RGPD, commerce et marketing : Sécurisez l’utilisation des données

Actualité
INFOREG

Les règles de limitation de la prospection commerciale (emailing de masse et autres dérives) 

La prospection commerciale est un enjeu stratégique pour les entreprises, leur permettant de développer et de fidéliser leur clientèle. Cet outil ne doit toutefois pas entraver les droits des consommateurs et devenir du harcèlement. 

Prospection par téléphone et postale

Quelles démarches doit entreprendre l’entreprise pour être en conformité ? 

L’entreprise qui souhaite effectuer de la prospection commerciale doit impérativement informer les destinataires d’une éventuelle utilisation commerciale de leurs coordonnées par elle-même ou par des partenaires commerciaux. 

 

L’entreprise doit leurs permettre de s’opposer à la réutilisation commerciale de leurs adresses ou de leurs numéro de téléphone ainsi qu’à la cession de leurs coordonnées à des partenaires commerciaux, et ce dès la collecte des informations. 


Pour cela, elle peut par exemple insérer des cases à cocher dans le contrat ou dans les formulaires d’abonnement spécifiquement dédiées au droit d’opposition.

Comment user du droit d’opposition octroyé aux particuliers/consommateurs ? 

La mise en œuvre du droit d’opposition des particuliers n’a pas à être motivée et peut intervenir à tout moment.

 

Cette opposition peut se faire auprès des entreprises les démarchant. Passé deux mois sans réponse de l’entreprise, l’intéressé peut exercer un recours notamment auprès : 
 

  • du service des plaintes de la CNIL, 
  • du procureur de la République. 

 L’intéressé peut également exercer son droit d’opposition en s’inscrivant sur des listes d’opposition. Il s’agit de : 
 

  • la liste rouge : L’abonné demande à son opérateur de téléphonie de ne pas transmettre son numéro de téléphone aux différents éditeurs d’annuaires ;
  • la liste anti-prospection : L’abonné demande à son opérateur d’indiquer dans l’annuaire, par un logo, qu’il ne souhaite pas être démarché ;
  • la liste Robinson/Stop Publicité qui transmets à ces adhérents la liste des personnes ne souhaitent pas recevoir de courriers publicitaires par voie postale ;
  • la liste Bloctel : en inscrivant son numéro de téléphone sur ce site, l’intéressé demande à ne pas être sollicité par téléphone au sujet d’une offre commerciale. 

Quelles formalités envisager auprès de la CNIL ?

Un fichier de clients utilisé à des fins de prospection peut faire l’objet d’une déclaration de conformité à la norme n°48 (déclaration simplifiée). 
Les dispositifs qui n’entrent pas dans le cadre de cette norme doivent faire l’objet d’une déclaration normale.

Prospection électronique 

L’économie numérique génère un fort potentiel de visibilité pour les entreprises grâce aux sollicitations commerciales effectuées par voie électronique (mails, sms, mms). Ces manœuvres commerciales sont encadrées afin de préserver les droits des consommateurs.

 

 Les règles en matière de prospection électronique dépendent de la directive e-Privacy, transposée en droit français à l’article L.34-5 du Code des Postes et des communications électroniques. 

Quelles garanties pour le consommateur ? 

Le recueil du consentement

Le recueil du consentement préalable du consommateur est obligatoire avant toute sollicitation commerciale (opt-in). 

 

Chaque message électronique doit obligatoirement préciser l'identité de l'annonceur.

 

Le recueil du consentement doit se faire par un moyen simple et spécifique comme par exemple une case à cocher, tel que le préconise la CNIL.

 

Le consentement recueilli par la simple acceptation des conditions générales d’utilisation ou de vente n’est pas valable.

 

Il existe des exceptions à l’accord préalable du destinataire, lorsque : 
 

  • le message publicitaire concerne des produits ou services analogues à ceux déjà fournis par l’entreprise ;
  • la personne prospectée est déjà cliente de l’entreprise ;
  • la prospection n'est pas de nature commerciale (caritative par exemple).

Dans ces cas-là,  l’intéressé doit être informé, au moment de la collecte de son adresse électronique,  que cette dernière sera utilisée à des fins de prospection lors de la collecte de ses coordonnées et être en mesure de s’y opposer de façon simple et gratuite. 

L’exercice du droit d’opposition 

Tout message publicitaire adressé par voie électronique doit offrir au consommateur un moyen gratuit, simple, direct et facilement accessible de ne plus recevoir de message. Par exemple : un lien pour se désinscrire ou une case à cocher. 

Quelles garanties pour le professionnel ?

Les adresses professionnelles génériques sont des coordonnées de personnes morales, elles ne sont donc pas soumises au principe du consentement préalable.
 
Toutefois, le professionnel doit, au moment de la collecte de son adresse de messagerie :
 

  • être informée que son adresse électronique sera utilisée à des fins de prospection ;
  • être informé de l’identité de l’annonceur ;
  • être en mesure de s’opposer à cette utilisation de manière simple et gratuite.

 L'objet de la sollicitation doit être en rapport avec la profession de la personne démarchée. 

Quelles limites à la collecte de ces données et aux sollicitations commerciales ? 

