Demain, le RGPD … Adieu mon ancienne banque de données !?

L’application du RGPD est imminente.

De multiples messages divergents fusent en tous sens. Brièvement, ils sont de trois types: l’opt-in, l’opt-out et les messages hybrides combinant les deux formules. Certains ont décidé de ne rien faire avant la loi implémentant le RGPD en droit belge et les prises de positions concrètes de l’Autorité de protection des données, ex Commission de la protection de la vie privée.

La tension monte au sein des entreprises car les DPO, gardiens du temple RGPD, rappellent à juste titre qu’à partir du 25 mai il devient impensable de traiter les données personnelles de ceux qui dorénavant doivent vous donner leur autorisation préalable, avisée et explicite. Toute infraction peut mener à une plainte et le cas échéant, à de fortes sanctions allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial du contrevenant. Il faudrait donc envoyer un message de type «opt-in» pour exclure tous risques.

Les départements commerciaux rétorquent avec autant de ferveur : « On serait fou d’envoyer ce message qui risque d’avoir pour conséquence que très peu de personnes s’inscriront, ce qui implique en pratique l’abandon immédiat et irréversible d’une partie importante des données collectées dans le passé». Les commerciaux préfèrent donc envoyer un message de type «opt-out» qui informe toute personne concernée sur les objectifs et les droits consacrés dans le RGPD en offrant la possibilité de se désinscrire.

Finalement, que faire ?

Les adeptes du risque zéro choisiront la première option, «opt-in», d’autant plus s’ils ont décidé de réduire les campagnes de direct mail pour opter vers d’autres moyens de communication (p.ex. les médias sociaux, site web et publicité en ligne). A travers ces canaux, ils envisagent de reconstruire leur banque de données et de communiquer différemment, notamment de façon plus ciblée.

Cependant, existe-t-il des arguments de texte pour défendre une approche plus « soft » ou plus « commerciale » et ce, dans un but d’éviter une critique ultérieure dans le sens « Vous voyez bien, nos concurrents ont choisi le opt-out ; ils ont pu garder leur banque de données ce qui leur a procuré un avantage commercial et ils n’ont pas été réprimandés par l’Autorité de protection des données. »?

Rappelons que l’objectif du RGPD est de créer une transparence poussée et un devoir d’information renforcé qui permettent à toute personne d’avoir une parfaite connaissance de l’utilisation de ses données personnelles.

Ceci dit, est-il certain que ce régime plus sévère de « opt in » s’applique égalementaux données qui ont été collectées valablement avant le 25 mai?

En effet, le RGPD n’exige pas explicitement que le responsable du traitement doive obtenir un « nouveau consentement » de la personne concernée, qui aurait marqué son accord (implicite) dans le passé.

Il ressort du considérant 171^[1] du RGPD qu’il est de la volonté du législateur de permettre aux responsables du traitement de poursuivre le traitement après la date d’application du règlement. Ainsi, une conclusion logique et pragmatique serait que le consentement valable, donné jadis, éventuellement de façon implicite et avec la possibilité de faire un “opt-out”, suffit pour poursuivre le traitement.

Il est dès lors étonnant de lire dans ce même considérant qu’un nouveau consentement n’est pas nécessaire si la manière dont ce consentement avait été donné dans le passé est conforme aux conditions énoncées dans le nouveau règlement. Une telle application rétroactive des nouvelles règles aurait en effet comme conséquence que le souhait d’une poursuite dans le traitement ne sera pas atteint, étant donné que les conditions de validité du consentement étaient autrefois moins strictes.

Nous pensons également que si le législateur européen a voulu protéger les personnes et leur donner plus de contrôle sur leurs données, il n’a pas pour autant souhaité pénaliser les entreprises européennes « outre mesure », ce qui serait en effet dommageable pour l’économie européenne dans un contexte mondial.

Nous n’excluons pas non plus qu’après le 25 mai prochain, moult sociétés tenteront d’invoquer qu’elles ont un «intérêt légitime» à maintenir des contacts avec leurs anciennes relations commerciales qui avaient reçu à l’époque des informations sans se désinscrire. La question est d’autant plus délicate que certaines adresses mail professionnelles contiennent un nom et/ou prénom. Mais peut-on faire l’amalgame entre la situation du consommateur final qui mérite le degré de protection maximal et celle de professionnelsdont on peut présumer qu’ils souhaitent être pleinement informés de ce qui se passe dans leur secteur d’activité? Il est en tous cas évident que les adresses mails «info» et toute autre adresse sans mention de données personnelles tombent en dehors de champs du RGPD et peuvent faire l’objet d’envoi de type direct mailing après le 25 mai.

Nous pourrions sans le moindre doute faire confiance aux paroles du Secrétaire d’Etat De Backer signalant déjà que l’Autorité de protection des données s’investira surtout dans la sensibilisation et que les amendes sont plutôt destinées aux incorrigibles.

Nous attendons avec impatience la loi belge et la rubrique « Analyse juridique » sur le site web de la Commission de la protection de la vie privée qui sera disponible « prochainement » sous le titre «Une analyse approfondie du nouveau règlement est mise à disposition pour les experts ».

Certes, le dernier mot n’est pas ditdans cette matière importante et délicate. Attendons-nous à des débats intéressants dans les jours et semaines à venir.

Entretemps, FLINN a pris la décision de respecter à la lettre le RGPD, en envoyant un mailing «opt-in», et decontinuer à informer pleinement ses clients et ses contacts, en respectant le libre choix qu’ils ont fait dans le passé et qu’ils feront à l’avenir. Nous espérons que vous avez confirmé votre consentementJ.

Benoit SIMPELAERE | FLINN

Nancy MAES| FLINN