Données personnelles et prospection commerciale avec Alan Walter, associé-fondateur du cabinet Walter Billet Avocats.
Catégorie
🗞
NewsTranscription
00:00On va parler données personnelles et prospection commerciale avec mon invité
00:15Alain Walter, associé fondateur du cabinet Walter Billet Avocat. Alain Walter bonjour.
00:20Bonjour Arnaud, merci de l'invitation.
00:22L'utilisation des données à des fins de prospection commerciale est strictement
00:27encadrée par des règles juridiques, on va le voir ensemble. Quels sont les différents
00:31fondements juridiques qui régissent l'utilisation des données à des fins de prospection commerciale ?
00:37Alors il y a réellement deux corpus législatifs qui viennent encadrer cette pratique.
00:43Le premier et qui n'est pas celui auquel on pense nécessairement c'est le code des postes
00:47et communications électroniques qui a instauré cette distinction entre l'opt-in et l'opt-out
00:53Très concrètement, avant de recevoir de la prospection commerciale je dois avoir donné
00:57mon consentement, sauf quelques très rares exceptions. Donc on n'envoie pas des mails
01:05de publicité sans avoir reçu le consentement, c'est long, tout simplement c'est du spam.
01:10Avec une légère inflexion au cours des dernières années où la CNIL est venue se prononcer sur la
01:16prospection commerciale B2B, en indiquant que si la prospection était dans le coeur d'activité de
01:23l'entreprise visée et que ça restait à vocation professionnelle, on pouvait assouplir cet opt-out.
01:29Et puis en surcouche du code des postes et communications électroniques, bien évidemment
01:34le RGPD, puisque toute prospection commerciale implique d'avoir collecté des données à
01:40caractère personnel pour pouvoir contacter la personne et puis pour pouvoir cibler la
01:46publicité qu'on adresse. Donc il convient de respecter dans ce cadre-là le RGPD avec
01:50sa querelle d'obligation que l'on connaît. Alors on va revenir sur une décision récente
01:55de la CNIL qui a condamné la société Casper à une somme de 240 000 euros. Pouvez-vous expliquer
02:02un peu les faits, la sanction et on verra après les perspectives de cette décision.
02:09La société Casper propose un plugin pour le navigateur internet qui permet de collecter des
02:14données à caractère personnel. Alors sans définir de finalité et d'usage particulier,
02:20vous pouvez enrichir votre base et évidemment envoyer de la prospection commerciale avec.
02:25Ce qui est reproché directement à Casper, c'est d'avoir permis à ses utilisateurs
02:30de collecter des données à caractère personnel directement sur LinkedIn et sans distinction des
02:36données collectées par rapport au choix qui avait été opéré par les différents utilisateurs quant
02:42à la diffusion de ces données. Donc cette décision est finalement assez peu surprenante
02:49dans ce qu'elle dit car elle nous dit qu'il faut une base légale pour traiter des données à
02:56caractère personnel. Alors ça peut être le consentement, ça peut être l'exécution d'un
02:59contrat, c'est le cas de l'employeur qui traite les données de son salarié et puis ça peut être
03:03l'intérêt légitime. Cette notion d'intérêt légitime est très large. La cour de justice
03:08de l'Union Européenne est venue la préciser, en fait même en la précisant, est venue l'élargir au
03:13mois d'octobre dernier en indiquant que l'intérêt légitime ça pouvait être de réaliser des actions
03:19de prospection commerciale car c'est l'intérêt de la société qui réalise cette prospection
03:24et donc c'est possible sous réserve bien évidemment que l'intérêt soit légitime et de ne pas porter
03:31atteinte aux droits des personnes. Donc il y a un test de proportionnalité qui va être réalisé
03:36entre l'intérêt de celui qui prospecte et les droits et en fait le dérangement de celui qui
03:42reçoit la prospection. Et la CNIL est très claire dans sa décision, elle nous dit l'intérêt légitime
03:50pas de problème mais à partir du moment où l'utilisateur a fait le choix de ne pas diffuser
03:55ses données à l'intégralité des utilisateurs de LinkedIn, ce choix prime il doit être respecté.
