Concernant l’intérêt légitime dans le domaine du marketing direct

FR DE EN

David Vasella

sur le site

04.08.2018

Branches

Autorité

Lois

RGPD 6

Thèmes

Marketing, Justification, intérêt supérieur

Vente à emporter (AI)

L’intérêt légitime (Art. 6(1)(f) RGPD) peut inclure la publicité directe et le profilage, à condition qu’il y ait une évaluation concrète des intérêts, une documentation et des garanties appropriées.
Le consentement préalable est souvent requis pour le suivi en ligne et le profilage non-client ; l’incertitude demeure, ce qui explique pourquoi des mesures de protection appropriées sont essentielles.

Les traitements de données qui relèvent de la RGPD sont interdites, à moins qu’elles ne soient fondées sur une Base juridique (art. 5(1)(a)). RGPD). La base juridique peut être

pour les données triviales de l’art. 6,
pour les données personnelles sensibles de l’art. 9 RGPD (et, le cas échéant, en plus de l’art. 6 RGPDdans la mesure où l’Art. 9(2)(…) ne constitue pas une base de traitement, mais lève seulement l’interdiction de l’Art. 9(1), par ex. pour l’Art. 9(2)(e) RGPD) et
pour les transmissions vers des pays tiers, de l’art. 46 ss. RGPD se produisent.

Dans le domaine du marketing, ce sont surtout les bases juridiques de la publicité qui entrent en ligne de compte. Consentement (art. 6(1)(a)) et du intérêt légitime (Art. 6(1)(f) RGPD) entrent en ligne de compte. La question se pose donc de savoir pour quelles activités de marketing une entreprise (ou un groupe d’entreprises) peut se prévaloir d’un intérêt légitime, et à partir de quand et pour quoi un consentement doit être obtenu (avec les conséquences correspondantes pour la mise en œuvre, éventuellement technique, et les exigences en matière de volontariat, entre autres).

Il existe de bons arguments en faveur de la ne pas restreindre le champ d’application de l’intérêt légitime en matière de publicité directe. Il peut également couvrir les mesures de profilage, c’est-à-dire le traitement des données en vue de la personnalisation des mesures publicitaires, y compris, à mon avis, lorsque des données personnelles collectées hors ligne et en ligne sont réunies pour le profilage. La condition est que

le traitement des données soit limité à ce qui est approprié au but poursuivi ;
le responsable procède à une mise en balance des intérêts suffisamment concrète, en tenant compte des circonstances de l’opération, sans que la mise en balance ne s’emballe,
documenter la pesée des intérêts et
qu’il explique de manière suffisamment détaillée et claire le traitement des données dans une déclaration de protection des données.

Les responsables ont le droit d’épuiser l’intérêt légitime. Ainsi, en avril 2014, le groupe de travail Article 29 (à l’époque) (l’actuel Comité européen de la protection des données) a émis un avis sur l’intérêt légitime (Opinion 06/2014, WP217),

7 lettre f est pas seulement un “dernier recours pour les cas particuliers où les autres bases juridiques ne sont pas applicables ; et
la mise en balance des intérêts a n’a pas pour fonction de préserver la personne concernée de tout effet négatifmais seulement contre des charges disproportionnées. En d’autres termes, tout effet négatif ne fait pas pencher la balance en faveur des personnes concernées..

Concernant l’intérêt légitime au sens de l’art. 6(1)(f) RGPD

Lors de la détermination de l’intérêt légitime, il convient de prendre en compte d’une part tous les intérêts qui ne sont pas réprouvés par la loi d’identifier également les intérêts commerciaux qui parlent en faveur du traitement en question, étant entendu qu’il peut s’agir des intérêts du ou des responsables et de tiers, mais aussi des personnes concernées elles-mêmes. Tous les intérêts contradictoires des personnes concernées doivent être confrontés à ces intérêts.