L’entreprise ne peut pas : 
 

  • collecter des adresses électroniques des particuliers sur des sites internet ou des forums de discussion. 
  • présumer du consentement du consommateur à l’aide de cases pré-cochées (contraire à la loi) ;
  • conditionner l’accès à un service, l’achat d’un bien ou le bénéfice d’une réduction à l’acceptation de recevoir des messages publicitaires par voie électronique.
  • conserver les données si le consommateur ne répond à aucune sollicitation 3 ans après le dernier contact ;
  • réutiliser les données pour d’autres fins que celles pour lesquelles elles sont collectées. 

Des mesures de sécurité sont-elles nécessaires ? 

Le responsable du fichier doit mettre en place des mesures de sécurité pour protéger les données. 


Il peut s’agir par exemple d’une clause dans un  contrat afin de s’assurer que le prestataire de service ne réutilisera pas les données pour son propre compte ou pour le compte d’autres clients.

Quelles formalités auprès de la CNIL ?

Les fichiers de gestion de la clientèle et des prospects, peuvent faire l’objet d’une déclaration de conformité à la norme n°48 (déclaration simplifiée). Les dispositifs qui n’entrent pas dans le cadre de cette norme doivent faire l’objet d’une déclaration normale.

Quels principes sont à respecter en cas de transmission des données à des partenaires commerciaux ou à des courtiers de données ?

Cette nouvelle faculté offerte par le numérique, permet à certaines entreprises de recenser des données collectées auprès de personnes, puis les céder à d’autres partenaires commerciaux.

 

Dans ce cadre, il est impératif que la personne intéressée par la collecte de ses données personnelles puisse : 
 

  • donner son consentement avant toute transmission à des partenaires ;
  • identifier les destinataires des données des évolutions de la liste des partenaires et notamment de l’arrivée de nouveaux partenaires. 

 
Chaque nouveau partenaire recevant les données doit, lors de leur première communication avec la personne prospectée, l’informer, au plus tard dans un délai d’un mois : 
 

  • du traitement qu’il fait de ses données ;
  • du nom de la société qui a transmis les données au partenaire ;
  • les droits de la personne concernée et notamment son droit de s’opposer à de la prospection commerciale de la part du nouveau partenaire ;
  • la manière d’exercer leurs droits, en particulier d’opposition :
  • soit directement auprès du nouveau partenaire ;
  • soit auprès de la société à l’origine de la collecte initiale des données qui devra le répercuter directement à ses partenaires qui sont destinataires des données.
  • Le paiement à distance 

Le commerce en ligne est devenu l’un des moyens privilégié de consommation à l’avantage de l’entreprise et du consommateur. Pour autant, il existe des règles de sécurité en matière de paiement et des principes de protection des données par défaut, que les commerçants doivent impérativement maîtriser. 

Quelles données sont nécessaires à la réalisation d’un paiement ? 

Pour la vente de biens ou la fourniture de services à distance, les données strictement nécessaires à la réalisation d'un paiement sont par défaut :
 

  • le numéro de la carte ;
  • la date d'expiration ;
  • le cryptogramme visuel.

Il ne faut pas collecter l’identité du titulaire de la carte si elle n’est pas nécessaire à la transaction.

Combien de temps les données bancaires peuvent-elles être conservées?

La conservation du cryptogramme visuel est interdite après la réalisation de la première transaction.
 
La durée de conservation des données de la carte bancaire dépend des finalités poursuivies : 
 

  • Pour un paiement unique, la conservation des données de paiement est valable : 
    • jusqu’au paiement complet.    
    • jusqu’à la réception du bien ou à l’exécution de la prestation de service, augmenté du délai de rétractation prévu pour les ventes de biens et fournitures de prestations de services à distance.
  • Pour un abonnement avec tacite reconduction, les données sont conservées jusqu’à la dernière échéance de paiement, si l’abonnement ne prévoit pas de tacite reconduction ; 
  • Pour la gestion des réclamations, les données sont conservées 3 mois, suivant la date de débit ou 15 mois en cas de cartes de paiement à débit différé. Les données ainsi conservées doivent n’être utilisées qu’en cas de contestation de la transaction. 
  • Pour faciliter les achats ultérieurs, les données sont conservées jusqu’au retraite du consentement et/ou à l’expiration de la validité des données de la carte bancaire. 

Cas particulier : La souscription d’abonnements complémentaire (dits "premium", "à volonté"), témoigne de la volonté du consommateur de réitérer ces achat sur le site internet du commerçant.

 

Pour cela, ce dernier peut conserver par défaut les données bancaires saisies par les clients adhérents à ces abonnements complémentaires, sous réserve :
 

  • de fournir une information suffisamment complète directement et de manière distincte sur le support de collecte ;
  • de permettre d’exercer facilement leur droit d’opposition par le biais d’une case à cocher présente sur le support de collecte et ce, sans conséquence sur l’accès au service ;
  • de permettre facilement et à tout moment, sur le site marchand, la suppression de leurs données bancaires ;
  • de tenir compte du refus exprimé par le client s’agissant de la conservation de la carte bancaire et de ne lui proposer par la suite une telle conservation qu’avec son consentement libre, éclairé et spécifique ;
  • de mettre en œuvre des mesures de sécurité appropriées.

