La CNIL a annoncé ses axes prioritaires pour 2022. En plus des thématiques portant sur les outils de surveillance et le Cloud, la prospection commerciale a été définie par la CNIL comme l’une des priorités de 2022 et son plan de contrôle visera les pratiques des acteurs commerciaux.
La prospection commerciale a pour objectif principal de rechercher de nouveaux clients et ceci nécessite non seulement la mise en place d’une stratégie de prospection mais également la collecte de données appartenant à des individus. La prospection peut dès lors être à l’origine de désagréments majeurs pour les utilisateurs. Les personnes concernées peuvent en effet subir un harcèlement, surtout dans le cas de la prospection électronique. D’autres risques existent lorsque les données sont transférées ou encore vendues par des courtiers de données.
La priorisation de ce sujet s’inscrit dans la lignée de l’adoption du dernier référentiel CNIL[1], qui a remplacé la norme simplifiée NS-048 concernant les traitements ayant pour objet la gestion des fichiers clients et prospects. Celui-ci entend guider les entreprises dans le cadre de la conformité de leurs traitements de données personnelles mis en œuvre aux fins de gestion des activités commerciales. Bien que non obligatoire, ce guide présente des recommandations qui permettent d’orienter les organismes et servira certes de base à la CNIL lors de la mise en œuvre de sa stratégie de contrôle.
Qu’en est-il du cadre juridique applicable en matière de prospection commerciale ? Le consentement de la personne concernée doit-il systématiquement être collecté ?
[1] Référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales
Un cadre juridique épars
Les principes à respecter par les acteurs commerciaux effectuant de la prospection commerciale se retrouvent non seulement dans le Règlement européen sur la protection des données mais ont également été introduites par la Directive vie privée et communications électroniques dont ses dispositions ont été transposées à l’article L.34-5 du Code des postes et des communications électroniques. En plus des principes généraux relatifs à la protection des données des personnes, des règles spécifiques doivent dès lors être respectées, le but étant de protéger les utilisateurs contre toute gêne ou encore contre toute violation de leur vie privée par des communications commerciales non sollicitées[1]. Ces règles spécifiques ne sont toutefois pas nouvelles et le RGPD n’introduit pas de réelles nouveautés au cadre juridique applicable en la matière.
Les règles applicables en matière de prospection commerciale varient selon deux paramètres principaux : le type de prospection et le canal utilisé. Ainsi, ces règles ne sont pas les mêmes pour une relation entre professionnels (B2B) ou une relation entre professionnels et consommateurs (B2C). Aussi, la prospection effectuée par téléphone ou par voie postale n’est pas soumise aux mêmes règles que celles applicables en matière de prospection électronique.
[1] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, considérant 37.
Un consentement informé
Les données personnelles appartenant à des prospects non professionnels ne peuvent en principe être utilisées à des fins de prospection que si le consentement a bien été collecté préalablement. Ceux-ci doivent en effet être conscients que leurs données seront utilisées à des fins de prospection commerciale. La société Brico Privé[1] a ainsi été sanctionnée à hauteur de 500 000 euros pour avoir, entre autres, manqué aux dispositions de l’article L. 34-5 du CPCE imposant la collecte du consentement préalable pour toute prospection électronique. Plus précisément, la société avait envoyé des messages de prospection à des personnes sans avoir recueilli leur consentement au préalable. La CNIL précise que ce consentement est exigé car ces personnes ont bien créé un compte sur le site mais n’ont pas effectué un achat.
Ce principe de consentement n’est toutefois pas absolu et cette obligation varie selon le destinataire et selon l’objet de la prospection. Ainsi, dans la sanction précitée, la société Brico Privé aurait pu être exonérée de cette exigence de recueil du consentement si les personnes prospectées avaient bien effectué un achat. Le consentement ne doit en effet être collecté si deux conditions sont réunies : la personne concernée est déjà cliente et la prospection commerciale porte sur des produits et services analogues à ceux qui lui sont déjà fournis. Cette exemption semble justifiée dans la mesure où un client peut s’attendre à recevoir ce type de message. L’attente des personnes constitue dès lors un élément qui détermine en quelque sorte la règle applicable.
Pour garantir la validité du consentement, les principes du RGPD sur le consentement doivent être respectés. Le consentement doit être collecté de manière « libre, spécifique, éclairé et univoque »[2]. Ceci peut être formalisé à l’aide d’une case que la personne peut cocher si elle souhaite être démarchée. Par ailleurs, un consentement donné pour plusieurs finalités ne peut être considéré comme étant spécifique. Ainsi, dans sa mise en demeure contre un groupe de presse, la CNIL considère que le fait de cocher une case avec la mention « Oui, je souhaite recevoir les newsletters du groupe X », pour la réception de la lettre d’information du titre du site et celles destinées à promouvoir d’autres titres de la société ainsi que des biens ou services proposés par des tiers ne saurait suffire. Dans ce cas, la personne ne peut être considérée comme ayant été bien informée et que les principes du consentement ont bien été respectés[3].
[1] Délibération SAN-2021-008 du 14 juin 2021 : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000043668709
[2] Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, art. 4.
[3] Délibération 2015-155 du 1 juin 2015 : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000030746041/
Une opposition possible
Si le principe dans les relations B2C est la collecte du consentement, il n’en est pas de même pour les relations B2B. L’exemption du consentement ne s’applique toutefois que dans les cas où le message de prospection est en rapport avec l’activité du professionnel. Cette condition peut être considérée comme étant remplie concernant un courriel adressé à un DPO visant à promouvoir un logiciel de mise en conformité au RGPD. Une sanction de 20 000 euros a ainsi été prononcée à l’encontre de la société Nestor[1], pour avoir envoyé des messages de communication à des professionnels sans avoir collecté leur consentement au préalable. La CNIL a considéré que ces messages n’ont que peu de lien avec l’activité professionnelle des prospects, ayant pour objet la vente de repas sur le lieu de travail.
