Les acteurs du marketing direct
Les personnes, physiques ou morales, intervenant dans les traitements de données à caractère personnel nécessaires à vos activités de marketing peuvent être nombreuses et les relations nouées avec elles parfois complexes. Vous faites probablement appel, en tant que responsable de traitement, aux services de différents partenaires qui peuvent agir tantôt comme purs sous-traitants, tantôt comme responsables conjoints de traitement avec vous ou encore, comme fournisseurs de données à caractère personnel. Il est important que vous déterminiez les rôles de chacun afin d’appréhender correctement vos obligations et les leurs.
Vous êtes « responsable du traitement » lorsque, seul ou conjointement, vous déterminez les finalités et les moyens d’un traitement de données à caractère personnel.
Il est important de se rappeler qu'une organisation n'est pas responsable du traitement ou sous-traitant « par nature ». Tout dépend de la manière dont elle se comporte dans les faits. Vous devez vous demander, pour chaque opération que vous effectuez avec des données à caractère personnel, qui détermine les finalités du traitement et la manière dont le traitement de données en question est effectué.
Afin de clarifier votre rôle et celui des autres intervenants (tels que vos fournisseurs de services techniques ou encore des tiers qui vous fournissent des données), demandez-vous :
- qui décide de collecter des données à caractère personnel en premier lieu et le(s) type(s) de données à caractère personnel à recueillir ;
- qui détermine les personnes ou catégories de personnes visées ;
- qui décide des données ou catégories de données à collecter ;
- qui détermine la ou les finalités pour lesquelles les données doivent être utilisées ;
- qui détermine et s’assure de la base juridique pour le faire (consentement, obligation légale, intérêt légitime, etc.) ;
- qui détermine s’il y a lieu de communiquer les données et, dans l’affirmative, à qui ;
- qui détermine le contenu de l’information à fournir aux personnes concernées au sujet du traitement ou des opérations de traitement appliqué(es) à leurs données ;
- qui détermine la durée de conservation des données ; et
- qui détermine la façon de répondre aux personnes concernées dans le cadre de l’exercice de leurs droits.
Toutes ces décisions ne peuvent être prises que par le responsable du traitement dans le cadre de son contrôle global du traitement des données. Si vous prenez l'une de ces décisions, vous êtes plus que probablement responsable du traitement.
L’article 26 du RGPD prévoit également la situation dans laquelle coexistent deux ou plusieurs responsables, dits « responsables conjoints » du traitement. Tel est le cas lorsque plusieurs opérateurs/organisations déterminent ensemble les finalités et les moyens du traitement. L’article 26 du RGPD prévoit que dans ce cas, les responsables conjoints doivent définir leurs obligations respectives de manière transparente par voie d’accord entre eux qui reflète dûment leurs rôles respectifs envers les personnes concernées.
Soyez attentifs à cet égard sur le fait que la CJUE a décidé, dans son arrêt « Fashion ID GmbH & Co. KG c. Verbraucherzentrale NRW eV », que le gestionnaire d’un site Internet équipé du bouton «j’aime» de Facebook peut être conjointement responsable avec Facebook de la collecte et de la transmission à Facebook des données à caractère personnel des visiteurs de son site.Par ailleurs, lorsque vous faites usage de données à caractère personnel collectées via des médias sociaux, vous ne pouvez pas vous appuyer sur leurs conditions d’utilisation pour informer les personnes concernées dont vous traitez les données à caractère personnel (ou dont les données sont traitées par votre intermédiaire), sur les différents traitements effectués et finalités poursuivies. Il vous appartient en effet, en tant que responsable du traitement, même conjoint, de fournir une information transparente aux personnes pour la partie des traitements de données à caractère personnel que vous mettez en œuvre.
Dans le cadre de vos activités de marketing, comme dans le cadre d’autres activités de traitements de données, il arrive également fréquemment que vous ayez recours, en tant que responsable du traitement, aux services d’un sous-traitant.
Lorsqu’un organisme public ou privé, ou une personne physique traite des données à caractère personnel pour votre compte, sur la base de vos instructions, aux seules fins de vous permettre de réaliser vos finalités, il s’agit d’une situation de sous-traitance.
Toute relation de sous-traitance implique obligatoirement le respect de l’article 28 du RGPD qui prévoit entre autre que cette relation fasse l’objet d’un contrat ou tout autre acte juridique reprenant, au minimum, les conditions édictées à l’article 28.3 du RGPD. Vous êtes également tenu de choisir un sous-traitant qui présente des garanties suffisantes pour le traitements des données à caractère personnel dans le respect des règles du RGPD.
