La nouvelle recommandation de la CNIL sur la prospection commerciale électronique

En date du 28 décembre 2018, la CNIL a mis à jour une recommandation relative aux principes applicables à la prospection commerciale électronique.

La prospection commerciale électronique est régie par la directive e-Privacy transposée en droit français à l’article L34-5 du Code des postes et des communications électroniques ainsi que par le RGPD.

En outre, la CNIL détaille deux responsabilités de traitements en matière de prospection commerciale électronique à savoir :

– la prospection commerciale au moyen d’une collecte directe ou indirecte de données personnelles

– le partage de données personnelles avec des partenaires commerciaux ou des courtiers de données

1. Le partage de données personnelles avec des partenaires commerciaux ou des courtiers de données

La CNIL énonce cinq principes applicables au partage de données avec des partenaires commerciaux ou des courtiers de données qui peuvent être regroupés autour de deux principes essentiels du RGPD : le consentement et le droit à l’information.

L’exigence du consentement des personnes concernées avant tout partage de données

Le responsable de traitement qui collecte des données personnelles doit recueillir le consentement des personnes concernées avant tout partage de ces données avec ses partenaires commerciaux ou des courtiers de données.

Aussi, le consentement recueilli par la société collectant les données pour le compte de ses partenaires n’est valable que pour ces derniers. En outre, les partenaires commerciaux ne peuvent transmettre les données personnelles qui leur ont été transmises à leurs propres partenaires puisqu’ils doivent de nouveau recueillir le consentement des personnes concernées.

L’exigence de l’information des personnes concernées de la liste des partenaires destinataires des données

Le responsable de traitement a l’obligation d’informer les personnes concernées de la liste des partenaires commerciaux ou courtiers de données qui reçoivent les données mais également des évolutions de cette liste (notamment de l’arrivée de nouveaux partenaires).

Aussi, la CNIL évoque deux modalités possibles pour fournir cette information :

– Soit la liste exhaustive régulièrement mise à jour est visible directement sur le formulaire

– Soit un lien peut renvoyer vers la liste ainsi que sur les politiques de confidentialité des partenaires

En outre, la CNIL se montre plus exigeante quant à l’identification des partenaires commerciaux ou courtiers de données dans la mesure où, si l’article 14 du RGPD exige que le responsable de traitement fournisse à minima les « catégories de destinataires » des données personnelles, la CNIL exige plus strictement la fourniture de la liste exhaustive des partenaires commerciaux ou courtiers de données. Quid du secret des affaires ?

Enfin, la CNIL précise que le droit d’opposition des personnes concernées peut s’effectuer directement auprès du nouveau partenaire ou auprès de la société à l’origine de la collecte initiale des données qui devra répercuter directement à ses partenaires cette information.

En pratique

Dans le cadre d’un groupe de sociétés, le responsable de traitement doit en interne :

– Assurer une gestion fine des données transmises aux entités du groupe ;

– Procéder à un suivi rigoureux du niveau de partage de ces données ;

– Dresser une liste exhaustive des entités du groupe recevant les informations ;

– Assurer la gestion des droits notamment redescendre les informations aux entités du groupe en cas d’exercice du droit d’opposition.

2. L’utilisation de données à des fins de prospection commerciale électronique en cas de collecte indirecte par les partenaires commerciaux

La CNIL rappelle que, conformément aux articles 14 du RGPD et 32 de la Loi Informatique et Libertés relatifs à la collecte indirecte des données personnelles, les partenaires commerciaux et courtiers de données recevant les informations doivent au plus tard dans un délai d’un mois informer la personne concernée du traitement qu’ils font de ses données.

Les partenaires commerciaux ou courtiers de données doivent respecter les informations transmises par le responsable de traitement notamment en cas d’exercice du droit d’opposition par la personne concernée.

3. En conclusion

Les responsables de traitement qui partagent des données avec leurs partenaires commerciaux ou courtiers de données dans le cadre de la prospection commerciale électronique doivent :

– Adapter leurs formulaires de collecte de données à ces nouvelles exigences ;

– Préciser leurs relations contractuelles avec leurs partenaires commerciaux (notamment en matière de responsabilité)

– Recueillir respectivement le consentement de la personne concernée ;

– Gérer les droits des personnes en cas d’exercice du droit d’opposition ;

– dresser une liste exhaustive des destinataires partenaires commerciaux.

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	1 an	Le cookie est défini par le plugin GDPR Cookie Consent pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes.

Cookie	Durée	Description
CONSENT	16 ans	Ces cookies sont définis via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes sur par exemple combien de fois la vidéo est affichée et quels paramètres sont utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte google, dans ce cas vos choix sont liés à votre compte, par exemple si vous cliquez sur « j'aime » sur une vidéo.
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke des informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant également un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.

Cookie	Durée	Description
IDE	1 an 24 jours	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.
yt-remote-device-id	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.

Cookie	Durée	Description
45342b9b1e	session	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».