Nous sommes convaincus qu’à l’ère de la transformation numérique, l’exploitation des données représente un potentiel de croissance énorme pour les entreprises. C’est sans conteste une formidable source de progrès. Sur un autre registre, les données constituent un levier de taille pour répondre aux enjeux sociaux et environnementaux auxquels notre société fait face.
Onepoint, acteur engagé mixant technologie et humain, accompagne les organisations tout au long de leur démarche de prise en compte de la protection des données. A travers nos différentes missions, nous avons à cœur d’accompagner nos clients dans la mise en place de processus et politiques adaptés. Et cela, dans le respect des règles des protections de données.
Notre objectif est de vous aider à créer et développer la relation avec vos clients et prospects qui vous ressemble. Ce faisant, nous vous garantissons, un juste équilibre entre les intérêts business et une démarche éthique, responsable et conforme aux réglementations applicables à votre contexte.
C’est quoi la prospection commerciale ?
La prospection commerciale consiste à contacter de manière directe ou indirecte une ou plusieurs personnes dans le but de promouvoir des biens ou des services.
Il existe plusieurs canaux de prospection commerciale, à savoir :
- téléphonique (appel ou automates d’appel) ;
- par voie postale ;
- par envoi de mails ou sms.
Pourquoi la CNIL évoque le sujet de la prospection commerciale ?
La prospection commerciale est une démarche nécessitant le traitement de données à caractère personnel. Cette dernière doit donc être encadrée afin de répondre aux exigences applicables en la matière.
Comment encadrer la prospection commerciale ?
Il faut, dans un premier temps, définir la finalité du traitement des données à caractère personnel dans le cadre de la prospection commerciale puis la base légale (fondement juridique justifiant le traitement). Enfin, il faut informer de manière adéquate et transparente les personnes concernées par les traitements.
D’abord, concernant la finalité (c’est-à-dire l’objectif pour lequel les données à caractère personnel vont être traitées), deux peuvent être identifiées :
- La prospection commerciale proprement dite comme une activité de démarchage à destination des clients et des prospects ;
- La fidélisation des clients et entretien de la relation contractuelle (proposition des services analogues).
Il faut dans un second temps déterminer la base légale applicable.
Deux bases légales peuvent être envisagées en France
le consentement de la personne (par le biais d’un opt-in) ou l’intérêt légitime[1] (opt-out). Le choix de la base légale va varier en fonction de la finalité retenue et du canal utilisé pour la communication entre les responsables du traitement et les bénéficiaires de la communication :
- Lorsque le démarchage se fait par voie téléphonique ou par courrier postal, la base légale retenue sera l’intérêt légitime.
- Lorsque le démarchage se fait par voie électronique, SMS ou automates d’appel, la base légale retenue sera le consentement. Cependant, une exception existe dans le cadre de services analogues, permettant de retenir l’intérêt légitime plutôt que le consentement.
La détermination des services analogues se base sur les produits et/ou services que les clients ont achetés ou souscrits antérieurement ET pour lesquels ils pouvaient s’attendre à recevoir des prospections directes de la part du vendeur ou du prestataire. Par exemple, en cas d’achat d’une liseuse électronique sur un site e-commerce, des offres concernant la vente de livres électroniques seront considérées comme des services analogues. En revanche, le simple fait de s’inscrire sur un site sans avoir réalisé une commande ou d’ouvrir un mail ne permettent pas de proposer des services analogues.
Les différents cas de figure précédemment cités sont spécifiques au démarchage non-professionnel (B2C). En cas d’échange professionnel dans le cadre d’un démarchage (B2B), la base légale retenue sera l’intérêt légitime, peu importe le canal choisi (email, SMS, appel téléphonique, courrier postal).
Conséquences en fonction de la base légale déterminée ?
Il y aura des exigences propres à chaque fondement et d’autres qui seront communes en fonction de la base légale identifiée.
Exigences propres à chaque base légale
Consentement : renforcement des exigences applicables
C’est une des bases légales prévues par le RGPD sur laquelle peut se fonder un traitement de données personnelles. Le règlement européen n’a pas modifié substantiellement la notion de consentement. En revanche, il a clarifié sa définition et l’a renforcé, en l’assortissant de certains droits et garanties :
- Droit au retrait : la personne doit avoir la possibilité de retirer son consentement à tout moment, par le biais d’une modalité simple et équivalente à celle utilisée pour recueillir le consentement (par exemple : si le recueil s’est fait en ligne, il doit pouvoir être retiré en ligne également).
