Quand vendre des données personnelles de ses clients à des tiers n'est pas anti-RGPD
Francis Hayen et Charles Cuvelliez
Photo d'illustration
Flickr/r2hox. CC License by.
Francis Hayen et Charles Cuvelliez
Photo d'illustration
Flickr/r2hox. CC License by.
C'est une affaire qui date de 2018 : la KNLTB, la fédération d'associations de tennis aux Pays-Bas, avait communiqué à l'époque les données à caractère personnel de ses membres (via les à deux sponsors, à savoir SportshopsDirect BV, qui vend des produits de sport, et à Nederlandse Loterij Organisatie BV (NLO), fournisseur de jeux de hasard et de jeux de casino. La KNLTB avait été rémunérée pour cela.
Plus précisément, la KNLTB avait transmis rien de moins que noms, adresses et domiciles de ses membres pour leur envoyer un dépliant contenant des offres spéciales. Il y avait aussi les dates de naissance, les numéros de téléphone et les adresses électroniques.
À la suite de plaintes déposées par certains d'entre eux, selon lesquels leurs données avaient été divulguées sans leur consentement et sans aucun fondement légitime, une juridiction néerlandaise a infligé une amende de 525 000 euros à la KNLTB.
Lorsque la vente de données sans consentement n'est pas interdite
KNLTB avait introduit un recours contre cette décision devant une juridiction de renvoi. La divulgation de ces données était fondée sur un intérêt légitime, a fait valoir la KNLTB. Cet intérêt, c'est créer un lien fort entre cette association et ses membres via ces petits avantages sous la forme de rabais et d'offres de partenaires. Tout intérêt, pourvu qu'il soit établi, peut constituer un intérêt légitime (sauf s'il est contraire à la loi). Telle est la thèse de la KNTLB.
Cela ouvrirait beaucoup de portes à l'exploitation de données personnelles .Cette discussion a été portée devant la Cour de Justice européenne (CJE). Cette dernière, dans son arrêt, l'a résumé en ces termes : un intérêt purement commercial, consistant dans la vente des données à caractère personnel, sans le consentement de ces membres, à des sponsors (à des fins de marketing direct) peut-il être considéré comme un intérêt légitime ?
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
Dans le cadre du RGPD, le traitement des données à caractère personnel peut être fondé sur l'intérêt légitime du responsable du traitement ou d'un tiers, sauf lorsque cet intérêt est contraire aux droits fondamentaux et la liberté des personnes.
C'est au responsable du traitement qu'il incombe de prouver que ces données sont collectées à des fins légitimes et qu'elles sont traitées légalement et que ce traitement n'est pas contraire aux droits fondamentaux et la liberté des personnes. Au responsable du traitement de trouver des arguments convaincants...
C'est en gros la position de la CJE en raison de l'absence d'une définition claire de cette notion d'intérêt légitime dans le RGPD : les considérants de ce dernier précisent d'ailleurs que le marketing direct comme exemple pour fonder le traitement sur des intérêts légitimes. Jusqu'à présent, le marketing direct n'a jamais utilisé l'argument d'un intérêt purement commercial comme base valable. Votre consentement est toujours demandé.
Cela dit, la Cour de justice européenne est quelque peu réticente à l'égard du cas spécifique de la KNLTB : on parle de la transmission de données à un fournisseur de jeux de hasard et de jeux de casino, comme le NLO, tout de même. Était-ce vraiment pertinent ? On ne peut pas dire que c'est très logique, s'agissant d'une relation sportive entre le KNLTB et ses membres.
La CJE insiste également sur le principe de «minimisation des données». Même si le consentement n'avait pas besoin de s'appliquer, la KNLTB, souhaitant divulguer les données personnelles de ses membres à des tiers, aurait pu mieux informer ses membres au préalable et aurait pu penser à leur demander s'ils souhaitaient que leurs données soient transmises à ces tiers à des fins publicitaires ou marketing. C'est lié au principe de transparence aussi.
Outre cette transparence, les données à caractère personnel partagées auraient ainsi respecté le principe de minimisation des données afin de limiter ainsi la divulgation d'un trop grand nombre de données.
Par contre, les membres pouvaient raisonnablement s'attendre, au moment où leurs données personnelles ont été recueillies pour devenir membres d'une association de tennis, à ce que ces données soient divulguées à des tiers - en l'occurrence, à des commanditaires de la KNLTB, mais peut-être pas à des fournisseurs de jeux de hasard...
La conclusion la plus importante et la plus déterminante est que les intérêts commerciaux ne peuvent être catégoriquement exclus du motif de l'intérêt légitime. La CJE se contente de fournir des orientations et laisse à la juridiction néerlandaise le soin de déterminer si l'intérêt commercial constitue un intérêt légitime. Dans l'intervalle, l'EDPB (European Data Protection Board) a publié des orientations pour le traitement des données relatives au marketing direct.
Reste que le principe de l'intérêt légitime avant d'y aller franco reste très cadré :
_______
Référence : Ruling CJEU - C-621/22 - Koninklijke Nederlandse Lawn Tennisbond
Francis Hayen et Charles Cuvelliez
OPINION. La France en quête d’énergie : « Quand l'Assemblée nationale refuse l'exploitation des ressources françaises dans les territoires d'outre-mer »
OPINION. « Remise en cause du marché de l’électricité : l’impossible débat »
OPINION. « Gestion de l'eau : ne fracturons pas le modèle français »
OPINION. « Et si les managers devenaient enfin les auteurs de leur propre transformation ? »
