinés, démontre l’insuffisance des mesures prises par la société pour s’assurer de la validité du consentement des personnes concernées ».

Une entreprise déjà condamnée pour pratiques commerciales trompeuses

Dans sa délibération, la CNIL précise que FORIOU est une filiale de la société SFK GROUP. Or, son PDG, l'homme d'affaires Sadri Fegaier, fondateur de la galaxie Indexia (ex-Sfam), serait « cerné par la justice pour les pratiques commerciales controversées de son courtier en assurances Indexia (ex-Sfam) et de sa filiale de produits électroniques Hubside », précisaient Les Échos en novembre 2023.

Fin mai et début juin 2024, Sadri Fegaier sera en effet jugé au tribunal correctionnel de Paris pour « pratiques commerciales trompeuses », rapportait France Bleu, mais également pour « obstacle à l'exercice des fonctions de constatation des infractions au Code de la consommation », c'est-à-dire entrave à l'enquête de la répression des fraudes.

Des centaines de personnes lui reprochent, « entre autres », d’avoir été abonnées « de force » à des services d’assurances que l’entreprise a désormais l’interdiction de commercialiser, soulignait 60 millions de consommateurs.

Et ce, relève Libé, alors que la société avait déjà accepté en 2019 de payer une transaction pénale, procédure alternative aux poursuites, de 10 millions d’euros pour « pratiques commerciales trompeuses ,» suite à une enquête de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF). Un chiffre à comparer aux 740 millions d'euros de volume d'affaires que l'entreprise prévoyait de réaliser cette année-là.

Des centaines de consommateurs s'étaient en effet plaint de découvrir des prélèvements mensuels sur leur compte bancaire pour des prestations de service (assurance mobile ou multimédia) à laquelle ils n’avaient pas souscrit, « ou tout au moins pas sciemment », précisait notre confrère, sous le nom de Sfam ou Foriou (le programme de fidélité de Sfam), pour des montants variant de 9,99 € à 19,99 € par mois, et qui pouvaient même se cumuler.

SFK Group vient en outre de racheter Info-Presse.fr, une entreprise qui commercialise des abonnements à des centaines de journaux et magazines, suscitant la colère de nombre de ses clients, « abonnés selon eux à des services non consentis », comme ils s'en plaignent depuis sur Trustpilot.

Le « plus jeune milliardaire de France »

Sadri Fegaier, 44 ans, serait « le plus jeune milliardaire de France », soulignait l'an passé le magazine En Contact, qui lui a consacré de (très) nombreux articles. Autodidacte, il aurait bâti son empire « à partir d'une simple boutique de téléphonie dans une galerie commerciale de Romans-sur-Isère », jusqu'à prendre 12 % des parts de Fnac Darty (il en est depuis sorti, pour faire face à ses charges et réduire sa dette).

Son aventure avait commencé en 1999, lorsque Sadri Fegaier, alors propriétaire d’une boutique de téléphonie mobile et d’abonnements, avait eu « l’idée de proposer une assurance d’un nouveau genre dans le domaine de l’assurance mobile : une assurance tous risques ».

En 2015, le groupe passe le cap significatif du million de clients, « doublant en uniquement un an sa clientèle ». Pendant toute la durée de l’UEFA EURO 2016, SFAM sponsorise en France « Le mag de l’Euro » sur TF1 ainsi que « 100% Euro le mag » et « l’image du jour » sur M6, avant d'intensifier sa communication télévisuelle avec la diffusion d’une publicité hebdomadaire diffusée sur France 2, juste avant la météo, puis d'enchaîner les partenariats (Koh-Lanta, The Good Doctor, etc.).

L’année 2018 fut « une année exceptionnelle pour le groupe SFAM », via « une opération financière d’envergure de private equity en minoritaire la plus importante de l’histoire française ». En effet, le groupe a fait rentrer des fonds d’investissement à son capital — Ardian et FEF — « ce qui lui a permis de devenir une licorne, une jeune entreprise non cotée valorisée à plus d’un milliard d’euros » et « un des financements obligataires les plus importants de l’année » effectué auprès d’ICG de plusieurs centaines de millions d’euros. Ce dernier lui a fourni la possibilité de prendre une participation minoritaire — 11, 35 % soit 335 millions d’euros — dans une société cotée, FNAC DARTY, dont SFAM devint le deuxième actionnaire.

Entré au classement de Challenges des 500 plus grandes fortunes de France en 2018, avec une fortune estimée à 1,4 milliard d'euros, il y figurait en 2023 à la 87e position. Et ce, quand bien même des milliers de consommateurs en colère l'accusent d'escroquerie, comme le racontait début 2023 le magazine Envoyé spécial.

Des anciens téléconseillers y déploraient que, sur 100 appels, 80 % émanaient de clients mécontents ne comprenant pas pourquoi l'entreprise avait prélevé sur leurs comptes bancaires jusqu'à plus d'une dizaine de milliers d'euros.

Des vendeurs y expliquaient également qu'ils étaient invités à cibler les jeunes de 18 à 25 ans, plus naïfs et faciles à manipuler, ainsi que les étrangers, qui comprennent mal le français. Plus de 6 000 personnes se seraient ainsi plaintes auprès de l'UFC Que Choisir.

