La nouvelle recommandation de la CNIL sur la prospection commerciale électronique
En date du 28 décembre 2018, la CNIL a mis à jour une recommandation relative aux principes applicables à la prospection commerciale électronique.
La prospection commerciale électronique est régie par la directive e-Privacy transposée en droit français à l’article L34-5 du Code des postes et des communications électroniques ainsi que par le RGPD.
En outre, la CNIL détaille deux responsabilités de traitements en matière de prospection commerciale électronique à savoir :
– la prospection commerciale au moyen d’une collecte directe ou indirecte de données personnelles
– le partage de données personnelles avec des partenaires commerciaux ou des courtiers de données
1. Le partage de données personnelles avec des partenaires commerciaux ou des courtiers de données
La CNIL énonce cinq principes applicables au partage de données avec des partenaires commerciaux ou des courtiers de données qui peuvent être regroupés autour de deux principes essentiels du RGPD : le consentement et le droit à l’information.
L’exigence du consentement des personnes concernées avant tout partage de données
Le responsable de traitement qui collecte des données personnelles doit recueillir le consentement des personnes concernées avant tout partage de ces données avec ses partenaires commerciaux ou des courtiers de données.
Aussi, le consentement recueilli par la société collectant les données pour le compte de ses partenaires n’est valable que pour ces derniers. En outre, les partenaires commerciaux ne peuvent transmettre les données personnelles qui leur ont été transmises à leurs propres partenaires puisqu’ils doivent de nouveau recueillir le consentement des personnes concernées.
L’exigence de l’information des personnes concernées de la liste des partenaires destinataires des données
Le responsable de traitement a l’obligation d’informer les personnes concernées de la liste des partenaires commerciaux ou courtiers de données qui reçoivent les données mais également des évolutions de cette liste (notamment de l’arrivée de nouveaux partenaires).
Aussi, la CNIL évoque deux modalités possibles pour fournir cette information :
– Soit la liste exhaustive régulièrement mise à jour est visible directement sur le formulaire
– Soit un lien peut renvoyer vers la liste ainsi que sur les politiques de confidentialité des partenaires
En outre, la CNIL se montre plus exigeante quant à l’identification des partenaires commerciaux ou courtiers de données dans la mesure où, si l’article 14 du RGPD exige que le responsable de traitement fournisse à minima les « catégories de destinataires » des données personnelles, la CNIL exige plus strictement la fourniture de la liste exhaustive des partenaires commerciaux ou courtiers de données. Quid du secret des affaires ?
Enfin, la CNIL précise que le droit d’opposition des personnes concernées peut s’effectuer directement auprès du nouveau partenaire ou auprès de la société à l’origine de la collecte initiale des données qui devra répercuter directement à ses partenaires cette information.
En pratique
Dans le cadre d’un groupe de sociétés, le responsable de traitement doit en interne :
– Assurer une gestion fine des données transmises aux entités du groupe ;
– Procéder à un suivi rigoureux du niveau de partage de ces données ;
– Dresser une liste exhaustive des entités du groupe recevant les informations ;
– Assurer la gestion des droits notamment redescendre les informations aux entités du groupe en cas d’exercice du droit d’opposition.
2. L’utilisation de données à des fins de prospection commerciale électronique en cas de collecte indirecte par les partenaires commerciaux
La CNIL rappelle que, conformément aux articles 14 du RGPD et 32 de la Loi Informatique et Libertés relatifs à la collecte indirecte des données personnelles, les partenaires commerciaux et courtiers de données recevant les informations doivent au plus tard dans un délai d’un mois informer la personne concernée du traitement qu’ils font de ses données.
Les partenaires commerciaux ou courtiers de données doivent respecter les informations transmises par le responsable de traitement notamment en cas d’exercice du droit d’opposition par la personne concernée.
3. En conclusion
Les responsables de traitement qui partagent des données avec leurs partenaires commerciaux ou courtiers de données dans le cadre de la prospection commerciale électronique doivent :
– Adapter leurs formulaires de collecte de données à ces nouvelles exigences ;
– Préciser leurs relations contractuelles avec leurs partenaires commerciaux (notamment en matière de responsabilité)
– Recueillir respectivement le consentement de la personne concernée ;
– Gérer les droits des personnes en cas d’exercice du droit d’opposition ;
– dresser une liste exhaustive des destinataires partenaires commerciaux.