04:02Alors en quoi cette sanction ouvre-t-elle le champ des possibles pour des pratiques
04:07commerciales selon vous ? Ce qui est intéressant dans cette décision c'est surtout ce qu'elle ne
04:12dit pas, quand elle impose de respecter le choix de l'utilisateur et qu'elle impose de ne pas
04:18collecter des données pour lesquelles l'utilisateur a spécifiquement demandé à ce qu'elle soit
04:23restreinte, ça nous laisse penser que tout le reste je peux le collecter et donc mon intérêt légitime
04:30ne porterait pas atteinte aux droits des personnes si je collecte des données qu'elles ont librement
04:35mises en ligne sur internet et cette décision elle introduit une notion qui est assez intéressante
04:40qui parle des attentes légitimes des personnes. Effectivement si j'ai demandé à ce que mes données
04:46ne soient pas diffusées au delà de mon deuxième niveau de connexion sur LinkedIn, eh bien je peux
04:52légitimement me dire qu'un tiers ne va pas me contacter sur ces bases là. À l'inverse si je n'ai
04:58rien restreint, eh bien l'utilisation reste ouverte. Bien sûr, alors quels sont les risques qui sont
05:02encourus par les entreprises qui proposent des outils d'exploitation de données du type de
05:07Casper en cas de plainte d'utilisateur de LinkedIn ? Eh bien on a un petit peu recadré le débat avec
05:15cette décision en disant attention maintenant on a tracé de nouvelles lignes qu'il conviendra
05:20de ne pas franchir et donc de la collecte de données qui aura été plus ou moins restreinte
05:26dans leur diffusion par l'utilisateur exposent les sociétés qui collectent aux mêmes sanctions
05:31que celles qui ont été infligées à Casper. Pour vous c'est quoi les bonnes pratiques qui
05:35résultent de cette décision ? Il y aurait réellement une distinction à opérer et de pouvoir
05:42identifier en amont quelles données ont été restreintes, quelles données ont été librement
05:48et largement diffusées sur internet pour ne collecter que celles qui ont fait l'objet d'une
05:53diffusion large car on ne pourrait pas utiliser les autres, cela reviendrait à se mettre en
05:58infraction par rapport au RGPD. Alors sur LinkedIn on peut avoir un niveau, une granularité de
06:04sélection des données privées, publiques, voire il y a d'autres niveaux mais c'est pas toujours le
06:10cas sur d'autres plateformes. Effectivement. Donc ça laisse la porte ouverte à des contentieux
06:15peut-être ? Alors probablement parce qu'une plateforme qui ne permettrait pas du tout de
06:20restreindre la diffusion de ces données, on considérera nécessairement que le choix de
06:24l'utilisateur d'utiliser cette plateforme revient à accepter la diffusion large de ces données et
06:30donc à être prospecté sur cette base là. Donc est-ce qu'on va voir un infléchissement dans les
06:36usages ? Les prochains mois nous le dirons. Alors pour terminer peut-être un mot sur la jurisprudence
06:42sur ces questions. Est-ce qu'il y a déjà des décisions sur des questions de prospection
06:48commerciale et d'utilisation des données ? Oui ce sont des décisions qu'on connaît assez bien et
06:54qui sont en général très défavorables aux entreprises qui prospectent parce que celles
06:59qui jusqu'à présent ont été épinglées par la CNIL sont celles qui avaient vraiment des pratiques
07:03qui étaient totalement en dehors des cadres, là où la manière dont opérait Casper ne semblait pas
07:10être quelque chose de complètement ahurissant, du moins sur cette partie là. D'accord et donc à
07:16quoi on peut s'attendre dans les prochaines semaines selon vous ? Très probablement à une
07:20multiplication, pas nécessairement immédiatement des contrôles, mais probablement des plaintes
07:25adressées à la CNIL de ceux qui auront pu tirer les bons enseignements de ces décisions là. Bon
07:31on va suivre tout ça de près. Merci Alain Walter, je rappelle que vous êtes associé fondateur du
07:38cabinet Walter Bier, avocat. C'est le moment de se quitter, on va conclure cette émission. Merci de
07:44votre fidélité, restez curieux et informés. A très bientôt sur Bsmart for Change.