Sur Trustpilot, 98 % des avis consacrés à sa filiale Hubside sont négatifs, tout comme 97 % de ceux du programme de fidélité, et 92 % de ceux concernant FORIOU. Plus de 5 000 personnes se sont par ailleurs inscrite au groupe Facebook intitulé « Entraide des victimes de SFAM Celside Hubside Serena Foriou Infopresse ».

Autres signes que le courant ne passe pas avec ses clients : ses comptes Facebook et Twitter n'ont plus publié de mises à jour depuis, respectivement, 2016 et 2017. Et la majeure partie de celles et ceux qui les interpellent crient à l'arnaque, et demandent à être remboursés.

Jusqu'à 25 000 euros de prélèvements indus

« Face au grand déballage pénal à venir, même les derniers fidèles de l'entreprise prennent la fuite », écrivait Libé en janvier. Après BPIFrance, sortie du capital en octobre 2023, les sociétés d'investissement Ardian, Mubadala et Andera, actionnaires minoritaires du groupe Indexia, ont en effet collectivement démissionné du conseil de surveillance, le 9 janvier (« tout en restant au capital », note Libé).

« Pas moins de 535 consommateurs » ont déposé plainte contre les différentes filiales du groupe Indexia (ex-Sfam group) et de la holding SFK group, à savoir la Sfam (courtier d'assurances), Hubside, Foriou, Cyrana, Celside ou encore Serena, certaines victimes s'étant vu indûment prélever jusqu'à 25 000 euros sur leurs comptes bancaires.

Un document interne de 2018, découvert par les enquêteurs de la DGCCRF, indique que pour obtenir remboursement, les clients mécontents devaient appeler quatre fois pour que leurs demandes soient prises en compte, la société escomptant que nombre d'entre eux n'aillent pas jusque-là.

En avril 2023, la Sfam avait en outre perdu son agrément de vente d'assurances suite à une enquête de l'Autorité de contrôle prudentiel et de résolution (ACPR), « dont les conclusions la poussent à prendre une mesure d'interdiction temporaire », relève Libé.

Ce qui, pour autant, ne remet pas en question les contrats signés préalablement. Sophie, une mère de famille de 55 ans, raconte avoir découvert que son mari, ayant acheté un iPhone et une tablette à la FNAC en 2018, avait dans le même temps contracté deux assurances de 22,98 € chacune, découvrant l'été dernier des prélèvements « étranges, quatre à cinq fois par semaine ».

Après avoir imprimé tous ses relevés bancaires depuis 2018, surligné tous les prélèvements Sfam, ce qui lui prit l'après-midi, elle découvrit l'ampleur de la facture : « environ 24 000 euros au total dont 15 000 uniquement entre juin et septembre 2023… », pour une assurance prise cinq ans auparavant, et pour un téléphone que son mari ne possède plus.

En novembre 2023, rapportait Le Dauphiné Libéré, un homme de 48 ans, un bidon d’essence à la main, a menacé de s’immoler devant l’entreprise Indexia, située à Romans-sur-Isère : « Ils m’ont prélevé 8 000 euros, j’ai réussi à stopper les prélèvements en juin 2023 et à récupérer 6 000 euros. Ils me doivent encore 2 000 euros. On est le 10 du mois et je suis déjà à découvert et je ne sais pas comment nourrir ma fille de 5 ans. Et du coup, je craque. »

L'affaire ne devrait être examinée sur le fond qu'en septembre prochain.

8M de clients, 2 800 employés, un CA de 1,2 Md€, une croissance de 155 % en 5 ans

Dans sa résolution, la formation restreinte de la CNIL souligne que le manquement commis par la société FORIOU « porte sur des obligations touchant aux principes fondamentaux de la protection des données à caractère personnel ».

Elle relève aussi que, en tant que filiale de la société SFK GROUP, qui revendique 2 800 collaborateurs, un chiffre d'affaires de 1,2 Md€, une croissance de 155 % en cinq ans et 8 millions de clients en Europe, FORIOU « dispose de ressources humaines, financières et techniques suffisantes pour s’assurer du respect des règles relatives à la protection des données à caractère personnel ».

Sa « mission » : « proposer des solutions permettant de simplifier la vie connectée de nos clients ». Son ADN « repose sur 4 valeurs : le respect, la qualité, l’innovation et l’agilité », tout en « tissant des liens de confiance que l’on apporte un service de qualité ».

Après avoir rappelé que le montant de l'amende administrative pouvait s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent, « le montant le plus élevé étant retenu », la formation restreinte a estimé qu’une amende de 310 000 €, « qui représente environ 1 % du chiffre d’affaires de la société », lui apparaissait « justifié ».

Une sanction qui fait aussi penser à celle infligée à la plateforme de paiement en ligne NeoSurf, qui ferait, elle aussi, l'objet de nombreuses arnaques. La société Foriou a par ailleurs deux mois pour contester cette sanction devant le Conseil d'État.

• La plateforme Neosurf de paiement en ligne sans carte bancaire écope d’une amende de la CNIL