E-Prospection : les bonnes pratiques suite à la nouvelle norme 48 de la Cnil.

Pendant la période estivale, discrètement, la Commission Nationale Informatique et libertés (Cnil) a modifié la norme simplifiée n°48 pour la publier au JO du 14 septembre 2016. Pour rappel, la norme simplifiée n°48 régit les modalités de traitement des données clients et prospects par les entreprises.

Or, en cette période de forts contrôles de la Cnil, il est essentiel de veiller aux bonnes pratiques en matière de collectes de données sur le web ! Bien entendu, il est toujours possible d’adresser une newsletter ou une offre promotionnelle à son client ou à un prospect. Toutefois, cet envoi reste conditionné par le respect de la loi et des recommandations de la Cnil.

Qu’est-ce que la prospection ? Quelles limites ?

L’article 34-5 du Code des postes et des communications électronique prévoit que :

  • « Constitue une prospection directe l’envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services. Pour l’application du présent article, les appels et messages ayant pour objet d’inciter l’utilisateur ou l’abonné à appeler un numéro surtaxé ou à envoyer un message textuel surtaxé relèvent également de la prospection directe. »

A ce titre, la newsletter contenant des offres promotionnelle, comme toute opération d’offre promotionnelle par SMS peut donc être identifiée à une prospection directe. Notons ici que depuis le 14 septembre 2016, la Cnil intègre aussi les nouvelles techniques de prospection utilisant par exemple le Bluetooth.

Or, pour faire de la prospection directe, le principe reste que la personne doit préalablement exprimer son consentement AVANT toute prospection directe par email, télécopie ou sms.

Le consentement est défini comme :

  • « toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe. » (Article 34-5 précité).

Exemple de consentement : la case cochée par l’internaute, la poursuite de la navigation sur un site internet doté de cookies traceurs ou l’inscription à la newsletter.

Toutefois, pour faciliter la prospection de ses propres clients, la Cnil a permis un régime plus souple s’il s’agit d’un client que s’il s’agit d’un prospect.

Le régime et les bonnes pratiques diffèrent donc en fonction de la relation que vous avez avec le destinataire de l’opération de prospection.

Bonne pratique et prospection des clients-prospects

Pour les prospects ou clients, attention à bien rédiger vos messages de prospection et notamment toujours donner la possibilité de stopper les envois, bien indiquer l’identité de la personne pour le compte de laquelle la communication est émise et mentionner un objet en rapport avec le message.

Concernant les clients, la prospection directe par email ou sms est autorisée si :

  • les coordonnées ont été collectées loyalement c’est-à- dire notamment en informant la personne de l’utilisation de ses données (article 32 de la loi Informatique et libertés) ;
  • vous avez fait une déclaration à la Cnil ;
  • la prospection porte sur des produits ou services analogues à ceux achetés.

Concernant les prospects, la prospection directe par email ou sms nécessite :

  • que les coordonnées aient été collectées loyalement c’est-à- dire notamment en informant la personne de l’utilisation de ses données (article 32 de la loi Informatique et libertés)
  • une déclaration à la Cnil
  • qu’il y ait un « opt-in » (un consentement) tel qu’une case à cocher pour accepter la prospection AVANT l’envoi.

Dans les deux cas, les personnes dont les données sont collectées disposent du droit de s’opposer à l’utilisation de leurs données à caractère personnel à des fins de prospection.

Attention, vous n’avez la possibilité de garder les données prospects et clients que pour une durée de trois ans à compter du dernier contact avec eux. Par exemple à compter de la date d’expiration d’un contrat de garantie pour un client ou de la date du dernier clic d’un prospect dans une newsletter que vous lui avez adressée.

Ensuite, il reste possible de conserver ces informations à des fins d’analyses ou d’élaboration de statistiques agrégées. Mais dans ce cas, les données doivent être anonymisées de manière irréversible. La Cnil veillera alors à ce qu’il y ait eu une purge de toutes les données à caractère personnel, y compris les données indirectement identifiantes (NS 48 article 5 et avis du G29 adopté le 10 avril 2014 sur les techniques d’anonymisation).

Focus sur l’utilisation des cookies

Les cookies sont les fichiers installés sur le terminal de l’internaute et qui permettent de collecter de nombreuses informations sur le visiteur d’un site internet. Ces informations sont plus qu’utiles en matière de « e-prospection ciblée ».

  • Première nouveauté : Avant le 14 septembre 2016, les informations stockées dans les cookies ne pouvaient être conservées plus de 6 mois. Désormais la Cnil admet une conservation de 13 mois à compter du consentement de l’internaute. Un nouveau consentement devra être demandé à l’issue des 13 mois car les nouvelles visites ne doivent pas déroger à la durée de vie de ces informations.
  • Seconde nouveauté : Les obligations d’information (bandeau cookies) issues de l’article 32-II de la loi Informatique et libertés, s’appliquent aussi bien aux éditeurs de sites, qu’aux émetteurs de cookies (régies publicitaires, réseaux sociaux, éditeurs de solution de mesure d’audience), lesquels doivent être considérés comme co-responsables. Cette « nouvelle » obligation est issue de la campagne nationale de la Cnil, lancée depuis l’automne 2014, qui contrôle le respect par les entreprises françaises de la réglementation relative aux cookies. Désormais, même lorsque le cookie n’est pas déposé par l’éditeur lui-même, le fait de faciliter le dépôt du cookie en configurant son site internet suffit, selon la Cnil, à le rendre responsable.

Sanctions de la Cnil

Nombre de contrôles et de sanctions de la Cnil ont pour origine une plainte déposée à la Cnil qui repose sur l’absence d’effectivité du droit des personnes. A titre d’exemple lorsqu’une personne ne parvient pas à se désinscrire d’un fichier.

Les investigations de la Cnil portent alors principalement sur les modalités de collecte des données, y compris les cookies sur les sites internet, les modalités d’information des personnes, la déclaration à la Cnil, l’effectivité du droit d’opposition et la durée de conservation des données.

Ce fut le cas dans le contrôle chez PRISMA MEDIA qui a été sanctionné par 15 000 euros d’amende et la publication de sa décision (Délibération n°2015-155 du 01 juin 2015) pour les motifs suivants :

  • absence de preuve du consentement ;
  • manquement au droit d’opposition ;
  • conservation excessive des données des prospects. ATTENTION : contrairement à ce que l’on a coutume d’entendre, la simple ouverture d’une lettre d’information par un internaute ne peut pas constituer un « contact » au sens de la norme simplifiée n° 48, et être ainsi le point de départ de la durée de conservation des données (article 5 de la NS 48).

Dans ce contexte, il apparait important de mettre en place une cellule ou un processus systématisé de gestion des demandes liées au droit des personnes mais aussi de conserver les preuves de l’« opt-in » ou « consentement » de vos prospects à des adhésions newsletters ou autre, de même que la preuve de la date du dernier contact.

Yaël COHEN-HADRIA
Avocat à la Cour
Propriété intellectuelle numérique

« Article initialement publié dans le JMJ n°53 »