Paragraphe II : Le principe de l'interdiction de la
prospection directe non-consentie.
En règles générales, la prospection
directe effectuée sans le consentement de la personne concernée
est interdite par les législations. La prospection directe ainsi
prohibée se présente sous plusieurs aspects.
A ce titre, il peut s'agir qu'à l'instant de la
collecte directe des données personnelles, les personnes
concernées n'ont pas manifesté expressément leur
consentement à recevoir des messages aux fins de prospection.
Aussi, il peut s'agir, en cas de collecte indirecte des
données personnelles, le responsable de traitement n'a pas
déclaré la base ou le fichier43 à
l'autorité compétente avant d'adresser un message aux personnes
prospectées afin de requérir leur consentement. Dans ce cas, la
réponse à ce message est gratuite et en l'absence de
réponse, les données devront être supprimées
automatiquement.
A cela s'ajoute, l'utilisation d'une base de données
détenues par d'autres prestataires, le responsable de traitement ne peut
utiliser que les données des personnes
43 Le fichier est un ensemble de données
à caractère personnel accessibles selon des critères
déterminés, que cet ensemble soit centralisé,
décentralisé ou réparti de manière fonctionnelle ou
géographique. (Art. 4 parag.6 RGPD)
31
Octobre 2018
ayant expressément exprimé leur consentement. A
cet effet, le responsable de traitement doit informer ses partenaires,
notamment les fournisseurs de services à valeur ajoutée, de
l'obligation de respecter la législation avant toute prospection
directe.
Enfin c'est le cas de l'utilisation des bases de
données déjà constituées et pour lesquelles le
consentement les personnes concernées n'était pas
préalablement requis, le responsable de traitement doit déclarer
la base ou le fichier aux autorités avant d'informer les
intéressés par l'envoi d'un message sur les nouvelles
possibilités d'utilisation de leurs données personnelles et de la
faculté de s'y opposer.
Paragraphe III : Le principe d'interdiction de certains cas
de profilage.
Le développement des technologies permet l'analyse des
historiques de navigation, des courriels et autres informations sur les
réseaux sociaux et moteurs de recherche ; dans le but de connaître
l'utilisateur en question. Le mobile de cette analyse est de permettre de
proposer au consommateur des produits correspondants à ses besoins. Les
abus constatés dans la pratique nécessitent d'encadrer le recours
au profilage et de donner la possibilité à l'utilisateur de
reprendre le contrôle sur ces données utilisées aux fins de
ciblage.
Prenant acte de l'ancrage de l'analyse prédictive et de
la prospection directe comme technique classique de l'e-commerce, le RGPD
encadre le recours au profilage par le responsable de traitement.
Le recours au profilage est une évidence en commerce
électronique, en tant que technique de marketing ciblé, tant il
permet à l'annonceur d'augmenter ses ventes de par la proposition de
contenus personnalisés au prospect. Force est de constater les risques
engendrés par le profilage.
Le profilage permet de tracer les internautes dans le temps et
sur différents sites, de créer des profils très
précis, notamment de leurs goûts, de leurs caractéristiques
(âge, sexe), et d'afficher en ligne les publicités qui
reflètent leurs intérêts. Au travers, le big data,
permettant l'accès à une quantité considérable de
données, les entreprises pratiquent en effet une nouvelle sorte de
marketing44.Cette typologie de prospection directe n'est plus
fondée sur la segmentation de la clientèle, mais sur une
caractérisation comportementale45permettant d'affiner, puis
de personnaliser les offres de produits aux consommateurs.
L'annonceur va capter la commande de son client, et pourra
l'analyser, de sorte à conclure que le client est un consommateur de
tels produits. La collecte de ces informations et leur analyse permettra
à l'annonceur de cibler ce client, en lui proposant à l'avenir
des promotions en lien avec ses besoins confortant la vision du RGPD pour ce
qui est du profilage qu'il définit en son article 4 parag.4 comme «
Toute forme de traitement automatisé de donnés consistant
à utiliser ces données pour évaluer certains aspects
personnels relatifs à une personne physique, notamment pour analyser ou
prédire des
44 E. Jouffin et X. Lemarteleur, « Du
psautier de Mayence au zetaoctets-quel environnement juridique pour le big data
? » ; Banque et droit, n°166, p.12.
