27/02/2018

Le 25 mai 2018, le GDPR (General Data Protection Regulation – Règlement Général sur la Protection des Données) imposera de nouvelles obligations aux entreprises, aux autorités publiques et plus généralement à toutes les personnes qui traitent des données à caractère personnel. Il ne nous paraît plus nécessaire d’introduire cette nouvelle règlementation, cependant nous constatons qu’il subsiste encore des doutes sur ses conséquences exactes.

De nombreuses entreprises se sont constitué au fil des années des bases de données contenant un grand nombre d’informations personnelles sur leurs clients (nom et prénom, adresse mail, téléphone, etc.). Avec l’entrée en vigueur prochaine du GDPR, il convient de se demander s’il est nécessaire que les clients donnent à nouveau leur consentement pour pouvoir continuer à utiliser leurs données après le 25 mai 2018.

Pour répondre à cette question, il faut tout d’abord rappeler la notion de consentement.

C’est quoi le consentement ?

Le consentement est, dans le contexte du GDPR, l’un des six motifs permettant de traiter légalement des données personnelles. Cependant, ce n’est pas la base juridique la plus appréciée étant donné les exigences qui encadrent le consentement. Pour être valide, le consentement doit être libre, spécifique, informé et non ambigu. En outre, toute personne ayant donné son consentement a le droit de le retirer à tout moment.

La demande de consentement doit être formulée dans un langage clair et compréhensible, et le consentement doit consister en une déclaration ou un acte positif univoque. L’opt-out et le soft opt-in (par exemple, une case pré-cochée ou un consentement tacite) sont donc exclus. Seule l’adhésion explicite sera en mesure d’aboutir à un consentement valable.

Notons que le consentement n’est pas indispensable pour pouvoir collecter des données personnelles et c’est pourquoi la plupart des entreprises essayent de trouver tant bien que mal un autre fondement légal. En effet, il existe d’autres justifications, par exemple lorsque les données sont nécessaires à un contrat ou à sa négociation (comme un contrat de travail), au respect d’une obligation légale (comme les obligations fiscales), à la sauvegarde des intérêts vitaux d’une personne (par exemple, en cas d’accident grave), à l’exercice d’une mission publique (pensez au travail des universités ou des services publics), ou encore au respect de l’intérêt légitime du responsable du traitement.

Ce dernier motif nous parait être une alternative intéressante au consentement. Il vous suffirait de justifier que l’utilisation des données se fait dans l’intérêt légitime de votre entreprise. Vous pouvez par exemple justifier ainsi l’envoi d’offres promotionnelles à vos clients existants pour des produits ou des services similaires à ceux déjà acquis.

Que faire avec ma base de données actuelle ?

Un consentement acquis avant le 25 mai 2018 reste valable s’il  a été obtenu dans le respect des conditions du GDPR. Par exemple, lorsque le consentement a été obtenu au moyen d’une case pré-cochée, il devra à nouveau être demandé.

Une piste envisageable pour pouvoir continuer à utiliser un maximum de données est celle d’une campagne de réactivation qui consiste à envoyer un e-mail à toutes les personnes qui se trouvent actuellement répertoriées dans votre base de données pour leur demander un nouvel opt-in. Forcément, vous risquez de faire face à un grand nombre de refus ou d’absence de réponse (ce qui équivaut à un refus sous le GDPR) mais si l’on voit le bon côté des choses, cela vous permettra de fidéliser vos clients, ceux qui sont réellement intéressés par vos produits ou services.

N’oublions pas la règlementation « e-Privacy» …

Le GDPR n’est pas le seul acteur à réglementer le traitement des données personnelles. L’actuelle Directive e-Privacy (bientôt remplacée par un Règlement) permet d’encadrer l’utilisation des données personnelles dans le secteur des communications électroniques. Elle s’applique notamment aux cookies et à l’e-marketing. La règlementation e-Privacy est une lex specialis par rapport au GDPR, ce qui signifie qu’elle prime sur le GDPR pour toutes les questions qu’elle règlemente spécifiquement.

Actuellement, le Directive e-Privacy impose d’obtenir le consentement préalable des personnes physiques pour l’envoi d’e-mails publicitaires (opt-in). Cette règle connaît toutefois quelques exceptions.

Conclusion

L’option la plus sûre est (re-)demander le consentement de votre clientèle via un opt-in. Le GDPR sera alors respecté et vous ne risquerez pas de vous faire taper sur les doigts lors d’un contrôle.

Le consentement n’étant pas l’unique base légale permettant un traitement de données personnelles, vous pourriez aussi invoquer votre « intérêt légitime » mais uniquement s’il existe un lien pertinent et approprié entre vous et la personne concernée, par exemple si la personne concernée est déjà cliente chez vous ou si elle est à votre service. La personne concernée doit dans tous les cas pouvoir s’attendre à ce que vous la contactiez à cette fin. Envoyer vos bons vœux à vos clients en fin d’année ou une newsletter mensuelle peut par exemple se justifier sur base de votre intérêt légitime.

Ecrit par Sophie Everarts