Ensuite, ces intérêts sont de les pondérer et de les mettre en balance. Selon l’article précité WP217 non seulement l’intensité de l’intervention et la probabilité que des effets négatifs se produisent, mais aussi une série d’autres facteurs, tels que les suivants :

Augmentation du poids du côté du responsable

Les personnes concernées ont accepté le traitement à prévoir raisonnablementLes données personnelles peuvent être collectées auprès de clients existants, par exemple dans le cadre d’une relation commerciale, mais aussi sur la base d’une déclaration de protection des données ;
les intérêts qui parlent en faveur du traitement ont un Référence aux droits fondamentaux;
le traitement se situe également dans un l’intérêt public;
les intérêts se déplacent dans l’environnement d’autres bases de traitementPar exemple, le traitement n’est pas nécessaire pour un contrat, mais il est pertinent (voir ci-dessous la compatibilité des finalités, qui reprend cette idée) ;
les intérêts sont reconnu par la société;
les intérêts deviennent par la RGPD particulièrement reconnu, selon les intérêts
- à la publicité directe (voir ci-dessous) ;
- à la transmission de données à des fins administratives internes au groupe ;
- à la garantie de la sécurité des réseaux et de l’information.

Sont particulièrement importants, selon le considérant 47 des attentes légitimes des personnes concernées. La conférence allemande des autorités indépendantes de protection des données de l’État fédéral et des Länder (DSK) a fait une proposition dans le Document court n° 3 (“Traitement de données à caractère personnel à des fins de prospection commerciale”) a souligné ce point, tout en précisant que le responsable du traitement devait tenir compte de l’issue de la mise en balance des intérêts. par des informations appropriées sur la protection des données peut :

Si le responsable informe de manière transparente et complète sur l’utilisation prévue des données à des fins publicitaires, la personne concernée s’attend en règle générale à ce que ses données client soient utilisées en conséquence.

Augmentation du poids du côté des personnes concernées

Les personnes concernées sont des enfants ou d’autres vulnérable comme par exemple chez les personnes âgées ou les malades ;
un Référence aux droits fondamentaux des intérêts ;
Traitement données personnelles sensibles (mais l’invocation d’un intérêt légitime est de toute façon très limitée ici) ;
les données traitées sont délicat ou susceptible d’abusLes données personnelles sont des données qui ne peuvent pas être utilisées à d’autres fins, par exemple des données de compte, des données de contenu de communication, des données de localisation, des données très personnelles telles que des données de life logging ;
une position particulièrement forte sur le marché, du point de vue du groupe de travail “Article 29”, ce qui est toutefois discutable à mon avis.

Certains traitements sont rendus obligatoires par la RGPD Les activités de production sont alors plus limitées que d’autres ou sont considérées comme particulièrement risquées, par exemple l’usinage,

pour lesquelles la personne concernée relégué au rang d’objet respectivement discriminé serait
pour lesquelles la personne concernée espionné serait
le particulièrement vaste sont
profilage très complet;
le Combinaison de données personnelles provenant de différentes sources et ayant des finalités différentes, dans la mesure où cela va au-delà des attentes raisonnables des personnes concernées ;
Traitements de données auxquels la personne concernée participe empêché d’exercer un droit ou de bénéficier d’une prestation sera.

Garanties appropriées

Il faut également tenir compte de l’existence ou non de “garanties appropriées” (article 6, paragraphe 4, point d)). RGPD). Par “garanties”, la RGPD de manière générale, des mesures techniques et organisationnelles pour la protection des personnes concernées, par ex.

le cryptage ou la pseudonymisation ;
les restrictions d’accès aux données traitées ;
Mesures de privacy by design et de privacy by default ;
couvertures contractuelles
garantir les droits des personnes concernées ;
Garantir un droit d’opposition et une solution simple d’opt-out ;
Réalisation d’une analyse d’impact sur la protection des données ;
des mesures de transparence (voir ci-dessus les attentes légitimes des personnes concernées) ;
Documentation du traitement et de la pesée des intérêts.

Ces considérations jouent un rôle essentiel dans la mise en balance des intérêts, ce qui donne au responsable une certaine marge de manœuvre. Marge de manœuvre donne.

Concernant l’intérêt légitime à la publicité directe

Le site RGPD reconnaît, au considérant 47, que l’intérêt de la publicité directe est légitime :

Le traitement de données à caractère personnel à des fins de publicité directe peut être considéré comme un traitement répondant à un intérêt légitime.

