Nous allons aborder les principaux aspects du Règlement Général pour la Protection des Données (RGPD) en rapport avec les données recensées dans les fichiers d’ADN.
Qu’est-ce que le RGPD ?
RGPD est l’initiale de Règlement Général pour la Protection des Données et désigne la dernière directive européenne concernant le traitement des données personnelles. Ce texte comporte 99 articles et a été publié au Journal Officiel de l’Union européenne le 4 mai 2016. Il est entré en vigueur le 24 mai 2016 avec application sur tout le territoire communautaire à partir du vendredi 25 mai 2018.
Qu’est-ce qu’une donnée à caractère personnel ?
C’est une information qui permet d’identifier directement ou indirectement une personne physique.
Entrent dans ce domaine :
- Les modes d’identification directe : nom, prénom, photographie…
- Les modes d’identification indirecte : numéro de téléphone, numéro de CB, numéro de compte bancaire, cookie, adresse ip, email nominatif…
Quelles sont les données personnelles présentes dans les fichiers d’ADN ?
Les données personnelles concernées sont exclusivement : nom, prénom, fonction et email nominatif de cadres et dirigeants.
Y-a-t-il plusieurs niveaux de données à caractère personnel ?
Oui, il existe des données sensibles, telles des données à caractère personnel, recensant des informations sur la santé, l’opinion politique, l’orientation sexuelle, l’appartenance syndicale, l’origine raciale ou ethnique.
Nos fichiers ne seront pas concernés par ce type de données.
Traitement de données et Responsable de Traitement :
Le traitement des données est défini à l’article 4-2 comme étant « Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que : la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
Le Responsable de Traitement est défini à l’article 4-7 comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement »
ADN en tant que courtier et producteur de fichiers BtoB est amené à produire, traiter, conserver, louer ou vendre certaines données personnelles.
ADN sera dont un « Responsable de Traitement » au sens de l’article 4-7 du RGPD.
Est-ce que les fichiers d’ADN sont licites ?
Le RGPD aborde 6 raisons pour lesquelles le traitement de données personnelles est licite :
La dernière de ces 6 raisons est :
Art 6 – 1 f :
« le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée ».
Après échange entre la Cnil et le SNCD (Syndicat National de la Communication Directe), le traitement de données personnelles dans le cadre de fichiers de prospections BtoB est bien considéré comme un « intérêt légitime ».
ADN et le marketing direct s’inscrivent donc dans ce champ.
Pour faire simple : ADN est une entreprise spécialisée en marketing direct, activité économique reconnue et ayant sa fonction au sein de l’économie
Le Marketing Direct suppose l’utilisation de Base de données
Donc ADN peut traiter des données du type de celles que l’on traite dans le cadre du marketing Direct.
Voir réponse apportée par la Cnil via ce lien.
Mais cette licéité ne peut que s’opérer dans un certain cadre et doivent suivre certaines obligations, examinées au point suivant.
Est-ce qu’une entreprise peut acquérir légalement un fichier d’ADN ?
Oui, dans certaines conditions.
S’il est interdit de prospecter directement par voie électronique (email, sms, fax, automate d’appel), une personne physique qui n’a pas exprimé son consentement, les fichiers BtoB, en revanche, restent opt-out.
L’opt-out est défini comme un droit d’opposition : l’envoi d’emailing non sollicité est autorisé dans le cadre professionnel si l’objet de ce dernier est en phase avec le souci professionnel du destinataire. Le destinataire doit cependant toujours avoir la possibilité de se désinscrire facilement d’une liste de diffusion ou d’un emailing.
La SNCD (Syndicat National de la Communication Directe) définit l’Opt-out comme « Information explicite fournie à l’utilisateur d’une adresse électronique, lors de la collecte de données à caractère personnel, par un moyen immédiatement à sa disposition, sur le fait qu’il est susceptible de recevoir des courriers électroniques, et qu’il peut s’y opposer ».
Il n’y a pas besoin de consentement préalable mais obligation de permettre clairement la possibilité de se désabonner.
Néanmoins :
- Le propriétaire des données doit être informé au moment de la collecte des données. Ce qui est l’affaire d’ADN
- La proposition doit être en rapport avec l’activité professionnelle du destinataire. « L’objet de la sollicitation doit être en rapport avec la profession de la personne démarchée (exemple : message présentant les mérites d’un logiciel à prenom.nom@nomdelasociete , directeur informatique.) »,« Les adresses professionnelles génériques de type info@nomsociete.fr, contact@nomsociete.fr, commande@nomsociete.fr) sont des coordonnées de personnes morales. Elles ne sont pas soumises aux principes du consentement et du droit d’opposition. ».
- L’Annonceur (expéditeur) doit toujours être clairement indiqué. Cette identification lors de l’envoi du mail doit apparaître de manière non équivoque : l’identité complète de l’annonceur ou des annonceurs, (raison sociale, adresse physique, RCS, etc…), ou à défaut, sur une page web accessible d’un simple clic depuis le message électronique.
- Le destinataire doit disposer d’un droit d’information, de modification et surpression (désabonnement). Le propriétaire des données doit être informé de son droit à l’accès aux données le concernant, recensées par l’entreprise détentrice – données qu’il peut connaître, modifier ou supprimer. Il faut que cette personne puisse également s’opposer à recevoir des informations par email de façon simple et gratuite. Cette information peut se faire via un libellé au bas de la newsletter. Cette possibilité de s’opposer à recevoir des informations par email, doit être accessible, aisément et gratuitement au moment de chaque envoi : un lien de désabonnement accompagné de l’avis de prise en compte de ce désabonnement est nécessaire pour chaque envoi. Cette demande d’accès ou de désabonnement peut également se faire par téléphone ou courrier postal. Exemple de Mention à indiquer : « Conformément aux dispositions de la loi n° 78-17 du 6 janvier 1978 ,modifiée par la loi n° 2004-801 du 6 août 2004, Vous disposez d’un droit d’opposition, d’accès, de modification, de rectification et de suppression des données qui vous concernent. Vous pouvez l’exercer en adressant un courrier à l’adresse suivante : (Coordonnées de votre société). Exemple de lien de désabonnement : « Pour ne plus recevoir de message de la part de « votre société », cliquez ici.
- La conservation des données ne doit pas dépasser une durée maximale de 3 ans : Cette durée est fixée à partir du jour de la collecte des données. Il ne s’agit pas d’une obligation que vous avez par rapport à ADN mais une obligation par rapport à la CNIL. Obligation du même type que celle que vous avez par rapport à votre fichier client.
- Les données doivent être conservées de façon sécurisée : Mots de passe d’accès aux fichiers, serveurs sécurisés, firewall, antivirus, accès aux fichiers réglementés et limités au nombre de personnes strictement nécessaire à l’usage de ces données.
- L’entreprise doit intégrer ce fichier à son Registre des Traitements : Le registre des traitements ne doit pas être envoyé à la Cnil mais doit seulement être tenu à sa disposition. Pour plus d’informations sur le Registre des traitements, voir ce lien.
- Les données doivent être adéquates et limitées à la finalité recherchée : Les données doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (Art 5-1 c). Autrement dit, les données doivent être justes, correspondre à un besoin, et la quantité et type d’informations ne doivent pas excéder ce qui est nécessaire aux finalités recherchées.
- Toute violation de données doit être communiquée à la Cnil et aux propriétaires des données. Pour plus d’informations, cliquez ici.
Nous restons à votre disposition pour toute information.
Pour information vous pouvez également contacter notre DPO au mail suivant: dpo@fiduals.com