Blog Données personnelles
La prospection directe : l’obligation de recueillir le consentement préalable renforcée par le projet de Règlement ePrivacy
L’article L34-5 du code des postes et des communications électroniques (« ci après CPCE »), issu de la loi de transposition des directives du « Paquet télécom », prévoit l’obligation pour le responsable de traitement de recueillir le consentement préalable de la personne concernée avant l’envoi de prospection électronique, par email, sms ou mms.
La directive 2002/58/CE dont est issu ce texte fait aujourd’hui l’objet d’une révision. En effet, le projet de Règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques dit « Règlement ePrivacy » abrogerait cette directive.
Or, ce projet présente aujourd’hui une conception plus stricte de l’obligation de recueillir le consentement avant l’envoi de prospection directe alors même que l’application du Règlement européen sur la protection des données personnelles traduit le principe « d’accountability » qui responsabilise davantage les acteurs et aurait pu permettre d’assouplir cette obligation.
Revenons tout d’abord sur l’obligation de recueillir le consentement préalable dont le principe reste inchangé avant d’étudier la définition plus large de la prospection directe telle que prévue par le projet de Règlement e-Privacy.
I. Le consentement préalable à la prospection directe par voie électronique
L’obligation de recueillir le consentement préalable s’applique à la prospection directe par voie électronique dans le cadre des relations B2C.
Cette obligation varie selon le moyen de prospection utilisé. En effet, le recueil du consentement préalable est nécessaire quand la prospection est réalisée par voie électronique (mail, mms, sms). A l’inverse, lorsque celle-ci est réalisée par téléphone, le consentement n’est pas nécessaire [1].
Cette obligation varie également selon la qualité du destinataire. Lorsque la prospection, adressée à un professionnel (B2B), est en lien avec son activité, alors le consentement préalable n’est pas nécessaire. La personne concernée devra être informée du traitement et de son droit de s’y opposer. Par exemple, une opération de prospection destinée à vanter les performances d’un logiciel de gestion de facturation adressée à un membre d’une direction financière, sur son adresse professionnelle, ne nécessitera pas le consentement préalable dès lors que la personne est informée du traitement et de son droit d’opposition. A l’inverse, si la prospection concerne l’achat d’un appartement ou d’une voiture, sans lien avec son activité professionnelle, le consentement préalable sera nécessaire.
Enfin, l’obligation varie selon le contenu de la prospection. Ainsi, lorsque celle-ci concerne des services analogues à ceux déjà fournis par l’entreprise à cette personne, celle-ci peut raisonnablement s’attendre à recevoir une telle prospection. Par conséquent, le consentement n’est pas requis. En tout état de cause, la personne concernée devra être à nouveau être mesure d’exercer son droit d’opposition à la prospection, à chaque nouvelle sollicitation et ce, quelque soit le type de prospection.
En outre, si la directive de 2002 parle de « prospection directe », la CNIL précise que le consentement n’est pas nécessaire lorsque la prospection n’est pas de nature commerciale. C’est notamment le cas, par opposition, lorsqu’elle est de nature caritative.
A ce titre, les actions de prospection directe réalisées par des organismes à but non lucratifs soulèvent une interrogation quant à la nature de la prospection. En effet, ces derniers réalisent de nombreuses opérations qui participent à la promotion de leurs activités. Ils peuvent alors recourir à des fichiers loués à des sociétés spécialisées notamment dans le cadre d’une campagne de dons en faveur d’une cause déterminée.
Le G29 avait, dans un avis rendu en 2004 [2], précisé que l’article 13 de la Directive de 2002 devait s’appliquer aux collectes de fonds précisant que « L’avis du groupe de travail est que l’article 13 de la directive 2002/58/CE englobe par conséquent toute forme de promotion des ventes, y compris la prospection directe réalisée par les associations caritatives et les organisations politiques (par ex. collecte de fonds, etc.). » rappelant toutefois la possibilité aux Etats membres de préciser le contours de ces obligations.
C’est sur ce fondement que la CNIL avait consacré une exception pour les prospections de nature caritative sans en définir précisément les contours. L’exception prévue par la CNIL mentionne uniquement « une prospection qui « n’est pas de nature commerciale (caritative par exemple) » sans préciser si le caractère caritatif s’apprécie au regard de l’organisme qui réalise cette opération ou quant à la nature de la prospection.
Ainsi, une distinction avait pu être établie selon le contenu de la prospection. Lorsqu’il s’agit d’une campagne de prospection délivrant de l’information sur les activités de l’association, la prospection est de nature caritative et le consentement préalable n’est pas requis. A l’inverse, si la prospection est réalisée par un organisme à but non lucratif, dont l’activité n’est pas commerciale, mais qu’elle invite la personne concernée à participer financièrement à ses activités au moyen d’un don, on peut s’interroger sur la nature de la prospection.
