France: Quelles regles applicables a la transmission de donnees clients/prospects a des partenaires commerciaux ?

La CNIL a publié sur son site internet le 28 décembre 2018 une fiche intitulée « Transmission des données à des partenaires à des fins de prospection électronique : quels sont les principes à respecter ? ».

Avant d'analyser cette nouvelle fiche, rappelons tout d'abord les règles applicables en matière de prospection directe.

QU'EST-CE QUE LA PROSPECTION DIRECTE ?

La définition est donnée par l'article L.34-5 du Code des postes et communications électronique : « Constitue une prospection directe l'envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services. Pour l'application du présent article, les appels et messages ayant pour objet d'inciter l'utilisateur ou l'abonné à appeler un numéro surtaxé ou à envoyer un message textuel surtaxé relèvent également de la prospection directe. »

QUE DIT LA LOI SUR LES ENVOIS DE PROSPECTION DIRECTE ?

Comme la CNIL l'indique sur son site, le RGPD n'a pas modifié les règles applicables en l'espèce. En effet, les règles en matière de prospection commerciale figurent dans le code des postes et des communications électroniques, et non dans la loi informatique et libertés.

L'article L.34-5 du CPCE prévoit que : « est interdite la prospection directe au moyen de système automatisé de communications électroniques au sens du 6° de l'article L. 32¹, d'un télécopieur ou de courriers électroniques utilisant les coordonnées d'une personne physique, abonné ou utilisateur, qui n'a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen. »

Cet article comporte une exception à ce principe d'interdiction permettant aux organismes d'adresser des messages électroniques de prospection commerciale lorsque toutes les conditions suivantes sont réunies :

• les coordonnées du destinataire ont été recueillies auprès de lui,
• dans le respect des dispositions de la loi informatique et libertés (ceci signifie notamment que la collecte des données n'a pas dû être effectuée de façon déloyale, et que la personne a été informée dans le respect de la loi),
• à l'occasion d'une vente ou d'une prestation de services,
• si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale,
• et si le destinataire se voit offrir, de manière expresse et dénuée d'ambiguïté, la possibilité de s'opposer, sans frais, et de manière simple, à l'utilisation de ses coordonnées au moment où elles sont recueillies et chaque fois qu'un courrier électronique de prospection lui est adressé.

La loi oblige également les organismes qui adressent de la prospection commerciale à s'identifier clairement et à identifier les messages comme étant de la prospection commerciale.

LA POSITION DE LA CNIL SUR LA COMMUNICATION DES COORDONNEES A DES PARTENAIRES COMMERCIAUX

La CNIL communique, dans sa fiche intitulée « La publicité par voie électronique ? » les exemples de mentions suivantes :

• Si vous voulez recevoir nos offres commerciales, merci de cocher cette case
• Si vous voulez recevoir des offres de nos partenaires, merci de cocher cette case

Dans sa fiche mise à jour le 28 décembre 2018, la CNIL reprend les étapes permettant aux organismes d'être conformes à la loi :

• Tout d'abord : la société qui collecte les données de la personne concernée doit lui demander son consentement avant toute transmission de ses données à des partenaires commerciaux.
• A cette occasion, la société qui collecte les données doit avoir identifié les partenaires commerciaux auxquels les informations seront communiquées. La CNIL indique qu'il existe 2 possibilités pour identifier les partenaires :
• • Soit la liste est courte : dans ce cas cette liste exhaustive et à jour doit figurer dans le formulaire de collecte de données,
  • Soit la liste est longue : dans ce cas le formulaire de collecte doit comporter un lien vers :
  • • La liste exhaustive des partenaires,
    • Les politiques de confidentialité des données de ces partenaires.

• Par la suite, la CNIL considère que les personnes dont les données ont été collectées doivent également être informées de l'évolution de la liste des partenaires. Cette information sur ces évolutions peut s'effectuer par la société qui a collecté les données à l'occasion de l'envoi d'un message de prospection commerciale pour indiquer que la liste des partenaires a été mise à jour.

Mais la CNIL considère également que le nouveau partenaire qui reçoit les données doit prévenir la personne concernée un mois au plus tard après avoir reçu ses coordonnées. Cette information doit comporter la possibilité pour la personne concernée de s'opposer à l'envoi de prospection commerciale.

Enfin, la CNIL rappelle également que ce partenaire commercial ne peut pas, à son tour, transmettre les données à un autre partenaire commercial, sans le consentement de la personne concernée.Pour exercer son droit d'opposition, la CNIL indique que la personne concernée peut s'adresser :

• aux partenaires commerciaux qui ont reçu les données, ou à ...
• la société à l'origine de la collecte, qui devra alors informer tous les partenaires commerciaux de l'exercice du droit d'opposition.

Bien entendu, conformément au principe d'accountability prévu par le RGPD, les sociétés concernées doivent mettre en oeuvre les mesures techniques et organisationnelles permettant de démontrer que chaque personne concernée a bien donné son consentement. Ce qui signifie qu'en cas de contrôle de la CNIL, par exemple, les sociétés doivent conserver la preuve du consentement recueillis et de la mention d'information et de recueil de consentement associée.

Dans sa décision récente à l'encontre de Google LLC, la CNIL a eu l'occasion de rappeler notamment que les mentions d'information des personnes doivent être facilement accessibles et rédigées de façon à être aisément compréhensibles par les personnes concernées.

La CNIL n'est pas la seule autorité de protection à communiquer sur cette question. Ainsi à titre d'exemple le Commissaire Britannique à la protection des données (ICO) vient également de diffuser une check-list très intéressante sur les actions à mettre en oeuvre pour mener des campagnes marketing dans le respect de la loi anglaise. Ce document démontre qu'à certains égards que la position de l'autorité britannique est plus stricte que celle de la CNIL https://ico.org.uk/media/for-organisations/documents/2259802/direct-marketing-checklist.pdf.

Click image to view full size

Footnote

1. L'article L 32 6° du Code des postes et communications électroniques prévoit que : « On entend par services de communications électroniques les prestations consistant entièrement ou principalement en la fourniture de communications électroniques. Ne sont pas visés les services consistant à éditer ou à distribuer des services de communication au public par voie électronique. »

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.