RGPD clarifié au regard du marketing direct

Analyse

Le marketing direct est une technique de vente utilisée par de nombreuses entreprises. De cette façon, vous pouvez parfaitement attirer de nouveaux clients ou informer les clients existants de vos produits et services. Depuis l'introduction du RGPD, l'attention portée au marketing direct s’est intensifiée, tout comme les questions sur la protection des données. C'est donc une bonne chose que l'Autorité belge de protection des données (APD) y ait consacré sa première recommandation en 2020.

Dans cette première recommandation, l'APD déclare que le marketing direct est une priorité absolue. L'APD a reçu pas mal de plaintes à cet égard. Raison suffisante pour établir clairement, une fois de plus, les règles du jeu.

L'APD a voulu faire un aperçu pratique et clair des règles qui doivent être respectées en marketing direct par tous les acteurs impliqués. La recommandation se veut pragmatique et se réfère non seulement à plusieurs cas pratiques mais aussi à la jurisprudence.

1. Explication des termes importants

Premièrement, la recommandation clarifie certains termes importants.

Le marketing direct c'est:

  • toute communication, sollicitée ou non sollicitée,
  • visant la promotion d’une organisation ou d’une personne, de services, des produits, de marques ou d’idées,
  • dans un cadre commercial ou non commercial,
  • directement à une ou plusieurs personnes physiques,
  • par n’importe quel moyen,
  • impliquant le traitement de données à caractère personnel.

Les différents acteurs du marketing direct sont évoqués, notamment les responsables du traitement, les opérateurs du traitement et du commerce des données à caractère personnel.


2. À quoi faut-il faire attention en faisant du marketing direct ?

Premièrement, le marketing direct ne se limite pas aux entreprises commerciales et à but lucratif. Elle implique également la communication d'organisations à but non lucratif, de fondations, d'associations et de gouvernements qui relèvent aussi de la définition de "marketing direct".

Lorsque les données sont achetées par des intermédiaires impliqués dans la vente, la location ou l'enrichissement de données à caractère personnel, il est important que l'origine de ces données soit toujours connue. En outre, il convient de vérifier si les personnes concernées sont suffisamment informées des traitements envisagés et si ces traitements supplémentaires sont compatibles avec la finalité initiale du traitement. Dès la collecte originale des données personnelles, la transmission dans le cadre du marketing direct doit être prévue et rendue légalement possible.

Même si les personnes concernées étaient suffisamment informées au moment de l'utilisation de leurs données personnelles achetées, il est possible que leurs données n'aient jamais été collectées à l'origine à des fins pour lesquelles elles sont désormais transmises (notamment pour le marketing direct). Dans ce cas, leur traitement dans le cadre du marketing direct deviendra en tout état de cause illicite. Par conséquent, les responsables du traitement ont tout intérêt à vérifier correctement l'origine de ces données.

La recommandation de l'APD souligne qu'un traitement n'est acceptable que s'il est basé sur une base légale et que ce fondement juridique ne peut pas être modifiée au cours du traitement.

Il convient donc d’établir un fondement juridique qui reste valable tout au long du traitement. Si ce n'est plus le cas, le traitement en cours doit alors s’arrêter et il n'est pas permis de passer en cours du traitement à une autre base légale.

3. L'« intérêt légitime » comme fondement juridique

Le RGPD prévoit la possibilité d’un traitement des données personnelles dans le cadre du marketing direct sur la base juridique de l’« intérêt légitime ».

Pour rappel, pour les messages électroniques de marketing direct à des fins commerciales, une autorisation préalable des personnes impliquées est en principe requise. D'un autre côté, la directive ePrivacy prévoit un opt-in soft sur la base duquel les clients ou abonnés existants peuvent être informés des produits et services analogues à ceux qu'ils ont déjà achetés, à condition qu'ils puissent s'y opposer sans frais et de manière simple.

