Quelle documentation pour être conforme au RGPD et démontrer sa conformité ?

Le RGPD¹ et la législation française² s'appliquent à toute entreprise qui collecte, stocke et traite des données personnelles de personnes physiques. Les acteurs du data marketing, dont le coeur d'activité est la monétisation des données ou la prospection commerciale, sont également concernés par cette réglementation.

L'objectif est ici d'envisager la documentation utile afin que ces sociétés spécialisées dans le data marketing puissent prouver leur conformité au RGPD. La CNIL a d'ores et déjà émis un certain nombre de recommandations, délibérations, décisions à ce sujet. En particulier, la Commission Nationale Informatique et Libertés (CNIL) a proposé de manière pratique un parcours de conformité au RGPD en 6 étapes : www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes

1. Cartographier les traitements : registre des activités de traitements

Les acteurs du data marketing se qualifient soit de responsables uniques de traitements, soit de responsables conjoints de traitements, soit de sous-traitants vis-à-vis de leurs partenaires.

Quelle que soit la qualification retenue, le RGPD a fait disparaître les formalités déclaratives auprès de la CNIL et les a remplacées par la tenue des registres des activités de traitements (article 30 du RGPD). L'entreprise doit donc tenir ce registre qui lui permet de recenser ses traitements et en avoir une vue d'ensemble.

Il existe une dérogation pour les entreprises de moins de 250 salariés mais elle est limitée à des cas très particuliers, à savoir les traitements ne doivent pas porter sur des données sensibles (données de santé, infractions, etc.) ou touchant aux droits et libertés des personnes (vidéosurveillance, géolocalisation, etc.), auquel cas la tenue du registre est obligatoire.

Lorsqu'une entreprise a pour coeur d'activité le data marketing, peu importe la taille de l'entreprise, elle devra tenir à jour un registre d'activités de traitements.

Enfin, il est fortement conseillé qu'une entreprise dispose d'un délégué à la protection des données (DPO) afin de l'aider à piloter ses actions de mise en conformité et tenir à jour sa documentation.

2. Réaliser une Analyse d'Impact Vie Privée

L'article 35 du RGPD prévoit qu'une entreprise doit effectuer une Analyse d'Impact Vie Privée (AIVP) lorsqu'un traitement, en particulier par le recours à de nouvelles technologies, et compte tenu du volume et de la nature des données traitées ainsi que du contexte et des finalités de traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes.

Cette obligation est renforcée lorsque l'entreprise procède à l'évaluation systématique et approfondie d'aspects personnels concernant les personnes, qui est fondé sur un traitement automatisé (y compris le profilage).

Il s'agit ici de réaliser une AIVP pour toute technologie du secteur e-marketing qui analyse les centres d'intérêts, comportements et habitudes d'achats des consommateurs (cookies, ciblage publicitaire ou retargeting, etc.). Ainsi, les cas où une AIVP est obligatoire sont très nombreux et concernent la plupart des acteurs du data marketing.

La CNIL a mis en place un logiciel open source PIA afin d'aider les entreprises à réaliser ces AIVP.

3. Réaliser une politique de sécurité des données

Autre documentation utile pour prouver la conformité des traitements au RGPD : la politique de sécurité des données.

Cette politique de sécurité permet à l'entreprise de prévoir les différentes mesures de sécurité exigées par le RGPD, et notamment de déterminer :

• une politique d'habilitations et droits d'accès à ses outils ;
• le chiffrement des données ;
• une politique de durée de conservation des données et suppression automatisée ou manuelle des données ;
• une procédure d'audit et de tests d'intrusion réalisés en interne et/ou externe.

Enfin, cette politique de sécurité des données peut prévoir plus précisément la procédure interne à suivre en cas de failles de sécurité, et la notification dans le délai de 72h à la CNIL et aux personnes concernées, le cas échéant. La remontée d'informations ainsi que la communication aux partenaires peuvent également y être détaillées.

