Le numérique a transformé le marketing et les réglementations encadrant les nouvelles pratiques ne cessent d’évoluer, notamment afin d’assurer la protection des données des personnelles. Hervé Gabadou, Avocat associé -Digital & Innovation, Deloitte Legal / TAJ, répond à nos questions sur les dernières évolutions règlementaires.
Quelles sont les dernières actualités réglementaires qui risquent d’impacter les missions des équipes marketing ?
L’actualité de ces derniers mois a surtout été centré sur la question des cookies/traceurs numériques, et du consentement de l’utilisateur à leur dépôt sur son terminal.
En effet, la CNIL a publié en septembre dernier des lignes directrices venant préciser et rappeler le droit applicable et les exigences en matière de consentement des personnes concernées. Il y est notamment rappelé que le consentement doit résulter d’une démarche active de la personne dont les données sont collectées, et qu’il doit être aussi aisé pour elle d’accepter que de retirer son consentement au dépôt de ces traceurs.
Par ailleurs, ces lignes directrices reviennent sur l’interdiction des murs de cookies ou « cookies walls », pratique qui consiste à bloquer ou à restreindre l’accès à un site internet tant que l’utilisateur ne consent pas à l’utilisation des cookies ou d’autres traceurs de connexion. La Commission avait interdit une telle pratique dans la précédente version de ses lignes directrices, qui ont été retoquées par le Conseil d’Etat, au motif que ces dernières, étant des normes dites de « droit souple », ne pouvaient édicter de manière générale une telle interdiction.
Il y a ensuite le projet de Règlement Européen « E-Privacy », annoncé depuis un certain temps par la Commission Européenne, qui apporterait une refonte du cadre actuellement en vigueur, datant de 2002. N’ayant fait l’objet que de discussions en interne, celles-ci semblent avoir été suspendues entre les différents Etats membres et la Commission, ces derniers ayant rejeté une proposition de compromis en novembre 2020.
La dernière version en date du projet de Règlement prévoit notamment l’interdiction de tout dépôt de cookies sur le terminal de l’utilisateur, sauf si le responsable de traitement a recueilli son consentement ou justifie le traitement par un intérêt légitime. Cette position de la Commission est lourde de conséquences pour les professionnels et viendrait réduire drastiquement les possibilités de traitement. La logique serait inversée, puisque l’on passerait d’une tolérance des cookies n’étant pas considérés comme strictement techniques ayant recueilli le consentement préalable de l’utilisateur à une interdiction générale de dépôt des cookies, peu important leur nature. A voir quels seront les contours donnés aux exceptions si cette solution est maintenue dans la version définitive du projet.
Que risquent-ils s’ils ne s’y plient pas ?
Le RGPD prévoit des sanctions en cas de manquements des responsables de traitement à leurs obligations découlant du Règlement Européen. Il en va de même pour les sous-traitants si des manquements à leurs obligations sont constatés, à moins qu’ils ne démontrent que le fait ayant provoqué le dommage ne leur est nullement imputable.
Le montant de ces sanctions dépend du manquement constaté par l’autorité de contrôle et il peut s’élever jusqu’à 4% du chiffre d’affaire annuel mondial ou 20 millions d’euros.
Les autorités de contrôle peuvent les moduler en fonction de la gravité du manquement et la taille de l’entité concernée. On observe une tendance des autorités de contrôle à vouloir sanctionner plus durement les géants du numérique et les grandes entreprises que les PME.
Cette sanction pécuniaire s’accompagne d’un risque réputationnel, étant donné que les sanctions de la CNIL sont publiées et, pour les plus importantes, font l’objet d’un relai dans la presse généraliste et spécialisée. Cette publication n’est cependant pas automatique et est décidée par la formation restreinte de la Commission, en fonction de l’importance qu’elle attache à l’affaire.
De plus, les sanctions pénales et pécuniaires ne s’arrêtent pas seulement au stade de l’autorité de contrôle.
En effet, il est désormais possible pour les consommateurs, depuis 2014, de s’organiser entre eux afin d’intenter contre le professionnel fautif une action de groupe, sous réserve que l’action en justice soit intentée par une association de consommateurs agréée à cet effet. La loi informatique et libertés prévoit également la possibilité d’intenter une telle action dans le domaine spécifique de la protection des données personnelles.
L’article 80 du RGPD donne également la possibilité aux personnes concernées de mandater une association à but non lucratif d’introduire en son nom une réclamation auprès d’un tribunal afin d’exercer son droit à réparation.
Quel site de veille réglementaire simple et exhaustif conseillez-vous aux professionnels du marketing au quotidien ?
Le site Internet de la CNIL et les normes de droit souples édictées par la Commission et son pendant européen, le CEPD.
Par ailleurs, la documentation mis à la disposition par l’AFCPD (Association Française des Correspondants de la Protection des Données) constitue pour les DPO désignés par eux une bonne source de discussions et de mise à jour des connaissances.
La protection des données personnelles constitue désormais un point central de l’attention des professionnels du marketing. Il convient donc de se tenir informer de la position de l’autorité sur ces questions pour adapter au mieux les stratégies des équipes concernant la collecte et le traitement des données des utilisateurs à des fins de prospection commerciale et de développement de la clientèle.
Il est également toujours intéressant de lire les entrevues et articles publiés sur le site http://ad-exchange.fr/ad-verification/privacy/.