Le consentement aux données est-il vraiment nécessaire ?

Au terme de deux ans de préparation, l’adoption du Règlement général sur la protection des données aurait dû se dérouler sans problème. Cependant, la réalité n'a pas du tout été à la hauteur des attentes.

D'une part, la législation régionale en matière de protection des données a fait l'objet d’ajustements de toute dernière minute ; d'autre part, la confusion, l'incompréhension et les réactions excessives à l'égard des dispositions du RGPD ont incité de nombreuses multinationales à limiter ou à retirer les services numériques qu'elles proposaient aux résidents de l'Union européenne, créant ainsi un « blackout » en ligne. 

Au cœur de ces égarements, la nécessité du consentement a constitué une problématique qui a déconcerté les entreprises dès l'adoption du RGPD. Bien que ce principe soit important, le consentement a été systématiquement présenté comme étant la seule base légale possible du traitement de données dans un contexte de marketing direct. Or il n’en est rien. Le consentement ne constitue que l'une des six bases légales invoquées dans le RGPD. Parmi elles, l'intérêt légitime est une base tout aussi importante, mais bien moins comprise. 

Alors, que constitue exactement un intérêt légitime, et comment les spécialistes en marketing peuvent-ils efficacement identifier la base légale la mieux adaptée dans le cadre du traitement des données ?

Les avantages de l'intérêt légitime

L'article 6.1 du texte intégral du RGPD contient une disposition qui autorise le traitement des données si elles sont « nécessaire à la réalisation de l'intérêt légitime ». Sans doute la base légale la plus souple du RGPD, elle permet aux entreprises de traiter les données en fonction de leurs propres intérêts, ainsi que ceux de tiers. Son principal attrait est, lorsqu'elle est correctement appliquée, qu'elle fournit un moyen d'accéder aux données et de les exploiter sans avoir à demander le consentement.

Cela signifie que l'intérêt légitime a le potentiel d’assurer aux marketeurs une plus grande sécurité à long terme que le consentement, en supprimant le risque de voir les consommateurs retirer leur consentement. Cela redonne une certaine maitrise aux entreprises, même si, comme nous le verrons ci-après, cela ne signifie pas que les personnes intéressées n’ont plus du tout la possibilité d'exprimer leur refus. L'intérêt légitime résout également le problème que pose le bombardement des consommateurs avec une multitude de demandes de consentement, ainsi que les contrariétés qu’elles peuvent engendrer et l'altération conséquentes des relations, même bonnes, avec ces consommateurs. 

Mais cela ne permet pas pour autant d'accélérer ni de faciliter la conformité. La base que constitue l'intérêt légitime s'accompagne de multiples lacunes et alourdit encore les responsabilités en matière de protection des données des consommateurs. Les droits et les intérêts des individus doivent être sauvegardés et, en vertu de l'intérêt légitime, c'est à l'organisation plutôt qu'à l'individu qu'il incombe de le faire. Les entreprises doivent s'assurer d’avoir mis en place les procédures nécessaires pour protéger efficacement les données des consommateurs. Les recherches montrent que 35 % des organisations s'inquiètent de l'enjeu qui consiste à rester informées au sujet de la documentation relative à leurs stratégies de conformité ; le respect permanent de ses critères n'est donc pas une mince affaire.

Il ne s'agit pas d'une porte ouverte au traitement

Même s'il peut être utilisé dans de nombreuses situations différentes, l'intérêt légitime ne doit en aucun cas servir de base générale, ou être adopté parce qu'il semble être la solution la plus facile. En effet, il existe des critères stricts que les entreprises doivent respecter pour valider son application. 

Afin que ces dernières puissent gérer correctement le traitement des données pour des raisons d'intérêt légitime, il est essentiel de procéder à une Évaluation des intérêts légitimes (LIA, selon l’anglais Legitimate Interest Assessment), qui sert à confirmer et à documenter les motifs de l'entreprise. La LIA comporte trois critères distincts : l’objet, la nécessité et l'équilibre. Si l'entreprise ne réussit pas sur les trois niveaux de tests, elle ne peut pas se fonder sur un motif d'intérêt légitime. 