4. Prouver l'information et le consentement explicite

Pour les sociétés qui utilisent les données à des fins de monétisation ou de prospection commerciale, le RGPD rappelle l'obligation de prouver l'information de la personne concernée et son consentement explicite.

4.1 En matière de prospection commerciale directe

Les données traitées à des fins de prospection commerciale sont des données d'identification des contacts clients et/ou prospects de l'entreprise à savoir leurs noms, prénoms, adresses e-mails, numéros de téléphone et identifiants clients le cas échéant (log-in).

Seules les données qui identifient de manière directe ou indirecte une personne physique sont concernées (p.ex. e-mail personnel du type prénom.nom@gmail.com ou e-mail professionnel du type prénom.nom@société.com. Les données relatives aux personnes morales et les adresses électroniques génériques de type contact@société.com ne sont pas des données personnelles et ne sont donc pas soumises au RGPD.

4.1.1 Prospection commerciale par courrier électronique

Le RGPD ne modifie en rien les règles d'opt-in et d'opt-out appliquées précédemment en matière de prospection commerciale. Les règles applicables sont issues de la directive vie-privée³ transposée dans plusieurs textes et codes en vigueur.

La CNIL a publié une fiche pratique « La publicité par voie électronique » et une recommandation du 28 décembre 2018 rappelant les règles applicables à la prospection commerciale par message électronique.

4.1.1.1 Entre professionnels et particuliers (B to C)

Entre B to C, le consentement préalable exprès et spécifique doit être collecté⁴ . Les particuliers doivent être informés sur les finalités du traitement, à savoir l'utilisation de leurs données à des fins de prospection commerciale, et ce préalablement à leur collecte.

• Un consentement valide doit remplir les 4 conditions cumulatives suivantes, et être :
• libre : ni contraint, ni influencé, soit un choix libre de la personne ;
• spécifique : une ou des finalités précises ;
• éclairé : une information transparente et exhaustive ;
• univoque : un acte positif exprès.

A titre d'exemples, ce consentement via une case à cocher (opt-in) peut être collecté sur un formulaire d'achat en ligne ou de souscription à une carte de fidélité. Les cases pré-cochées sont interdites.

L'entreprise qui est à l'origine de la collecte des données personnelles auprès de personnes peut transmettre ces données à des partenaires commerciaux qui peuvent également effectuer de la prospection commerciale. Un consentement spécifique et séparé doit également être collecté après fourniture d'une information adéquate sur l'identité de ces partenaires.

L'entreprise doit donc prévoir des mentions d'information et de collecte du consentement dans ses formulaires de collecte des données. Elle doit également régulièrement mettre à jour la liste de ses partenaires commerciaux auxquels sont transmises les données collectées.

4.1.1.2 Entre professionnels (B to B)

Entre B to B, le professionnel doit être informé au moment de la collecte de ses données, de leur utilisation à des fins de prospection commerciale et être en mesure de s'y opposer à tout moment. Pour rappel, la prospection doit être en lien avec l'activité du professionnel.

Le consentement n'est pas obligatoire.

L'entreprise doit prévoir une mention d'information avec un lien d'opposition dans ses formulaires de collecte des données.

4.1.2 Prospection commerciale par téléphone et/ou par courrier postal

Lorsqu'une entreprise souhaite effectuer de la prospection commerciale par téléphone ou par courrier postal, la personne concernée doit être préalablement informée, au moment de la collecte de ses données personnelles, de leur éventuelle utilisation à des fins de prospection et de son droit d'opposition. Devra également lui être rappelé son droit de s'inscrire sur la liste d'opposition au démarchage Bloctel pour les particuliers.

L'entreprise doit prévoir une mention d'information avec un lien d'opposition dans ses formulaires de collecte des données.

