- Administratif
- Toute la matière
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Election
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Institution administrative
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Loi et traité
- > Mariage - Divorce - Couple
- > Procédure civile
- > Profession juridique et judiciaire
- > Responsabilité
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Toute la matière
- > Audiovisuel
- > Commerce électronique
- > Communications électroniques
- > Contrat – Responsabilité
- > Cyberdélinquance
- > Infrastructures et réseaux
- > Intelligence artificielle
- > Droits fondamentaux
- > Propriété industrielle
- > Propriété littéraire et artistique
- > Protection des données
- > Statut professionnel
- Pénal
- Toute la matière
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Droit international et communautaire
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Temps de travail
- Avocat
Article
Démarchage et collecte de données accessibles en ligne : bonnes pratiques
Démarchage et collecte de données accessibles en ligne : bonnes pratiques
En réaction à la réception de nombre de plaintes relatives à la prospection commerciale, la CNIL a publié le 30 avril 2020 un rappel des bonnes pratiques en matière de réutilisation des données publiquement accessibles en ligne à des fins de démarchage commercial.
par Cécile Crichtonle 13 mai 2020
La sanction prononcée à l’encontre de la société Futura Internationale marque-t-elle le début d’une vigilance renforcée de la CNIL à l’égard de la prospection commerciale (CNIL, délib. n° SAN-2019-010, 21 nov. 2019, Dalloz IP/IT 2019. 130, obs. S. Staub et A. Chauveau Maulini ; Dalloz actualité, 17 déc. 2019, obs. A. Leon) ? C’est ce que laisse entendre son communiqué de presse du 30 avril 2020, qui porte spécifiquement sur la réutilisation de données publiquement accessibles en ligne.
La prospection commerciale est en effet facilitée par l’utilisation d’outils de recherche et d’extraction automatique de données figurant sur le web. La CNIL cite à cet égard les exemples d’outils de « pige immobilière » ou les données extraites des annuaires en ligne. Bien que ces outils accordent l’économie d’un temps précieux pour leurs utilisateurs, leur automaticité n’offre pas la conformité attendue par le Règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (ci-après « RGPD ») et la loi « Informatique et Libertés » n° 78-17 du 6 janvier 1978. À l’issue de contrôles réalisés en 2019, la CNIL a soulevé trois principes non respectés : l’information des personnes, leur consentement et leur droit d’opposition.
Information des personnes. La CNIL ne précise pas en quoi l’information des personnes prévue aux articles 12, 13 et 14 du RGPD ne serait pas respectée, hormis que l’information doit particulièrement porter sur « la source des données ». En effet, la réutilisation des données à des fins de démarchage est considérée comme une collecte indirecte de données régie par l’article 14 du RGPD, qui précise en son point 2, f) que la personne est informée de « la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ». La CNIL précise enfin que cette information doit être fournie « au plus tard au moment de la première communication avec les personnes dont les données sont traitées ».
Consentement des personnes. Il est nécessaire, rappelle la CNIL, de recueillir un consentement libre, spécifique, éclairé et univoque tel que l’imposent les articles 4. 11, relatif à la définition du consentement, 6, relatif à la licéité du traitement, et 7, relatif aux conditions applicables au consentement. La CNIL précise à ce titre que « l’acceptation par un internaute, de manière générale et indifférenciée, des conditions d’utilisation (CGU) d’un service ne peut être assimilée à un consentement spécifique, même si ces conditions d’utilisation informeraient l’internaute de son engagement à recevoir de la prospection commerciale par voie électronique ». Elle expose également que le consentement doit être donné avant la mise en œuvre de la prospection.
Droit d’opposition des personnes. Le droit d’opposition, figurant à l’article 21 du RGPD, en matière de réutilisation des données publiquement accessibles en ligne à des fins de démarchage commercial, est mobilisable selon la CNIL dans deux cas : d’une part, pour régler les outils utilisés de manière à ne pas collecter les données des personnes inscrites sur des listes anti-prospection ou sur le dispositif BLOCTEL, et d’autre part, pour ne pas démarcher des personnes s’étant déjà opposées à la prospection commerciale. À cet égard, la sanction prononcée à l’encontre de Futura Internationale est intéressante (CNIL, délib. n° SAN-2019-010, préc.). La CNIL reprochait à la société de ne pas mettre en place un dispositif permettant l’exercice effectif du droit d’opposition tant de manière centralisée au sein de sa structure qu’auprès de ses sous-traitants en charge des centres d’appel. Reste à déterminer si cette obligation pèsera également tant sur les éditeurs des outils de collecte que sur les clients qui les utilisent à des fins de démarchage.
Bonnes pratiques. Après avoir déterminé les mesures sur lesquelles les utilisateurs d’outils d’extraction automatique de données à des fins de démarchage doivent porter leur attention, la CNIL fournit quelques indications quant aux bons réflexes à adopter, qu’il convient de reproduire :
- vérifier la nature et l’origine des données ;
- minimiser la collecte de données ;
- informer les personnes concernées par le traitement de leurs données ;
- encadrer la relation contractuelle avec les sous-traitants ;
- réaliser, si nécessaire, une analyse d’impact relative à la protection des données.
Perspectives. Le caractère automatique de l’extraction de données à caractère personnel divulguées sur le web soulève bien entendu des interrogations pratiques. Comment s’assurer que le logiciel collectera uniquement les données de personnes qui ont effectivement consenti à faire l’objet d’une prospection commerciale ? Une vérification manuelle priverait l’utilité d’une telle solution logicielle et une vérification automatisée serait imparfaite. Le RGPD sonnerait-il ainsi le glas des outils d’extraction automatisée de données à des fins de démarchage commercial ?
Sur le même thème
-
Pourquoi le fichier de traitement des antécédents judiciaires suscite toujours des critiques
-
Panorama rapide de l’actualité « Technologies de l’information » des semaines des 21 et 28 octobre 2024
-
Validité de la captation des données EncroChat : recours préalable obligatoire devant les juridictions françaises
-
Quand l’excès de protection des données peut nuire à la concurrence
-
Consécration de la dualité des régimes de géolocalisation par la chambre criminelle
-
RGPD : précisions sur la notion d’établissement principal dans le cadre du mécanisme du guichet unique
-
Données de santé : point d’étape sur le Health Data Hub
-
Droit de la concurrence et droit de la protection des données : la nécessaire coopération des autorités compétentes
-
Stratégie européenne pour les données : adoption du Data Act par le Conseil de l’Union européenne
-
Haro de la Cour de justice sur les services d’aide à la décision !