L’achat de fichiers email : une pratique encadrée juridiquement
30.09.20L’achat de fichiers email est donc une méthode certes efficace pour obtenir une clientèle plus proche de son activité professionnelle, mais c’est aussi une pratique aux nombreuses limitations qui rend l’utilisation des fichiers complexe et qui dans certains cas peut frôler l’illégalité si l’entreprise ne respecte pas les dispositions du RGPD.
L’achat de fichiers e-mails est soumis à des règles
Bien que l’achat de fichiers emailing possède de nombreux avantages, dont notamment l’obtention de coordonnées de milliers de clients potentiels, et une distribution en masse et à faible coût des offres publicitaires, cette pratique est encadrée.
En effet, si cette pratique est légalement utilisée dans une grande majorité des sociétés, elle peut s’avérer abusive dans un certain nombre de cas. C’est pourquoi son encadrement s’est avéré nécessaire pour la protection des données personnelles des entreprises et consommateurs ciblés. Dès lors qu’une entreprise envisage de se rapprocher d’un prestataire de vente de fichiers emails, il faut qu’elle s’assure que ledit fichier respecte les exigences de la loi Informatique et Libertés de 1978. Ces exigences sont au nombre de deux :
- la déclaration du fichier e-mails auprès de la Commission nationale de l’Informatique et des libertés (CNIL) et
- le recueil préalable de l’accord de la personne concernée à la réception de courriels sur son adresse électronique.
La condition de déclaration du fichier auprès de la CNIL
Le fichier email doit tout d’abord être déclaré auprès de la Commission nationale de l’Informatique et des libertés (CNIL). Afin d’inciter au respect de cette règle, le contrat de vente d’un fichier e-mails non déclaré est considéré comme ayant un objet illicite et s’avère de ce fait nul (Com., 25 juin 2013). Cette déclaration doit être renouvelée à chaque fois qu’une modification substantielle est réalisée.
L’opt-in avec le consentement préalable pour les envois d’emails
En outre, avant toute utilisation de fichiers email en France, l’entreprise doit s’assurer que le consommateur a bien donné son consentement à ce que ses données soient utilisées, c’est « l’opt-in ». Le consentement doit se comprendre, au sens de l’article L.34-5 du Code des postes et des communications électronique, comme étant la volonté libre, spécifique et informée d’accepter que ses données personnelles soient utilisées à des fins de prospection directe.
De manière très fréquente, ce consentement, sera acquis dès lors que le consommateur aura coché la case indiquant qu’il accepte la réception d’offres commerciales d’une entreprise ou des partenaires de ladite entreprise lors de son inscription ou d’un achat sur un site internet par exemple.
Cependant, l’obtention du consentement en pré-cochant la case n’est pas valide, car il est considéré comme un « opt-in passif ». Ainsi, avant tout achat de fichiers email il faut que l’entreprise s’assure que le vendeur des fichiers a bien obtenu le consentement des personnes concernées pour l’utilisation de leurs données personnelles à des fins commerciales.
Il faut noter que l’entreprise est également tenue d’informer les personnes, dont les données vont être utilisées, si elle a pour projet de partager ces données à des entreprises tierces.
L’absence d’obligation de recueil du consentement à l’envoi d’e-mails sur les adresses électroniques « génériques » des entreprises
L’exception à l’obtention du consentement s’applique aussi dans le cas où c’est une société qui a été démarchée (BtoB). En effet, le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données personnelles distingue entre les adresses email des personnes physiques et celles des personnes morales (sociétés). Les sociétés ne rentrent pas dans le champ d’application des dispositions du RGPD.
Ainsi, l’utilisation de fichiers emails « génériques » d’une société ciblée, comme par exemple contact@societe.com par exemple, n’implique pas de respecter le principe de consentement. En revanche, dans le cas où il s’agit de l’utilisation des adresses mails professionnelles des personnes travaillant au sein de ladite société, par exemple jean.dupont@societe.com, il faut d’une part que la prospection ait un lien avec la profession de la personne contactée, et d’autre part que celle-ci ait consenti à l’utilisation de ses données et qu’elle y ait été informée. Cette distinction entre ces deux catégories d’adresses mail résulte du fait que dans le second cas, une identification des personnes contactées est possible, alors que dans le premier seule la société est identifiable.
Information sur l’utilisation des données achetées
En plus de l’obtention du consentement des consommateurs, l’entreprise a une obligation d’information quant à l’utilisation qui sera faite des données achetées. Cette obligation concerne notamment une information quant à l’identité du responsable de l’achat des données, à la finalité poursuivie, ou encore aux droits dont les clients disposent concernant l’utilisation de leurs données personnelles.
L’entreprise cessionnaire est tenue d’une obligation d’information en vertu de l’article 14 du RGPD si elle a obtenu les données personnelles de manière indirecte, c’est-à-dire auprès d’un tiers et non pas directement des personnes concernées.
Cette obligation d’information contient, entre autres, les informations suivantes :
- l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;
- les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
- l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale ;
- la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;
- l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données;
- le droit d’introduire une réclamation auprès d’une autorité de contrôle;
- la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public.
La transmission de ces informations doit intervenir « dans un délai raisonnable après avoir obtenu les données à caractère personnel » sans dépasser un mois. Dans tous les cas, ces informations doivent être communiquées à la personne concernée au plus tard lors de la première communication avec elle.
Durée de conservation des fichiers achetés
Lorsqu’une entreprise procède à l’achat de fichiers e-mails, elle doit s’assurer de respecter la durée de conservation de ces fichiers. Celle-ci est déterminée librement par le responsable de traitement au regard du principe de nécessité. S’agissant des données personnelles récoltées dans un but de prospection commerciale, la CNIL recommandait de supprimer les fichiers des clients dès lors que trois années sans réponse de la personne contactée se sont écoulées. L’ouverture de l’e-mail ne peut en aucun cas être considérée comme une réponse. Cette suppression peut intervenir plus tôt en cas de demande expresse de suppression par la personne concernée. En vertu de l’article 17 I du RGPD, les personnes dont les données personnelles ont été achetées ont en effet un droit à la suppression des données personnelles les concernant dès lors qu’elles en font la demande.
En résumé
Il est important de s’assurer que les personnes contactées par e-mail aient donné leur consentement préalable à l’utilisation de leurs données personnelles dans le cadre d’une relation B2C et aient aussi communiqué toutes les informations exigées par le RGPD. Dans tous, les cas il faut mettre à la disposition de ces personnes un moyen simple et rapide de s’opposer à l’utilisation de leurs données. L’utilisation des fichiers e-mails achetés devrait dépendre uniquement du bon vouloir et de la volonté des personnes dont les données personnelles ont été collectées. L’acheteur de fichiers emails doit donc vérifier la qualité de ces fichiers au plan légal sous peine de tomber sous le coup des sanctions de la RGPD, à savoir d’amendes pouvant varier de 2% à 4% du chiffre d’affaires.
Françoise Berton, avocat en droit allemand
Tous droits de propriété intellectuelle réservés
Photo: Monster Ztudio