Si le RGPD a permis d’harmoniser le cadre légal de l’achat de fichiers et la donnée à caractère personnel dans l’Union européenne, il n’a pas forcément apporté des réponses directes et définitives à certaines questions qui restent dans la zone grise comme le Scraping et l’achat de fichiers contenant des données scrappées.
Comprendre la loi : qu’est-ce qu’une donnée à caractère personnel ? (B2B vs. B2C)
Selon le Règlement Général sur la Protection des Données (RGPD), est « à caractère personnel » toute information relative à une personne physique qui peut être directement ou indirectement identifiée.
Contrairement à ce que l’on pourrait penser, les identifiants nominaux (nom et prénom, numéro de sécurité sociale…) et de contact ne sont pas les seules données à caractère personnel. Comme l’explique la CNIL, la définition est bien plus large et englobe toutes les données publiques ou confidentielles qui, par leur recoupement, permettent d’identifier la personne.
💬 « Un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc. » Une donnée à caractère personnel, c’est quoi ? sur le site de la CNIL |
Dans le B2B, le traitement des données personnelles est souvent justifié par l’intérêt légitime de l’entreprise. Le marketing et la fonction commerciale peuvent donc utiliser des données professionnelles (comme les adresses e-mail au format nom.prénom@entreprise.com) sans consentement explicite, à condition que la communication serve des « fins légitimes d’affaires » et que l’impact sur la vie privée de l’individu soit minimal.
Cependant, les destinataires doivent toujours être informés de l’utilisation de leurs données, garder le droit de s’opposer à ce traitement et pouvoir arrêter l’envoi via un lien de désinscription systématique.
L’entreprise doit également se tenir à l’impératif de minimisation : chaque élément de donnée recueilli doit être justifié par un besoin réel et directement lié à l’objectif poursuivi.
Dans le B2C, la réglementation est plus stricte. Le consentement explicite des consommateurs est exigé avant tout traitement de leurs données personnelles. Les entreprises doivent donc obtenir un accord clair et affirmatif de la part des individus pour chaque usage spécifique des données. Le consommateur a droit à une information complète sur l’utilisation de ses données et conserve une plus grande maîtrise sur leur traitement, notamment le droit de retrait du consentement à tout moment.
Achat de fichiers ou location : que dit la loi ?
Certains secteurs d’activité comme la bancassurance, l’immobilier et la tech sont coutumiers de l’achat de fichiers ou la location pour la prospection. Le RGPD encadre cette pratique, avec là encore des différences notables entre le B2B et le B2C.
Dans le B2B, l’achat de fichiers ou la location sont autorisés sous deux conditions :
- Les données comme le nom, la fonction et l’email professionnel peuvent être utilisées sans consentement individuel pour peu qu’elles servent à des fins légitimes liées aux activités commerciales (marketing direct, networking…)
- Les personnes dont les données sont collectées doivent être informées de leur utilisation et doivent pouvoir s’opposer facilement à cette dernière. Ainsi, lors de la collecte ou au premier contact utilisant ces données, l’entreprise doit informer les personnes concernées de l’identité de l’organisme collecteur, les finalités de la collecte ainsi que de leurs droits (notamment de s’opposer au traitement à tout moment).
Dans le B2C, les exigences sont beaucoup plus strictes, puisque l’utilisation de données personnelles nécessite le consentement explicite et préalable des individus pour chaque usage spécifique des données.
Ce consentement doit être clair, documenté et facilement rétractable. L’entreprise doit communiquer clairement sur les points suivants :
- Quelles sont les données collectées : nom, adresse email, préférences d’achat…
- Pourquoi ces données sont-elles collectées : marketing direct, amélioration des services, personnalisation de l’expérience utilisateur…
- Comment ces données seront-elles utilisées : analyse pour des campagnes publicitaires ciblées, partage avec des tiers pour la livraison de produits, etc…
Scraping de données : est-ce légal ?
C’est une question complexe car, comme nous allons le voir, nous sommes en pleine zone grise pour certains cas d’usage.
Le Scraping, ou web Scraping, est une technique informatique qui consiste à extraire des données à partir de pages web, souvent de manière automatique et à grande échelle.
Les bots de Scraping peuvent collecter du contenu, des données sur les produits concurrents (prix et caractéristiques) ou encore des données de contact, notamment des adresses électroniques et des numéros de téléphone.
Le Scraping de données n’est pas illégal en soi. Comme l’explique le site Village Justice, « le Scraping ne consiste, d’un point de vue pratique, qu’à un déplacement de site en site, sans création de compte personnel, sans enregistrement et sans acceptation des conditions générales d’utilisation (CGU) du site en question, notamment celle relative à la non-réutilisation ».
C’est au niveau de la réutilisation des données obtenues par le Scraping que la question légale se pose. Il faut distinguer ici plusieurs cas :
- Si le Scraping concerne des données protégées par les droits d’auteur, toute violation fait entrer l’utilisateur dans l’illégalité
- Dans le B2C, si le Scraping concerne des données à caractère personnel, leur utilisation devra être conforme au RGPD
- Si le Scraping concerne des données B2B, leur utilisation doit respecter les principes énoncés dans la 1ère partie de cet article.
S’il n’est pas réalisé dans le cadre de la loi, le Scraping peut être sanctionné sur le fondement du droit pénal, du droit de la concurrence, du droit de la propriété intellectuelle et du RGPD.
Les sociétés qui revendent des fichiers contenant des données issues du Scraping sont soumises aux mêmes conditions. Voici des exemples où la revente de données scrappées est autorisée :
- La revente de données anonymisées à des fins d’analyse statistique ou de marketing
- La revente de données personnelles est possible si les personnes concernées ont donné leur consentement libre et éclairé
- La revente de données personnelles peut être autorisée lorsqu’elle est nécessaire à l’exécution d’un contrat ou à la protection des droits d’une personne.
La complexité de la question sur l’achat de fichiers est très bien illustrée par les débats réguliers à l’Assemblée nationale sur la thématique du Scraping des données à caractère personnel. Nous vous conseillons ce reportage de BFMTV qui évoque la position de la CNIL et de certains députés sur le logiciel Lusha.
⚠️ Attention La CNIL adopte une position relativement offensive sur la réutilisation des données publiquement accessibles en ligne à des fins de démarchage commercial. On vous recommande de consulter ce communiqué pour affiner votre approche. |