RGPD, prospection commerciale, cookies, les recommandations de la CNIL
Prospection électronique où en est-on après le RGPD ?
- Brève introduction :
Vous vous en rappelez très certainement, dès le 25/05/18, date d’entrée en vigueur du RGPD, nos boites mails ont vu s’empiler des mails au contenu des plus étranges ou l’expéditeur :
Demandait la confirmation de notre consentement pour rester inscrit dans son « fichier clients »,
Et/ou
Demandait à nouveau un consentement pour continuer à pouvoir envoyer des mails,
Dans les 2 cas, s’il avait vécu encore au 25/05/18 devant cet embouteillage de sa boite mail, Shakespeare aurait pu faire dire à Macbeth : « C’est une histoire de prospection envoyée par un idiot, pleine de bruit et de fureur, et qui ne signifie rien quant à la véritable exigence du RGPD » !!
Effectivement, les règles sur la prospection commerciale ont changé, ce que la CNIL a signalé par une brève recommandation du 28 décembre 2018.
Mais cette recommandation est passée relativement inaperçue au regard du « bruit » fait autour du cookie et des traceurs, notamment les traceurs de géolocalisationimplémentés par les applications mobiles quand a commencé dès l’automne 2018 dans la chaîne « publicitaire » la redéfinition par la CNIL des règles du partage des responsabilités dans l’écosystème du cookie et autres traceurs par ses décisions :
Teemo : Décision-MED-2018-0 22 du 25/06/18,
Fidzup : Décision-MED-2018-0 23 du 25/06/18,
Singlespot : Décision-MED- 2018-0 43 du 08/10/2018,
Vectaury : Décision-MED-2018-0 42 du 30/10/2018,
Le « recadrage juridique » n’est pas terminé à ce jour puisque c’est à la mi-juillet 2019, soit dans quelques jours par rapport à la parution de cet article, que la CNIL va prendre de nouvelles recommandations pour le dépôt des cookies en abrogeant définitivement sa recommandation cookies 2013 en considération du RGPD justement qui a redéfini le périmètre du consentement.
Alors que le consentement aux cookies, était jusqu’alors considéré comme satisfaisant par la continuation par l’internaute du « scrolling dans sa visite des pages Web », pour accepter le cookie proposé, la CNIL considère que le consentement aux cookies doit devenir « univoque, explicite, et éclairé, » au sens des dispositions de l’article 7 du RGPD notamment.
Nous reviendrons très vite sur ce site sur les nouvelles adaptations qui vont s’engendrer de la nouvelle recommandation de la CNIL, ce qui va nécessiter une très large remise en question des contrats en cours notamment publicitaires car c’est toute l’ingénierie contractuelle de l’écosystème des utilisateurs cookies qui va devoir se modifier.
Mais au-delà des contrats de « prospection marketing » entre annonceurs, pour le dépôt du cookie, nous pensons notamment aux développeurs des sites Web, et des applications ; car va se poser à compter du mois de juillet 2019 la réflexion d’adapter le schéma d’écriture dans les applications et bases de données, du recueil des consentements au dépôt cookies d’abord, et à l’utilisation des informations cookies notamment par les tiers dans la chaîne de la circulation des « informations cookies ».
Donc le « cookie » ayant pris toute la place des commentaires, il n’apparaît pas inutile de s’intéresser aussi à la prospection électronique qui reste dans la démarche marketingune partie d’activité très importante pour proposer à tous les intervenants de l’écosystème de la publicité et du markéting les clefs de compréhension de ce qu’a vraiment changé l’avènement du RGPD afin de bien comprendre ou se situe et avec quels enjeux la problématique du consentement d’abord, et de déterminer quel est son domaine d’application ensuite.
- La prospection électronique : bref rappel des règles applicables
La prospection électronique s’exerce par SMS ou par courriel, et bien avant la mise en œuvre du RGPD au 25 mai 2018, s’appliquait une réglementation particulière qui n’a pas été modifiée et qui continue à s’appliquer.
Cette réglementation issue des Directives de 2002 (Vie privée et communications électroniques) et de 2009(Modification de la directive 2002/58/CE dite Vie privée et communications électroniques) a été transposée en Droit Français à l’article L 34-5 du code des postes et des communications électroniques (CPCE).
Dans la prospection commerciale par courrier électronique la ligne de partage se fait entre :
La prospection pour les particuliers (BtoC) :
Ici le principe est que l’on ne peut envoyer de messages commerciaux sans accord préalable du destinataire, et c’est donc au moment de la collecte de son adresse électroniqueque son accord doit être récoltée, et à l’ère du numérique accord signifie donc « traçabilité » et « justification » a posteriori,
Avec 2 exceptions à ce principe de l’accord préalable à la prospection si :
La personne prospectée est déjà cliente de l’entreprise, et que la prospection concerne des produits ou services analogues à ceux déjà fournis par l’entreprise, (Mais ceci suppose qu’elle à donné son accord lors du premier achat !)