Quelles sont les garanties pour le consommateur en cas de conservation de leurs données bancaires pour faciliter leurs achats ultérieurs ? 

Dans ce cas précis, les commerçants doivent recueillir le consentement de leurs clients à la conservation de leurs données bancaires. 


Ce consentement ne se présume pas et doit être non univoque. 


Le commerçant doit intégrer directement sur son site marchand un moyen simple de retirer, sans frais, le consentement ainsi donné.

 

Il doit par ailleurs les informer de l’objectif poursuivi. 

Quelles sont les principales mesures de sécurités préconisées par la CNIL ?

La CNIL recommande la mise en place de moyens d'authentification renforcée du titulaire de la carte de paiement :
 

  • le masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage ;
  • le remplacement du numéro de carte par un numéro non signifiant ;
  • la traçabilité permettant de détecter tout accès ou utilisation illégitime des données et de l'imputer à la personne responsable. 

La CNIL exige que les données bancaires soient cryptées par l’intermédiaire d’un algorithme de chiffrement dit "fort". 
 
La CNIL contrôle régulièrement des sites marchands en ligne pour s’assurer du respect du RGPD.

Transfert de données hors UE et règles d’entreprise contraignantes (BCR) 

Les échanges commerciaux reposent de plus en plus sur les flux de données personnelles. La confidentialité et la sécurité de ces données sont des facteurs de confiance pour les  consommateurs et gage de sérieux et de compétitivité pour les entreprises.

Quels outils permettent d’encadrer les transferts de données hors EEE ?

Le transfert de données personnelles hors du territoire européen peut se faire s’il existe : 
 

  • une décision d’adéquation de la Commission attestant que certains pays assurent un niveau de protection adéquat ;
  • des "garanties appropriées" fournies par : 
  • un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics ;
  • des règles d'entreprise contraignantes (BCR) ;
  • des clauses contractuelles types de protection des données adoptées par la Commission (CCT) ;
  • un code de conduite approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées) ;
  • un mécanisme de certification approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées) ;
  • Des instruments juridiques contraignants entre autorités publiques (telle une convention internationale ;
  • des clauses contractuelles spécifiques (considérées comme conformes aux modèles de clauses de la Commission européenne) ;
  • des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées. 

Pour ces deux dernières garanties, une autorisation de la CNIL sera nécessaire. 
 
En l’absence de telles garanties, le transfert peut être réalisé dans des situations particulières et des conditions spécifiques dérogatoires. 

Qu’est-ce que les règles d’entreprise contraignantes (BCR) ? 

D’après la CNIL,  les règles d’entreprise contraignantes désignent une politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l'Union européenne. 

Quelles sont les conditions à remplir ?

Un groupe d’entreprises peut soumettre un projet de BCR à condition que ces règles :
 

  • soient juridiquement contraignantes ;
  • soient mises en application par toutes les entités concernées du groupe d'entreprises ;
  • confèrent expressément aux personnes concernées des droits sur le traitement de leurs données personnelles ;
  • répondent aux exigences prévues par le RGPD.

 Les autorités de protection des données sont en charge de l’évaluation et de la validation de ces conventions vis-à-vis de ces référentiels.  

Quelles entreprises sont concernées par les BCR ? 

Les entreprises concernées sont essentiellement des multinationales effectuant de nombreux transferts de données entre leurs entités. 

Quelle est l’utilité des BCR ?

 Ces règles permettent :                                                        
 

  • d'être en conformité avec les principes du RGPD ;
  • d'éviter de conclure autant de contrats qu'il existe de transferts au sein d'un groupe ;
  • d'uniformiser les pratiques relatives à la protection des données personnelles au sein d'un groupe ;
  • de communiquer sur la politique d'entreprise en matière de protection des données personnelles auprès de ses clients, partenaires et salariés et de leur assurer un niveau de protection satisfaisant lors des transferts de leurs données personnelles ;
  • de placer la protection des données au rang des préoccupations éthiques du groupe.

Document rédigé par les juristes du réseau EEN (Enterprise Europe Network)

Ce document a été rédigé par les juristes du réseau EEN pour apporter un soutien expert aux entreprises pour faire face à l'impact de la crise sanitaire liée au coronavirus.
 

Mis à jour le 07/07/2020
Le réseau EEN
Enterprise Europe Network

Depuis plus de 10 ans, le réseau Enterprise Europe Network aide les petites entreprises à tirer le meilleur parti du marché européen.

Entreprise relancez votre activité

Faites le point sur la reprise de votre activité avec la "Check-list Relance" et balayez l'ensemble des questions clefs pour reprendre en toute sécurité.

RGPD
Les mesures européennes pour aider à la relance des entreprises

En réaction à la crise économique engendrée par la pandémie de la Covid-19, l’Union européenne a mis en place un certain nombre de dispositifs pour réduire autant que possible les répercussions socio-économiques sur les entreprises en accompagnant la relance de leurs activités.