SendinBlue Blog

Choisissez une catégorie :

RGPD : et maintenant ? Interview avec Aurélie Pacaud, avocate

Au lendemain de l’entrĂ©e en application du RGPD, nous faisons le point avec AurĂ©lie Pacaud, avocate spĂ©cialisĂ©e dans les mĂ©dias et nouvelles technologies : comment comprendre les impacts rĂ©els de cette rĂ©gulation et que nous rĂ©serve le futur en terme de lĂ©gislation sur le traitement de donnĂ©es ?

Aurélie Pacaud, avocate aux barreaux de Paris et New-York

Aurélie Pacaud est Avocate aux barreaux de Paris et de New-York, collaboratrice au sein du département TMT (Télécommunications, Médias et Technologies) du Cabinet Gide. Forte de son expertise en matiÚre de droit de la consommation et de la protection des données, elle répond à nos questions sur le RGPD sur le blog de SendinBlue.

Lire aussi : RGPD, quelles consĂ©quences pour l’email marketing ?

Interview d’AurĂ©lie Pacaud, avocate spĂ©cialiste du droit de la protection des donnĂ©es

Est-ce que la définition de « donnée personnelle » change avec le RGPD ?

Deux éléments sont précisés par le RGPD :

La donnĂ©e personnelle est dĂ©finie Ă  l’article 4-1 comme : « toute information se rapportant Ă  une personne physique identifiĂ©e ou identifiable [
] est rĂ©putĂ©e ĂȘtre une « personne physique identifiable » une personne physique qui peut ĂȘtre identifiĂ©e, directement ou indirectement, notamment par rĂ©fĂ©rence Ă  un identifiant, tel qu’un nom, un numĂ©ro d’identification, des donnĂ©es de localisation, un identifiant en ligne, ou Ă  un ou plusieurs Ă©lĂ©ments spĂ©cifiques propres Ă  son identitĂ© physique, physiologique, gĂ©nĂ©tique, psychique, Ă©conomique, culturelle ou sociale ».

Cette dĂ©finition n’est pas nĂ©cessairement plus large que la dĂ©finition actuelle issue de la loi Informatique et LibertĂ©s, elle est cependant plus prĂ©cise quant aux Ă©lĂ©ments qui peuvent ĂȘtre qualifiĂ©s de donnĂ©es personnelles, c’est notamment le cas des « identifiants en ligne » comme l’adresse IP ou les cookies.

Il s’agit d’une codification Ă  droit constant dans la mesure oĂč la CNIL considĂ©rait dĂ©jĂ  dans sa doctrine ces Ă©lĂ©ments comme des donnĂ©es personnelles.

Donc le RGPD ne modifie pas fondamentalement cette définition ?

Elle la prĂ©cise plus qu’elle ne la change : par exemple le considĂ©rant 26 Ă©nonce que pour dĂ©terminer si une personne est identifiable, directement ou indirectement, « il convient de prendre en considĂ©ration l’ensemble des moyens raisonnablement susceptibles d’ĂȘtre utilisĂ©s par le responsable du traitement ou par toute autre personne pour identifier la personne physique » en expliquant que peuvent notamment ĂȘtre pris en compte des facteurs tels que le coĂ»t et le temps de l’identification, ainsi que les technologies disponibles Ă  cet Ă©gard.

La dĂ©finition de la Loi Informatique et LibertĂ©s ne comportait pas ce caractĂšre « raisonnable », et le RGPD permet ainsi d’exclure de la dĂ©finition de donnĂ©e personnelle des cas assez thĂ©oriques, et de s’aligner sur des pays comme le Royaume-Uni qui avaient transposĂ© la directive avec ce caractĂšre « raisonnable », Ă  la diffĂ©rence de la France. On peut nĂ©anmoins regretter que ce critĂšre soit Ă©noncĂ© dans un considĂ©rant, et non pas Ă  l’article 4-1.

Qu’est-ce que le RGPD change pour la prospection ?

Le RGPD ne vient pas modifier spĂ©cifiquement la rĂšglementation concernant la prospection commerciale par voie Ă©lectronique (email, sms et automates d’appel), ce sujet Ă©tant rĂ©gi par la directive « e-privacy » (notamment transposĂ©e en France dans le Code des Postes et des Communications Electroniques).