Préalablement à chaque opération de prospection commerciale par téléphone, l'entreprise doit faire vérifier son fichier de prospection auprès du Service Bloctel afin de veiller à ne pas prospecter des personnes inscrites sur la liste d'opposition au démarchage.

Ces règles sont rappelées par la CNIL dans une fiche pratique « La prospection postale et téléphonique ».

4.1.3 Message de prospection commerciale

Dans tous les cas, chaque message de prospection commerciale doit :

• préciser l'identité de l'annonceur,
• préciser l'identité de l'entreprise qui a initialement collecté les données (pour les partenaires destinataires),
• proposer un moyen simple de s'opposer à la réception de nouvelles sollicitations (par exemple, lien pour se désinscrire à la fin du message).

4.1.4 Preuve du consentement

L'entreprise qui traite des données personnelles doit être en mesure de démontrer à tout moment que la personne a bien consenti, dans les conditions valides.

L'entreprise doit être en mesure de démontrer la réalité du consentement (case cochée par la personne), la date et l'heure du consentement afin de lui donner une date certaine, ce qui servira pour vérifier la validité du consentement.

Il est donc important de tenir une documentation relative aux consentements des personnes.

La CNIL recommande de tenir un registre des consentements, qui peut s'insérer dans la documentation plus générale relative au registre des activités de traitements de l'entreprise. Toutefois, peu importe la forme de la documentation, l'important est d'en conserver une traçabilité.

A titre d'exemple, une liste des formulaires contenant les champs « utilisation des données à des fins de prospection commerciale acceptées Oui/Non » peut être conservée en back office par l'entreprise.

4.2. En matière de cookies, tags et autres traceurs

Les données collectées par les cookies, tags et traceurs (ci-après les « cookies ») peuvent être des données d'identification (par exemple, adresse e-mail, identifiant unique d'un cookie, adresse IP, identifiant du terminal utilisé, etc.) ou des données de navigation ou comportementales sur les habitudes d'achats (par exemple, historique de navigation, panier d'achats, pages consultées, etc.).

Les données ainsi collectées sont enregistrées sur les serveurs de l'éditeur du site internet sur lequel navigue l'internaute (on parle de cookie interne ou cookie first party), soit sur les serveurs d'un tiers prestataire technique ou d'un éditeur tiers du cookie (on parle de cookie tiers ou de cookie third party).

La directive vie privée et l'article 32 II de la loi informatique et libertés exposent les règles relatives aux cookies et autres traceurs. C'est sur ce fondement que la CNIL a adopté une recommandation relative aux cookies et autres traceurs visés par l'article 32-II de la loi informatique et libertés et a précisé les règles applicables dans sa fiche « Site web, cookies et autres traceurs ».

4.2.1. Information par strates

L'information peut être délivrée à l'internaute par strates, à condition que cette information intervienne préalablement à tout dépôt ou lecture de cookies.

Le premier niveau d'information (en pratique, le bandeau d'information) doit contenir les informations essentielles relatives à l'existence de cookies (first party et/ou third party), aux catégories de finalités de traitements, aux partenaires destinataires des données (soit une liste exhaustive soit par le biais d'un lien hypertexte avec un renvoi vers la politique de protection des données des partenaires), aux éventuels transferts de données à caractère personnel hors de l'Union européenne et aux moyens permettant d'exercer son choix d'accepter ou de refuser les cookies.

Le second niveau d'information (en pratique, la page « en savoir plus » accessible depuis le bandeau d'information) doit notamment permettre à l'internaute de paramétrer ses choix, d'être informé des types de données collectées, de la durée de conservation (maximum 13 mois pour les cookies), des droits dont la personne concernée dispose et des modalités d'exercice de ces droits.

Il convient donc de modifier et/ou d'établir un bandeau d'information et une page d'information afin que ces mentions d'information respectent précisément ces exigences.

