Le Règlement général sur la protection des données n°2016/679, dit « RGPD », est entré en vigueur le 25 mai 2018 et a pour objet la mise en place d’un régime de protection renforcé des données personnelles au sein de l’Union Européenne.

Si ce règlement s’inscrit dans la continuité de la loi française dite « Informatique et Libertés » de 1978, son entrée en vigueur a provoqué une vague d’inquiétude chez la plupart des acteurs économiques.

Les principes et exigences du RGPD semblent en effet parfois rendre très difficile la détermination d’un point d’équilibre entre le respect des données personnelles et les impératifs de la vie des affaires.

La question se pose ainsi très classiquement de savoir comment poursuivre ou mettre en conformité les campagnes de démarchage commercial par email, qui sont devenues un outil aussi courant qu’indispensable à de nombreuses sociétés.

En effet, toute campagne d’«emailing » est nécessairement basée sur une collecte et un traitement préalable de nombreuses adresses email, qui sont autant de potentielles données personnelles entrant dans le champ d’application du RGPD.

Achat de fichiers de prospections, bases de données internes, clients existants ou prospects : des questions juridiques propres à la mise en conformité avec le RGPD se posent à tous les niveaux.

S’il ne faut pas succomber à l’alarmisme et considérer que le démarchage commercial est devenu impossible, il faut tout de même prendre le temps d’auditer – ou faire auditer – ses pratiques afin de mettre en place un processus de démarchage efficace et conformes aux exigences du RGPD.

 

La segmentation

Toute campagne de démarchage commercial par email est basée sur l’exploitation d’une base de données comportant les adresses emails des clients et prospects auprès desquels une société entend communiquer.

La première démarche à effectuer dans le cadre d’une mise en conformité au RGPD est de procéder à la « segmentation » de cette base de données.

A ce titre, la CNIL recommande d’effectuer un tri fondé sur la nature des adresses email composant la base de données à exploiter.

Trois types d’adresses email sont ainsi à séparer :

  • les adresses « génériques » de sociétés,
  • les adresses « professionnelles »,
  • et le reste des adresses (les adresses personnelles).

 

L’exploitation des adresses email génériques de sociétés

Les adresses email dits « génériques » sont celles qui ne permettent pas d’identifier une personne physique. Il s’agit donc des adresses composées, par exemple, de la sorte : contact@société.fr; servicecommercial@société.com, etc…

Ces adresses email ne permettent que d’identifier une société, et non une personne physique. Or les dispositions du RGPD ne s’appliquent qu’aux données personnelles, c’est-à-dire aux données qui permettent justement d’identifier une personne physique. Dès lors, les adresses email « génériques » n’entrent pas dans le champ d’application stricto sensu du RGPD.

Il est par conséquent possible de réaliser des campagnes de démarchage commercial par email par l’intermédiaire de ces adresses sans obtenir un accord exprès préalable de leurs titulaires.

Il est toutefois nécessaire de mettre en place un système dit d’«opt-out », c’est-à-dire permettant à tout moment aux destinataires des emails de se voir exclus de la liste de diffusion.

 

Les adresses professionnelles

On entend par « adresses professionnelles » les adresses du type « prenom.nom@société.fr ; nom.pro@société.com ».

Ces adresses, qui sont certes liées à une société, permettent incontestablement d’identifier la personne physique qui en est titulaire. Elles constituent donc des données personnelles et entrent pleinement dans le champ d’application du RGPD.

Il convient toutefois de noter qu’un régime spécial applicable à ces adresses existait préalablement à l’entrée en vigueur du RGPD et est issu de la directive e-Privacy (2002/58/EC) transposée en droit français à l’article L.34-5 du Code des Postes et des communications électroniques.

Ce régime continue de s’appliquer et est fondé sur les principes d’information préalable et de droit d’opposition au traitement.

 

Sur l’information préalable – Au moment de la collecte d’une adresse email d’une personne physique, il est impératif que le titulaire de l’adresse soit informé que son adresse électronique sera utilisée à des fins de prospection, et il doit être en mesure de s’opposer à cette utilisation.

L’information préalable doit être claire, compréhensible et dépourvue d’ambigüité quant à l’utilisation projetée de l’adresse email à des fins de démarchage commercial.

 

Sur le droit à l’opposition au traitement – Le titulaire de l’adresse email doit être en mesure de s’opposer et de mettre fin à tout moment, simplement, gratuitement et sans avoir à accomplir de démarches complexes, à l’utilisation de son adresse à des fins commerciales. La pratique couramment acceptée est l’inclusion d’un lien hypertexte au sein de chaque email de démarchage permettant une désinscription automatique par simple clic. Il faut au surplus rappeler que, comme pour toutes les pratiques mises en œuvre dans le cadre du RGPD, il est nécessaire de s’assurer de pouvoir démontrer effectivement les mesures que l’on met en place en cas de contrôle.

Si les pratiques antérieurement mises en place par votre société rendent impossible la preuve que l’obligation d’information préalable a été remplie, plusieurs solutions peuvent être envisagées pour « régulariser » la situation et documenter votre conformité.

