1) Lorsque les données des prospects n'ont pas été collectées directement auprès d'eux par l'organisme qui prospecte, le consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte de l'organisation qui réalisera les opérations de prospection ultérieures ou par l'organisme qui prospecte avant de procéder à des actes de prospection. Le prospecteur doit alors être en mesure de prouver qu'il dispose de ce consentement au sens de l'article 7, paragraphe 1 du RGPD.

2) Lorsque le consentement est recueilli par le primo-collectant pour le compte de prospecteurs, celui‑là doit clairement informer les personnes de l'identité du ou des prospecteurs pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées. À défaut, il revient à l'organisme qui prospecte de recueillir un tel consentement avant de procéder à des actes de prospection afin que le consentement soit éclairé. Pour ce faire, une liste exhaustive et mise à jour doit être tenue à la disposition des personnes au moment du recueil de leur consentement, par exemple directement sur le support de collecte ou, si celle‑ci est trop longue, via un lien hypertexte renvoyant vers ladite liste et les politiques de confidentialité des prestataires et fournisseurs.

La possibilité offerte aux utilisateurs d'un réseau social de paramétrer la confidentialité de leurs comptes ne confère pas un caractère public à leurs données dès lors que celles-ci sont traitées dans le cadre d'une communauté d'intérêts fermée et accessible à ses seuls membres.

L’information fournie au moyen d’une politique de confidentialité disponible uniquement en anglais, relative à des traitements de données ciblant majoritairement un public francophone, ne permet pas aux personnes concernées d’apprécier à l’avance la portée et les conséquences des traitements et n’est par conséquent pas conforme aux exigences de transparence de l’information posées par l’article 12 du RGPD. Il en va de même du renvoi opéré vers une politique de confidentialité uniquement en anglais depuis un formulaire de création de compte.

Cas d’un annuaire ayant enrichi ses données en collectant les données publiquement accessibles sur des réseaux sociaux. La circonstance que, dans le cadre de leur politique de confidentialité, certains réseaux sociaux auraient averti leurs membres de la possible indexation de données à caractère personnel par des moteurs de recherche ne saurait les faire considérer comme déjà informés, au sens de la loi du 6 janvier 1978, de la possible agrégation de leurs données à caractère personnel à un service d’annuaire. Eu égard à l’intérêt qui s’attache au respect des libertés et droits fondamentaux des vingt‑cinq millions de personnes touchées par le traitement litigieux, et notamment au respect de leur vie privée, la société responsable du traitement n’est pas fondée à soutenir que l’information de ces personnes, dont elle avait les coordonnées dans son annuaire, exigeait des efforts disproportionnés par rapport à l’intérêt de la démarche au sens des dispositions du III de l’article 32 de la loi du 6 janvier 1978.