4.2.2. Consentement par types de cookies

Le RGPD ne change pas les règles applicables aux cookies. Les règles en matière de consentement aux cookies dépendent de la directive vie privée et de la Loi Informatique et Libertés du 6 janvier 1978 modifiée.

Les cookies techniques sont les cookies ayant pour finalité exclusive de permettre ou de faciliter la navigation sur le site internet, et/ou les cookies strictement nécessaires à la fourniture d'un service expressément demandé par l'utilisateur. Les cookies techniques peuvent être déposés ou lus sans recueillir le consentement des utilisateurs.

Les cookies publicitaires permettent d'obtenir des informations sur la navigation de l'utilisateur notamment pour adapter les contenus publicitaires dans les espaces publicitaires des pages visitées par les utilisateurs.

Les cookies de mesures d'audience permettent d'obtenir des informations sur la navigation des utilisateurs.

Les boutons de partage proposés par les principales plateformes sociales déposent également des cookies permettant de tracer la navigation des internautes, qu'ils soient utilisateurs de ces plateformes ou non.

Ces cookies publicitaires, de mesures d'audience et de réseaux sociaux nécessitent l'obtention d'un consentement préalable de l'internaute.

Pour que le consentement soit valable, l'utilisateur doit être en mesure d'exprimer son choix d'autoriser les cookies, de s'abstenir de consentir ou de retirer ultérieurement son consentement. L'autorisation ne peut pas être pré-cochée par défaut.

4.2.3 Preuve du consentement : CMP

Pour démontrer leur conformité, les sites internet peuvent désormais avoir recours à un gestionnaire de consentement (ou Consent Management Platform, CMP).

Parfois inspirées des normes du framework de l'IAB⁶ , ces CMP permettent de respecter une information par strates et une certaine granularité du consentement, en distinguant par finalités de traitements et destinataires, le cas échéant. C'est un outil permettant la traçabilité et le partage de l'information du consentement des personnes aux cookies.

Ces CMP permettent également de tracer précisément le consentement, et donc d'apporter la preuve du consentement des internautes au dépôt des cookies.

5. Réaliser une politique relative à la protection des données personnelles

Afin de respecter les règles en matière de transparence, il est recommandé aux acteurs du data marketing d'appliquer une politique de protection des données personnelles accessible sur leur site internet ainsi qu'une politique interne de gestion des demandes d'exercice des droits. Celles-ci devront avoir été définies et mises en place préalablement à toute opération de collecte de données personnelles.

5.1 Mentions d'informations obligatoires

Cette politique de protection des données personnelles doit comprendre a minima les mentions d'informations exigées par l'article 13 du RGPD.

A titre d'exemple, cette politique peut comprendre les chapitres suivants :

• fonctionnement de la technologie utilisée (p.ex. cookie, SDK⁷ , etc.) ;
• origine de la collecte des données (p.ex. directe ou indirecte si collectée via les partenaires tiers) ;
• finalités spécifiques et exhaustives des traitements (p.ex. retargeting ou publicité ciblée, profils qualifiés, études de mesures de performance des campagnes publicitaires) ;
• catégories de destinataires, sachant que la liste exhaustive des partenaires doit être facilement accessible selon les récentes décisions de la CNIL (p.ex. un lien hypertexte sur le mot « destinataires » accessible sur le bandeau d'information pour les cookies ou fenêtre pop-up pour le SDK);
• types de données collectées (p.ex. données d'identification, de navigation) ;
• durée de conservation des données en détaillant le cycle de vie de la donnée (p.ex. e-mail en clair une fois collecté via un cookie est supprimé au bout de 24h, puis remplacé par un identifiant unique pendant 13 mois) ;

  
  

• mesures de sécurité (p.ex. localisation des serveurs en France, chiffrement en SHA256) ;
• transferts de données hors Union Européenne (p.ex. un tiers hébergeur hors UE) ;
• exercice des droits (accès, rectification, limitation, opposition, suppression, portabilité), modalités pratiques d'exercice (p.ex. via un formulaire de demande en ligne, ou un lien de désinscription/désabonnement) et la possibilité pour la personne d'introduire une réclamation auprès de la CNIL.

