Traitement de mes données à caractère personnel à des fins de marketing direct

Pour qu’une communication soit considérée comme du marketing direct, outre les autres critères requis, il faut que celle-ci ait impliqué un ou plusieurs traitements de vos données à caractère personnel.

Une donnée à caractère personnel est toute information vous concernant qui permet de vous identifier de manière directe ou indirecte.

Il peut donc s’agir, par exemple, de vos nom et prénoms, de votre adresse e-mail ou postale, de votre date de naissance mais également de votre numéro de client, de vos préférences de navigation sur Internet ou encore votre régime quotidien ou vos opinions philosophiques.

Dès que l’on utilise vos données à caractère personnel (par exemple une simple consultation de celles-ci), il s’agit d’un traitement de vos données à caractère personnel et tout traitement de vos données à caractère personnel doit être fait dans le respect des règles applicables, notamment issues du RGPD.

Parmi les données qui vous concerne, certaines sont plus sensibles que d’autres et doivent faire l’objet de davantage de protection. Il s’agit par exemple d’information liées à votre santé, à vos opinions politiques ou philosophiques, ou encore à votre patrimoine génétique.

En matière de marketing direct, un nombre très importants de donnés à caractère personnel est traité chaque jour. Cela ne signifie pas pour autant que cela est autorisé. Seules les données nécessaires à la réalisation des buts pour lesquels elles sont collectées peuvent être traitées (et donc, collectées au départ). Si une organisation vous demande vos aliments préférés et votre nationalité pour vous envoyer un catalogue de vêtements, cela n’est pas normal.

De la même manière, quel que soit le but poursuivi par un responsable de traitement, la manière dont il va traiter vos données doit être nécessaire à la réalisation de ses objectifs. Il n’aura par exemple pas besoin de faire du profilage si la seule opération de traitement qu’il vous a renseignée est « l’envoie d’un e-mail chaque semaine pour vous informer de nos nouvelles actions ».

Le marketing direct connaît de nombreux types de traitements dont les plus évidents sont les communications elles-mêmes, qui nécessitent d’utiliser vos coordonnées de contact afin qu’elles vous parviennent, mais également d’autres opérations telles que le partage de vos données avec d’autres organisations ou encore votre profilage.

Il faut donc être vigilant et prudent avec ce que l’on vous demande, dans chaque contexte.

Questions

Une personne m’interpelle dans la rue pour me parler d’actions menées par une ONG et note mes coordonnées pour que j’apporte mon soutien à une de ces actions, est-ce un traitement de mes données à caractère personnel ?

Oui. Le simple fait de noter vos coordonnées à destination de les faire figurer dans un fichier même papier mais qui suit une certaine logique (par date, par commune de résidence, par ordre alphabétique) constitue un traitement de vos données à caractère personnel et dans ce cadre, à des fins de marketing direct puisqu’en lien avec la promotion d’une action menée par l’ONG

Chaque année avec mes enfants, nous participons à la vente de produits pour une œuvre caritative. Nous tenons un registre des noms et adresses afin de revenir vers eux en priorité vers les meilleurs donateurs ou acheteurs. Ce registre est accessible à la centrale locale de l’œuvre. Est-ce un traitement de données à des fins de marketing direct ?

Oui.

Même si vous êtes une personne physique agissant pour une œuvre de charité, à partir du moment où vous contribuez à la collecte de données à caractère personnel destinées à figurer dans un fichier pour faciliter la diffusion des campagnes marketing menées par cette œuvre, vous traitez des données à caractère personnel à de fins de marketing direct.

Vous devez donc également veiller à les traiter en conformité avec les règles du RGPD, à votre mesure. Vous pourriez, selon les hypothèses, être soit qualifié de sous-traitant si la tenue du registre et la manière de le faire vous est intégralement dicté et demandé par l’œuvre caritative, soit de responsable conjoint avec l’œuvre de charité, si vous décidez de votre propre initiative de tenir un tel registre pour faciliter vos démarches. Cette qualification de responsable conjoint est issue de la jurisprudence de la CJUE ((arrêt du 5 juin 2018, Wirtschaftsakademue Schleswig-Holstein, C-201/16, arrêt du 10 juillet 2018, Jehova todistajat, C-25/17 ; arrêt du 29 juillet 2019 «Fashion ID GmbH & Co. KG c. Verbraucherzentrale NRW eV», C-40/17).

Dans ce dernier cas, vous serez, en outre, tenus d’informer correctement les personnes dont vous traitez les données, de ce que vous faites avec les données, pourquoi, comment, avec qui et pendant combien de temps.

Mon opérateur téléphonique m’informe qu’il communique mes données à caractère personnel à certaines entreprises partenaires qui sont intéressées par mes données afin de m’envoyer leurs promotions. Peut-il le faire ?

Votre opérateur téléphonique ne peut pas communiquer vos données à des tiers afin que ces tiers puissent les utiliser à des fins de marketing direct, sans vous en informer clairement et préalablement, c’est-à-dire qu’il doit vous fournir cette information avant toute communication de vos données à ces partenaires, de manière claire, lisible et séparée de toute autre clause qui vous lie à lui (donc pas via une simple mention dans des conditions générales de 8 pages par exemple).

Ensuite, il ne peut le faire que dans deux cas de figure.

Soit il vous demande votre consentement spécifique et certain pour pouvoir le faire, tout en vous indiquant que vous pourrez, à tout moment, retirer ce consentement. Pour rappel, ce consentement doit répondre à toute une série de conditions de validité et il doit notamment résulter d’une démarche de votre part, votre inaction ou absence de réaction ne donnant pas lieu à un consentement valable.
Soit il vous laisse la possibilité directe, facile, distincte et apparente de vous opposer à ce traitement de vos données (en cochant une case à cocher bien visible par exemple).

Il doit également vous fournir toutes les informations nécessaires à votre bonne et entière compréhension de cette communication de vos données : quelles données seront communiquées, à quels types de tiers, ce qu’ils vont faire avec vos données etc.