Le GDPR (ou RGPD en français) est entré en vigueur le 25 mai 2018. Près de cinq ans plus tard, de nombreuses entreprises se sont adaptées, mais les consommateurs sont eux aussi devenus plus vigilants. Le nombre de signalements de violation de données est en hausse, tout comme le nombre de plaintes déposées par des personnes mécontentes de l’utilisation de leurs données.
Le Règlement général sur la protection des données a également un impact sur les professionnels de la communication :
- Que se passe-t-il si je veux contacter des journalistes ?
- Comment réagir en cas de fuite de données ?
- Quand dois-je faire appel à mes collègues du département marketing pour demander le consentement du public cible dans le cadre d’une campagne ?
Jan Clinck et Gerrit Vandendriessche du cabinet d’avocats ALTIUS nous aident à y voir plus clair.
GDPR : les fondamentaux
Pouvez-vous nous rappeler ce que signifie au juste le RGPD ?
Jan : En réalité, le Règlement général sur la protection des données s’inscrit dans le prolongement d’anciennes réglementations européennes sur la protection de la vie privée. Autrement dit, ces règles existaient déjà, mais peu de personnes ou d’entreprises les connaissaient. Elles ont donc été renforcées en mai 2018. Par exemple, les amendes sont devenues plus sévères en cas de violation et la commission de la protection de la vie privée, rebaptisée Autorité de protection des données (ou APD), a désormais plus de pouvoirs. La législation porte sur les données à caractère personnel, dont elle favorise la libre circulation. Vous avez le droit de traiter des données à caractère personnel à condition de respecter un certain nombre de principes de base.
L’une des idées reçues fréquentes est la suivante : « Je dois donner mon consentement pour qu’une entreprise puisse traiter mes données à caractère personnel comme elle l’entend. » C’est faux ! Le traitement des données doit reposer sur un fondement légal – le terme exact est « base juridique ». Le consentement est l’une d’entre elles, mais il existe au total six bases juridiques. Vous pouvez donc parfaitement traiter des données sur une autre base juridique, comme l’exécution d’un contrat. Un employeur, par exemple, doit pouvoir traiter certaines données de ses salariés dans le cadre du contrat de travail.
Gerrit : Une deuxième erreur serait de croire que le RGPD concerne uniquement la vie privée. On se dit souvent : « Tant qu’il n’y a pas d’atteinte à la vie privée, le RGPD ne s’applique pas. » Mais ce règlement porte avant tout sur le traitement de données à caractère personnel, qu’elles soient sensibles sur le plan de la vie privée ou non. Le RGPD définit un cadre général qui s’applique directement dans les États membres de l’Union européenne.
En ce qui concerne l’e-privacy en revanche, il existe une directive transposée par une loi belge qui fixe des règles applicables aux télécommunications. Il s’agit d’une législation très spécifique qui stipule, par exemple, que les opérateurs doivent conserver les données relatives au trafic des appels téléphoniques, et dans quelles conditions elles peuvent être fournies à un procureur s’il en fait la demande. Elle régit également l’utilisation des cookies.
Le RGPD favorise la libre circulation des données. Vous avez le droit de traiter des données à condition de respecter les principes de base.
– Jan Clinck, avocat chez ALTIUS
Comment le département marketing doit-il appliquer le RGPD ?
Jan : Les bases juridiques que nous avons évoquées précédemment s’appliquent au marketing direct. Vous ne pouvez donc pas envoyer d’e-mails commerciaux à tout va sans prendre certaines précautions. Vous devez soit obtenir le consentement des destinataires, soit entretenir avec ces personnes une relation client en vertu de laquelle elles peuvent s’attendre à recevoir de tels messages de votre part.
Gerrit : Pour obtenir un consentement valable, il faut remplir de nombreuses conditions, des conditions assez strictes. Si vous ne respectez pas toutes les exigences, le consentement n’est pas valable et vous ne pouvez pas traiter les données. Par exemple, le consentement doit être spécifique : « Je consens au traitement de mon adresse électronique pour l’envoi d’une newsletter de la part de l’entreprise A. »
Si une personne consent à ce que je lui envoie une newsletter mensuelle, je ne peux donc pas utiliser son adresse électronique à d’autres fins ?
Gerrit : En effet, le consentement que vous avez obtenu est spécifique. Vous ne pouvez pas modifier a posteriori la finalité spécifiée (envoi d’une newsletter). Vous devez donc obtenir un consentement distinct pour chaque finalité, ce qui rend le traitement de données à caractère personnel fondé sur le consentement extrêmement exigeant. Par exemple, si un internaute refuse une bannière de cookies sur un site web déterminé et souhaite clarifier son consentement, il est souvent confronté à un éventail de menus déroulants avec des sous-menus par finalité ou fournisseur. C’est une conséquence de cette base juridique.
En revanche, si vous avez établi une relation client avec cette personne, vos actions de marketing direct peuvent être fondées sur l’intérêt légitime. Le consentement du destinataire est alors superflu.
L’intérêt légitime
En quoi consiste exactement l’intérêt légitime ?