L’une des solutions les plus simples à mettre en œuvre consiste à circulariser un email à l’ensemble de ses contacts professionnels comportant toutes les informations nécessaires sur l’usage de leur adresse email et rappelant la faculté de se désinscrire à tout moment pas simple clic sur le lien hypertexte afférent.

 

Les autres adresses

Toutes les adresses de particuliers (nom.prenom@gmail.com ; nom@hotmail.fr, etc…) sont considérées comme des données personnelles au regard du RGPD, puisqu’elles permettent d’identifier une personne.

La prospection commerciale n’est donc possible qu’avec l’accord préalable exprès du titulaire d’une telle adresse (principe de « l’opt-in »).

Dans ce cas, la conservation de la preuve de l’information donnée préalablement, puis du consentement recueilli, est primordiale et doit être consciencieusement documentée.

L’accord donné doit être explicite, et doit refléter le consentement libre et éclairé de la personne dont l’adresse email est collectée aux fins de traitement.

Cela signifie qu’une information complète sur la destination des données collectées, l’usage qui en sera fait, les facultés et modalités d’exercice des droits relatifs aux données personnelles, doit être donnée préalablement à tout recueil de consentement.

Toutefois, deux exceptions notables à ce principe existent et sont rappelées par la CNIL :

  • si le titulaire de l’adresse collectée est déjà client de l’entreprise effectuant la prospection, et si la prospection concerne des produits ou services analogues à ceux déjà fournis par l’entreprise ;
  • si la prospection n’est pas de nature commerciale (caritative par exemple).

Dans ces deux cas, le régime applicable est analogue à celui en vigueur pour les « adresses professionnelles ».

 

Conclusion

Il convient donc, avant toute campagne d’emailing à des fins commerciales :

  • d’identifier au sein de la base de données de prospection de quelle nature est chacune des adresses email déjà collectées ;
  • de scinder la base de donnée en fonction de la nature de ces adresses email ;
  • et d’appliquer, en fonction de ce classement, le régime approprié à chaque groupe d’adresse email.

La base de données ainsi segmentée, et le régime applicable défini et appliqué, il est possible de réaliser une campagne d’emailing conforme aux dispositions du RGPD.

 

personne dans un entrepôt de données

 

La sécurisation

Une fois la segmentation de la base de données de prospection effectuée, il convient de sécuriser celle-ci. En effet, à l’exception des adresses email de personnes morales, les adresses exploitées dans le cadre du démarchage commercial sont des données à caractère personnel. Les obligations relatives à la sécurisation des données issues du RGPD (privacy by design, responsabilité des prestataires, etc…) leur sont par conséquent applicables.

Plusieurs démarches peuvent ainsi être effectuées pour mettre en place une sécurisation de ces données.

 

Développement de bonnes pratiques internes

La sensibilisation des salariés et la mise en place d’une charte de confidentialité, ainsi que le développement de bonnes pratiques internes à l’entreprise, sont des obligations dans le cadre du RGPD (obligations qui entrent dans le concept de « privacy by design »).

Il est à noter que le simple ajout de mentions au sein des contrats de la société ou dans les conditions d’utilisation du site internet de celle-ci visant à écarter toute responsabilité en cas de perte de données ne peut évidemment pas suffire à satisfaire aux exigences du RGPD.

Une telle mise en conformité nécessite la mise en place de politiques concrètes et spécifiques à chaque traitement de données personnelles, lesquelles doivent être documentées afin de pouvoir démontrer concrètement leur application en cas de contrôle.

 

Contrôle des prestataires

Aux termes du RGPD, l’auteur d’un traitement de données personnelles est également responsable des prestataires dont il s’entoure et qui ont accès, voire qui administrent, également ces données.

Il convient donc de vérifier chez chacun des prestataires impliqués dans ce traitement de données personnelles :

  • leur politique en matière de protection des données,
  • es pratiques qu’ils ont mises en place, et surtout de leur demander des engagements écrits ainsi que des preuves de leur conformité au RGPD.

Pour ce faire, la première étape est naturellement de procéder à une revue de l’ensemble des contrats liant votre société à ses prestataires. En cas de lacune manifeste, il faudra demander aux prestataires impliqués la signature d’avenants relatifs au traitement des données personnelles et explicitant les mesures qu’ils auront mises en place dans ce cadre.

 

Audit des pratiques

Enfin, il est largement recommandé de se faire accompagner dans ces démarches, et notamment de faire procéder à un audit de ses pratiques (contractuelles, informatiques et de gestion administrative) auprès d’un ou de plusieurs professionnels qualifiés. Cet audit permettra la mise en conformité de votre société, et permettra de démontrer aux autorités compétentes en cas de contrôle qu’un effort réel de mise en conformité a été effectué.

 

Toute l’équipe du cabinet EPSILON est à votre disposition si vous avez des questions complémentaires sur ce sujet ou tout autre sujet relatif au RGPD.

Contacter Maître Grimaud Valat