« Il est regrettable que les rĂšgles s’appliquant Ă  la prospection Ă©lectronique soient plus strictes que pour la prospection tĂ©lĂ©phonique, qui semble bien plus intrusive »

NĂ©anmoins, les grands principes relatifs aux traitement des donnĂ©es Ă  caractĂšre personnel, qui sont renforcĂ©s dans le RGPD (par exemple, la loyautĂ© du traitement par l’information des personnes, ou bien la lĂ©gitimitĂ© du traitement par la caractĂ©risation d’une base lĂ©gale telle que l’intĂ©rĂȘt lĂ©gitime doivent se concilier avec les rĂšgles spĂ©cifiques relatives Ă  la prospection commerciale.

Y-a-t-il une diffĂ©rence entre les rĂšgles s’appliquant Ă  la prospection B2C et B2B ?

Pour rappel, en ce qui concerne la prospection commerciale BtoB, la CNIL considĂšre que le principe est celui de l’opt-out, sous rĂ©serve que l’adresse utilisĂ©e soit une adresse mail professionnelle (du type [email protected]), et que la prospection soit en rapport avec le poste occupĂ© par le destinataire.

Dans ce cas, aucun consentement prĂ©alable n’est nĂ©cessaire, une information prĂ©alable au moment de la collecte des donnĂ©es, et la possibilitĂ© de s’opposer Ă  cette utilisation Ă  tout moment Ă©tant suffisants.

En ce qui concerne la prospection B to C, le régime applicable est variable selon les canaux :

  • par email ou sms, le principe est celui de l’opt-in (case Ă  cocher), sauf exception (lorsque les coordonnĂ©es ont Ă©tĂ© collectĂ©s par le mĂȘme responsable de traitement lors de la vente de produits ou services analogues ;
  • par tĂ©lĂ©phone ou courrier, le principe est celui de l’opt-out.

Il est d’ailleurs Ă©tonnant, et regrettable que les rĂšgles applicables Ă  la prospection par voie Ă©lectronique soient plus strictes que celles applicables Ă  la prospection tĂ©lĂ©phonique, dans la mesure oĂč cette derniĂšre semble bien plus intrusive.

Le projet de rĂšglement e-privacy (voir question n°6) introduit d’ailleurs un principe consistant Ă  marquer Ă  l’aide d’un prĂ©fixe qui serait unique tous les appels commerciaux de maniĂšre Ă  permettre aux consommateurs de les identifier.

Y a-t-il besoin de demander Ă  nouveau le consentement Ă  sa base de contacts ?

Il est nécessaire de distinguer deux types de consentement dans le RGPD :

  • le consentement comme base lĂ©gale, qui est nĂ©cessaire pour lĂ©gitimer un traitement, et auquel peut se substituer d’autres fondements juridiques, tel que par exemple l’intĂ©rĂȘt lĂ©gitime du responsable de traitement ;
  • le consentement « opt-in » nĂ©cessaire dans le cadre de la prospection commerciale Ă©lectronique B to C et issu des rĂšgles e-privacy.

« Lorsque les personnes ont donnĂ© leur consentement conformĂ©ment Ă  la rĂšglementation e-privacy et aux rĂšgles qui Ă©taient dĂ©jĂ  applicables Ă  la protection des donnĂ©es, il n’est pas nĂ©cessaire qu’elles donnent Ă  nouveau leur consentement. »

En ce qui concerne le premier consentement (base lĂ©gale), si aprĂšs analyse, le traitement ne peut ĂȘtre justifiĂ© par aucune autre base lĂ©gale (Ă©numĂ©rĂ©es Ă  l’article 6 du RGPD), il sera en effet nĂ©cessaire de redemander le consentement.

NĂ©anmoins ce cas semble marginal dans le cadre de la prospection commerciale Ă©lectronique classique.

Le consentement obtenu par opt-in doit-il ĂȘtre confirmĂ© dans le cadre du RGPD ?