Cela ne répond toutefois pas à la question de savoir quelle est la portée de cet intérêt ou dans quelle mesure les traitements de données à des fins de prospection directe peuvent être fondés sur un intérêt légitime.

Tout d’abord, il faut partir du principe que l’intérêt légitime pas seulement la transmission de la publicité (p. ex. l’envoi d’un e‑mail, qui est toutefois interdit en vertu de l’art. 3, al. 1, let. o UWG ou la législation locale applicable en matière de comportement sur le marché), mais également les traitements de données antérieurs peut saisir, à savoir notamment un profilage. Cela découle du droit d’opposition spécifique prévu à l’article 21, paragraphe 2, de la directive sur la protection des données. RGPD:

Si des données à caractère personnel sont traitées à des fins de publicité directe, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de publicité ; cela s’applique également au profilage dans la mesure où il est lié à une telle publicité directe.

Un tel droit d’opposition n’a de sens que si le traitement en question n’est pas fondé sur un consentement ; dans ce cas, le droit de révocation de l’article 7, paragraphe 3, s’appliquerait déjà. RGPD.

L’article mentionné plus haut est également révélateur WP217. Le groupe Art.29 y maintient tout d’abord

[…] les contrôleurs peuvent avoir une intérêt légitime à connaître les préférences de leurs clients afin de leur permettre de mieux personnaliser leurs offreset, en fin de compte, offrir des produits et des services qui répondent mieux aux besoins et aux désirs des clients. A la lumière de ce qui précède, l’article 7 (f) peut être un fondement juridique approprié à utiliser pour certains types d’activités de marketing, en ligne et hors ligne, à condition que des garanties appropriées soient mises en place […].

Il en ressort également que l’intérêt légitime peut inclure le profilage à des fins publicitaires.

En tant que Résultat intermédiaire il en résulte que l’intérêt légitime au sens de l’art. 6(1)(f) RGPD

Le nombre de participants au marketing direct est en principe considérable,
couvre également le profilage, par exemple le profilage des clients à des fins de marketing personnalisé,
sous réserve que le responsable du traitement mette en place des garanties appropriées.

Cela est également évident du point de vue du résultat : il est difficile de voir quels intérêts du client sont atteints de manière excessive lorsque des mesures de marketing sont adaptées à ses intérêts (supposés), d’autant plus que le client dispose à tout moment du droit d’opposition inconditionnel prévu à l’art. 21, al. 2. RGPD peut faire appel. La limite serait probablement atteinte lorsque l’autodétermination du client est contournée. Dans ce cas, le droit du comportement sur le marché intervient, par exemple le droit de la concurrence déloyale (en Suisse, art. 3, al. 1, let. h). UWGqui interdit la publicité agressive ; de même, le paragraphe 4a de la loi allemande UWG). Il est logique d’utiliser cette limite comme ligne directrice dans le droit de la protection des données. Il reste donc les risques généraux lorsque des bases de données volumineuses sont créées (par exemple le potentiel de dommages accru en cas d’accès non autorisé). Cela ne constitue toutefois pas un motif d’interdiction, mais augmente le cas échéant les exigences en matière de garanties appropriées.

Suivi en ligne

Dans le domaine du suivi en ligne, la portée de l’intérêt légitime fait actuellement l’objet de discussions en Allemagne. La conférence des autorités indépendantes de protection des données de l’État fédéral et des Länder mentionnée plus haut (DSK) défend la positionLe Comité estime que l’utilisation de mécanismes de suivi, comme les cookies qui ne sont pas nécessaires d’un point de vue technique, doit faire l’objet d’un examen approfondi. Consentement requis:

En tout état de cause, un consentement préalable est nécessaire lors de l’utilisation de mécanismes de suivi qui permettent de comprendre le comportement des personnes concernées sur Internet et lors de la création de profils d’utilisateurs. Cela signifie qu’un consentement éclairé au sens de l’art. RGPDLe consentement de l’utilisateur doit être obtenu avant le traitement des données, sous la forme d’une déclaration ou de toute autre action confirmant clairement le consentement, par exemple avant l’installation de cookies ou la collecte d’informations stockées sur l’équipement terminal de l’utilisateur.

