Belgique : recommandation relative au traitement des données personnelles à des fins de marketing direct

FR DE EN

David Vasella

sur le site

30.03.2020

Branches

Autorité

APD

Lois

Thèmes

Marketing

Vente à emporter (AI)

L’autorité de contrôle belge a publié des recommandations de janvier à 2020 sur le traitement des données personnelles pour le marketing direct en conformité avec le RGPD.
Une délimitation claire : les communications de service, les études de marché pures ou les enquêtes de satisfaction ne sont pas considérées comme du marketing direct.
“Marketing direct” en tant qu’objectif est trop imprécis ; l’objectif doit être concrétisé (par ex. offres personnalisées, profilage, ciblage des clients).
Remarques sur les bases juridiques : le consentement ne peut pas être modifié en cours de traitement ; l’intérêt légitime est possible, mais une mise en balance stricte est nécessaire.

Dans un document daté de janvier 2020, l’autorité de contrôle belge Recommandations relatives au traitement des données personnelles à des fins de marketing direct ont été publiées. Ces recommandations contiennent des instructions sur la manière de respecter le RGPD lors du traitement des données à des fins de marketing direct.

Les recommandations sont assez volumineuses (près de 80 pages, qui contiennent divers exemples et indications complémentaires). En les parcourant brièvement, on remarque entre autres les indications suivantes :

- Le marketing direct n’est pas Communiqués de service comme par exemple la confirmation d’une commande (dans la mesure où elle n’est pas accompagnée d’un message publicitaire). Ne sont pas non plus concernés Étude de marché ou une Enquête de satisfactionLes données personnelles ne sont pas collectées à des fins publicitaires.
- Lorsque plusieurs entreprises du groupe mettent en place une plateforme commune de marketing direct et se mettent d’accord sur les paramètres essentiels du traitement des données (par exemple les catégories de données personnelles collectées), il s’agirait de responsables communs.
- Lors de la Détermination de l’objectif Le “marketing direct” n’est pas suffisant (ce qui est également le cas du “marketing de masse”). Le BVwG autrichien voit les choses ainsi). Voici quelques exemples d’objectifs correspondants :
  - informer vos clients quant à vos nouveaux produits ou services ;
  - établir le profil de vos clients ;
  - permettre à des tiers d’utiliser les données de vos clients pour établir des profils d’électeurs ;
  - proposer des offres personnalisées pour l’anniversaire de vos clients ;
  - tenir informé vos clients de vos différentes actions ;
  - faire la promotion de votre image de marque auprès du grand public ;
  - inviter vos clients ou prospects à des évènements (pour la promotion de votre organisation) ;
  - communiquer à vos clients des offres ciblées susceptibles de rencontrer leurs intérêts ;
  - démarcher de nouveaux clients, abonnés ou affiliés.
- Il n’est pas possible, au cours du traitement des données, d’identifier les Base de traitement à modifier. si un traitement de données se fonde sur un consentement, ce traitement doit être interrompu en cas de révocation du consentement.
- Il n’est pas possible d’effectuer un traitement de données sur plus qu’une base juridique de soutenir.
- (Ce point de vue n’est pas nécessairement surprenant et n’est pas isolé. Mais elle est clairement en contradiction avec l’article 6, paragraphe 1, du RGPD (“Le traitement n’est licite que si au moins une des conditions suivantes est remplie : […]”) et à l’article 17, paragraphe 1, point b), du RGPD (obligation d’effacer : “La personne concernée retire son consentement […] et il n’y a pas d’autre base juridique pour le traitement”).
- En référence à l’art. 6, al. 1, let. f du RGPD, l’autorité exclut d’invoquer le intérêt légitime pour le marketing direct ne suffit pas. Lors de la mise en balance nécessaire des intérêts, il convient toutefois de tenir compte du fait que le responsable du traitement à des fins de marketing direct ne peut pas se prévaloir d’un intérêt correspondant de la personne concernée elle-même.
- En outre, l’Autorité fait remarquer que l’exigence de consentement en vertu d’une loi spéciale (comme en Suisse selon l’art. 3, al. 1, let. o, LCD).
- L’Autorité attire également l’attention sur les différentes formes de profilage, notamment le profilage dans le cadre d’une décision individuelle automatisée. Il y aurait par exemple un tel cas lorsqu’une entreprise transmet à une assurance des classifications de personnes concernées basées sur un profilage et que l’assurance ne transmet ensuite certaines offres qu’à des personnes appartenant à certaines catégories (ou les mêmes offres à différentes catégories à des conditions différentes).
- D’autres explications concernent l’utilisation très fréquente du marketing direct. Implication de sous-traitantsL’Autorité souligne que la même société peut agir à la fois en tant que responsable du traitement et en tant que sous-traitant (ce qui sera souvent le cas, par exemple, pour les sociétés de services intragroupe).
- En outre, l’autorité souligne que la personne concernée doit être informée de la possibilité de transférer des données personnelles à des tiers, par exemple en cas de transfert de données au sein d’un groupe ou d’un tiers extérieur en cas de Transactions d’entreprise. En cas de fusion, il incombe à la partie qui obtient l’accès aux données personnelles dans le cadre de la fusion d’en informer les personnes concernées.

Bel­gi­que : recom­man­da­ti­on rela­ti­ve au trai­te­ment des don­nées per­son­nel­les à des fins de mar­ke­ting direct

Belgique : recommandation relative au traitement des données personnelles à des fins de marketing direct