En ce qui concerne le consentement « opt-in », lorsque les personnes de la base de contact ont donnĂ© leur consentement conformĂ©ment Ă  la rĂšglementation e-privacy et aux rĂšgles qui Ă©taient applicables Ă  la protection des donnĂ©es (i.e. en ayant reçu une information leur permettant de donner leur accord de maniĂšre Ă©clairĂ©e), il n’est pas nĂ©cessaire qu’elles donnent Ă  nouveau leur consentement.

Si nĂ©anmoins le consentement n’avait pas Ă©tĂ© obtenu en conformitĂ© avec la rĂšglementation applicable, il s’agit d’un problĂšme indĂ©pendant du RGPD puisque la non-conformitĂ© existait dĂ©jĂ  sous l’Ă©gide des rĂšgles antĂ©rieures. Dans cette situation, il est effectivement recommandĂ© de demander Ă  nouveau le consentement.

Pour toutes les collectes de donnĂ©es effectuĂ©es Ă  partir du 25 mai, il sera en outre nĂ©cessaire de revoir les informations accompagnant les cases Ă  cocher d’opt-in, de maniĂšre Ă  s’assurer qu’elles comportent bien les informations requises pour tout traitement de donnĂ©es personnelles par le RGPD.

Comment comprendre la base lĂ©gale « d’intĂ©rĂȘt lĂ©gitime » ?

L’intĂ©rĂȘt lĂ©gitime du responsable du traitement n’est pas dĂ©fini en tant que tel dans le RGPD.

Le G29 (le groupe rassemblant les autoritĂ©s de protection des donnĂ©es europĂ©ennes) indique que cette notion est large et correspond Ă  l’enjeu poursuivi par le responsable du traitement, ou le bĂ©nĂ©fice qu’il tire du traitement .

Ainsi, une entreprise a un intĂ©rĂȘt lĂ©gitime Ă  mettre en Ɠuvre tout traitement destinĂ© Ă  servir son objet social. En revanche, pour constituer une base lĂ©gale valide au sens du RGPD, l’intĂ©rĂȘt lĂ©gitime doit ĂȘtre mis en balance avec les intĂ©rĂȘts ou les libertĂ©s et droits fondamentaux de la personne concernĂ©e qui exigent la protection de leurs donnĂ©es personnelles. Le critĂšre de l’attente raisonnable de la personne concernĂ©e est Ă©galement mis en avant.

Auriez-vous des exemples concrets de ce qui peut constituer cet intĂ©rĂȘt lĂ©gitime ?

Pourront par exemple ĂȘtre considĂ©rĂ©s comme un intĂ©rĂȘt lĂ©gitime du responsable du traitement le traitement de donnĂ©es personnelles :

  • Ă  des fins de prospection ;
  • strictement nĂ©cessaire Ă  des fins de prĂ©vention de la fraude ;
  • aux fins de garantir la sĂ©curitĂ© du rĂ©seau et des informations, dans la mesure strictement nĂ©cessaire et proportionnĂ©e Ă  cette finalitĂ©.

Il est important de noter que l’analyse de la prĂ©sence d’un intĂ©rĂȘt lĂ©gitime est factuelle et doit ĂȘtre rĂ©alisĂ©e au cas par cas.

Comment les autoritĂ©s de rĂ©gulation europĂ©ennes pourront elles rĂ©aliser des contrĂŽles des sociĂ©tĂ©s n’ayant pas de prĂ©sence physique au sein de l’UE ?

En ce qui concerne les contrĂŽles, la CNIL a le pouvoir d’effectuer des contrĂŽles auprĂšs de l’ensemble des responsables de traitement, qu’ils soient localisĂ©s dans l’UE ou hors de l’UE. Ceux-ci peuvent se dĂ©rouler sur place, sur piĂšces, sur audition ou en ligne.

La CNIL prĂ©cise que les contrĂŽles sur place ne peuvent se dĂ©rouler qu’auprĂšs d’un Ă©tablissement situĂ© sur le territoire français. NĂ©anmoins, la facultĂ© du contrĂŽle en ligne permet Ă  la CNIL d’effectuer un contrĂŽle sur les activitĂ©s de traitement de donnĂ©es personnelles de sociĂ©tĂ©s Ă©trangĂšres.