L’obligation de collecte du consentement varie également selon le canal de prospection utilisé. La prospection par téléphone ou par voie postale n’est pas soumise à l’obligation du recueil du consentement. Pour ces canaux de prospection, les mêmes règles s’appliquent dans le cas d’une relation B2C ou B2B.
Dans tous les cas, les personnes concernées doivent être informées de l’utilisation de leurs données à des fins de prospection et doivent pouvoir s’y opposer à tout moment. La CNIL recommande que l’opposition de la personne soit formalisée par le biais d’une case à cocher. Il ne doit dès lors y avoir aucun doute quant à la volonté de la personne de recevoir des messages de prospection.
[1] Délibération SAN-2020-018 du 8 décembre 2020 – https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042848036
Le cas spécifique des courtiers de données (Data Brocker)
La collecte des données ne se fait pas toujours auprès de la personne concernée. Il est en effet possible de recourir à des tiers, voire à des courtiers de données. Dans ce cas, il est exigé selon l’article 14 du RGPD d’informer la personne concernée sur notamment la source d’où proviennent les données et le cas échéant sur le fait qu’elles sont issues ou non de sources accessibles au public. Il faudrait également s’assurer de la bonne conformité de ces Data Brockers au RGPD. Cela passe par un engagement clair de la part du Data Brocker sur le fait que les données ont été collectées de manière loyale ou encore par une garantie quant à la qualité des bases de données utilisées.
Les pratiques de transmission des données personnelles à des organismes tiers qui souhaitent les réutiliser à des fins de prospection commerciale sont en effet fréquentes. La question a été traitée de manière explicite dans le référentiel adopté par la CNIL sur la « gestion commerciale ». Que cette transmission se fasse à titre gratuit ou à titre onéreux, les principes généraux sur la protection des données doivent être respectées ainsi que les obligations qui en découlent. A titre d’exemple, afin de respecter le principe de minimisation des données, seules les données nécessaires pour réaliser l’activité de prospection doivent être conservées par le partenaire commercial. Ainsi, la CNIL attire l’attention sur le fait que dans le cas d’une base de données d’un tiers, les données qui ne seront pas utilisées ne doivent être collectées ou doivent être supprimées au moment de la réception de la base de données.
D’autres règles plus spécifiques s’appliquent qui dépendent notamment du canal de prospection utilisé par les destinataires des données. Dans le cas où un organisme transmet des données personnelles à des partenaires pour effectuer de la prospection commerciale par voie postale ou par téléphone, la collecte du consentement n’est pas exigée et la prospection peut se faire sur la base de l’intérêt légitime de l’organisme qui transmet les données.
La CNIL a ainsi mis en demeure le 7 avril 2022 trois sociétés de se mettre en conformité aux règles sur la prospection commerciale[1]. Deux de ces sociétés transmettaient des données personnelles à des partenaires souhaitant réaliser de la prospection commerciale par voie électronique, sans recueillir au préalable le consentement des personnes concernées. La troisième société transmettait des données personnelles à des fins de prospection par téléphone, sans toutefois informer les personnes concernées. Le consentement ne doit ainsi pas être collecté dans tous les cas. Il faudrait toutefois s’assurer que la prospection commerciale effectuée par le destinataire ne soit pas dépourvue de base légale.
En effet, en B2B, le consentement n’est pas toujours nécessaire. L’entreprise collectrice et les partenaires commerciaux peuvent fonder la prospection commerciale sur l’intérêt légitime. Il faudrait néanmoins informer le prospect en lui donnant la possibilité de s’y opposer. Cette information doit être transmise par le Data Brocker au moment de la collecte des données et par le partenaire, lors de la première communication. En B2C, deux situations doivent être distinguées. La première concerne le cas où il a été convenu avec le courtier de données qu’il recueille le consentement pour les partenaires. Celui-ci doit alors publier la liste des partenaires et le destinataire cité dans cette liste n’a pas à recueillir à nouveau le consentement de la personne avant de la prospecter. En revanche, dans le cas où le destinataire concerné ne figure pas dans la liste des partenaires, celui-ci est tenu de collecter le consentement, en envoyant par exemple un mail spécifique ayant comme objet la demande du consentement.
Ce consentement n’est valable que pour les partenaires qui apparaissent dans la liste communiquée par le Data Brocker au moment du recueil du consentement et il ne peut être transmis de partenaire en partenaire. Toute transmission de données à d’autres partenaires doit faire l’objet d’un consentement spécifique.
Aussi, le destinataire des données doit être en mesure de démontrer que le consentement a bien été collecté par le Data Brocker. Ainsi, la société Performeclic a été sanctionnée d’une amende de 7300 euros[2], n’ayant pas d’éléments matérialisant le recueil effectif du consentement des prospects. En l’espèce, il s’agissait d’une base de données acquise auprès d’un tiers et il semblerait que le Data Brocker avait confirmé que le consentement a bien été collecté sans toutefois transmettre des éléments permettant de prouver cette collecte.
Les règles applicables en matière de prospection commerciale n’étant pas identiques pour tout type de prospection, une attention particulière doit porter sur les principes à respecter à chaque fois que de nouvelles données seront réutilisées à des fins de prospection. Toute nouvelle prospection doit également faire l’objet d’une analyse préalable afin d’éviter un non-respect des règles.
[2] Sanction à l’encontre de la société Performeclic – Délibération SAN-2020-016 du 7 décembre 2020 : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042774286?isSuggest=true
