Par Gérard Haas, Anne-Charlotte Andrieux et Magali Lorsin-Cadoret
Début 2022, la Commission nationale de l’informatique et des libertés (CNIL) révélait ses axes prioritaires de contrôle pour l’année, parmi lesquels, la prospection commerciale.
Cette annonce a été suivie de la publication au début du mois de février 2022 d’un nouveau référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales.
Faisant suite à cette publication et à plusieurs plaintes, la CNIL a diligenté des contrôles et a mis en demeure trois organismes pour avoir transmis, sans consentement préalable, et/ou sans information préalable des personnes concernées, des données à caractère personnel à des partenaires à des fins de prospection commerciale.
Démarchage : attention à l’opt-in partenaire
D’une part, un des trois organismes a transféré des données à caractère personnel à ses partenaires en vue de réaliser des actions de prospection par téléphone. Cependant, l’organisme n’a pas informé les personnes concernées avant d’opérer ce transfert alors que cette information préalable est obligatoire (art. 13 et 14 du RGPD).
D’autre part, les trois organismes ont transféré des données à caractère personnel à des partenaires afin de mener des actions de prospection par courrier électronique et par SMS. Les organismes contrôlés n’ont toutefois pas pris soin de recueillir le consentement préalable des personnes concernées. Le traitement était dès lors dépourvu de base légale
La CNIL remet l’accent sur les règles applicables en matière de prospection commerciale
La prospection commerciale par téléphone
Pour que la prospection téléphonique soit réalisée dans les règles, il faut que :
-
la personne concernée soit informée au moment de la collecte de ses données à caractère personnel que ces dernières peuvent être utilisées à des fins de prospection : en effet, en vertu de l’article 5 du RGPD, les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes ;
-
la personne concernée soit en mesure de s’opposer à cette utilisation de ses données à caractère personnel en vertu de l’article 7 du RGPD ;
-
la personne concernée soit informée de l’identité de l’organisme effectuant la prospection et soit en mesure d’opposer son refus à de nouvelles sollicitations.
Dans le cas présent, l’organisme aurait dû informer préalablement les personnes concernées du transfert à un tiers de leurs données à caractère personnel.
La prospection commerciale par courrier électronique et par SMS
Pour que la prospection par courrier électronique et par SMS soit réalisée dans les règles, il faut, en vertu de l’article 6 du RGPD, que la personne concernée ait donné son consentement préalablement au démarchage. En vertu de l’article 4 du RGPD, pour être valide le consentement doit être libre, spécifique, éclairé et univoque.
Dans le cas présent, les trois organismes auraient donc dû recueillir le consentement des personnes concernées avant toute transmission et réutilisation de leurs données à caractère personnel par des tiers.
***
La CNIL accorde un délai de trois mois aux trois organismes contrôlés pour se conformer à la réglementation relative à la prospection.
Ces organismes s’exposent toutefois à des sanctions, et notamment à une amende administrative dont le montant peut s’élever jusqu’à 4% du chiffre d’affaires annuel mondial de l’exercice précédent sur le fondement de l’article 83 du RGPD.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans leur conformité à la règlementation relative à la protection des données personnelles et aux cookies. Pour nous contacter, cliquez-ici.