Prospection commerciale et respect des données personnelles

Entreprises, quels sont vos droits ? - Une décision récente de la CNIL clarifie le sujet.

Le groupe ACCOR a été condamné, le 3 août dernier, à une amende de 600.000 euros pour divers manquements à la réglementation sur la protection des données personnelles, dans le cadre de la politique marketing du groupe hôtelier qui envoie, comme la plupart des entreprises, des newsletters à ses clients, en France comme à l'étranger.

La protection des données personnelles est réglementée principalement par un Règlement européen (« RGPD ») et, en France, la loi Informatique & Libertés. Plus spécifiquement, l'exploitation des données personnelles pour des activités de prospection commerciale par voie électronique (mailing) est également régie par le Code des Postes et Communications électroniques.

Beaucoup d'entreprises en BtoC s'interrogent encore : ont-elles le droit, et selon quelles modalités, d'exploiter leurs fichiers clients ou prospects (qu'elles sont supposées détenir ou avoir acquis licitement) pour envoyer des communications électroniques (notamment newsletters).

Rappelons que tout « traitement » (exploitation) de données personnelles, tel la politique de prospection commerciale, doit reposer sur l'une des six bases légales prévues par le RGPD, parmi lesquelles (i) la loi, (ii) le contrat, (iii) le consentement et (iv) l'intérêt légitime de l'entreprise responsable du traitement.

En matière de prospection électronique (envoi de newsletters, par ex.), les acteurs économiques ont maintenant bien intégré le fait que le consentement spécifique et préalable de la personne à la prospection était la règle, ledit consentement devant pouvoir être prouvé (signature dédiée, case dédiée à cocher, enregistrement vidéo…). Ce consentement prend typiquement la forme, en ligne, d'une case à cocher en bas d'un formulaire ou, en boutique, d'une signature sur un formulaire explicatif. De ce fait, les entreprises savent bien, désormais, que le pré-cochage de la case demandant ce consentement est interdit, tout comme l'affichage d'une case unique pour plusieurs consentements distincts (par ex. : acceptation des cgv et acceptation de la prospection). La démarche du client ou prospect doit être active et manifeste, et non forcée ou présumée.

Toutefois, afin d'éviter de recueillir le consentement préalable des personnes ciblées ou par négligence, certaines entreprises ou agences arguent de l'intérêt légitime de toute entreprise commerciale à prospecter par email ou en ligne, afin de faire connaître leurs services au public, en particulier auprès de leurs clients.

Une exception au 'consentement' existe en effet, dont la base légale est, cette fois, l'intérêt légitime de l'entreprise. Cette exception est très limitée et ne concerne pas les prospects. Elle n'autorise l'envoi de communications marketing à des clients existants, sans consentement, qu'à condition de cumuler trois conditions :

1. les données du client doivent avoir été collectées DIRECTEMENT auprès de lui à l'origine,
2. la communication ne doit viser que des produits ou services ANALOGUES à ceux déjà fournis audit client,
3. ce dernier a été correctement informé, lors de la collecte comme dans chaque mailing, de son droit de s'opposer à ces envois…opposition que l'entreprise qui la reçoit doit traiter efficacement, suivant les délais et modalités imposés par le RGPD. Il s'agit donc d'un 'opt-out' à défaut d'un 'opt-in'.

Quelle que soit la situation, règle ou exception, on rappellera que, pour qu'un traitement de données personnelles soit licite, il est indispensable que les personnes concernées aient été clairement informées et ce, au moment de la collecte de leurs données. L'information doit porter sur (i) la nature de ce traitement (pour un client, généralement via le formulaire d'achat ou un lien vers la politique 'vie privée' de la société), (ii) les droits du client ou prospect face à ce traitement et (iii) des modalités d'exercice de ces droits.

Ainsi, grâce à une information complète et compréhensible, les personnes doivent pouvoir facilement soit retirer leur consentement (si le consentement est la base légale), soit s'opposer au traitement (si l'intérêt légitime (opt-out) est la base légale, sauf exceptions…).