Premièrement, les entreprises doivent être en mesure de décrire les intérêts légitimes qu'elles poursuivent. Ces intérêts légitimes doivent être clairement et spécifiquement énoncés. Ils doivent avoir une valeur importante pour l'entreprise et être légaux, par exemple, « nous recueillons des informations sur les réclamations d'assurance pour détecter, enquêter sur et prévenir les cas de fraude. » En outre, ces entreprises doivent clairement définir ces objectifs d'intérêt légitime dans leurs avis relatifs à la protection de la vie privée. 

Deuxièmement, la nécessité d'avoir recours à l'approche proposée doit être justifiée. Un lien clair doit être établi entre la collecte de données proposées et la réalisation de la finalité indiquée. If faut garder le principe de proportionnalité à l'esprit et uniquement collecter les données strictement nécessaires pour réaliser la finalité indiquée, tout en envisageant les alternatives éventuelles. S'il est possible d'aboutir au même résultat de manière moins intrusive, cette voie doit alors être privilégiée. 

Enfin, un test de mise en balance doit être effectué. Les organisations doivent peser leurs intérêts par rapport à ceux des personnes concernées et documenter les motifs raisonnables pour justifier pourquoi ces intérêts compensent ou dépassent les intérêts, les droits et les libertés des personnes concernées. Si les données des personnes concernées sont utilisées de manières raisonnablement prévisibles de leur part, il est plus probable que l'équilibre invoqué soit fondé. Inversement, les utilisations inopinées de leurs informations, telles que la collecte par Cambridge Analytica de données sur les amis et la famille pour la campagne électorale américaine, sous couvert d'un questionnaire de personnalité, sont peu susceptibles de réussir le test de mise en balance. 

Il existe un dernier aspect important permettant de comprendre le principe de traitement des données fondé sur l’intérêt légitime. Bien que les entreprises ne soient pas tenues d'obtenir le consentement des personnes concernées lorsqu'elles traitent des données pour ces motifs, le RGPD exige des organisations qu'elles mettent en place un mécanisme clair, facile et accessible permettant aux personnes concernées de s’y opposer formellement. Lorsque des personnes concernées choisissent ainsi de s'y opposer, les entreprises doivent mettre en œuvre un processus juste et équilibré pour déterminer si le traitement des données doit se poursuivre sur ces personnes, malgré leur refus. Dans le cas de la prévention de la fraude, par exemple, la décision serait probablement facile à prendre étant donné le soutien explicite à la prévention de la fraude dans la Raison 47. Les marketeurs doivent toutefois noter que l'article 21 du RGPD prévoit un droit absolu pour les personnes concernées de s'opposer au traitement des données pour des raisons de marketing direct, et que ce droit doit être respecté sans exception.

Toutes les composantes réglementaires sont égales

Il est important que les entreprises réalisent que l'approche générique n'est pas la solution dans le cadre d'une stratégie de conformité qui, si elle est vouée à l'échec, peut avoir d'énormes répercussions, tant financières que sur leur réputation. Facebook en est un exemple flagrant qui, après avoir dit aux utilisateurs « c'est à prendre ou à laisser », a fait l'objet de maintes poursuites judiciaires dès la date butoir atteinte. Google fait également face à une réaction défavorable similaire en raison de son approche quelque peu draconienne. 

Il est clair que les entreprises doivent maîtriser le RGPD en associant une compréhension approfondie et les bons outils. Il est essentiel que les spécialistes du marketing reconnaissent que toutes les composantes du RGPD sont égales. Malgré l'« échappatoire » apparente qu'est le principe de l'intérêt légitime, le consentement demeure un élément fondamental du règlement, tout comme les quatre autres bases juridiques du traitement : l'exécution du contrat, l'intérêt public, l'obligation légale et l'intérêt vital (bien que l'utilisation de ces fins soit limitée dans le monde des affaires). Chaque base légale apporte ses propres arguments et, à condition de les sélectionner de manière rationnelle et appropriée, les entreprises peuvent réellement bénéficier de la réglementation et améliorer leurs relations avec les consommateurs..