45 G. Hass, Guide juridique de l'e-commerce et
l'e-marketing, Ed. ENI, coll. Data pro, 2015
32
Octobre 2018
éléments concernant le rendement au travail,
la situation économique, la santé, les préférences
personnelles, les intérêts, la fiabilité, le comportement,
la localisation ou les déplacements de cette personne physique
». La collecte des données est rendue possible par la pose de
cookies46 traceurs sur le terminal de l'utilisateur47.
Ce marketing prédictif est critiqué, tout
d'abord par le consommateur, de par son caractère intrusif et surtout de
par un sentiment de perte de contrôle dans la maîtrise de sa
navigation sur Internet. Le risque du profilage est d'enfermer les individus
dans un «déterminisme numérique»48.
En effet, la pratique représente un danger dans la mesure où elle
influence les choix des consommateurs49.
De plus, le propos a déjà été
avancé, mais ces données censées être non
identifiantes, peuvent, combinées entre elles, aboutir à des
profils très précis de l'individu objet de la mesure. Surtout, le
traitement de données à la base non identifiantes peut
dégénérer en un traitement de données
sensibles50 ; cela sans avoir à respecter les règles
contraignantes du traitement des données dites sensibles.
Le considérant 24 du Règlement propose la
soumission des traitements de données aux règles qu'il
édicte lorsque le traitement est lié à l'observation du
comportement des personnes concernées. Ce suivi de la personne physique
lors de sa navigation sur Internet nécessite un contrôle du
profilage, ce que le RGPD a opéré, obligeant le responsable de
traitement à certaines contraintes dans la mise en oeuvre du
profilage.
Dans le cadre du profilage aux fins de prospection
commerciale, le Considérant 47 du RGPD énonce que le traitement
des données aux fins de prospection peut être
considéré comme répondant à un intérêt
légitime du responsable de traitement. Certains auteurs critiquent le
recours à ce fondement juridique51.
Force est de constater que les risques engendrés par la
pratique du profilage, notamment sur la vie privée des personnes
entraînant un mouvement européen tendant à renforcer les
obligations des entreprises recourant à la pratique. Le Règlement
prend acte de ce renforcement des obligations de l'annonceur en la
matière.
Et à juste titre, en définissant un
régime d'encadrement du profilage, la volonté du
législateur était sans doute d'interdire par la même
occasion, du fait de leur caractère
46 Les cookies sont de petits fichiers
stockés dans la mémoire des ordinateurs, soit informations
déposées ou lues sur le terminal de l'utilisateur par les
responsables d'application, lors de la consultation d'un site Internet et peu
importe le terminal utilisé par l'utilisateur. Les cookies permettent de
conserver une trace des actions de l'utilisateur du terminal et sont un outil
de prédilection du profilage.
47 Ces techniques font l'objet de la
délibération n°2013-378 du 5 décembre 2013/CNIL
portant adoption d'une recommandation relatives aux cookies et aux traceurs.
48 CE, rapport annuel 2014, p. 237 et s.
49 Allant jusqu'à réduire l'exercice
de la liberté d'expression dans certains cas : E. SCARAMOZZINO, «
Le profilage encadré pour favoriser la diversité culturelles
», Juris art etc. 2016, n°36, p.6.
50 Prenant l'exemple de l'annonceur
spécialisé dans la vente agroalimentaire qui, en analysant les
achats d'un client qui n'achète que des aliments hallal, en vient
à des données sur la confession religieuse.
51 Sur l'ambiguïté de la notion et de
son recours : N. METALLINOS, « Les apports du règlement
général relatif à la protection des données
personnelles sur les conditions de licéité des traitements
», Dalloz IP/IT 2016 p. 588.
33
Octobre 2018
attentatoire aux données personnelles et à la
vie privée des consommateurs, quelques autres typologies du marketing
direct.
| 
