SendinBlue Blog

Choisissez une catégorie :

RGPD : et maintenant ? Interview avec Aurélie Pacaud, avocate

Au lendemain de l’entrée en application du RGPD, nous faisons le point avec Aurélie Pacaud, avocate spécialisée dans les médias et nouvelles technologies : comment comprendre les impacts réels de cette régulation et que nous réserve le futur en terme de législation sur le traitement de données ?

Aurélie Pacaud, avocate aux barreaux de Paris et New-York

Aurélie Pacaud est Avocate aux barreaux de Paris et de New-York, collaboratrice au sein du département TMT (Télécommunications, Médias et Technologies) du Cabinet Gide. Forte de son expertise en matière de droit de la consommation et de la protection des données, elle répond à nos questions sur le RGPD sur le blog de SendinBlue.

Lire aussi : RGPD, quelles conséquences pour l’email marketing ?

Interview d’Aurélie Pacaud, avocate spécialiste du droit de la protection des données

Est-ce que la définition de « donnée personnelle » change avec le RGPD ?

Deux éléments sont précisés par le RGPD :

La donnée personnelle est définie à l’article 4-1 comme : « toute information se rapportant à une personne physique identifiée ou identifiable […] est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Cette définition n’est pas nécessairement plus large que la définition actuelle issue de la loi Informatique et Libertés, elle est cependant plus précise quant aux éléments qui peuvent être qualifiés de données personnelles, c’est notamment le cas des « identifiants en ligne » comme l’adresse IP ou les cookies.

Il s’agit d’une codification à droit constant dans la mesure où la CNIL considérait déjà dans sa doctrine ces éléments comme des données personnelles.

Donc le RGPD ne modifie pas fondamentalement cette définition ?

Elle la précise plus qu’elle ne la change : par exemple le considérant 26 énonce que pour déterminer si une personne est identifiable, directement ou indirectement, « il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique » en expliquant que peuvent notamment être pris en compte des facteurs tels que le coût et le temps de l’identification, ainsi que les technologies disponibles à cet égard.

La définition de la Loi Informatique et Libertés ne comportait pas ce caractère « raisonnable », et le RGPD permet ainsi d’exclure de la définition de donnée personnelle des cas assez théoriques, et de s’aligner sur des pays comme le Royaume-Uni qui avaient transposé la directive avec ce caractère « raisonnable », à la différence de la France. On peut néanmoins regretter que ce critère soit énoncé dans un considérant, et non pas à l’article 4-1.

Qu’est-ce que le RGPD change pour la prospection ?

Le RGPD ne vient pas modifier spécifiquement la règlementation concernant la prospection commerciale par voie électronique (email, sms et automates d’appel), ce sujet étant régi par la directive « e-privacy » (notamment transposée en France dans le Code des Postes et des Communications Electroniques).

« Il est regrettable que les règles s’appliquant à la prospection électronique soient plus strictes que pour la prospection téléphonique, qui semble bien plus intrusive »

Néanmoins, les grands principes relatifs aux traitement des données à caractère personnel, qui sont renforcés dans le RGPD (par exemple, la loyauté du traitement par l’information des personnes, ou bien la légitimité du traitement par la caractérisation d’une base légale telle que l’intérêt légitime doivent se concilier avec les règles spécifiques relatives à la prospection commerciale.

Y-a-t-il une différence entre les règles s’appliquant à la prospection B2C et B2B ?

Pour rappel, en ce qui concerne la prospection commerciale BtoB, la CNIL considère que le principe est celui de l’opt-out, sous réserve que l’adresse utilisée soit une adresse mail professionnelle (du type [email protected]), et que la prospection soit en rapport avec le poste occupé par le destinataire.

Dans ce cas, aucun consentement préalable n’est nécessaire, une information préalable au moment de la collecte des données, et la possibilité de s’opposer à cette utilisation à tout moment étant suffisants.

En ce qui concerne la prospection B to C, le régime applicable est variable selon les canaux :

  • par email ou sms, le principe est celui de l’opt-in (case à cocher), sauf exception (lorsque les coordonnées ont été collectés par le même responsable de traitement lors de la vente de produits ou services analogues ;
  • par téléphone ou courrier, le principe est celui de l’opt-out.

