Accueil
Le quotidien du droit en ligne
-A+A
Article

Démarchage et collecte de données accessibles en ligne : bonnes pratiques

En réaction à la réception de nombre de plaintes relatives à la prospection commerciale, la CNIL a publié le 30 avril 2020 un rappel des bonnes pratiques en matière de réutilisation des données publiquement accessibles en ligne à des fins de démarchage commercial.

par Cécile Crichtonle 13 mai 2020

La sanction prononcée à l’encontre de la société Futura Internationale marque-t-elle le début d’une vigilance renforcée de la CNIL à l’égard de la prospection commerciale (CNIL, délib. n° SAN-2019-010, 21 nov. 2019, Dalloz IP/IT 2019. 130, obs. S. Staub et A. Chauveau Maulini ; Dalloz actualité, 17 déc. 2019, obs. A. Leon) ? C’est ce que laisse entendre son communiqué de presse du 30 avril 2020, qui porte spécifiquement sur la réutilisation de données publiquement accessibles en ligne.

La prospection commerciale est en effet facilitée par l’utilisation d’outils de recherche et d’extraction automatique de données figurant sur le web. La CNIL cite à cet égard les exemples d’outils de « pige immobilière » ou les données extraites des annuaires en ligne. Bien que ces outils accordent l’économie d’un temps précieux pour leurs utilisateurs, leur automaticité n’offre pas la conformité attendue par le Règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (ci-après « RGPD ») et la loi « Informatique et Libertés » n° 78-17 du 6 janvier 1978. À l’issue de contrôles réalisés en 2019, la CNIL a soulevé trois principes non respectés : l’information des personnes, leur consentement et leur droit d’opposition.

Information des personnes. La CNIL ne précise pas en quoi l’information des personnes prévue aux articles 12, 13 et 14 du RGPD ne serait pas respectée, hormis que l’information doit particulièrement porter sur « la source des données ». En effet, la réutilisation des données à des fins de démarchage est considérée comme une collecte indirecte de données régie par l’article 14 du RGPD, qui précise en son point 2, f) que la personne est informée de « la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ». La CNIL précise enfin que cette information doit être fournie « au plus tard au moment de la première communication avec les personnes dont les données sont traitées ».

Consentement des personnes. Il est nécessaire, rappelle la CNIL, de recueillir un consentement libre, spécifique, éclairé et univoque tel que l’imposent les articles 4. 11, relatif à la définition du consentement, 6, relatif à la licéité du traitement, et 7, relatif aux conditions applicables au consentement. La CNIL précise à ce titre que « l’acceptation par un internaute, de manière générale et indifférenciée, des conditions d’utilisation (CGU) d’un service ne peut être assimilée à un consentement spécifique, même si ces conditions d’utilisation informeraient l’internaute de son engagement à recevoir de la prospection commerciale par voie électronique ». Elle expose également que le consentement doit être donné avant la mise en œuvre de la prospection.

Droit d’opposition des personnes. Le droit d’opposition, figurant à l’article 21 du RGPD, en matière de réutilisation des données publiquement accessibles en ligne à des fins de démarchage commercial, est mobilisable selon la CNIL dans deux cas : d’une part, pour régler les outils utilisés de manière à ne pas collecter les données des personnes inscrites sur des listes anti-prospection ou sur le dispositif BLOCTEL, et d’autre part, pour ne pas démarcher des personnes s’étant déjà opposées à la prospection commerciale. À cet égard, la sanction prononcée à l’encontre de Futura Internationale est intéressante (CNIL, délib. n° SAN-2019-010, préc.). La CNIL reprochait à la société de ne pas mettre en place un dispositif permettant l’exercice effectif du droit d’opposition tant de manière centralisée au sein de sa structure qu’auprès de ses sous-traitants en charge des centres d’appel. Reste à déterminer si cette obligation pèsera également tant sur les éditeurs des outils de collecte que sur les clients qui les utilisent à des fins de démarchage.

Bonnes pratiques. Après avoir déterminé les mesures sur lesquelles les utilisateurs d’outils d’extraction automatique de données à des fins de démarchage doivent porter leur attention, la CNIL fournit quelques indications quant aux bons réflexes à adopter, qu’il convient de reproduire :

  • vérifier la nature et l’origine des données ;
  • minimiser la collecte de données ;
  • informer les personnes concernées par le traitement de leurs données ;
  • encadrer la relation contractuelle avec les sous-traitants ;
  • réaliser, si nécessaire, une analyse d’impact relative à la protection des données.

Perspectives. Le caractère automatique de l’extraction de données à caractère personnel divulguées sur le web soulève bien entendu des interrogations pratiques. Comment s’assurer que le logiciel collectera uniquement les données de personnes qui ont effectivement consenti à faire l’objet d’une prospection commerciale ? Une vérification manuelle priverait l’utilité d’une telle solution logicielle et une vérification automatisée serait imparfaite. Le RGPD sonnerait-il ainsi le glas des outils d’extraction automatisée de données à des fins de démarchage commercial ?