Revenons à notre affaire Accor : en l'espèce, suite à plusieurs plaintes de clients et des contrôles en ligne et sur site de la CNIL, l'autorité de régulation a sanctionné la société Accor SA pour avoir manqué à plusieurs de ces principes directeurs du RGPD :

• La case liée au consentement pour recevoir des newsletters était pré-cochée, négligence  parfaitement inexcusable. Ainsi, même s'il y avait une apparence de volonté de recueillir un consentement, celui-ci était forcé et donc non valable ;
• Accor adressait aux clients de ses hôtels une 'newsletter' contenant non seulement des informations sur les prestations hôtelières, mais également sur d'autres prestations du groupe, et surtout sur les offres de partenaires tiers (compagnies aériennes, locations de voiture…). La prospection n'était donc pas limitée à des services 'analogues' à ceux déjà fournis auxdits clients (à savoir des prestations hôtelières) et leur consentement aurait donc dû être recueilli, et ce correctement, dès le départ ;
• Cette interprétation stricte risque de poser un problème délicat pour les éditeurs de newsletters, qui sont généralement envoyées aux clients sur la base de l'exception au consentement, alors que les informations promotionnelles qu'elles comportent visent généralement bien plus que les seuls produits ou services analogues à ceux déjà fournis auxdits clients !
• L'information préalable due aux clients et prospects concernés était inexistante, et, a fortiori, aucun lien n'était proposé, lors du contact en ligne, vers une charte de protection des données ;
• Le choix de la base légale était donc inapproprié ('intérêt légitime' au lieu de 'consentement') ;
• Accor n'avait pas mis en place une gestion efficace des droits exercés par certains clients, et notamment le respect des délais de traitement des demandes d'accès, de retrait du consentement ou des oppositions au traitement, reçues de clients;

Sujet supplémentaire classique mais trop souvent négligé : le choix des mots de passe. Au sein la question générale de la sécurisation du système d'information d'une entreprise, et notamment des accès aux outils de stockage de telle ou telle catégorie de donnée personnelle, la question du choix du mot de passe est permanente et a déjà fait l'objet de nombre de procédures et décisions. Même si l'évolution des techniques de sécurisation tend à remplacer la technique des mots de passe par d'autres clés d'identification, ceux-là sont souvent encore non conformes aux principes arrêtés par l'autorité de régulation.

La CNIL avait ici constaté que le mot de passe d'accès à l'outil d'Accor gérant les envois marketing aux clients et prospects n'était pas assez robuste. On rappellera que la CNIL exige, dans ses lignes directrices, un mot de passe constitué, selon les cas, de 8 à 12 signes, dont trois ou quatre des caractères suivants : un chiffre, une majuscule, une lettre et un caractère spécial. Telle n'est d'ailleurs pas la politique dans la plupart des entreprises, qui risquent ainsi de se voir refuser certaines indemnités ou assurances en cas de vol ou piratage de leurs système d'information.

L'ensemble des manquements constatés chez ACCOR concernaient un nombre considérable de personnes, s'étendaient à plusieurs pays et touchaient à des principes fondamentaux du RGPD supposés bien connus, en particulier de groupes internationaux. Dès lors, la CNIL, malgré quelques correctifs apportés par le groupe pendant la procédure, a prononcé une sanction à l'avenant, après avoir d'ailleurs été poussée par le CEPD (la super-CNIL européenne, en charge de coordonner les procédures des autorités nationales) à renforcer une première sanction jugée insuffisante.

On soulignera que, quelques semaines avant, le 23 juin, la CNIL avait condamné TotalEnergies à une amende d'un million d'euros, également au titre de manquements similaires liés à une politique de prospection commerciale non conforme à ces principes du RGPD. Dans cette affaire, TotalEnergies avait toutefois corrigé certains des manquements constatés, d'où une sanction « relativement » modérée au regard des capacités financières du groupe international français.

Si vous avez des doutes ou des questions sur la conformité de votre politique de prospection aux règles du RGPD, n'hésitez pas à nous contacter.