- Preuve du consentement : le responsable du traitement doit être en mesure de démontrer à tout moment que la personne a bien consenti, dans des conditions valides.
Pour ce faire, les responsables du traitement doivent documenter les conditions de recueil du consentement. La documentation doit permettre de démontrer :
- La mise en place de mécanismes permettant de ne pas lier le recueil du consentement, notamment à la réalisation d’un contrat (consentement « libre »);
- La séparation claire et intelligible des différentes finalités de traitement (consentement « spécifique[2] » ou « granularité du consentement ») ;
- La bonne information des personnes (consentement « éclairé ») ;
- Le caractère positif de l’expression du choix de la personne (consentement « univoque »).
Les responsables du traitement peuvent notamment tenir un registre des consentements, qui peut s’insérer dans la documentation plus générale de l’organisme.
Intérêt légitime : une balance d’intérêts
Un intérêt peut être considéré comme légitime dès lors que le responsable du traitement est en mesure de poursuivre cet intérêt dans le respect de la législation sur la protection des données et d’autres législations. Pour être pertinent, un « intérêt légitime » doit donc[3] :
- Être licite (c’est-à-dire conforme au droit en vigueur dans l’Union et dans le pays concerné) ;
- Être formulé en termes suffisamment clairs pour permettre l’application du critère de mise en balance avec l’intérêt et les droits fondamentaux de la personne concernée (c’est-à-dire suffisamment précis) ;
- Constituer un intérêt réel et présent (c’est-à-dire non hypothétique).
Dans le cadre du recours à l’intérêt légitime, il faudra s’assurer de communiquer aux personnes visées par le démarchage, leur droit de s’y opposer. Pour rappel, ce droit doit être explicitement porté à l’attention de la personne et présenté clairement et séparément de toute autre information[4].
Exigences communes aux deux bases légales
Dans tous les cas, il conviendrait de s’assurer que les personnes concernées sont informées du traitement de leurs données personnelles conformément à l’article 13 du RGPD. Le principe de transparence doit être appréhendé aussi bien au regard du fond que de la forme.
Le RGPD impose une information complète, précise et facilement accessible notamment :
- Informer qui fait quoi : qui est le responsable de traitement, le ou les sous-traitants le cas échéant ?
- Sur quoi : quelles données personnelles vont faire l’objet d’un traitement ?
- Sur quel fondement : quelle base légale est retenue ?
- Pendant combien de temps : quelles sont les durées de conservation ? A défaut de durées spécifiques mentionnées au sein du RGPD, il convient de se référer à la norme NS-048[5] apportant des précisions quant à la prospection commerciale[6]:
- Les données personnelles d’un prospect peuvent être conservées pendant trois ans soit à compter de leur collecte par le responsable de traitement soit à partir du dernier contact avec le prospect (par exemple : une demande de documentation ou un clic sur un lien hypertexte contenu dans un courriel ; en revanche, l’ouverture d’un courriel ne peut être considérée comme un contact émanant du prospect).
- Les données personnelles de clients peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale (par exemple : à compter d’un achat, du terme d’un contrat de prestations de services ou du dernier contact émanant du client).
Les modalités de fourniture et de présentation de cette information doivent être adaptées au contexte. La transparence permet aux personnes concernées :
- De connaître la raison de la collecte des différentes données les concernant ;
- De comprendre le traitement qui sera fait de leurs données ;
- D’assurer la maîtrise de leurs données, en facilitant l’exercice de leurs droits.
Point d’attention : les règles précédemment énoncées sont générales mais il existe des spécificités quant à certains secteurs. Par exemple, la prospection par téléphone est interdite lorsqu’elle a pour objet la vente d’équipements ou la réalisation de travaux visant à économiser l’énergie ou à produire des énergies renouvelables. Dans la même optique, le professionnel effectuant les opérations de démarchage dans le secteur des assurances doit indiquer des informations complémentaires au client dès le début de la conversation et ne pourra pas procéder à la signature du contrat pendant l’appel.