Il est d’ailleurs étonnant, et regrettable que les règles applicables à la prospection par voie électronique soient plus strictes que celles applicables à la prospection téléphonique, dans la mesure où cette dernière semble bien plus intrusive.

Le projet de règlement e-privacy (voir question n°6) introduit d’ailleurs un principe consistant à marquer à l’aide d’un préfixe qui serait unique tous les appels commerciaux de manière à permettre aux consommateurs de les identifier.

Y a-t-il besoin de demander à nouveau le consentement à sa base de contacts ?

Il est nécessaire de distinguer deux types de consentement dans le RGPD :

  • le consentement comme base légale, qui est nécessaire pour légitimer un traitement, et auquel peut se substituer d’autres fondements juridiques, tel que par exemple l’intérêt légitime du responsable de traitement ;
  • le consentement « opt-in » nécessaire dans le cadre de la prospection commerciale électronique B to C et issu des règles e-privacy.

« Lorsque les personnes ont donné leur consentement conformément à la règlementation e-privacy et aux règles qui étaient déjà applicables à la protection des données, il n’est pas nécessaire qu’elles donnent à nouveau leur consentement. »

En ce qui concerne le premier consentement (base légale), si après analyse, le traitement ne peut être justifié par aucune autre base légale (énumérées à l’article 6 du RGPD), il sera en effet nécessaire de redemander le consentement.

Néanmoins ce cas semble marginal dans le cadre de la prospection commerciale électronique classique.

Le consentement obtenu par opt-in doit-il être confirmé dans le cadre du RGPD ?

En ce qui concerne le consentement « opt-in », lorsque les personnes de la base de contact ont donné leur consentement conformément à la règlementation e-privacy et aux règles qui étaient applicables à la protection des données (i.e. en ayant reçu une information leur permettant de donner leur accord de manière éclairée), il n’est pas nécessaire qu’elles donnent à nouveau leur consentement.

Si néanmoins le consentement n’avait pas été obtenu en conformité avec la règlementation applicable, il s’agit d’un problème indépendant du RGPD puisque la non-conformité existait déjà sous l’égide des règles antérieures. Dans cette situation, il est effectivement recommandé de demander à nouveau le consentement.

Pour toutes les collectes de données effectuées à partir du 25 mai, il sera en outre nécessaire de revoir les informations accompagnant les cases à cocher d’opt-in, de manière à s’assurer qu’elles comportent bien les informations requises pour tout traitement de données personnelles par le RGPD.

Comment comprendre la base légale « d’intérêt légitime » ?

L’intérêt légitime du responsable du traitement n’est pas défini en tant que tel dans le RGPD.

Le G29 (le groupe rassemblant les autorités de protection des données européennes) indique que cette notion est large et correspond à l’enjeu poursuivi par le responsable du traitement, ou le bénéfice qu’il tire du traitement .

Ainsi, une entreprise a un intérêt légitime à mettre en œuvre tout traitement destiné à servir son objet social. En revanche, pour constituer une base légale valide au sens du RGPD, l’intérêt légitime doit être mis en balance avec les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent la protection de leurs données personnelles. Le critère de l’attente raisonnable de la personne concernée est également mis en avant.

Auriez-vous des exemples concrets de ce qui peut constituer cet intérêt légitime ?

Pourront par exemple être considérés comme un intérêt légitime du responsable du traitement le traitement de données personnelles :

  • à des fins de prospection ;
  • strictement nécessaire à des fins de prévention de la fraude ;
  • aux fins de garantir la sécurité du réseau et des informations, dans la mesure strictement nécessaire et proportionnée à cette finalité.

Il est important de noter que l’analyse de la présence d’un intérêt légitime est factuelle et doit être réalisée au cas par cas.

Comment les autorités de régulation européennes pourront elles réaliser des contrôles des sociétés n’ayant pas de présence physique au sein de l’UE ?