« Des mĂ©canismes de filtrage ou de blocage des sites via les FAI pourraient Ă©galement ĂȘtre envisagĂ©s »

Comment les sanctions prĂ©vues pourront-elles rĂ©ellement ĂȘtre appliquĂ©es hors de l’UE ?

Sur l’application des sanctions, l’article 27 du RGPD prĂ©voit que lorsqu’une entreprise Ă©trangĂšre est soumise au RGPD (selon l’article 3-2), elle est obligĂ©e de dĂ©signer un reprĂ©sentant dans l’Union EuropĂ©enne.

Le considĂ©rant 80 prĂ©cise en outre que « le reprĂ©sentant dĂ©signĂ© devrait faire l’objet de procĂ©dures coercitives en cas de non-respect du prĂ©sent rĂšglement par le responsable du traitement ou le sous-traitant. »

Si cette indication ne fait pas partie du corps du rĂšglement, il est nĂ©anmoins trĂšs probable que les autoritĂ©s de protection des donnĂ©es utilisent le mĂ©canisme du reprĂ©sentant afin d’exercer des sanctions Ă  l’encontre des entreprises n’ayant pas d’Ă©tablissement au sein de l’UE.

L’article 50 du RGPD prĂ©voit en outre que les autoritĂ©s de contrĂŽle prennent Ă  l’Ă©gard des pays tiers et organisations internationales les mesures appropriĂ©es pour « se prĂȘter mutuellement assistance sur le plan international dans l’application de la lĂ©gislation relative Ă  la protection des donnĂ©es Ă  caractĂšre personnel, y compris par la notification, la transmission des rĂ©clamations, l’entraide pour les enquĂȘtes et l’Ă©change d’information ».

Enfin, comme on le voit parfois dans des contentieux initiĂ©s par l’ARJEL ou l’AMF, concernant des sites internet en violation majeure de la rĂšglementation sur des sujets liĂ©s Ă  la prospection financiĂšre ou au gambling, des mĂ©canismes de filtrage ou de blocage des sites via les FAI pourraient Ă©galement ĂȘtre envisagĂ©s.

Que pouvez-vous nous dire sur la prochaine directive e-Privacy ?

La proposition de rÚglement sur la vie privée et les communications électroniques, dit RÚglement e-privacy, remplacerait la directive 2002/58/CE (vie privée et communications électroniques) qui prévoit des rÚgles spéciales en matiÚre de respect de la vie privée pour les services de communications électroniques.

L’instrument juridique choisi, un rĂšglement d’application directe (comme pour le RGPD), devrait garantir la sĂ©curitĂ© juridique en Ă©vitant les interprĂ©tations divergentes entre les États membres, mĂȘme si une certaine flexibilitĂ© est prĂ©vue.

Le projet de rĂšglement n’est aujourd’hui pas abouti, et fait toujours l’objet de discussions entre les instances europĂ©ennes. Le Conseil de l’UE a publiĂ© un nouveau texte en avril 2018, aux fins de discussions.

A ce stade, nous pouvons citer quelques points sur lequel le projet de rĂšglement insiste particuliĂšrement :

  • le renforcement du principe de confidentialitĂ© des correspondances privĂ©es ;
  • le principe de recueil du consentement prĂ©alable de l’internaute par tout opĂ©rateur souhaitant traiter des donnĂ©es de « contenu », c’est-Ă -dire les donnĂ©es sur la consommation de contenus en ligne ;
  • la mise en Ɠuvre d’un dispositif de recueil allĂ©gĂ© du consentement aux cookies, via les navigateurs (Chrome, Explorer ou Firefox par exemple).

Enfin, dans la continuitĂ© du RGPD, la sanction de la violation des obligations prĂ©vues par le rĂšglement e-privacy peut aller jusqu’Ă  20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Besoin d’une solution d’emailing qui vous offre toutes les garanties de conformitĂ© avec le RGPD ? Essayez SendinBlue, c’est gratuit jusqu’à 9 000 emails / mois !

Laisser une réponse

Essayez notre plan gratuit jusqu'Ă  300 emails par jour

Pas besoin de carte bancaire. Sans engagement.

RGPD : et maintenant ? Interview avec Aurélie Pacaud, avocate

Temps de lecture : 9 min