Guide pratique de la Cnil
La monétisation des données à l’épreuve du RGPD
La Cnil a publié, le 27 janvier, un guide pratique sur les règles à respecter lorsqu’une entreprise souhaite transmettre des données personnelles de clients ou prospects à des partenaires, pour une réutilisation à des fins de prospection commerciale. A ce titre, elle fait une distinction selon le canal de prospection envisagé par le partenaire, le caractère onéreux ou gratuit du partenariat étant quant à lui indifférent. L’intérêt des partenaires consistant à proposer de la publicité ciblée, l’entreprise collectrice doit également être attentive à se conformer aux règles spécifiques au profilage.
La prospection commerciale par courrier postal ou appel téléphonique
La transmission de données personnelles d’un client ou d’un prospect à un partenaire, pour qu’il réalise de la prospection commerciale par courrier postal ou appel téléphonique (hors automate d’appel), est autorisée et peut être fondée sur l’intérêt légitime de l’entreprise à l’origine de la collecte.
Dans ce cas, les obligations de l’entreprise sont doubles :
- informer les personnes concernées de ce traitement de données. Cette information doit être faite de préférence au moment de la collecte et préciser, notamment, la finalité du transfert, les catégories de destinataires (exemple : secteurs concernés, nombre approximatif de partenaires, type de sollicitation). La Cnil recommande de mettre à disposition des personnes concernées la liste actualisée des partenaires, accompagnée de liens hypertextes renvoyant à leur propre politique de confidentialité ;
- permettre aux personnes de s’opposer à ce traitement.Les clients et prospects doivent pouvoir s’opposer à ce traitement de données de façon simple et gratuite et à tout moment. Ce droit d’opposition pourra, par exemple, se matérialiser par une case à cocher ou une adresse mail recueillant les demandes d’opposition, accessible en un clic.
La prospection commerciale par courriel ou sms
Le Code des postes et des communications électroniques interdit la prospection directe au moyens de courriers électroniques ou de sms auprès d’une personne n’ayant pas exprimé préalablement son consentement, lequel s’entend d’une manifestation de volonté libre, spécifique et informée.
En pratique, la Cnil propose de recueillir le consentement de la personne au moyen d’une case à cocher, strictement dédiée à cette finalité, accompagnée de la mention suivante : «j’accepte que mon adresse mail/mon numéro de téléphone soit transmis(e) aux partenaires de la société X, aux fins de prospection commerciale, par courrier électronique/sms».
Les personnes doivent également être clairement informées des finalités du traitement et de la possibilité de s’y opposer à tout moment. Une liste exhaustive et mise à jour des partenaires doit être mise à la disposition des clients et prospects au moment du recueil du consentement.
Le profilage lié à la prospection commerciale
Le profilage consiste, notamment, en l’utilisation de données personnelles de clients pour analyser et prédire leur comportement (leurs préférences, habitudes de vie,…). Tel est le cas lorsqu’une entreprise transmet des données personnelles de ses clients à un partenaire pour qu’il propose une publicité ciblée par rapport à leur tranche d’âge ou à leurs centres d’intérêt.
Le groupe de travail européen «article 29» sur la protection des données s’est montré peu favorable à fonder ce traitement de données sur le seul intérêt légitime de l’entreprise, privilégiant le consentement préalable de la personne concernée.
Toutefois, le profilage peut être autorisé s’il est compatible avec les finalités initiales pour lesquelles les données ont été collectées. A ce titre, doivent être pris en compte : les informations transmises par l’entreprise, le lien avec les finalités initiales, le contexte et attentes raisonnables des clients quant à l’utilisation ultérieure des données, la nature des données, l’impact du traitement ultérieur, les garanties apportées par l’entreprise pour assurer un traitement loyal et éviter tout impact excessif pour les personnes.
Conformément au RGPD, l’entreprise qui pratique du profilage doit informer ses clients de :
l’existence d’un profilage et ses conséquences ; si la personne est obligée de donner ces données et les conséquences si elle ne les fournit pas ; la logique sous-jacente à ce traitement automatisé et la possibilité de s’opposer à tout moment et sans frais à ce traitement de ses données.
Le respect de l’ensemble de ces obligations s’avère essentiel pour garantir la faisabilité du transfert de données vers un partenaire extérieur souhaitant réaliser de la prospection commerciale.
Virginie PERDRIEUX, avocate