Suite à de nombreuses plaintes déposées en matière de prospection commerciale, la CNIL a réalisé plusieurs contrôles en 2019. Le problème concernait l’utilisation de données personnelles publiquement accessibles sur le web aux fins de démarchage par courrier ou téléphone. Une enquête a été menée afin de vérifier la conformité de ces pratiques à la loi Informatique et Libertés et au RGPD. Dans un communiqué du 30 avril 2020, la CNIL invite aux bonnes pratiques dans la réutilisation des données personnelles aux fins de démarchage commercial.
Le contexte
Les sociétés accusées de mauvaises pratiques sont celles qui récupèrent des données personnelles, publiquement accessibles sur Internet, afin de les utiliser pour de la prospection commerciale. En pratique, cela concerne par exemple les entreprises qui constituent des bases de données en collectant les coordonnées téléphoniques apparaissant sur des petites annonces déposées sur des sites entre particuliers. La collecte peut être réalisée par une société pour son propre compte dans un secteur géographique donné pour s’adonner à du démarchage commercial. Elle peut aussi être réalisée à plus grande échelle dans le but de revendre les fichiers. C’est une pratique particulièrement répandue dans le domaine immobilier : la pige immobilière permet d’extraire des fichiers qui seront utilisés auprès d’agences immobilières ou de sociétés spécialisées dans le service à la personne. Ces sociétés collectent leurs informations à l’aide de logiciels permettant l’extraction automatique de données figurant sur le web. Selon la CNIL, ce procédé ne permet pas de garantir une conformité au Règlement général sur la protection des données et à la loi Informatique et Libertés. Comment en effet s’assurer que le logiciel collecte uniquement les données de personnes ayant consenti à faire l’objet d’une prospection commerciale ? La vérification automatique ne peut être parfaite et une vérification manuelle viderait de sens l’utilisation d’un tel outil. Pour s’assurer de cette conformité, la CNIL appelle au respect de principes fondamentaux et de bonnes pratiques.
Le respect des principes fondamentaux
À l’issue des contrôles opérés en 2019, la CNIL recommande une vigilance renforcée. La récupération de données personnelles pose tout d’abord problème du point de vue du consentement des personnes. La CNIL rappelle qu’il doit être libre, clair et sans équivoque. Ainsi, il ne saurait être réputé acquis par la seule acceptation des conditions générales d’utilisation par l’internaute, notamment lorsque celui-ci s’engage à recevoir de la prospection commerciale par voie électronique. Le consentement à voir ses données réutilisées doit être spécifiquement recueilli. Par ailleurs, la commission cible la problématique de l’information des personnes. La réutilisation des données à des fins de démarchage est régie par l’article 14 du RGPD. Considérée comme une collecte indirecte de données, il en résulte que la société qui procède à cette réutilisation doit en indiquer la source et, dans le cas précis, mentionner que les données sont issues de sources accessibles au public. Enfin, la CNIL rappelle que les sociétés procédant à la récupération des données doivent permettre aux personnes concernées d’exercer leur droit d’opposition, tel qu’il figure à l’article 21 du RGPD. Une personne peut faire valoir ce droit lorsqu’elle est inscrite sur une liste anti-prospection ; ainsi, les sociétés ayant recours à la récupération de données doivent prendre garde à paramétrer leurs outils de collecte de façon à ce que ces personnes ne soient pas ciblées. De même, la volonté des personnes ayant manifesté leur opposition à la prospection commerciale doit être garantie.
Les bonnes pratiques
Outre le respect des principes généraux, la CNIL émet des recommandations sur les bonnes pratiques qu’il convient d’adopter dans le domaine de l’utilisation de données pour démarchage. Même si elles sont publiquement accessibles, elles restent des données personnelles et doivent être traitées en tant que tel. La CNIL incite ainsi les entreprises à vérifier la nature et l’origine des données qu’elles traitent et à réaliser une analyse d’impact relative à leur protection lorsque cela semble nécessaire. Elle rappelle par ailleurs l’obligation d’informer les personnes concernées du traitement de leurs données. La CNIL souligne également l’importance d’encadrer la relation contractuelle avec les sous-traitants qui diffuseraient ou utiliseraient lesdites données.
La collecte automatique de données à caractère personnel, librement accessibles sur le web, n’a pas fini de soulever des interrogations du point de vue de la protection des données. Le libre accès à ces données ne saurait en aucune façon signifier qu’elles sont librement utilisables, encore moins à l’insu des personnes visées. En tout état de cause, les sociétés responsables de leur traitement et leur exploitation doivent redoubler de vigilance et adopter les bonnes pratiques pour garantir le respect du RGPD.