La prospection n’est pas de nature commerciale « caritative par exemple »
Donc de ce point de vue le RGPD n’a rien changé, et le responsable de traitement d’origine c’est-à-dire le créateur du fichier de prospection doit continuer à tracer le consentement de la personne démarchée et de pouvoir en justifier.
Et par ailleurs la personne qui donne son consentement à la prospection devait se voir « en même temps » proposer aussi de pouvoir s’opposer à cette prospection de manière simple et gratuite.
C’est toujours vrai, mais le périmètre de ce droit est modifié dans sa mise en œuvre par le RGPD qui augmente le contexte de l’information à donner, et donc les modalités de l’exercice de cette faculté s’exercent désormais par l’intermédiaire du nouveau formalisme du RGPD comme précisé ci-après.
La prospection pour les professionnels (BtoB) :
Le « professionnel » supposé « moins influençable » qu’un consommateur et « plus responsable » pouvait être démarché commercialement non pas sur la base du consentement préalable mais sur celle de « l’information préalable », avec un droit d’opposition.
La distinction ici entre information préalable du professionnel (B to B) par rapport à l’accord préalable du consommateur (B to C) réside dans le fait qu’en B to B, le « prospect » devait être informé que son adresse électronique pourrait être utilisée à des fins de prospection avec la possibilité de s’opposer à cette utilisation de manière simple et gratuite.
Par ailleurs le pendant de la prospection électronique à priori plus facile en B to B « versus autorisation à la prospection » trouvait son pendant dans le fait que l’objet de la sollicitation devait être en rapport avec la profession de la personne démarchée.
Pour autant, un rapide examen du contenu des mails de prospection délivrés aux adresses électroniques commerciales et/ou professionnelles démontre tous les jours que le lien de rapport avec la profession de la personne démarchée s’avère particulièrement « élastique » !
Or justement le nouveau formalisme de la prospection qu’elle soit « BtoC » ou BtoB » issu du respect du RGPD tend justement à rééquilibrer tout ceci par un renforcement d’une obligation d’information que justement le RGPD à parfaitement qualifié dans son article 12 puisqu’il oblige le responsable de traitement donc celui qui traite les données identifiantes ici les adresses mails ou téléphoniques pour les SMS, pour le « traitement à finalité prospective », à une « transparence » des informations et des communications dont les professionnels de la prospection voudront bien entendre qu’il ne s’agit pas ici de « mots vide de sens » mais bien d’une qualification qui renvoie à des obligations de faire objectives et documentées par un formalisme précis.
Par ailleurs dans tous les cas, que la prospection soit BtoC ou B2B dès avant le RGPD, la nécessité d’une prospection transparente et loyale existait déjà puisque chaque message de prospection devait obligatoirement préciser :
L’identité de l’annonceur,
Et proposer un moyen simple de s’opposer à la réception de nouvelle sollicitation par le lien pour se désinscrire à la fin du message.
- La nouveauté du RGPD une nouvelle information au moment de la collecte de l’adresse cible, et un nouveau formalisme d’information pour la transmission des données personnelles aux partenaires commerciaux que l’on soit en BtoB ou en BtoC :
Point important donc le RGPD « rassemble ce qui était épars » en unifiant les formalités nouvelles d’information que la cible soit consommateur ou professionnel.
Certes pour la prospection en B to C, la règle du consentement à la prospection demeure, mais on retombe dans les nouvelles règles posées à l’automne 2018 par la CNIL pour les mises en demeure aux développeurs d’application et aux responsables de traitement commanditaires qui contenaient des systèmes de géolocalisation à des fins de ciblage publicitaire pour la validité du consentement au cookies :
Outre le consentement au dépôt du cookie,
La personne concernée doit aussi donner son consentement à la transmission des informations collectées par les cookies à des tiers.
C’est le même schéma qui s’applique désormais pour la prospection commerciale ou il faut justifier :
En BtoC : Du consentement préalable à la prospection commerciale,
En BtoB : De l’information préalable de la possibilité d’une utilisation de l’adresse mail pour de la prospection,
Mais dans les 2 cas (BtoC et BtoB) la personne concernée doit recevoir des informations transparentes, compréhensibles et aisément accessibles en termes clairs et simples sur le contexte de la collecte des informations la concernant (son adresse électronique), article 12 du RGPD,
Et
Sur le contexte de la finalité et du but poursuivi par la prospection, article 13 du RGPD pour la collecte directe.
