La prospection commerciale est encadrée par des exigences visant à protéger les personnes démarchées. Les règles applicables varient selon les situations et sont issues en majeure partie de la directive ePrivacy du 12 juillet 2002.
Cette directive doit être abrogée et remplacée par un règlement du même nom mais son adoption, initialement prévue pour coïncider avec l’entrée en application du règlement général relatif à la protection des données (règlement 2016/679 ou RGPD) est repoussée à une date encore inconnue. Quant au RGPD, il n’aborde que marginalement la question de la prospection commerciale, et ne fait pas spécifiquement évoluer les règles la concernant. En l’état actuel des textes, l’encadrement de la prospection commerciale ne connaîtrait pas d’évolution.
Toutefois, la Commission Nationale de l’Informatique et des Libertés (la Cnil) a publié le 28 décembre 2018 une fiche portant sur la transmission de données à des partenaires commerciaux à des fins de prospection électronique. Cette fiche comprend notamment l’introduction d’une nouvelle précision potentiellement lourde de conséquences, en cas de transmission des données à des partenaires commerciaux ou à des courtiers de données (aussi appelés « data brokers »).
Prospection commerciale et transmission des données
La fiche pratique de la Cnil porte sur les cas où le responsable du traitement effectuant la prospection commerciale par voie électronique souhaite transmettre les données à caractère personnel qu’il a recueillies à des destinataires. La Cnil vise ici en particulier les « partenaires commerciaux », qui souhaitent à leur tour effectuer de la prospection commerciale, et les « courtiers de données », qui commercialisent les données.
La Cnil énonce ainsi cinq principes :
- « La personne doit donner son consentement avant toute transmission à des partenaires » ;
- « La personne doit pouvoir identifier les partenaires, destinataires des données, depuis le formulaire à partir duquel la collecte des données est réalisée » ;
- « La personne doit être informée des évolutions de la liste des partenaires et notamment de l’arrivée de nouveaux partenaires» ;
- « Le consentement recueilli par la société collectant les données pour le compte de ses partenaires n’est valable que pour ces derniers» ;
- « Les partenaires sollicitant à leur tour les personnes concernées doivent indiquer, lors de leur première communication, la manière d’exercer leurs droits, en particulier d’opposition, ainsi que la source d’où proviennent les données utilisées».
La Cnil semble désormais attendre des responsables du traitement que, dans ce type d’hypothèses, ils fournissent à la personne concernée une liste exhaustive des destinataires de leurs données.
Obligation d’information et identité des destinataires des données
Le responsable d’un traitement de données à caractère personnel doit, sauf exceptions limitativement énoncées, délivrer à la personne concernée un certain nombre d’éléments d’informations sur le traitement effectué. Au titre de cette obligation d’information qui prédate au RGPD, le responsable du traitement doit notamment indiquer à la personne concernée qui sont les « destinataires ou catégories de destinataires des données à caractère personnel ».
Cette formulation était déjà employée à l’article 32 de la loi n°78-17 dite « loi Informatique et Libertés », applicable avant le 25 mai 2018. Elle est reprise dans le RGPD, en ses articles 13 et 14, et à compter du 1er juin 2019, la loi Informatique et Libertés s’y réfère directement (article 48 nouveau).
L’emploi de la conjonction « ou » laisse entendre que le responsable du traitement dispose d’un choix lors de la délivrance de l’information. Il ne serait pas contraint de fournir à la personne concernée l’identité exacte de chacun des destinataires des données, et pourrait choisir de simplement lui indiquer les catégories de destinataires à qui les données seraient transmises.
Dans ses lignes directrices sur la transparence au sens du RGPD (WP260), le groupe de travail de l’article 29 (ou G29) précise le sens à donner à cette faculté laissée au responsable du traitement. Pour le G29, ce dernier doit fournir aux personnes concernées « les informations les plus significatives sur les destinataires », en application du principe d’équité à l’égard du traitement des données à caractère personnel. Etant précisé que ce principe d’équité n’est pas énoncé dans le RGPD mais à l’article 8 de la charte des droits fondamentaux de l’Union européenne.
