Dans un précédent article consacré au RGPD (Règlement général européen sur la protection des données à caractère personnel), nous avions notamment pointé le fait que le consentement au traitement des données est une protection très relative pour le citoyen en raison des exceptions que le texte prévoie à cette obligation. certaines sont assez évidentes, comme la continuité de la prise en charge sanitaire ou les intérêts publics supérieurs, et d’autres bien plus subjectives, comme l’impossibilité d’exécuter le contrat, même gratuit, sans traitement des données. Aujourd’hui, intéressons-nous à une autre exception, peut-être plus subjective encore, qui est l’intérêt légitime du responsable du traitement.
L'intérêt légitime du responsable du traitement dispense de recueillir le consentement de l'utilisateur
Parmi les applications et déclinaisons de cette notion d’intérêt légitime, l’une concerne de très nombreuses entreprises : le marketing direct, sous forme d’emails adressés à des prospects (et non à des clients ou des destinataires ayant déjà donné leur accord pour recevoir des informations commerciales).
On entend souvent l’expression « double opt-in » : l’utilisateur remplit un formulaire, mais son inscription n’est validée qu’après avoir cliqué sur un lien de confirmation qui lui est adressé par mail. Ce luxe de précautions ne s’explique pas seulement par des raisons juridiques : d’une part, le taux d’ouverture des messages est plus important. D’autre part, de nombreux prestataires de marketing direct exigent ce double opt’in de leur client, pour minimiser le taux de message non parvenus, et plus généralement, pour prévenir les messages indésirables ou SPAM.
En réalité, le RGPD n’interdit pas d’envoyer des mails publicitaires non sollicités, même à des particuliers, car chercher de nouveaux client est un intérêt légitime. C’est le droit français qui prohibe cette pratique à l'article L34-5 du Code des postes et des communications électroniques si le destinataire est une personne physique (B to C), mais pas si c’est un professionnel (B to B). il suffit, dans cette dernière hypothèse, que le destinataire professionnel puisse se « désabonner ».
Le RGPD impose toutefois une obligation d’information : il est recommandé d’indiquer le motif légitime, l’utilisation éventuelles de « cookies » afin de proposer des publicités ciblées et la possibilité de les désactiver, celle de se désabonner ou de modifier les informations personnelles, éventuellement les coordonnées du Délégué à la protection des données (DPD) s’il est obligatoire (cela dépendra notamment du volume d’informations traitées et de la qualité de l'expéditeur). L’utilisation des informations collectées devra aussi être expliquée. L’intérêt légitime deviendrait contestable si cette utilisation n’était pas attendue par les prospects, s’ils ne pouvaient la supposer : ils peuvent se douter qu’il recevront des mails, éventuellement ciblés, mais pas que leurs données personnelles (une adresse email professionnelle comportant le nom de la personne est une donnée personnelle) seront utilisées à d’autres fins, ou qu’elles seront revendues. Cela ne signifie pas que ce soit interdit, mais il faudra alors recueillir le consentement éclairé de l’utilisateur.
Raymond Taube
Institut de Droit Pratique : formation et conseil sur le RGPD, la protection des données, les bonnes pratiques informatiques...