Le principe du consentement de la personne concernée avant toute transmission de données personnelles

La CNIL pose différents principes à la transmission des données personnelles à des partenaires commerciaux ou courtiers de données. En premier lieu, la société qui collecte les données personnelles directement auprès de la personne concernée devra nécessairement recueillir son consentement.

Cette exigence du consentement de la personne concernée était déjà prévue par la CNIL dans une précédente communication d’octobre 2016 « pour céder ou échanger [les] coordonnées électroniques à des fins de prospection commerciale », développant ainsi la pratique, désormais étendue, des 2 cases à cocher pour autoriser la prospection par email, d’une part de la société à l’origine de la collecte et, d’autre part de ses partenaires.

Toutefois, on peut s’étonner que la CNIL écarte ainsi l’éventuelle application de l’intérêt légitime comme base légale et ce, en contradiction avec le considérant 47 du RGPD qui prévoit que « les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. […] »

Par ailleurs, la CNIL pose un autre principe à la transmission des données : le consentement recueilli par la société collectant les données pour le compte de ses partenaires n’est valable que pour ces derniers.

Dès lors, les partenaires ne peuvent donc envoyer, à leur tour, les informations reçues à leurs propres partenaires, sans recueillir de nouveau le consentement informé des personnes. Ce nouveau principe impacte, de manière certaine, l’ensemble du mécanisme contractuel des courtiers de données qui ne pourront plus se fonder uniquement sur la qualité de la collecte initiale des données (consentement et information) pour pouvoir les revendre.

Les nouvelles exigences posées en matière d’information

Si la CNIL recommandait déjà le recueil du consentement avant toute transmission à des partenaires, de nouvelles exigences sont posées en matière d’information.

Tout d’abord, la personne concernée devra pouvoir identifier les partenaires à qui sont adressées ses données personnelles et ce, depuis le formulaire à partir duquel la collecte des données est réalisée. Deux possibilités s’offrent au responsable de traitement :
- soit intégrer directement une liste exhaustive des partenaires régulièrement mise à jour,
- soit, par souci de mise en forme, intégrer au formulaire un lien hypertexte renvoyant vers une liste exhaustive des partenaires. Dans ce dernier cas, la CNIL recommande également de créer des renvois vers les politiques de confidentialité de chaque partenaire.

La principale difficulté de cette nouvelle exigence réside dans la distinction entre ces « partenaires commerciaux » et les « destinataires », ces derniers étant définis à l’article 4. 9) du RGPD comme toute personne « qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers ». En effet, si ces partenaires commerciaux et courtiers de données à qui sont adressées les données personnelles sont nécessairement des destinataires, tous les destinataires d’un traitement ne sont pas nécessairement des partenaires commerciaux. Dès lors, l’ensemble des destinataires ne devra pas être intégré à la liste exhaustive, nouvellement prévue par la CNIL.

Par ailleurs, la CNIL impose également que l’information fournie à la personne concernée soit mise à jour et qu’à ce titre, cette personne puisse être informée de chaque évolution de la liste des partenaires commerciaux et courtiers de données. Dans sa publication, la CNIL donne un exemple d’une telle information qui s’effectuerait sur deux niveaux, sans préciser si ces informations doivent être mises en place cumulativement ou alternativement :
- d’une part, elle prévoit que chaque courriel ou message de prospection envoyé par la société à l’origine de la collecte des données permette de prendre connaissance de la liste à jour de ses partenaires ;
- d’autre part, chaque nouveau partenaire recevant les données doit, quand il communique pour la première fois avec la personne prospectée, l’informer, au plus tard dans un délai d’un mois, du traitement qu’il fait de ses données.

Il est à noter que ce deuxième niveau d’information était déjà posé par l’article 14 du RGPD relatif à la collecte indirecte des données personnelles. Ces dispositions du RGPD sont d’ailleurs reprises par la CNIL qui impose aux partenaires sollicitant à leur tour les personnes concernées d’indiquer, lors de leur première communication, la manière d’exercer leurs droits, en particulier d’opposition, ainsi que la source d’où proviennent les données utilisées.

La CNIL apporte toutefois une précision concernant la mise en œuvre du droit d’opposition dont elle précise qu’il doit pouvoir être exercé par la personne concernée, soit directement auprès du nouveau partenaire, soit auprès de la société à l’origine de la collecte initiale des données qui devra le répercuter directement à ses partenaires qui sont destinataires des données. Cette précision de la CNIL paraît ici limiter la liberté contractuelle laissée par le RGPD aux responsables conjoints lors de l’établissement du contrat prévu à l’article 26 du RGPD ayant pour objet de définir notamment les questions relatives à l’exercice des droits de la personne concernée.

On comprend donc que ces nouvelles exigences impliqueront nécessairement de nouveaux développements informatiques et aménagements sur les formulaires de collecte de données pour les responsables de traitement dont la « roadmap » commençait seulement à s’alléger, voire une refonte totale du schéma contractuel avec leurs partenaires, et ce en l’absence de définition de la notion par la CNIL.

 Laurence HUIN, avocate, Hayat Avocat