• Données personnelles

    par brm_admin

    Opt-in partenaire : le consentement à des tiers non mentionnés explicitement n’en est pas un selon l’ICO

    L’Information Commissionner’s Office, organe indépendant chargé de la protection des données personnelles en Grande-Bretagne et équivalent de la CNIL en France, a condamné quatre sociétés à diverses amendes pour avoir procédé à des opérations de démarchage téléphonique ou des campagnes de prospection par voie électronique (emails, sms…) de façon irrégulière.

    La législation britannique, et notamment les articles 19 à 23 de The Privacy and Electronic Communications (EC Directive) Regulations 2003, prévoit qu’une personne ne peut recevoir de prospection commerciale (emails, sms, appels automatisés) de la part d’une société si celle-ci n’a pas préalablement exprimé son consentement. S’agissant de la prospection par téléphone, la personne a la faculté d’exprimer son opposition aux démarchages directement auprès de la société concernée, ou en enregistrant son numéro sur une liste officielle[1] équivalente de Bloctel.

    En l’espèce, les quatre sociétés mises en cause avaient obtenu auprès de sociétés tierces des bases de données qui ont été exploitées pour des opérations de prospection commerciale par téléphone, emails, sms ou appels automatisés.

    1. Le non-respect de la liste d’opposition au démarchage téléphonique

    Dans une première décision du 11 janvier 2017, l’ICO sanctionne une société pour avoir contacté des personnes qui étaient inscrites sur la liste d’opposition au démarchage téléphonique.

    La législation anglaise prévoit qu’il est possible de condamner les personnes inscrites sur la liste d’opposition après avoir recueilli explicitement leur consentement. La société mise en cause n’ayant pas respecté cette obligation, l’ICO a décidé de la sanctionner à une amende de 40,000 livres.

    1. Les précisions de l’ICO sur les règles de l’opt-in partenaire

    Par trois décisions respectivement du 27 janvier, du 13 février et du 3 mars 2017, l’ICO est venu sanctionner le non-respect du recueil du consentement. L’ICO considère que le consentement donné par l’utilisateur à une première société ne permet pas aux sociétés tierces d’utiliser ce consentement, si celles-ci ne sont pas mentionnées expressément lors de la collecte du consentement initial.

    En l’espèce, l’utilisateur avait effectivement accepté que ses données pourraient être transmises à d’autres sociétés. Mais pour l’ICO, le fait d’accepter ce transfert n’entraîne pas de facto un consentement au profit de la société de démarchage, si la société n’était pas spécifiquement nommée lors du recueil du consentement initial.

    L’ICO pose diverses conditions pour que le consentement soit considéré comme valable :

    • Il faut que les données aient été collectées de manière loyale ;

    • Il faut vérifier que le consentement ait bien été donné ;

    • Il faut que le consentement soit récent et éclairé ;

    • La mention d’une « société tierce » n’est pas suffisante, il faut que la société soit nommément désignée au moment de l’accord, de manière claire et spécifique. À défaut, la désignation d’une catégorie de sociétés à laquelle elle appartient est possible, à condition que cette description soit assez précise pour l’utilisateur.

    Les obligations des « Data buyers »

     Selon l’ICO, la société qui achète une base de données auprès d’un tiers, doit elle-même s’assurer de la qualité du consentement recueilli.

    L’ICO donne d’ailleurs une série de questions que cette dernière doit se poser :

    • Comment et quand le consentement a été obtenu ?

    • Qui a reçu le consentement et dans quel contexte ?

    • Quelle méthode a été utilisée (opt-in ou opt-out) ?

    • Est-ce que l’information a été donnée de manière claire ? Comment cette information a été dispensée ? (mention dans un formulaire, pop-up, page dédiée…)

    • Est-ce que l’information détaille les différents canaux de démarchage ? (sms, e-mails ou appels automatiques)

    • Est-ce que l’information dispensée liste les sociétés par nom, description ou est-ce que le consentement est donné de façon générique « aux partenaires » ?

    • Est-ce que la société qui commercialise la base de données est membre d’une association professionnelle ?

    Les obligations des « Data sellers »

     L’ICO vient aussi préciser que les data sellers doivent apporter la preuve du moment et de la façon dont le consentement a été obtenu, ainsi que de l’étendue de l’information dispensée à la personne. À défaut, les données ne peuvent être utilisées par le data buyer.

    Les condamnations prononcées varient de 20,000 à 270,000 livres en fonction de l’ampleur des démarchages effectués (plus de 5 millions d’appels automatisés non autorisés pour la plus grosse amende prononcée).

    1. Conclusion

    Dans la droite ligne de la délibération n° 2015-155 du 1er juin 2015 prononcée par la CNIL à l’encontre de la société Prisma, l’ICO vient ici préciser les règles à respecter pour le recueil de l’opt-in partenaire.

    Ainsi, la société qui collecte des données auprès d’une autre société doit s’assurer du recueil  d’un consentement libre, éclairé et mentionnant précisément le type de démarchage et la société bénéficiaire lors du recueil du consentement initial. C’est au vendeur du fichier d’apporter à l’acheteur du fichier la preuve du recueil de consentement valable.

    À défaut, le consentement doit être sollicité par le vendeur, avant le transfert des données à ladite société. Une autre solution consiste pour la société acquéreuse du fichier de données à solliciter elle-même le consentement lors de l’acquisition du fichier « clients » auprès des personnes concernées. Solution qui n’est toutefois pas sans impact, le risque n’étant d’obtenir qu’un nombre restreint de consentement.

    Pour rappel, ces obligations en France peuvent, depuis la loi pour une République Numérique, dite « loi Lemaire », du 7 octobre 2016, être sanctionnées d’une amende pouvant aller jusqu’à 3 millions d’euros. Ce plafond sera augmenté à 4 % du chiffre d’affaires mondial à l’horizon 2018 en application du règlement européen du 14 avril 2016, raison pour laquelle il est nécessaire pour les acheteurs et vendeurs de données de se prémunir de tout risque.

    Édouard Verbecq

    Avocat

    Thomas Pereira

    Élève-Avocat

    [1] Telephone Preference Service (TPS) est la liste d’opposition au démarchage téléphonique en vigueur au Royaume-Uni