5.2 Procédure interne de gestion des demandes d'exercice des droits

Pour rendre effectif l'exercice des droits par une personne, la CNIL rappelle que l'entreprise doit :

• informer les personnes concernées sur l'existence de leurs droits préalablement à la collecte de leurs données; ce qui peut déjà être fait dans le cadre de la mise en place de politique de protection des données ;
• donner accès aux personnes concernées à des modalités pratiques (p.ex. formulaire de demande en ligne, coordonnées du DPO) pour exercer leurs droits facilement (droit d'accès, de limitation, de rectification, d'effacement, d'opposition, de portabilité, etc.);
• mettre en place un parcours interne efficace au sein de l'entreprise pour le traitement des demandes d'exercice des droits. Cela nécessite de prévoir des procédures en interne permettant de remonter les demandes d'exercice des droits au bon interlocuteur afin d'être en mesure de traiter la demande dans les délais impartis ;
• prévoir des modalités de réponse auprès des personnes concernées qui soient compréhensibles, accessibles, formulées en des termes clairs et simples. Des e-mails automatisés peuvent être prévus notamment afin d'accuser la bonne réception de la demande dans un premier temps.

Il convient également de documenter toute demande d'exercice des droits des internautes afin de prouver que l'entreprise a respecté le délai de réponse d'1 mois à compter de la demande (sauf exception justifiée). Chaque demande doit donc être recensée avec l'objet de la demande et le temps de réponse dans un document interne à l'entreprise.

A titre d'exemple, la CNIL prévoit que les listes d'opposition à la prospection commerciale peuvent être conservées pendant 3 ans afin de justifier de la prise en compte de cette demande.

La CNIL rappelle les règles à suivre par les professionnels dans sa fiche sur comment répondre à une demande de droit d'accès.

Cette contribution vous a été donnée par Maître Fabrice Perbost, avocat associé et Maître Domitille Philippe, avocats du cabinet Harlay Avocats, membre du CPA.

¹ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) qui est entré en application le 25 mai 2018.

² Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dans sa dernière version modifiée.

³Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques modifiée par la directive 2009/110/CE du 16 septembre 2009.

⁴ Par exception, le consentement préalable de la personne n'est pas requis lorsque la prospection commerciale porte sur une offre de produits ou services analogues à ceux ayant déjà fait l'objet d'une relation commerciale entre la personne concernée et l'entreprise émettrice de la prospection commerciale, à condition toutefois que la personne concernée ait la faculté de s'opposer lors de la collecte de ses données et à chaque envoi de message de prospection pour des produits ou services analogues au traitement de ses données.

⁵ Le Syndicat National de la Communication Directe est l'organisation professionnelle dédiée à la promotion des techniques et des usages du marketing direct multicanal et de la relation client.

⁶ Le Transparency and Consent Framework (Framework) propose des règles communes à adopter lors du traitement de données à caractère personnel ou de l'accès et/ou du stockage d'informations sur le terminal d'un utilisateur, tels que les cookies, les identifiants publicitaires, les identifiants de périphérique et autres technologies de tracking. Le Framework permet aux éditeurs et autres fournisseurs de services en ligne, qui travaillent avec des « tiers » pour des services basés sur les données de se fonder sur l'une des bases juridiques du RGPD. Le Framework permet de « signaler » le choix de l'utilisateur à travers la supply chain publicitaire. .

⁷ Acronyme anglais de Software Development Kit ou kit de développement logiciel. Le SDK se compose d'un outil logiciel intégré dans le code des applications mobiles des éditeurs d'applications mobiles. Il permet en particulier de collecter des données du téléphone mobile (données de géolocalisation et identifiants du mobile du type IDFA ou UDID) à des fins publicitaires.