En ce qui concerne les contrôles, la CNIL a le pouvoir d’effectuer des contrôles auprès de l’ensemble des responsables de traitement, qu’ils soient localisés dans l’UE ou hors de l’UE. Ceux-ci peuvent se dérouler sur place, sur pièces, sur audition ou en ligne.

La CNIL précise que les contrôles sur place ne peuvent se dérouler qu’auprès d’un établissement situé sur le territoire français. Néanmoins, la faculté du contrôle en ligne permet à la CNIL d’effectuer un contrôle sur les activités de traitement de données personnelles de sociétés étrangères.

« Des mécanismes de filtrage ou de blocage des sites via les FAI pourraient également être envisagés »

Comment les sanctions prévues pourront-elles réellement être appliquées hors de l’UE ?

Sur l’application des sanctions, l’article 27 du RGPD prévoit que lorsqu’une entreprise étrangère est soumise au RGPD (selon l’article 3-2), elle est obligée de désigner un représentant dans l’Union Européenne.

Le considérant 80 précise en outre que « le représentant désigné devrait faire l’objet de procédures coercitives en cas de non-respect du présent règlement par le responsable du traitement ou le sous-traitant. »

Si cette indication ne fait pas partie du corps du règlement, il est néanmoins très probable que les autorités de protection des données utilisent le mécanisme du représentant afin d’exercer des sanctions à l’encontre des entreprises n’ayant pas d’établissement au sein de l’UE.

L’article 50 du RGPD prévoit en outre que les autorités de contrôle prennent à l’égard des pays tiers et organisations internationales les mesures appropriées pour « se prêter mutuellement assistance sur le plan international dans l’application de la législation relative à la protection des données à caractère personnel, y compris par la notification, la transmission des réclamations, l’entraide pour les enquêtes et l’échange d’information ».

Enfin, comme on le voit parfois dans des contentieux initiés par l’ARJEL ou l’AMF, concernant des sites internet en violation majeure de la règlementation sur des sujets liés à la prospection financière ou au gambling, des mécanismes de filtrage ou de blocage des sites via les FAI pourraient également être envisagés.

Que pouvez-vous nous dire sur la prochaine directive e-Privacy ?

La proposition de règlement sur la vie privée et les communications électroniques, dit Règlement e-privacy, remplacerait la directive 2002/58/CE (vie privée et communications électroniques) qui prévoit des règles spéciales en matière de respect de la vie privée pour les services de communications électroniques.

L’instrument juridique choisi, un règlement d’application directe (comme pour le RGPD), devrait garantir la sécurité juridique en évitant les interprétations divergentes entre les États membres, même si une certaine flexibilité est prévue.

Le projet de règlement n’est aujourd’hui pas abouti, et fait toujours l’objet de discussions entre les instances européennes. Le Conseil de l’UE a publié un nouveau texte en avril 2018, aux fins de discussions.

A ce stade, nous pouvons citer quelques points sur lequel le projet de règlement insiste particulièrement :

  • le renforcement du principe de confidentialité des correspondances privées ;
  • le principe de recueil du consentement préalable de l’internaute par tout opérateur souhaitant traiter des données de « contenu », c’est-à-dire les données sur la consommation de contenus en ligne ;
  • la mise en œuvre d’un dispositif de recueil allégé du consentement aux cookies, via les navigateurs (Chrome, Explorer ou Firefox par exemple).

Enfin, dans la continuité du RGPD, la sanction de la violation des obligations prévues par le règlement e-privacy peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Besoin d’une solution d’emailing qui vous offre toutes les garanties de conformité avec le RGPD ? Essayez SendinBlue, c’est gratuit jusqu’à 9 000 emails / mois !

Inbound Marketing Manager @ SendinBlue. J’aime comprendre les besoins des utilisateurs pour redonner du sens et de la valeur aux contenus. J’aime aussi le skateboard, le vin de bourgogne et la musique classique.

Laisser une réponse

Essayez notre plan gratuit jusqu'à 300 emails par jour

Pas besoin de carte bancaire. Sans engagement.

RGPD : et maintenant ? Interview avec Aurélie Pacaud, avocate

Temps de lecture : 9 min