Aux termes du considérant 26 du RGPD, une donnée pourra être qualifiée de donnée à caractère personnel :
Dès lors qu’elle concerne des personnes physiques identifiées ou identifiables.
Ainsi, un nom, une photo, une adresse postale, une adresse mail, un numĂ©ro de tĂ©lĂ©phone, constituent des donnĂ©es Ă caractère personnel.Â
Qu’est-ce que l’opt-in et l’opt-out ?
Le RGPD encadre les procédures de collecte et de traitement des données à caractère personnel. Pour pouvoir être mis en œuvre, tout traitement de données doit se fonder sur l’une des 6 « bases légales » prévues par le RGPD.
Les deux bases lĂ©gales les plus frĂ©quentes sont :Â
- le contrat : le traitement de données est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;
- le consentement : la personne a consenti au traitement de ses données.
L’opt-in (choisir d’accepter) et l’opt-out (ne pas choisir d’accepter) correspondent à des méthodes utilisées en vue de recueillir des données personnelles, comme par exemple l'adresse l'email ou le numéro de téléphone d’un utilisateur, en vue notamment de le contacter par la suite à des fins de prospection commerciale.
-
L'opt-in est un accord actif et préalable de la part de l’utilisateur :
S'il n'a pas dit "oui", alors c'est "non". Il est également possible de mettre en place un double opt in, qui est un processus de vérification et de confirmation de l’opt-in. Ainsi, il sera vérifié que l’adresse e-mail fournie est exacte et que la personne l’ayant renseignée confirme son consentement au traitement de données personnelles envisagé ;
-
L'opt-out correspond à l’absence d’accord, si l’utilisateur n’a pas dit “non”, c’est “oui” :
L’opt-out autorise donc le professionnel à opérer un traitement de données à caractère personnel, par exemple : envoyer des contenus à visée prospective sans le consentement préalable du destinataire qui sera automatiquement inscrit sur la liste de diffusion de l’entreprise.
L’opt-in est la reĚ€gle en matieĚ€re de prospection commerciale, particulièrement lorsque le traitement de donnĂ©es concerne un particulier (B2C, business to consumer). Le recours Ă l’opt-out est permis dans le cadre de relations commerciales entre professionnels (B2B, business to business) si le contenu Ă visĂ©e prospective est en lien avec la profession de son destinataire.Â
L’article L34-5 du Code des postes et des communications électroniques dispose également que :
Est interdite la prospection directe au moyen [...] d'un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d'une personne physique qui n'a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen.
Comment se conformer en pratique ?
Pour mettre en place un processus d’opt-in conforme au RGPD, il est nĂ©cessaire que l’utilisateur exprime un consentement actif, en dĂ©cidant par exemple de cocher une case l’informant de manière claire et prĂ©cise de la finalitĂ© du traitement (et non qu’elle soit cochĂ©e par dĂ©faut).Â
Il est également conseillé que chaque traitement prévu pour les données personnelles collectées fasse l’objet d’un consentement spécifique. Le formulaire contiendra autant de case à cocher qu’il y a de traitement de données personnelles effectué. Le consentement doit être clair, transparent et univoque. Il est conseillé de mettre en place des listes distinctes afin de prendre en compte les préférences exprimées par les personnes concernées si le consentement est donné pour certains traitements seulement.
Une fois le consentement recueilli (ou en cas d’opt-out) il est nĂ©cessaire, dans tous les cas, que les personnes concernĂ©es puissent refuser de recevoir d’autres sollicitations dans le futur, le cas Ă©chĂ©ant en retirant leur consentement, par exemple par un lien de dĂ©sabonnement figurant dans le courriel de prospection et en prenant en compte effectivement ce choix.Â
L’article 7 du RGPD dispose en effet que :
La personne concernée a le droit de retirer son consentement à tout moment [...] Il doit être aussi simple de retirer que de donner son consentement.
Il est également important d’informer la personne concernée des traitements des données personnelles collectées. Les utilisateurs doivent être informés de leurs droits d’accès, de rectification, d’opposition, de suppression, à la portabilité.
Quelles sanctions en cas de non conformité ?
Les entreprises encourent des amendes administratives allant jusqu'Ă 4 % du chiffre d’affaires ou 20 millions d’euros. En outre, les sanctions peuvent ĂŞtre rendues publiques, une sanction pour non-conformitĂ© au RGPD peut avoir une incidence importante sur la rĂ©putation de votre entreprise.Â
À titre d’illustration, la Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné le 8 décembre 2020 une entreprise à hauteur de 20 000 euros pour avoir, notamment, adressé des courriels de prospection sans avoir préalablement recueilli le consentement des prospects (4).