15 juin 2018

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#197 RGPD: OPT-IN ou OPT-OUT pour les données marketing ?

#197 RGPD: OPT-IN ou OPT-OUT pour les données marketing ?

[15 juin 2018] Comme dans beaucoup de secteurs d’activité qui traitent des données personnelles, les professionnels de la presse régionale online et son syndicat professionnel – l’UPREG – s’interrogent : quelles solutions RGPD-GDPR pour les données personnelles marketing PROSPECTS ? OPT-IN ou OPT-OUT ? C’est un des points juridiques qui mobilise le plus avec l’entrée en application de la GDPR n°2016/679, le nouveau régime juridique applicable à la protection des données à caractère personnel. La vraie question est en fait : comment « valider » des bases de données prospects existantes depuis longtemps, à une époque ou l’on se souciait peu d’informer les personnes dont on traitait les données à des fins marketing. La question concerne toutes les entreprises qui pratiquent un tant soit peu le « marketing digital ». Voila les problématiques évoquées dans la présentation « RGPD-GDPR quelles solutions OPT-IN OPT-OUT pour les données marketing« .
La réponse s’articule autours du bilan coût / avantage des deux options offertes par la GDPR :

  • traitement AVEC consentement préalable [art.6.1 (a) GDPR]
  • traitement SANS consentement « nécessaire« aux « intérêts légitimes » [art.6.1 (f) GDPR] de l’entreprise responsable du traitement.

Voyons successivement l’un et l’autre. Naturellement, ce débat fondamental pour les responsables de traitement ne concerne en rien d’éventuels sous-traitants qui seraient contractuellement chargés de « manipuler » (comprendre « traiter ») les données, par exemple (et au hasard) des éditeurs de site web de presse.


[wonderplugin_gallery id= »213″]


RGPD-GDPR quelles solutions OPT-IN OPT-OUT pour les données marketing ? (1/2) les « intérêts légitimes » du producteur de la base de données marketing


Lisons bien le « considérant » n°47 de la GDPR : un traitement de données « à des fins de prospection » « peut être considéré comme réalisé pour répondre à un « intérêt légitime« . Si la GDPR le prévoit, pourquoi ne pas se servir de ce fondement ?
Dans le titre ci-dessus, j’évoque le terme de « producteur de la base de données marketing » car tel est bien le cas : l’entreprise de presse online sera le « responsable du traitement » des données de ses visiteurs / lecteurs PROSPECTS.
La GDPR n’évoque jamais la notion de « fichier marketing ». En revanche, la notion de « prospection » (et le droit d’opposition qui va avec) en est un des composant essentiels. Le « prospect » ? C’est une personne à laquelle un professionnel n’a rien vendu/fourni contre rémunération. Mais la GDPR, vous et moi parlons bien de la même chose : des « données personnelles » des personnes qui n’ont pas encore contracté avec l’entreprise. A mon sens, le « lecteur / visiteur » d’un site web de presse, s’il n’a pas créé de compte utilisateur, est très probablement un « prospect »…
Et si chaque entreprise dépense du temps et de l’argent pour collecter des données relatives à des prospects, cette entreprise agit comme « producteur » d’une base de données au sens de la Directive 96/9/CE du 11 mars 1996 relative à la protection des bases de données. Ici, il serait juste d’écrire une base de données « à caractère personnel ».
Si le site web de presse dispose déjà d’une base de données marketing, elle peut en utiliser le contenu (i) en informant la « cible » et (ii) en lui offrant le droit de s’opposer au traitement [article 21.1 GDPR]. C’est ici un régime clair d’OPT-OUT : le prospect doit positivement manifester qu’il s’oppose au traitement.
Le détail de la présentation montre combien le régime d’OPT-OUT permet de répondre sans difficulté aux impératifs de la GDPR, pourvu que l’on prenne soin d’informer systématiquement les « personnes concernées » de l’existence du droit d’opposition à prospection.


RGPD-GDPR quelles solutions OPT-IN OPT-OUT pour les données marketing ? (2/2) le traitement AVEC consentement préalable


Cette option de demande de consentement préalable permet de disposer de données personnelles très « qualifiées » (nouvelles données collectées) ou de (re)qualifier des bases de données existantes. Nous sommes nombreux à avoir reçu pléthore d’emails entre le 22 et le 25 mai 2018 nous demandant de « confirmer » notre consentement à recevoir à l’avenir de nouvelles « propositions » de la part d’entreprises (dont franchement nous ignorions le plus souvent qu’elles détenait notre adresse mail).
La solution ici est plus simple, mais juridiquement lourde de conséquence. Si le prospect consent expressément à ce que l’entreprise traite ses données à caractère personnel à des fins de prospection / marketing, l’entreprise est tenue de respecter le « droit à retrait » du consentement. Ce droit peut être exercé par la personne concernée sans justification et à tout moment.
Au final, ce droit à retrait du consentement se marie fort bien avec l’exercice du droit d’opposition à prospection. L’entreprise doit offrir « facilement » l’exercice effectif du « droit à désabonnement ». La base de données marketing sera certes parfaitement qualifiée, mais il faudra au professionnel gérer avec soin l’expression de la volonté de ses prospects qui ne souhaitent plus l’être.

RGPD-GDPR quelles solutions OPT-IN OPT-OUT pour les données marketing ? La solution pratique 

La réalité est que les entreprises, de presse online comme d’autres, vont utiliser les deux fondements pour les « nouveaux prospects », selon le canal de collecte des précieuses données personnelles.
Pour les bases de données existantes, il est bien entendu possible de (re)requalifier une base OPT-OUT en OPT-IN. Tous les professionnels de la matière vous le diront, cette méthode « dégraisse » sévèrement le contenu des bases existantes… Raison pour laquelle les professionnels les plus avisés continueront de pratiquer l’OPT-OUT.
Non, le fondement sur les « intérêts légitimes » n’est ni « sale », ni dangereux. Il suffit de s’en servir avec prudence. Et cette prudence doit conduire à proposer systématiquement aux prospects de pouvoir dire « stop » à la prospection. « systématiquement » veut dire « dans chaque message adressé à chaque prospect« .



 

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Les derniers articles du blog​