Le projet de Règlement e-Privacy vient uniformiser l’application de ces dispositions avec une conception plus large et aujourd’hui contestée.
II. Une définition extensive de la prospection directe
Le projet de Règlement e-Privacy présenté par la Commission Européenne le 23 octobre 2017, reprend en son article 16 le même principe de consentement préalable à la prospection directe par la voie électronique, consacré par la directive de 2002. En effet, l’article 16, paragraphe 1 dispose que :
« 1. L’utilisation par des personnes physiques ou morales de services de communications électroniques, notamment les systèmes automatisés d’appel, les systèmes de communication, les systèmes semi-automatisés qui relient la personne appelée à une personne physique, les télécopies, les courriels ou l’utilisation autre de services de communications électroniques pour la présentation ou l’envoi de communications de prospection directe aux utilisateurs, n’est autorisée que pour les utilisateurs ayant donné leur consentement préalable. ».
Le projet de règlement e-Privacy, reprend la même exception, au 2ème alinéa de l’article 16, en ce qui concerne les services analogues pour lesquels le consentement n’est pas requis « si le client se voit donner clairement et expressément la faculté de s’opposer, sans frais et de manière simple, à une telle exploitation. »
Toutefois, ce projet de Règlement définit la prospection directe de manière plus large que la Directive de 2002 telle qu’interprétée par la CNIL. En effet, il définit au Considérant 32 la prospection directe comme : « toute forme de publicité à laquelle s’adonne une personne physique ou morale pour adresser directement des communications de prospection à un ou plusieurs utilisateurs finaux identifiés ou identifiables de services de communications électroniques, qu’elle qu’en soit la forme. »
Le même considérant précise en outre le contenu de la prospection : « Outre l’offre de produits et de services à des fins commerciales, la notion devrait s’étendre également aux messages que les partis politiques envoient à des personnes physiques, en recourant aux services de communications électroniques, afin d’assurer leur promotion. Il devrait en être de même pour les messages envoyés par d’autres organisations à but non lucratif pour servir les objectifs de l’organisation ».
Ainsi, toute prospection, quelle qu’en soit la forme, effectuée par un organisme à but non lucratif pour servir ses objectifs, constitue une prospection directe au regard des dispositions du projet de Règlement ePrivacy et nécessite le recueil du consentement préalable de la personne concernée.
Ces dispositions doivent être analysées à la lumière du RGPD qui renforce dans le même temps les conditions de validité du consentement. En effet, le considérant 32 précise en effet que celui-ci doit être donné « par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant ». Concrètement, le consentement pourra ainsi s’exprimer au moyen d’une case à cocher - les cases pré-cochées étant à proscrire - et devra être spécifique. Par exemple, « J’accepte de recevoir des emails en lien avec les activités de l’association ».
Le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement. En outre, il devra être en mesure de démontrer que le consentement exprimé était éclairé, c’est-à-dire que la personne a été informée des conditions du traitement mis en œuvre conformément à l’article 13 du RGPD qui renforce le contenu de l’obligation d’information.
A l’expression de ce consentement actif s’ajoute le droit pour la personne concernée de le retirer à tout moment sans remettre en cause la licéité du traitement fondé sur ce consentement. Cela signifie toutefois que les organismes devront mettre en mesure la personne concernée de retirer le dit consentement à tout moment.
* *
Cette définition extensive retenue par le projet de Règlement e-Privacy est contestable dans la mesure où le RGPD renforce d’ores et déjà les obligations du responsable de traitement, notamment sur le contenu de l’information à délivrer à la personne concernée et sur l’exercice de ses droits. La nécessité de recueillir le consentement des personnes concernées rend plus difficiles les opérations de prospection réalisées par les organismes à but non lucratif, alors même qu’on aurait pu retenir une exception dès que l’objet de celui qui est à l’origine de la prospection, n’est pas de nature commerciale, en particulier pour les organismes à but non lucratif et associations.
On ne peut que souhaiter que cette obligation soit assouplie dans une version ultérieure du texte dont l’adoption, qui était prévue avant le 25 mai 2018, est encore repoussée.
Cette question du recueil du consentement est un enjeu majeur qui oppose d’un côté les représentants des plateformes de commerce électronique qui voient dans ces dispositions un frein au développement de leurs opérations commerciales et de l’autre, ceux qui restent très attachés à l’expression du consentement et à la maîtrise de leurs données personnelles par ces acteurs.
La mise en œuvre de ces dispositions nécessitera la recherche d’un équilibre permettant de concilier l’intérêt légitime des premiers et le respect des droits des seconds, une question classique de mise en balance des intérêts en présence caractéristique de la protection des données et encore d’actualité en 2018.
[1] A l’exception des automates d’appel pour lesquels le consentement est requis.
[2] Avis 5/2004 portant sur les communications de prospection directe non sollicitées selon l’article 13 de la Directive 2002/58/CE