A l’occasion de la délibération SAN-2021-008 du 14 juin 2021 prononçant une sanction pécuniaire et une injonction de mise en conformité, la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) a délivré de nouveaux enseignements en matière de protection des données dans le cadre de la gestion commerciale de prospects.
Cette sanction a été prononcée à l’encontre d’une société éditant un site Internet dédié à des ventes privées dans le domaine du bricolage, du jardinage et de l’aménagement de la maison et dont l’activité s’exerce dans plusieurs pays européens (France, Espagne, Italie, Portugal).
La création d’un compte en ligne suffit-elle à considérer que les personnes ont le statut de client ? Est-il possible de contacter des personnes physiques pour leur demander si elles souhaitent recevoir de la prospection ? L’intérêt légitime peut-il constituer une base légale dans cette hypothèse ?
Quels sont les faits ?
La Cnil a procédé à un contrôle sur place le 13 novembre 2018 pour vérifier la conformité de traitements concernant les clients et les prospects. Les points suivants ont été analysés : durées de conservation des données, information des personnes, gestion des demandes d’exercice des droits, sécurité des données, consentement à la prospection commerciale par voie électronique.
Le 27 septembre 2019, la présidente de la Cnil a soumis aux autorités de contrôle concernées (autorités espagnole, italienne et portugaise) un projet de mise en demeure.
Deux autorités concernées ont demandé que ce projet soit transformé en projet de sanction pécuniaire eu égard au nombre de manquements constatés, au nombre de personnes physiques concernées et à la taille de la société.
Pour compléter ses investigations, la Cnil a procédé à deux contrôles en ligne sur le site Internet de la société. Elle a vérifié les modalités d’information des personnes et le dépôt de cookies. Le contrôle de janvier 2021 a eu lieu à la suite des modifications effectuées par la société quant au dépôt de cookies.
La présidente de la Cnil a ensuite désigné une rapporteure dans le cadre de l’ouverture d’une procédure de sanction.
Le rapport notifié à la société proposait à la formation restreinte de la Cnil de prononcer :
- une injonction de mise en conformité sous astreinte,
- une sanction pécuniaire,
- la publicité de la sanction pendant deux ans.
A la suite de plusieurs échanges entre la société et la rapporteure, la séance de la formation restreinte de la Cnil s’est tenue en janvier 2021. Le projet de décision a été communiqué aux autorités de contrôle concernées en mai 2021.
C’est dans ce contexte, que la délibération prononçant une sanction a été adoptée par la formation restreinte de la Cnil le 14 juin et publiée le 17 juin dernier.
Création d’un compte en ligne sans achats : prospection commerciale soumise à consentement préalable
Par principe, les opérations de prospection par voie électronique (courriels, SMS, MMS, automates d’appels) sont soumises au recueil d’un consentement préalable auprès des personnes physiques (Code des postes et des communications électroniques (CPCE), article L34-5).
Par exception, un tel consentement n’est pas requis lorsque la prospection est adressée à des personnes physiques dont les données personnelles ont été collectées à l’occasion d’une vente ou d’une prestation de services et que ladite prospection concerne des produits et services analogues émanant de la même personne morale.
En l’espèce, les contrôles menés par l’autorité de contrôle ont révélé que la société adressait des messages de prospection commerciale par voie électronique à des personnes physiques ayant créé un compte sur le site Internet, même si elles n’avaient pas effectué d’achats.
En procédant à une stricte application de l’article L.34-5 du CPCE, la formation restreinte de la Cnil rappelle que l’exception au recueil du consentement préalable définie par ce texte suppose notamment de caractériser, au préalable, la qualité de client des personnes prospectées. Autrement dit, il faut qu’une vente ou une prestation de services soit intervenue entre les personnes concernées et le responsable du traitement, à l’occasion de laquelle les données personnelles utilisées à des fins de prospection ont été recueillies. De plus, cette opération doit avoir lieu avant que le responsable du traitement procède aux actions de prospection commerciale par voie électronique.
En l’espèce, les personnes prospectées avaient créé un compte en ligne sans acheter de produits. L’exception au recueil du consentement préalable ne pouvait donc pas être retenue.
Constatant un manquement, la formation restreinte de la Cnil a, en conséquence, prononcé une injonction de mise en conformité (recueil du consentement) sous astreinte.
Sollicitation des personnes concernées pour recueillir leur consentement à la prospection : un traitement en tant que tel soumis aux exigences du RGPD
Il convient de souligner qu’au cours de la procédure, la société a fait état de mesures correctrices visant à recueillir le consentement des personnes de la manière suivante :
- insertion d’une case à cocher sur le formulaire de création du compte en ligne,
- recueil du consentement des personnes déjà titulaires d’un compte en ligne sans avoir effectué d’achats, par l’envoi de cinq courriels sur une période de 100 jours à compter de la date de dernière activité du prospect.
Ainsi, la société a proposé de poursuivre l’utilisation des données pour tenter de recueillir le consentement des prospects.
D’une part, la formation restreinte indique que solliciter des personnes physiques pour leur demander si elles souhaitent recevoir des courriels de prospection commerciale constitue un traitement de données à caractère personnel à part entière.
D’autre part, il est intéressant de relever que ce traitement peut avoir pour base légale l’intérêt légitime du responsable du traitement (Point 99 de la délibération). Cette position est pragmatique. En effet, il est difficilement envisageable que des responsables du traitement aient à recueillir le consentement des personnes concernées pour les contacter en vue de solliciter leur consentement à la prospection commerciale.
Conformément à l’article 6-1, f) du RGPD, une mise en balance des intérêts doit être effectuée par le responsable du traitement. A cet égard, la formation restreinte fournit des éléments permettant d’alimenter cette analyse. En effet, elle souligne que les personnes créant un compte en ligne sur un site Internet manifestent un intérêt pour les services proposés par la société. Il peut donc être considéré que lesdites personnes peuvent légitimement s’attendre à être contactées.
Toutefois, une attention particulière doit être portée au nombre de courriels de relance et à la période sur laquelle ils sont susceptibles d’intervenir.
En l’espèce, la formation restreinte retient que « (…) l’envoi aux prospects de cinq courriels, a fortiori au cours d’une période de 100 jours, excède le nombre de courriels auxquels pourraient raisonnablement s’attendre ces derniers. ».
La formation restreinte de la Cnil en a conclu que la société ne s’était pas intégralement mise en conformité. La sanction pécuniaire prononcée a donc intégré ce manquement.
Que faut-il retenir sur la gestion commerciale des prospects ?
La formation restreinte de la Cnil se place dans l’orthodoxie juridique en rappelant que les opérations de prospection commerciale adressées à des prospects par voie électronique supposent leur consentement préalable (article L34-5 du CPCE).
Par ailleurs, elle admet que des prospects soient sollicités, sur la base de l’intérêt légitime du responsable du traitement, en vue de leur proposer de s’inscrire à des campagnes de prospection (bons plans, newsletters, etc.).
En revanche, la mise en balance des intérêts réalisée devra notamment prendre en compte la manifestation d’intérêts des prospects vis-à-vis de ses services et/ou produits, le nombre de courriels qu’il est projeté d’adresser aux prospects et la durée de la campagne de recueil du consentement eu égard à leurs attentes raisonnables.