Section II : Les obligations de l'annonceur de la
prospection directe
Si d'une manière générale, l'utilisation
des données personnelles des consommateurs contribue au progrès
économique, elle peut amener les entreprises à s'interroger sur
les modalités de cette utilisation au regard des règles de
déclaration (Paragraphe I) et d'identification (Paragraphe II) de
l'annonceur de la prospection directe.
Paragraphe I : L'obligation de déclaration de
l'annonceur.
Tout traitement de données personnelles doit être
déclaré préalablement à l'autorité de
chargée de veiller à la protection de ces données à
l'occurrence la CDP au Sénégal et la CNIL française.
Devant la CDP, le principe est celui de la déclaration
normale préalable avant toute opération de prospection qui
suppose un traitement d'informations personnelles. Ces opérations
doivent être déclarées devant l'autorité
compétente avant leur mise en oeuvre.
35 Délibération n°2014-20/CDP du 30
mai 2014 portant sur les conditions de la prospection directe.
36 Article 4-1 de la loi n°2008-12 sur la PDCP
« Code de conduite : tout projet de règles, notamment les
chartes d'utilisation, élaboré par le responsable de traitement,
en conformité avec la présente loi, afin d'instaurer un usage
correct des ressources informatiques, de l'Internet et des communications
électroniques de la structure concernée et homologuée par
la Commission des Données Personnelles ».
26
Octobre 2018
Cette obligation découle de l'article 18 de la loi
sénégalaise sur la PDCP qui exige qu' « en dehors des
cas prévus aux articles 17, 20 et 21 de la présente
loi37, les traitements de données à caractère
personnel font l'objet d'une déclaration auprès de la Commission
des Données Personnelles ».
Dans la pratique, le régime de déclaration est
appliqué aux traitements contenant des informations sur des personnes
physiques réalisés à partir de fichiers ou bases de
données de clients. Ainsi, dans sa délibération
n°2014-016 du 30 avril 2014 mettant en demeure TIGO SENEGAL pour non
déclaration de fichiers, base de données et systèmes
contenant des informations normatives et pratiques de prospection directe non
conforme à la législation, le Comité de sanction de la
CDP, en application des articles 29.2 et 31 de la loi 2008-12
précitée, 71 du décret n°2008-721 du 30 juin
200838et 25 du Règlement Intérieur de la Commission,
décide de mettre en demeure TIGO SENEGAL sous un délai de quinze
(15) jours.
D'ailleurs, dans sa délibération
n°2014-20/CDP du 30 mai 2014 portant sur les conditions de la prospection
directe citée plus haut, la CDP, invite tout responsable de traitement
à exiger et de s'assurer de ses partenaires, l'accomplissement des
formalités déclaratives préalables devant la Commission
avant toute opération de marketing direct.
Auparavant, en droit français la déclaration
était une formalité obligatoire pour constituer un fichier
prospects qui répondait à la définition des traitements de
données personnelles visée par la LIFL. A ce titre, la mise en
oeuvre d'un tel fichier doit faire l'objet de formalités
déclaratives auprès de la CNIL. La LIFL prévoit un
régime de déclaration pour les traitements, y compris la
prospection directe, qui, compte tenu des données que contiennent ces
traitements, sont considérés comme susceptibles de porter une
plus grande atteinte à la vie privées et aux libertés des
personnes.
Mais depuis l'entrée en vigueur du RGPD, en France,
cette obligation est atténuée. Dés lors, les fichiers
relatifs à la gestion des clients et des prospects, qu'ils soient ou non
constitués à partir d'un site Internet, n'ont plus à
être déclarés. Pour se conformer aux règles de
protection des données personnelles, il suffit d'informer les
consommateurs des conditions dans lesquelles les données seront
traitées et de leurs droits, de ne collecter et traiter que les
informations nécessaires à la prospection ou à la relation
commerciale, de prévoir des mesures adaptées aux risques, de
limiter la durée de conservation des données entre autres.
Si le cadre législatif et réglementaire
décrit semble donner de la valeur à l'obligation de
déclaration (cependant de moins en moins en droit communautaire de
37 L'article 17 dispense de l'obligation de
déclaration pour certains types de traitements, notamment, ceux ayant
pour but la tenue d'un registre. L'article 20, quant à lui, soumet
à un régime d'autorisation par la CDP par exemple les traitements
des données à caractère personnel portant sur des
données génétiques et sur la recherche dans le domaine de
la santé. Enfin, l'article 21 prévoit un régime
d'autorisation réglementaire pris après avis motivé de la
CDP pour certains traitements comme ceux automatisés d'informations
normatives opérés pour le compte de l'Etat.
38 Décret portant application de la loi
n°2008-12 du 25 janvier 2008 sur la protection des données à
caractère personnel.
27
Octobre 2018
l'UE), les annonceurs doivent aussi tenir compte, dans le
domaine de la prospection directe, de leur devoir d'identification.
| 