Soyez attentifs à cet égard au fait qu’en quelque situation que ce soit et face à quelque sous-traitant que ce soit, dès lors que vous agissez en tant que responsable du traitement, vous demeurez tenus aux obligations que vous impose le RGPD et vous devez répondre, le cas échéant, des manquements à ces obligations.
Un même organisme peut agir à la fois en tant que sous-traitant et responsable de traitement ; mais pas pour le même traitement de données à caractère personnel. Un sous-traitant agissant de la sorte doit s’assurer que ses systèmes et procédures font la distinction entre les données à caractère personnel traitées en sa qualité de responsable du traitement et celles traitées en sa qualité de sous-traitant. Si certaines des données sont identiques, ces systèmes doivent pouvoir distinguer ces deux situations afin d'appliquer différents processus et mesures à chacune.Sous réserve de la légalité des traitements concernés, si une organisation agit, en parallèle, en tant que responsable de traitement et en tant que sous-traitant pour des traitements de données différents mais sur la base des mêmes données personnelles, les personnes concernées doivent en être dûment informées : tant par l’organisation qui agit en tant que sous-traitant que par l’organisation qui agit en tant que responsable de traitement. Il en va notamment ainsi des entreprises qui vous proposent de recourir à leur système de cartes de fidélité et qui gèrent pour votre compte une base de données reprenant, par exemple, les données des personnes titulaires d’une carte pour votre enseigne, les achats ou catégories d’achats effectués, la fréquence, les périodes et les montants, afin de vous aider à mieux cibler votre clientèle et de lui proposer des promotions plus adéquates. Il se peut que ces mêmes organisations exercent également des activités autres que de la pure sous-traitance en fournissant, par exemple, des « profils de clients » à d’autres enseignes sur la base, notamment, des données collectées via ladite carte de fidélité. L’information à fournir doit porter notamment sur les différents traitements opérés, les données collectées ainsi que les destinataires de données avec leurs finalités propres.
Enfin, de plus en plus, les pratiques de marketing direct impliquent le recours à différentes organisations offrant des services de mise à disposition, par courtage, vente ou location des données à caractère personnel issues de différentes sources, ayant ou non fait l’objet de transformations via enrichissement, couplage de données, avec ou sans profilage. Ces organisations, qu’elles soient principalement occupées en tant que « data brokers » ou d’autres entreprises actives dans l’industrie publicitaire (en ce compris, les entreprises qui louent ou vendent des données relatives à leurs propres clients ou autres contacts), apparaissent parfois comme incontournables pour vous permettre d’atteindre vos objectifs.
Dans la pratique, il est fréquent que les personnes concernées ignorent que des données à caractère personnel les concernant sont collectées par ces organisations et, a fortiori, ce qu’elles en font. Le rapport « Out of control » publié le 14 janvier 2020 par le Forbrukerradet, membre du Bureau européen des unions de consommateurs (le « BEUC »), fait état d’une situation répandue de collecte et usage de données à caractère personnel à l’insu des détenteurs et utilisateurs de smartphone.
La transparence est pourtant cruciale afin de traiter des données de manière loyale et licite et ce, dans le chef de chaque responsable de traitement intervenant dans la chaîne de transmission des données à caractère personnel.
Dès lors, lorsque vous collaborez avec des organisations intermédiaires pour améliorer vos campagnes de marketing en récupérant auprès d’elles des données à caractère personnel dont vous ne disposiez pas, vous êtes, vous aussi, tenus de fournir l’information requise aux personnes concernées, conformément à l’article 14 du RGPD, au plus tard au moment de votre première communication avec celles-ci.
En outre, vous devez vous assurer de la qualité des données que vous obtenez par ce biais. Votre responsabilité implique également que vous preniez soin de sélectionner les partenaires à même de vous garantir de façon effective que les données à caractère personnel ont été collectées de manière licite et loyale. Il vous appartient de vous assurer de l’origine des données, de la manière dont elles ont été collectées, sur quelle base juridique, par qui, pour quelles finalités, pour quelle durée et quels traitements.
Renseignez-vous également pour savoir si l’organisation proposant les services auxquels vous souhaitez recourir fait ou non partie d’un organisme professionnel, est ou non adhérente d’une charte ou accréditée par un organisme indépendant, notamment par l’adhésion à un code de conduite.
Toutes ces précautions préalables font partie des efforts de mise en conformité (« due diligence ») attendus d’un responsable de traitement et du respect de l’article 25 du RGPD qui vous impose d’intégrer la protection des données à caractère personnel dès la conception de vos traitements et par défaut, tout au long de vos traitements.