L’entrée en vigueur du RGPD nécessite un contrôle de la conformité des bases de données des entreprises afin de s’assurer de la légalité de la collecte des données qui s’y trouvent.
Cette opération effectuée, les entreprises sont tenues à de nouvelles obligations et notamment d’un devoir d’information.
Quel que soit le mode de recueil du consentement pour les opérations de prospection commerciale mises en œuvre grâce à un système d’opt-in ou d’opt-out, les personnes concernées par le traitement de leur données à caractère personnel par l’entreprise doivent être informées de l’utilisation de ces données à des fins de prospection. L’information doit préciser si la prospection est faite par l’entité qui collecte ou les autres entités du groupe ainsi que de l’existence de leur droit d’opposition et des modalités dans lesquelles elles peuvent l’exercer.
De manière plus générale, le responsable de traitement est tenu à une obligation d’information prévue par la Loi informatique et libertés (article 32 de la loi Informatique et libertés) et par le RGDP (articles 13 et 14 du RGDP). Le contenu de cette information diffère selon que les données personnelles ont été collectées auprès de la personne concernée ou non. Dans ce premier article, il s’agira d’étudier le contenu des éléments d’information à délivrer en cas de collecte directe des informations en vue d’effectuer de la prospection commerciale.
Lors qu’une entreprise collecte et traite des données collectées de façon directe, les intègre dans une base de données, laquelle est ensuite utilisée aux fins de prospection commerciale, elle doit s’assurer du respect de son obligation d’information telle que mentionnée à l’article 13 du RGPD a bien été respectée lors de la collecte des données. Elle doit délivrer les informations suivantes :
- l’identité et les coordonnées du responsable du traitement ;
- le cas échéant, les coordonnées du délégué à la protection des données;
- les finalités ainsi que la base juridique du traitement ;
- les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ;
- la durée de conservation des données à caractère personnel ;
- l’existence des différents droits dont bénéficient les personnes concernées (droits d’accès, de rectification, d’effacement desdites données, de limitation du traitement, de s’opposer au traitement et du droit à la portabilité des données) ;
- l’existence du droit de retirer son consentement à tout moment, lorsque le traitement est fondé sur le consentement ;
- le droit d’introduire une réclamation auprès d’une autorité de contrôle.
Par ailleurs, doit également être délivré « des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ».
Dans l’hypothèse du traitement des données issues des fichiers propres de l’entreprise, la communication de la finalité du traitement est incontournable. En effet, si par exemple la finalité première du traitement des données à caractère personnel est la gestion de la relation client et la livraison de commandes, il est nécessaire d’informer également la personne que des opérations de prospection peuvent être réalisées sur la base de ces données. En effet, l’article 13 paragraphe 3 du RGPD dispose que « Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2. Les paragraphes 1, 2 et 3 ne s’appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations. »
Si la finalité n’avait pas été communiquée lors de la collecte, l’entreprise à deux options envisageables. Selon la première option, le responsable de traitement informe individuellement les personnes concernées. Dans une seconde option qui découle de l’article 6 paragraphe 4 du RGPD, le responsable de traitement considère que « le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres (…) de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ». En ce cas, l’information de la personne concernée par le traitement de ses données à des fins de prospection commerciale n’est pas nécessaire.
Ainsi, la prospection commerciale des clients dont les données ont été collectées sur la base de données client d’une entreprise est possible sans recueillir le consentement si la prospection porte sur une activité analogue à la finalité première et a été communiquée aux personnes lors de la collecte des données.