La confusion entre données confidentielles et données personnelles reste encore forte lorsqu’il s’agit de constituer des fichiers de personnes à démarcher.
Il est encore fréquent que des campagnes de démarchage soient justifiées par le fait que les données personnelles utilisées sont issues de bases de données publiques et librement accessibles.
Or, le fait qu’une donnée personnelle soit publique et accessible par tous ne constitue pas une base légale à sa collecte et à son traitement.
Les entreprises qui souhaitent utiliser des données librement accessibles en ligne doivent au contraire s’assurer qu’elles disposent d’une base légale appropriée afin de collecter ces données.
La Cnil rappelle ainsi dans une publication du 30 avril 2020 que les données personnelles publiquement accessibles : « ne sont pas librement réutilisables par tout responsable de traitement et ne peuvent être réexploitées à l’insu de la personne concernée».
Cette publication s’adresse notamment aux sociétés qui utilisent des logiciels spécifiques, y compris des logiciels d’extraction, afin de constituer automatiquement des bases de données à partir d’annonces ou d’annuaires en ligne.
La Cnil a en effet conduit plusieurs contrôles en 2019 qui l’ont amenée à constater trois manquements fréquents au RGPD dans le cadre du démarchage : les personnes démarchées n’étaient pas informées de l’origine de leurs données, leur consentement préalable au démarchage n’avait pas été recueilli et leur droit d’opposition n’était pas respecté.
La Cnil mentionne tout d’abord le cas de la mise en œuvre par un second responsable de traitement d’un traitement de données dont les personnes concernées ne pouvaient pas s’attendre raisonnablement à faire l’objet lorsqu’elles ont communiqué leurs données pour le traitement initial. Ce second responsable du traitement ne peut utiliser ces données à des fins commerciales qu’après avoir obtenu le consentement des personnes concernées.
Le consentement doit être libre, spécifique, éclairé et univoque.
Par ailleurs, les modalités d’exercice du consentement et du droit d’opposition doivent également être adaptées selon que le démarchage a lieu par voie postale et téléphonique ou par email.
Enfin, l’opposition formulée par les personnes concernées à tout démarchage doit être respectée. La Cnil a déjà eu l’occasion de prononcer des sanctions contre des sociétés démarchant des clients en dépit de leur opposition.
Les amendes en cas de condamnation peuvent s’avérer élevées (500.000 euros par exemple pour la société Futura Internationale et une injonction de mise en conformité sous astreinte – délibération n°SAN-2019-010 du 21 novembre 2019).
Cependant, la publication du 30 avril ne doit pas être comprise comme interdisant la pratique du démarchage commercial. Elle doit cependant encourager les sociétés qui procèdent à ce type de démarchage à partir de données accessibles publiquement à s’assurer de la licéité des traitements ainsi mis en œuvre.
La Cnil rappelle par exemple que le responsable du traitement doit vérifier la nature et l’origine des données, minimiser la collecte de données (en évitant de collecter des données dites sensibles au sens de l’article 9 du RGPD par exemple), et informer les personnes concernées par le traitement de leurs données, conformément aux dispositions du RGPD et au plus tard au moment de la première communication.
La Cnil recommande également l’encadrement de la relation contractuelle avec les sous-traitants en rappelant la responsabilité du responsable du traitement concernant les traitements mis en œuvre pour son compte par un tiers. Les contrats liant un sous-traitant au sens du RGPD à un responsable du traitement doivent respecter les dispositions de l’article 28 du RGPD.
En cas de risque pour les droits et libertés des personnes concernées, le responsable du traitement doit également procéder à une analyse d’impact.
Source : La réutilisation des données publiquement accessibles en ligne à des fins de démarchage commercial
