Comprendre les bases légales du RGPD pour la collecte des données personnelles
90% des internautes sont familiers avec les principes de la publicité personnalisée sur internet. Avec l’adoption du Règlement Général Européen sur la Protection des Données (RGPD) qui prendra effet le 25 mai 2018, l’une des questions les plus débattues au sein de l’industrie du marketing digital concerne les technologies de suivi publicitaire telles que les cookies ou les identifiants publicitaires mobiles (« Mobile Advertising IDs »).
Ces dernières sont désormais expressément qualifiées en tant que données personnelles. Outre-Atlantique, la nouvelle est accueillie avec surprise et un peu d’appréhension. En Europe et en France en particulier, ce principe s’inscrit dans la continuité de ce qui est la doctrine des autorités depuis déjà longtemps. Réel changement majeur : désormais, il n’existe plus de doute sur le fait que cette règle s’applique dans tous les États membres de l’Union européenne où les cookies et autres identifiants techniques devront donc être considérés comme des données personnelles.
Qu’est-ce que cela signifie et comment cela s’applique-t-il au monde de l’entreprise ?
Le RGPD prévoit six bases légales distinctes pour la collecte et le traitement de données personnelles. Ainsi, quelles que soient les données personnelles concernées, leur collecte doit être fondée sur l’une des bases légales suivantes :
- L’intérêt vital de la personne,
- L’intérêt public,
- La nécessité contractuelle,
- Le respect d’obligations légales,
- Le consentement non-ambigu de la personne,
- L’intérêt légitime du responsable de traitement.
Il est important de noter que ces six fondements ont une valeur juridique équivalente et ne sont pas cumulatifs, c’est-à-dire qu’un seul suffit à justifier un traitement. Pour les entreprises spécialisées dans le marketing ou la publicité en ligne, ou pour toutes entreprises qui collectent des données à des fins de marketing direct, les bases légales les plus pertinentes semblent être :
(1) le consentement non-ambigu de la personne et
(2) l’intérêt légitime du responsable de traitement.
Ainsi, toute entreprise souhaitant collecter des données à des fins de publicités personnalisées en toute légalité doit au préalable recueillir le consentement non-ambigu (et non pas explicite) des clients. Cela signifie que l’utilisateur doit consentir après avoir été spécifiquement informé de l’utilisation de cookies et de leur finalité(s) par le biais d’une action positive. Cette règle vaut pour les cookies ou autres identifiants techniques qui ne collectent pas de données sensibles. En revanche, pour la collecte de données dites sensibles telles que l’origine ethnique, la religion, les préférences sexuelles, l’affiliation politique et l’état de santé il est indispensable de collecter le consentement explicite.
Comment s’applique « l’intérêt légitime du gestionnaire de données » ?
Afin qu’un traitement des données puisse se reposer sur l’intérêt légitime du responsable de traitement, les utilisateurs doivent s’attendre raisonnablement à ce qu’un tel traitement soit réalisé avec leurs données. A titre d’exemple, le RGPD précise que le traitement de données à des fins de marketing direct peut être considéré comme entrant dans le champ de l’intérêt légitime. Pour autant il convient que ce traitement n’outrepasse pas les droits fondamentaux à la vie privée des utilisateurs. Des mesures de sécurité appropriées doivent être mises en œuvre afin de réduire les risques potentiels pour la vie privée des utilisateurs. En outre, ces derniers devront être informés de la finalité de l’utilisation de leurs données à des fins marketing. Une option permettant d’accepter ou de s’opposer à l’utilisation des données publicitaires doit également être aisément accessible.
De manière générale, les utilisateurs doivent toujours pouvoir contrôler l’utilisation de leur données et leur expérience de navigation. Ils doivent pouvoir se désinscrire très facilement via un moyen simple et accessible, avec des explications compréhensibles concernant la façon dont cela affectera leur expérience d’utilisateur.
Des critères à respecter pour établir un véritable intérêt légitime
· La collecte : pour quelle finalité(s) les données sont-elles recueillies et cette collecte est-elle nécessaire afin de répondre à un ou plusieurs objectifs spécifiques à l’entreprise ?
· Le traitement : les lois nationales et le RGPD permettent-ils d’identifier la finalité du traitement comme une activité légitime ou existe-t-il d’autres moyens pour réaliser cette finalité ? De plus, quelle est la nature des données à traiter et bénéficient-elles d’une protection spéciale dans le cadre du RGPD ?
· L’information aux clients : Le droit des individus serait-il fragilisé par le traitement de ces informations ? Et comment une information claire peut-elle être délivrée à chaque personne ? Pour finir, comment rendre cette information la plus intelligible et la plus claire possible ?
La mise en application du RGPD approche. Les entreprises doivent donc suivre certaines directives et certains conseils qui seront notamment délivrés par les Autorités locales. Une bonne préparation permettra d’être plus facilement en conformité. Ce qu’il est important de retenir c’est que le RGDP est une opportunité unique pour les entreprises de renforcer les mécanismes de transparence et de contrôle qu’elles offrent aux individus quant à la collecte et au traitement de leurs données afin de renforcer la confiance dans leurs services.
*Enquête menée par Criteo et Ipsos auprès de 3 000 internautes européens âgés de 16 à 65 ans. Ces consommateurs ont été interrogés en France, au Royaume-Uni et en Espagne, autour d’un échantillon représentatif de la démographie européenne.