Or attention les mentions de l’article 13(RGPD) impliquent que le responsable du traitement de prospection soit transparent donc précis sur les finalités et la base juridique de la prospection au cas particulier, et en matière de prospection on arrive vite au « profilage » traitement très protéiforme qui nécessite certaines informations particulières.
Et comme en matière de cookies désormais, si le responsable de traitement d’origine entend transmettre les informations de prospection en ce compris les données personnelles comme l’adresse électronique à des « partenaires commerciaux » ou d’autres tiers cette transmission doit respecter de la part du collecteur d’origine des informations particulières qui nécessite de fait un accord explicite et précis que la personne cible soit (BtoC) ou (BtoB) :
- La personne doit donner son consentement avant toute transmission à des partenaires,
- Et surtout ces partenaires doivent pouvoir être identifiés comme étant possiblement les destinataires des données à partir du formulaire d’origine pour la collecte des données
- La personne doit être informée des évolutions de la liste des partenaires et notamment de l’arrivée de nouveaux partenaires
Mais surtout même si la personne concernée a donné son accord pour la transmission de ses données à d’autres partenaires, l’accord (sur la transmission des données à des tiers) ne profite qu’au premier collectant.
Le tiers partenaire lui devra recueillir un nouveau consentement informé si lui aussi veut transmettre à nouveau ces informations.
Indépendamment du nouveau consentement pour la transmission des données à d’autres partenaires, pour sa propre démarche commerciale auprès de la personne, il devra lui délivrer une information spécifique répondant aux conditions de contenu et formalisme de l’article 14 du RGPD pour la collecte indirecte.
4)Conclusion :
Effectivement la mise en œuvre du RGPD a modifié l’écosystème du marketing par une redéfinition des règles de la prospection électronique qu’il importe de connaître dont on soulignera à destination des :
Responsables de traitements annonceurs,
Responsables de traitements à la recherche de fichiers clients,
Que c’est toute l’ingénierie contractuelle de la prospection commerciale qui doit être auditée et revue tant pour les nouveaux contrats que les anciens afin d’identifier et de déterminer notamment :
Qui est responsable de la garantie de la licéité de la collecte d’origine,
Qui est responsable des conditions de délivrance des informations sur les tiers partenaires et de leur mise à jour,
Qui est responsable quant à l’exercice du droit des personnes en distinguant l’opposition à la prospection, et à la transmission à des partenaires, par ailleurs l’exercice du droit des personnes doit être garanti,
Qui est responsable notamment de l’adaptation de l’écriture des pages Web pour l’adaptation des polices de politique de confidentialité en y intégrant les renseignements sur les tiers-partenaires, et des mentions des formulaires de prospection électronique.
Il est recommandé de réfléchir à une politique de mise en place d’icônes « Légal Design » la CNIL veillera au respect de l’existence à une information transparente et loyale c’est-à-dire implémentée notamment dans les pages du site de manière « claire ».
Ce problème n’est pas anodin dans le contexte où les sous-traitants intervenants, et notamment les webmasters ont souvent des contrats de maintenance de sites extrêmement aléatoires qui n’ont pas prévu l’adaptation du contrat aux besoins du responsable de traitement notamment lorsqu’il est lié à l’évolution de la réglementation ce qui peut poser des problèmes et qui doit être anticipé,
Enfin ces contrats (liés à l’exercice de la prospection) pour être conformes au RGPD doivent déterminer qui entre le responsable de traitement et/ou le sous-traitant (tiers partenaire notamment) endosse les responsabilités issues du RGPD pour la garantie des droits des personnes concernées.
Donc on le voit un simple mail de prospection commerciale d’anodin en apparence, est centralisateur d’obligations juridiques multiples qu’il importe de connaître et surtout de savoir organiser, ce qui nécessite auprès de chaque responsable de traitement concerné l’appui d’un conseil spécialisé ayant si possible les compétences d’un « délégué à la protection des données » (DPO).
Une suite sera donnée à cet article très prochainement sur les nouvelles problématiques cookies, où nous ferons un historique de la réglementation passée pour mieux comprendre les changements présents et surtout les assimiler pour vous proposer de les appliquer dans un cadre juridique le plus sécurisé possible.
Fait et rédigé à Marseille le 14/07/2019
Véronique Rondeau Abouly
Avocat – Délégué à la protection des données (DPO).
Le cabinet de Maître Rondeau Abouly à Paris et Marseille vous accompagne dans les domaines du Droit du numérique et des technologies avancées, de la Blockchain et des Cryptoactifs, incluant la démarche protection des données et de la vie privée (RGPD & ePrivacy).
Maître Rondeau Abouly met également à votre disposition un service d’horodatage de vos documents numériques sur la Blockchain.
© 2021 MAÎTRE VÉRONIQUE RONDEAU - ABOULY - Réalisation Bexter - Accueil - Plan du site - Mentions légales