Ces principes constituent une base pour l'application de l'intérêt légitime tel que prévu par le RGPD concernant le marketing direct. L'APB précise et clarifie quand il est question d' « l’intérêt légitime ».

Les critères suivants doivent être remplis :

  • L'intérêt poursuivi par le responsable du traitement doit être légitime ;
  • le traitement doit être nécessaire à la réalisation de l’intérêt ;
  • Une mise en balance doit être appliquée afin d’évaluer si les intérêts du responsable de traitement peuvent prévaloir sur les intérêts, libertés et droits fondamentaux des personnes dont on utilise les données à caractère personnel.

    En premier lieu, le RGPD prévoit que cette mise en balance doit prendre en compte les attentes raisonnables des personnes concernées en fonction de leurs relations avec le responsable du traitement.

    Ce fondement ne peut donc pas être appliqué par le marketing direct à l'égard de prospects. En effet, dans ce cas il n'y a aucun lien préalable avec le responsable du traitement et donc, en principe, aucune attente relative au marketing direct.

    Cette considération doit également tenir compte de l’obligation de prévoir des garanties supplémentaires dans le marketing direct, y compris la transparence, la minimisation des données et un droit général et inconditionnel de s'opposer au traitement.

    La transparence vis-à-vis des acteurs est un élément essentiel dans le contexte du marketing direct. C'est toujours le premier (et le plus visible) élément sur la base duquel le traitement est analysé, vérifié et évalué.

4. Le droit d'opposition

Le droit de s'opposer au marketing direct est inconditionnel. Chaque fois qu'une objection est formulée, tout traitement de marketing direct concernant la personne concernée doit immédiatement être arrêté.

Ce droit d'opposition (et autres informations) doit être suffisamment clair et doit être explicitement proposé à la personne impliquée dans chaque communication. Cela doit être fait de telle manière qu'il ne soit pas possible que ce droit ne soit pas vu.

Un petit lien « Je souhaite me désinscrire »  en bas de l'e-mail de marketing direct ne suffit donc pas, bien que cela soit très courant.

La possibilité de s'opposer doit être mise en évidence dans l'e-mail. Cette opposition doit également être facile à mettre en œuvre et ne doit comporter aucune autre obligation comme celle d'entrer sa propre adresse e-mail ou de faire savoir pourquoi l’on veut se désinscrire ...

De plus, il faut faire attention avec les terminologies « désinscription » et « unsubscribe ». Après tout, cela ne signifie pas automatiquement que le traitement soit arrêté à des fins de marketing direct. Il est important d'indiquer clairement que « se désinscrire » signifie que le désabonné ne recevra plus de direct mailing du processeur concerné.

Il est donc essentiel que la mise en œuvre du droit d'opposition atteigne son objectif. N'oubliez pas que les personnes impliquées seront d'autant plus motivées à entreprendre les démarches nécessaires si elles continuent à recevoir des courriels après avoir exercé leur droit d'opposition.

4. Conclusion

En dépit du fait que le RGPD soit déjà opérationnel depuis un certain temps, il reste que nombreuses entreprises soient toujours confrontées à beaucoup de questions concernant la mise en œuvre en pratique de la réglementation. Il s'agit d'une législation complexe et s’y conformer reste en fait un processus continu tant pour ce qui est relatif à un traitement existant que pour ce qui concerne un traitement nouvellement planifié.

Outre la réglementation sur la protection des données à caractère personnel, il faut également tenir compte de la législation sur les pratiques de marché déloyales.

Nous pouvons vous fournir des informations ou vous assister dans cette matière. N'hésitez pas à nous contacter au +32 (0) 2 747 40 07 ou via info@seeds.law. Notre spécialiste en matière de vie privée et de protection des données  personnelles est également DPO (Data Protection Officer) et peut vous offrir un service globale.

En savoir plus sur ce sujet ?

Contactez nos experts ou appelez le n° +32 (0)2 747 40 07
Koen De Puydt

Koen De Puydt

Partner
Toon Delie

Toon Delie

Senior Associate