GDPR, consentement et marketing (digital)

On m’a posé cette question dernièrement : si une entreprise a recueilli le consentement de personnes à pouvoir traiter leurs données personnelles à des fins marketing, est-ce que ladite entreprise doit renouveler le consentement de ces personnes afin d’être conforme au GDPR ?

Notion de consentement

Il y a un an, j’écrivais un article sur la notion de consentement dans le Règlement général sur la protection des données (RGPD, ou GDPR en anglais). Je me permets de vous y renvoyer.

En résumé, je relevais d’abord que le responsable du traitement devrait être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données personnelles qui la concernent, et enfin que le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données personnelles. En d’autres termes, il ne saurait y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité.

Activité de marketing (digital)

Il y a deux régulations distinctes en Europe en ce qui concerne le marketing : le GDPR et la Directive 2002/58. Cette dernière s’applique exclusivement au marketing digital, alors que le GDPR s’applique à toute forme de marketing.

GDPR

D’une part, le GDPR considère le cas du marketing (digital) comme un traitement ordinaire de données personnelles, et il en règle donc les modalités comme pour n’importe quel autre traitement de données personnelles. Cela signifie que l’activité de marketing peut trouver une justification du point de vue de la protection des données non seulement dans le consentement de la personne concernée, mais aussi dans l’exécution d’un contrat auquel la personne concernée est partie ou dans les intérêts légitimes poursuivis par le responsable du traitement (art. 6 GDPR). Ainsi, le consentement n’est pas forcément obligatoire pour des activités de marketing si le traitement de données personnelles sur lequel il repose trouve sa justification ailleurs. Le considérant 47 du GDPR ajoute ceci concernant l’intérêt légitime du responsable de traitements :

Un tel intérêt légitime pourrait, par exemple, exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée. […] Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime.

Le GDPR permet par exemple à une entreprise d’envoyer de la publicité à ses clients sur la base de son intérêt légitime, même si leur consentement fait défaut. Cependant, l’entreprise doit non seulement offrir une possibilité de refuser de telles publicités à l’avenir (opt out), mais aussi respecter ce choix lors de futurs envois (art. 21 al. 2 GDPR).

Directive 2002/58

La Directive 2002/58, d’autre part, dispose à son considérant 40 et à son article 13 qu’en ce qui concerne les formes de communications non sollicitées effectuées à des fins de prospection directe (e-mails, SMS, téléphone, fax, etc.), l’expéditeur doit avoir obtenu le consentement préalable du destinataire avant de les lui envoyer. En outre, lorsque des coordonnées électroniques sont recueillies, le client doit être informé clairement et distinctement sur leur utilisation ultérieure à des fins de prospection directe et il doit lui être donné la faculté de s’opposer à cet usage.

Autrement dit, toute campagne de marketing digital doit reposer sur le consentement préalable des personnes (opt in), à moins que les données de ces personnes aient été collectées lors d’une transaction et qu’on leur ait offert la possibilité de refuser la réception d’offres futures (opt out).

Faut-il demander un nouveau consentement ?

La réponse est en partie donnée par le GDPR, à son considérant 171.

La directive 95/46/CE devrait être abrogée par le présent règlement. Les traitements déjà en cours à la date d’application du présent règlement devraient être mis en conformité avec celui-ci dans un délai de deux ans après son entrée en vigueur. […] Lorsque le traitement est fondé sur un consentement en vertu de la directive 95/46/CE, il n’est pas nécessaire que la personne concernée donne à nouveau son consentement si la manière dont le consentement a été donné est conforme aux conditions énoncées dans le présent règlement, de manière à ce que le responsable du traitement puisse poursuivre le traitement après la date d’application du présent règlement.

Dit autrement, si le consentement a été donné d’une manière conforme au GDPR (voir ci-dessus) et que le responsable de traitements peut en apporter la preuve, il n’y a pas de raison de demander un renouvèlement de ce consentement.

À ce stade du raisonnement, vous vous dites que les consentements recueillis ne l’ont pas été conformément au GDPR et/ou que vous ne pouvez pas apporter la preuve de l’obtention de ces consentements, qu’ils soient ou non conformes.

Cependant, si vous vous servez du marketing digital sur la base de la formule d’opt out rappelée ci-dessus (collecte de données lors d’une transaction et possibilité offerte de refuser l’utilisation des données à des fins marketing), on peut considérer que le traitement de données n’est pas fondé sur le consentement, ce qui vous exonère de l’obligation d’en demander le renouvèlement.

À l’inverse, si votre modèle de marketing (digital) repose sur le modèle d’opt in, vous devrez procéder à un renouvèlement du consentement des personnes concernées s’il n’a pas été obtenu conformément au GDPR et/ou que vous ne pouvez en apporter la preuve.

Excursus en droit suisse

La loi fédérale contre la concurrence déloyale (LCD) prévoit à la lettre o de l’article 3 qu’on agit de façon déloyale si on envoie ou fait envoyer, par voie de télécommunication, de la publicité de masse n’ayant aucun lien direct avec une information demandée et qu’omet de requérir préalablement le consentement des clients, de mentionner correctement l’émetteur ou de les informer de leur droit à s’y opposer gratuitement et facilement. Adresser une telle publicité sans le consentement des clients n’est pas déloyal si on a obtenu les coordonnées des clients lors de la vente de marchandises, d’œuvres ou de prestations et qu’on leur a indiqué qu’ils pouvaient s’opposer à l’envoi de publicité de masse par voie de télécommunication, pour autant que cette publicité concerne des marchandises, œuvres et prestations propres analogues.

En ce qui concerne le consentement, la loi fédérale sur la protection des données (LPD) dispose que lorsque son consentement est requis pour justifier le traitement de données personnelles la concernant, la personne concernée ne consent valablement que si elle exprime sa volonté librement et après avoir été dument informée (art. 4 al. 5).

Le GDPR ne s’applique pas aux entreprises suisses qui n’offrent pas de services ou de biens aux personnes se trouvant sur le territoire de l’UE, ou qui n’ont pas d’activités liées au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE (art. 3 al. 2 GDPR).