I. La confusion initale entre données confidentielles et données personnelles

Il existe une confusion bien présente chez un grand nombre d’organisations lorsqu’il s’agit de constituer des fichiers de personnes à démarcher.

Il n’est pas rare que des entreprises justifient leurs campagnes de démarchage en invoquant le fait que les données personnelles qu’elles utilisent sont issues de bases de données publiques et librement accessibles.

Le fait que des données personnelles soient publiques accessibles par tous ne constitue pas une justification suffisant pour les récupérer et les utiliser.

Au sens du RGPD, on peut affirmer que le caractère public (non confidentiel) des données personnelles ne constitue pas une « base légale » à la collecte et au traitement des données.

Aujourd’hui encore, un grand nombre de données sont récupérées par des sociétés sur des sites web, des annuaires en lignes, des forums, des réseaux sociaux ou encore des sites web d’annonces entre particuliers pour être compilées, structurées, voire enrichies pour être ensuite utilisées comme bases de prospection.

La problématique reste de savoir si les personnes concernées par la prospection :

• Ne se sont pas opposées au démarchage commercial
• Ont bien donné leur accord, leur consentement au sens du RGPD, pour que de tels fichiers de données personnelles soient collectés et exploités commercialement (sauf exceptions particulières prévues par le RGPD).

Cette problématique concerne aussi la responsabilité des organisations selon leur rôle constitutif dans la démarche de prospection :

• Les organisations qui constituent des bases de données pour les revendre à d’autres organisations qui démarchent elles-mêmes les personnes (en BtoB ou BtoC),
• Les organisations qui constituent et exploitent elles-mêmes ces bases de données en prospection pour revendre les résultats issus de la prospection à leurs clients,
• Les organisations qui collectent pour leur propre compte ces données pour réaliser elles-mêmes du démarchage commercial.

II. Les pratiques spécifiques de recours à des logiciels d’extraction de données (webscraping ou web crawling)

Le recours à un logiciel d’extraction (ou web scraping en anglais, pour  extraction de données, grattage d’écran ou Web récolte) permet de collecter automatiquement des coordonnées de contact des internautes dans tous les formats de site web publics de l’Internet, voire à partir de comptes privés. Le but du scraping est de pouvoir finalement collecter et exporter les données d’un site web pour le présenter dans un format plus exploitable pour  la prospection, soit constituer un fichier de prospects sleon la démarche de propection envisagée.

On l’a compris, les données publiquement accessibles sont avant tout des données personnelles et ne sont donc pas librement réutilisables, ni exploitables par défaut.

Les bonnes pratiques pour utiliser un logiciel d’aspiration de données

• Vérifier la nature et l’origine des données

Les entreprises qui souhaitent utiliser des données librement accessibles en ligne doivent s’assurer qu’elles disposent d’une base légale appropriée afin de collecter ces données et  s’assurer donc de la nature et de l’origine des données collectées : s’agit-t-il de données personnelles, voire sensibles ? La personne concernée a-t-elle autorisé le cédant à titre gratuit ou onéreux ?, Etc.  

• Vérifier si les conditions générales d’utilisation (CGU) du site web concerné par l’extraction des données autorisent l’extraction de données.

Les CGU du site n’interdisent-t-elles pas l’aspiration et la réutilisation des données à des fins commerciales, notamment dans le cas de données récupérées en environnement logué ? Dans cette hypothèse, cette pratique n’est donc pas autorisée.

• Informer les personnes concernées par le traitement de leurs données

Pour respecter l’équilibre entre les intérêts des sociétés ayant recours à ces logiciels et les intérêts des personnes concernées, il est primordial que la société utilisant le logiciel d’aspiration de données fournisse, au plus tard au moment de la première communication avec les personnes dont les données sont traitées, les informations prévues à l’article 14 du RGPD et notamment celle relative à la source des données. L’information doit être concise, compréhensible et aisément accessible aux personnes concernées.

• Recueillir un consentement libre, éclairé et univoque

Il est nécessaire de s’assurer du caractère libre, spécifique, éclairé et univoque du consentement. Il faut donc expliquer avec clarté et transparence l’objectif de collecte et d’utilisation prévue des données personnelles.

L’acceptation par un internaute, de manière générale et indifférenciée, des conditions d’utilisation (CGU) d’un service ne peut être assimilée à un consentement spécifique,

Et cela même si les conditions d’utilisation informent l’internaute de son engagement à recevoir de la prospection commerciale par voie électronique.

