Le 17 janvier 2020, l’Autorité de protection des données (« APD ») a publié sa recommandation n° 01/2020 relative au traitement des données à caractère personnel à des fins de marketing direct. L’APD y explique les règles du jeu relatives au marketing direct au regard du RGPD. La recommandation répond aux questions les plus posées et comprend de nombreux exemples utiles pour celui qui effectue du marketing direct. La recommandation s’intègre dans la mise en œuvre du plan stratégique 2019-2025, dans lequel le marketing direct a été désigné comme l’une des priorités de l’APD.

La recommandation de l’APD est de taille considérable (79 pages) et traite de presque tous les aspects RGPD du marketing direct. Les points principaux sont les suivants :

• À défaut de définition légale, l’APD décrit la notion de « marketing direct » comme :
  « Toute communication, sollicitée ou non sollicitée, visant la promotion d’une organisation ou d’une personne, de services, de produits, que ceux-ci soient payants ou gratuits, ainsi que de marques ou d’idées, adressée par une organisation ou une personne agissant dans un cadre commercial ou non commercial, directement à une ou plusieurs personnes physiques dans un cadre privé ou professionnel, par n’importe quel moyen, impliquant le traitement de données à caractère personnel ».

  Il ne s’agit donc pas uniquement de messages ayant un objectif commercial ou poursuivant des finalités lucratives. Les communications d’organisations non-commerciales (comme p. ex. des partis politiques, des groupements d’intérêts) peuvent également, par conséquent, constituer du marketing direct. L’APD confirme en revanche que les communications strictement personnelles, les vœux de nouvelle année, les sondages ou les enquêtes de satisfaction ne constituent en principe pas du marketing direct.
   

• Le marketing direct, tel que défini par l’APD, implique toujours un traitement de données à caractère personnel et n’est, par conséquent, possible que sur la base d’un fondement juridique licite au regard du RGPD. En pratique, les organisations se fonderont soit sur le consentement exprès conforme au RGPD des personnes concernées, soit sur leurs intérêts légitimes. En cas de messages de marketing direct électroniques non-sollicités, le consentement sera en principe, en vertu de la législation e-privacy, obligatoire. Ceci, bien que cela puisse être évité sous certaines conditions pour les clients existants. L’APD précise de manière détaillée comment le fondement juridique applicable doit être déterminé et comment, le cas échéant, un consentement valable doit être recueilli. Un consentement pour du marketing direct ne sera par exemple pas libre s’il est posé comme condition pour l’utilisation d’un service ou pour l’obtention d’avantages et de réductions.

• La possibilité doit être offerte, de manière claire et simple, aux destinataires du marketing direct d’exercer leur droit d’opposition (en cas d’intérêt légitime) ou de retrait (en cas de consentement). Le cas échéant, les données ne pourront alors plus être traitées à ces fins. De plus, toutes les autres demandes d’exercice de droits (p. ex. le droit de recevoir une copie, le droit de rectification, etc.) doivent également être correctement suivies.

• Pour toutes les personnes physiques ou morales concernées, il faut déterminer si elles sont qualifiées de responsables distincts du traitement, de responsables conjoints du traitement (p. ex. dans l’hypothèse d’une plateforme internet conjointe pour la collecte et le partage des données des clients) ou de sous-traitants (p. ex. pour la prestation de services de marketing et de communication publicitaire). Une convention de sous-traitance doit être conclue avec les sous-traitants et les responsabilités des responsables conjoints du traitement doivent faire l’objet d’un contrat afin de fixer leurs responsabilités respectives au regard du RGPD.

• Une attention particulière doit être accordée aux organisations spécialisées dans l’agrégation, la revente, la location ou le courtage de données (p. ex. les « data brokers »). Pour ces traitements, le consentement éclairé préalable des personnes concernées sera en principe requis. Les entreprises qui font appel à de tels partenaires doivent également informer elles-mêmes les personnes concernées et ont l’obligation de vérifier si les données ont été récoltées et traitées par le partenaire de manière conforme au RGPD. Dans le cas contraire, elles peuvent également être sanctionnées pour non-respect du RGPD.

• Les personnes concernées doivent recevoir des informations détaillées comprenant toutes les données obligatoires mentionnées dans le RGPD. Ces informations doivent être formulées en termes clairs, simples et accessibles. Les finalités de traitement doivent être décrites de manière précise dans la notification vie privée, ainsi que dans le registre (interne) des activités de traitement. Dans la plupart des cas, le simple renvoi « à des fins de marketing direct » ne suffira pas. En cas de réutilisation de données à des fins de marketing direct, il faut vérifier si ceci est conforme avec la finalité pour laquelle ces données ont été initialement récoltées et si un fondement juridique licite existe à cet égard.

• La notification et le registre ne devront pas comprendre uniquement des informations quant aux finalités de traitement mais également quant aux opérations de traitement (p. ex. dresser un profil de personnes déterminées afin de combiner des données à leur égard, de faire usage du service de messagerie d’un réseau social en vue d’envoyer des messages, etc.).

• Une prudence particulière est de mise en cas d’établissement de profils (« profilage ») étant donné que cela peut avoir de potentielles conséquences négatives pour les personnes concernées. Des règles spécifiques s’appliquent si les décisions de marketing direct entrainent des conséquences juridiques ou un impact significatif et que ces décisions sont exclusivement fondées sur un traitement automatisé (p. ex. l’offre de produits sous d’autres conditions en fonction des profils). Ainsi, le consentement exprès des personnes concernées sera requis à cet égard.

• Si des cookies sont mis en place à des fins de marketing direct, un consentement valable devra être recueilli à cet égard. L’APD donne des exemples de formulations qui peuvent être reprises dans la bannière d’information.

• Seules les données qui sont strictement nécessaires pour les finalités de marketing direct peuvent être traitées. En outre, ces données ne peuvent être conservées plus longtemps que nécessaire (l’APD ne recommande aucun délai de conservation standard étant donné que cela doit être apprécié au cas par cas).

Point d'action

Vérifiez si la politique de marketing direct de votre entreprise est conforme à la législation en matière de protection des données, à la législation e-privacy et aux recommandations récentes de l’APD. Notre data protection team peut, bien entendu, vous assister à cet égard.