Gerrit : L’intérêt légitime implique de déterminer, en tant qu’entreprise, si la finalité pour laquelle vous souhaitez utiliser des données semble justifiée. Cette réflexion s’articule autour de plusieurs étapes :
- Ai-je un intérêt et quel est-il ? Il doit s’agir d’un intérêt actuel et légitime. Il n’est donc pas question de dire « Ces données me seront sans doute utiles un jour ».
- Les données dont j’ai besoin sont-elles réellement nécessaires à la poursuite de cet intérêt ?
- Les inconvénients pour la personne concernée ne l’emportent-ils pas sur mes propres intérêts légitimes ? Comment puis-je maintenir l’équilibre avec cette personne ?
Jan : Tant que votre entreprise peut fournir une raison valable et que ses intérêts priment ceux de la personne concernée, la base juridique légitime peut être invoquée. Ainsi, si un client a utilisé vos produits ou services, vous pouvez par exemple lui envoyer une newsletter après l’achat. Le raisonnement est le suivant : « Puisque vous avez montré un intérêt pour nos produits, nous souhaitons vous présenter des articles similaires qui pourraient également vous plaire. »
Si vous avez établi une relation client avec une personne, vos actions de marketing direct sont considérées comme un intérêt légitime et n’exigent aucun consentement.
– Gerrit Vandendriessche, associé chez ALTIUS
Des règles différentes s’appliquent-elles aux actions de marketing B2B et B2C ?
Gerrit : Non, le RGPD en tant que tel n’opère pas de distinction selon que les données à caractère personnel sont utilisées dans le cadre d’actions de marketing auprès d’entreprises (B2B) ou de consommateurs (B2C). La seule exception concerne le marketing direct à des adresses électroniques impersonnelles de personnes morales, comme : info@xyz.abc. D’autres règles s’appliquent également parfois à la publicité par téléphone, et notamment au télémarketing.
Je suis responsable de la communication d’une entreprise, et j’ai trouvé en ligne les coordonnées d’un journaliste. Ai-je le droit de lui envoyer un communiqué de presse ?
Jan : Oui, si vous contactez ce journaliste pour un fait d’actualité et non pour une action de marketing direct, vous pouvez invoquer l’intérêt légitime. Surtout si le journaliste en question a publié ses coordonnées en ligne, car le but de cette initiative est d’être contacté.
Gerrit : Si vous ne faites pas de publicité et contactez le journaliste sur la base de son métier dans le cadre d’une relation professionnelle, vous pouvez effectivement invoquer l’intérêt légitime. En revanche, vous ne pouvez pas commencer à lui envoyer des messages promotionnels.
Attention, cela ne signifie pas que, en tant que responsable de la communication, vous pouvez tout faire avec les coordonnées de journalistes. Cela varie au cas par cas, et il convient de se poser plusieurs questions. Par exemple :
- En quelle qualité traitez-vous ces données ? Êtes-vous un sous-traitant ou le responsable du traitement ?
- Quelle mission votre client vous a-t-il confiée ?
- Quelle est la finalité du traitement des données ?
Victime d’une cyberattaque ? Premier réflexe : évaluation des risques
Autre cas de figure : la communication de crise. L’entreprise qui m’emploie est confrontée à une fuite de données. Quel est mon rôle en tant que responsable de la communication ?
Gerrit : En résumé, vous devez procéder à une évaluation des risques. Cela signifie que vous devez déterminer s’il existe un risque potentiel que les droits et libertés de la personne concernée soient lésés, par exemple parce qu’il existe un risque d’usurpation d’identité ou parce que de l’agent pourrait lui être soutiré.
En cas de risque potentiel, vous êtes tenu d’en informer l'Autorité de protection des données dans les 72 heures. Si le risque potentiel est considéré comme très élevé, vous devez également informer personnellement la personne concernée, en lui communiquant un certain nombre d’informations obligatoires :
- Quelles sont les circonstances de la fuite de données ? (Comment la fuite est-elle survenue ? Les données sont-elles entre les mains d’une personne non autorisée ?)
- De quelles/combien de données s’agit-il ?
- Combien de personnes sont concernées ?
- Quelles sont les conséquences pour ces personnes ?
- Les personnes concernées peuvent-elles prendre elles-mêmes des mesures ?
Si vous ne faites pas de publicité et contactez le journaliste sur la base de son métier dans le cadre d’une relation professionnelle, vous pouvez invoquer l’intérêt légitime
– Gerrit Vandendriessche, associé chez ALTIUS
Dois-je aussi informer d’autres parties prenantes de mon entreprise ?
Jan : En cas de risque élevé, vous devez avant tout informer l’Autorité de protection des données et la personne concernée. En principe, il n’est pas nécessaire de contacter d’autres parties prenantes, sauf dans des secteurs très spécifiques comme les télécommunications, l’énergie, le transport aérien ou ferroviaire, les soins de santé et les banques.
Et s’il n’y a pas de risque potentiel ?
Jan : En l’absence de risque potentiel, vous ne devez rien signaler. En revanche, vous devez toujours tenir un registre des incidents impliquant des données à caractère personnel, que le risque soit faible, normal ou élevé.
Gerrit : Même s’il n’y a pas de risque potentiel et que vous n’êtes pas tenu de signaler l’incident, certaines obligations s’appliquent. Par exemple, vous devez toujours prendre des mesures pour réparer les conséquences de la fuite de données et éviter qu’un cas similaire se reproduise à l’avenir.