• Obtenir un consentement spécifique pour tout nouvel objectif de prospection partenaire

Même si les personnes qui ont donné leur accord à un première organisation qui a collecté leurs données (un premier responsable de traitement),  une nouvelle prospection commerciale par une autre organisation qui réutilise ces données ne sera possible qu’avec leur consentement.

De même, lorsqu’une société réutilise des données publiquement accessibles sur l’Internet afin d’effectuer de la prospection directe concernant ses produits et services par message électronique ou automate d’appels, elle doit impérativement recueillir le consentement des personnes avant ces actions.

• Respecter le droit d’opposition prévu par le RGPD

Lorsque la société démarche commercialement les personnes par un autre moyen (par exemple par démarchage téléphonique sans automate d’appel), les logiciels doivent permettre de ne pas collecter les données des personnes inscrites sur des listes anti-prospection auprès d’un opérateur téléphonique ou auprès du dispositif BLOCTEL.

• Adapter les modalités d’exercice du consentement et du droit d’opposition, selon que le démarchage a lieu par voie postale et téléphonique ou par email.

Cela concerne, en lien avec le RGPD, la directive ePrivacy et le code des postes et communications électroniques notamment l’article L34-5, ainsi que la nature des publics concernés (BtoB ou BtoC). Voir nos autres articles à cet effet.

• Minimiser la collecte de données

Se montrer vigilant pour éviter la collecte d’informations non pertinentes ou excessives, notamment si elles sont sensibles (par exemple des informations sur la santé, la religion ou l’orientation sexuelle des personnes).

• Mettre à jour les contrats entre les  clients et l’organsiation  en sa qualité de sous-traitant :

Lorsque vous êtes prestataire et agissez en qualité de sous-traitant au sens du RGPD, vos contrats de sous-traitant avec votre client doit :

• rappeler la responsabilité de votre client (le responsable du traitement) concernant les traitements mis en œuvre pour son compte
• rappeler vos rôles et responsabilités de sous-traitant exécutant ses missions sur son ordre et pour le compte de son client.
• respecter l’ensemble des exigences de l’article 28 du RGPD à reporter dans votre contrat de prestations, en définissant :
  • • l’objet et la durée du traitement ;
    • la nature et la finalité du traitement ;
    • le type de données personnelles ;
    • les catégories de personnes concernées ;
    • les obligations et les droits du responsable du traitement
    • vos obligations envers le responsable de traitement avec les mesures mises en œuvre et en cas de violation l’assistance que vous pouvez lui apporter.

III. Rappels utiles sur la prospection commerciale des personnes par des partenaires

L’article 21 du RGDP (Droit d’opposition) édicte dans son alinéa 2, que « lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection ».

Dans l’alinéa 3, ce même article précise que « lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins ».

En outre et comme l’a déjà rappelé la CNIL à maintes reprises, les données personnelles publiquement accessibles  « ne sont pas librement réutilisables par tout responsable de traitement et ne peuvent être réexploitées à l’insu de la personne concernée» (https://www.cnil.fr/fr/la-reutilisation-des-donnees-publiquement-accessibles-en-ligne-des-fins-de-demarchage-commercial)

Selon ces principes et à l’occasion de la publication en février 2022 du nouveau référentiel relatif aux traitements de données à caractère personnel mis en oeuvre aux fins de gestion commerciale, la CNIL a reprécisé les règles en matière de prospection commerciale.

Ainsi, dernièrement la CNIL a mis en demeure tois organismes pour avoir transmis sans consentement préalable et/ou sans information préalable des personnes concernées, des données à caractère personnel à des partenaires à des fins de prospection commerciale par téléphone et ou courriel :

• L’un des organismes avait transféré des données à caractère personnel à certains de ses partenaires qui souhaitaient réaliser des actions de prospection par téléphone. L’organisme en question n’avait pas informé les personnes concernées de ce transfert de données à ses partenaires, alors que c’est un préalable obligatoire (articles 13 et 14 du RGPD) 
• Les trois organismes avaient aussi transféré des données à caractère personnel à leurs partenaires afin que ceux-ci puissent lancer des actions de prospection par courrier électronique et par SMS, sans toutefois avoir pris le soin de recueillir le consentement préalable des personnes concernées. 

La CNIL a donc constaté que les traitements de données invoqués étaient alors dépourvus de « base légale » autorisant les traitements. Dans le cadre, de telles démarches commerciales, il convient donc de faire attention à l’opt-in partenaire et cela concerne aussi bien celui qui transmet les données que celui qui les reçoit, qui doit à son tour recueillir l’accord des personnes.