Cette position a fait l’objet de critiques justifiées (par ex. le GDD). La littérature (allemande) (par ex. ici) est également plus libérale ; elle tend à autoriser le traçage en ligne et la création d’une base de données correspondante. Profils basés sur un intérêt légitime à condition que les données collectées à cette occasion traitées uniquement sous forme de pseudonymes sont applicables. En fin de compte, la réglementation des § 13 et 15 de la loi allemande sur les télémédias est ainsi reconduite.

Cette position plus stricte concerne le domaine du suivi en ligneMais, à mon avis, elle doit être limitée aux personnes qui pas les clients existants sont des données personnelles. Pour les clients existants, la pesée générale des intérêts doit s’appliquer, raison pour laquelle les données collectées en ligne peuvent également être collectées sous forme de données à caractère personnel et, le cas échéant, être combinées avec d’autres données personnelles. Mais même pour le domaine du suivi en ligne des non-clients, la pesée des intérêts ne peut pas se faire de manière aussi schématique et doit notamment tenir compte des garanties appropriées. Il convient de tenir compte des éléments suivants :

L’intérêt pour les mesures publicitaires est en principe justifié. Art. 6 al. 1 let. f RGPD entre donc en ligne de compte comme base juridique.
Lors de l’application de cette disposition, tous les intérêts doivent être pondérés et mis en balance. La pesée des intérêts ne doit pas négliger les garanties dans le cas concret (comme par exemple les mesures de transparence ou la réalisation d’une analyse d’impact relative à la protection des données).
Le site RGPD accorde un poids accru à l’intérêt des mesures de publicité directe dans le considérant 47.
En l’absence de clause d’ouverture, ces prescriptions ne laissent aucune place à des exigences plus strictes de la part des États membres.
Une référence au droit allemand ne doit pas remettre en cause les droits acquis par la RGPD ne porte pas atteinte à l’uniformisation juridique souhaitée à l’échelle de l’Union.

En conclusion, les responsables ne sont pas, à mon avis, exclus par principe de l’invocation d’un intérêt légitime dans le domaine de la publicité en ligne, même s’ils ne traitent pas les données correspondantes sous une forme pseudonymisée ; une grande insécurité juridique subsiste bien sûr.

Digression : la compatibilité des objectifs

L’art. 5(1)(b) et l’art. 6(4) peuvent constituer une autre base juridique. RGPD sont : les Traitement (ultérieur) à des fins compatibles est couverte par la légitimité de l’objectif d’origine ; “dans ce cas keine andere gesonderte Rechtsgrundlage erforderlich”(considérant 50 ; ce point est toutefois contesté ; voir notamment Herbst in Kühling/Buchner).

Dans ce contexte, une Mise en balance en vertu de l’art. 6(4) RGPD qui tient compte, entre autres, des facteurs mentionnés à l’article 6(4) lettres a‑d. En fin de compte, les considérations relatives à la détermination de l’intérêt légitime et celles relatives au contrôle de compatibilité sont donc similaires. La différence réside dans le fait que la compatibilité des finalités peut également légitimer le traitement de catégories particulières de données personnelles (comme le prévoit l’art. 6(4)(let. c)). RGPD clairement). Cela présuppose toutefois que le traitement de telles données personnelles était licite pour l’objectif d’origine, ce qui – en tout cas pour les entreprises en Suisse – présuppose souvent un consentement. La question est donc moins ici de savoir si un traitement est “compatible” avec la finalité d’origine que de savoir si le consentement a été formulé de manière suffisamment large.

Au final, la compatibilité des finalités ne conduit donc guère à légitimer des traitements qui ne sont pas déjà légitimés par un intérêt légitime.

Con­cer­nant l’in­té­rêt légiti­me dans le domaine du mar­ke­ting direct

Con­cer­nant l’in­té­rêt légiti­me au sens de l’art. 6(1)(f) RGPD

Aug­men­ta­ti­on du poids du côté du responsable

Aug­men­ta­ti­on du poids du côté des per­son­nes concernées

Garan­ties appropriées

Con­cer­nant l’in­té­rêt légiti­me à la publi­ci­té directe

Sui­vi en ligne

Dig­res­si­on : la com­pa­ti­bi­li­té des objectifs