En pratique, le G29 considère qu’en général, le responsable du traitement désigne nommément les destinataires « afin que les personnes concernées puissent savoir exactement qui détient leurs données à caractère personnel ». Toutefois, le G29 admet que le responsable du traitement peut choisir de ne communiquer que les catégories de destinataires. Dans cette hypothèse, le G29 estime que les informations communiquées doivent être « les plus spécifiques possibles » et comprendre « le type de destinataire (en fonction des activités qu’il mène), l’industrie, le secteur et le sous-secteur, ainsi que l’emplacement des destinataires ».
L’obligation de dresser une liste exhaustive des destinataires ?
Dans sa fiche pratique, la Cnil semble exiger du responsable du traitement qui souhaite transmettre des données à ses partenaires commerciaux et/ou à des courtiers de données qu’il fournisse à la personne concernée une liste exhaustive de ces derniers. Cette position irait au-delà des exigences de la directive e-Privacy, du RGPD et de l’interprétation faite par le G29 de l’obligation d’information. Le doute est toutefois permis quant à la portée effective à donner à cette position de la Cnil.
Tout d’abord, il convient de noter que le deuxième principe énoncé par la Cnil dans la fiche précitée est que la personne concernée doit pouvoir « identifier les partenaires, destinataires des données » auxquels seront transmis les données si la personne concernée y consent. Prise indépendamment, cette formule ne permet pas de savoir s’il s’agit d’identifier individuellement chaque destinataire des données ou s’il est possible de ne fournir à la personne concernée que les catégories de destinataires.
La Cnil propose ensuite deux modalités pour mettre en application ce principe :
- « soit la liste exhaustive régulièrement mise à jour est visible directement sur le formulaire ; »
- « soit la liste est trop longue et un lien peut renvoyer vers la liste ainsi que sur les politiques de confidentialité des partenaires ».
Ces modalités impliquent toutes deux que la personne concernée puisse accéder à l’identité de chaque destinataire. Elles semblent exclure que le responsable du traitement ne communique que les catégories de destinataires.
En l’absence de clarification, il n’est pas possible de déterminer s’il s’agit ici d’une nouvelle exigence mise à la charge des responsables du traitement, ou seulement d’une bonne pratique suggérée par la Cnil. En dernier lieu, notons toutefois que dans le projet de référentiel relatif à la gestion commerciale soumis à consultation publique, la Cnil avait intégré cette exigence. Il reste donc à voir si elle demeurera dans la version définitive du référentiel.
De nombreux points en suspens
Un tel renforcement de l’obligation d’information soulèverait de nombreuses interrogations.
Il conviendrait par exemple de déterminer si cette exigence d’information renforcée :
- ne concernerait que les cas de prospection par voie électronique,
- s’appliquerait pour n’importe quel mode de prospection, ou
- s’appliquerait à tout type de traitement.
De plus, rappelons que les notions de « partenaire commercial » et de « courtier de données » ne sont pas définies dans la réglementation applicable, et ne connaissent pas en soi de régime qui leur serait propre. Seule la notion générale de « destinataire » est définie. La liste exhaustive dressée par le responsable du traitement devrait-elle également contenir les autres destinataires des données, tel que les sous-traitants, les destinataires n’effectuant pas de prospection commerciale, les filiales ou entités du groupe auquel appartient le responsable du traitement, etc. ?
Si un régime spécifique devait être appliqué aux partenaires commerciaux et aux courtiers de données, il pourrait s’avérer nécessaire de définir ces notions, afin de lever toute ambiguïté.
Quelles conséquences pratiques ?
En pratique, fournir aux personnes concernées la liste complète des destinataires de leurs données demanderait la mise en oeuvre de moyens plus importants. Les responsables du traitement devraient s’assurer de l’exhaustivité de la liste, de son maintien à jour en continu et de son accessibilité à tout instant par les personnes concernées.
Toutefois, cette exigence permettrait de faire bénéficier les personnes concernées d’une plus grande transparence à l’égard du traitement de leurs données, en leur indiquant exactement qui traite les données les concernant. Cette information contribuerait également à assurer au responsable du traitement que la personne concernée donne son consentement à la transmission de ses données de manière éclairée.