Connaissez-vous la « Boîte rose » ? Il s’agit de ces boîtes-cadeaux que les futures ou nouvelles mères peuvent se procurer avec de nombreux échantillons pratiques de produits pour bébé, des coupons de réduction et des fiches d’information. Ils peuvent en faire la demande au moyen d’un simple formulaire et bénéficier ensuite de ces avantages. Gratuitement ! Mais à quel coût ? Il s’avère maintenant qu’il y a un prix sérieux à payer, à savoir la commercialisation des données personnelles des mères et des bébés. Selon l’Autorité de protection des données (APD), la société de marketing qui propose ces « boîtes roses » est loin d’être un véritable « courtier en données ».
Les faits vont dans le sens du marketing direct
Les femmes enceintes et les jeunes mères peuvent demander des coffrets cadeaux par différents canaux. Cependant, en échange des échantillons et des offres de cette « boîte rose », la société organisatrice transmet les données de la demande à ses sponsors. L’entreprise effectue donc un véritable commerce de données personnellesavec ces personnes extérieures (un « tiers » dans le jargon juridique). Ainsi, ces tiers ont la possibilité de faire du marketing direct. Et que ce soit l’une de ces choses où il existe beaucoup de règles, et qui sont incluses par l’APD dans ses priorités d’action !
Une des mères n’est pas contente de louer ou de vendre ses données personnelles à des fins de marketing direct sans son autorisation explicite. En tout cas, elle est consternée de continuer à recevoir de la publicité non désirée après avoir retiré son consentement.
L’APD fait en sorte que son organe d’enquête (l’Inspection) examine les activités de traitement des données de l’entreprise concernée sous tous les angles. L’inspection constate que le RGPD a été violé, même dans plusieurs de ses fondations. Et ce, alors que le commerce des données à caractère personnel est une véritable activité de base de l’entreprise en question.
Les conclusions montrent que l’entreprise, en tant que responsable du traitement des données, a manifestement négligé ses obligations en matière de RGPD.
Une seule plainte, mais une longue liste de violations
À la suite de la plainte, l’Inspection a fait pleinement usage de ses pouvoirs. Cela explique que les infractions sont « plus larges » que ce que le plaignant pourrait indiquer en tant que profane.
Manque de transparence et déplacement des objectifs
Tout d’abord, le principe de transparence a été violé. Et que la transparence soit précisément une pierre angulaire du RGPD.
En effet, la société crée une fausse perception à l’égard des personnes concernées (y compris le plaignant dans le cas présent). Plus précisément, il n’est pas évident qu’il s’agisse d’une société privée et que son activité consiste à faire le commerce de données à caractère personnel.
En outre, le manque de transparence a un impact direct sur la validité du consentement qui serait obtenu : un consentement sans ambiguïté exige que l’on sache à quoi on consent. Toutefois, en raison de ce flou, les personnes concernées ne savent pas suffisamment à quoi servent les données à caractère personnel, ni par qui elles sont utilisées. Un phénomène également décrit comme le détournement d’usage ou ‘function creep‘.
Absence de consentement valable et révocation complexe
Par conséquent, il n’y a pas de consentement spécifique, informé et non ambigu du plaignant qui puisse être pris librement. Le problème se pose à deux niveaux.
Tout d’abord, l’entreprise ne fournit pas suffisamment d’informations sur ce qu’il advient exactement des données personnelles des mères et des enfants. La société n’identifie pas les partenaires auxquels les données à caractère personnel sont transférées. Ainsi, il est impossible pour la personne concernée de disposer de tous les paramètres nécessaires pour donner son consentement éclairé.
En outre, il n’y a pas vraiment de libre choix : lorsqu’une jeune mère veut demander la boîte rose, ne serait-ce qu’en raison du contenu informatif qu’elle contient, elle ne peut le faire sans accepter également le commerce de ses données personnelles. En ne donnant pas son consentement, il est impossible de bénéficier de ces avantages.
En outre, une personne dont les données à caractère personnel sont traitées a le droit de retirer son consentement à tout moment. Dans le cadre du RGPD, cela devrait être aussi facile à faire que d’accorder le consentement lui-même. Là encore, l’entreprise a fait preuve de négligence. Le droit de retrait n’était mentionné que dans la politique de confidentialité en ligne, mais pas dans le formulaire à remplir lorsque le consentement était donné. Le fait que le consentement peut être retiré doit être clairement et simplement indiqué au moment où il est donné. Ainsi, le retrait n’a pas été aussi simple que le consentement. Ainsi, le retrait n’a pas été aussi simple que le consentement.
Mesures organisationnelles inadéquates et durée de stockage disproportionnée
En outre, la société n’a pas pris les mesures techniques et organisationnelles appropriées pour garantir que seules les données à caractère personnel nécessaires à chaque finalité spécifique du traitement soient traitées. Par exemple, l’entreprise ne distingue pas les finalités du traitement et la durée de conservation des données est de 18 ans. C’est sans doute disproportionné, d’autant plus que les avantages offerts concernent le matériel pour bébés.
Pas d’intérêt justifié
Dans la mesure où il ne serait pas question de consentement, l’APD reconnaît que l’intérêt commercial de la société derrière la boîte rose pourrait être invoqué comme un intérêt légitime.
Toutefois, cet intérêt justifié n’est pas un passage obligé et doit pouvoir résister au test de l’objet, au test de la nécessité et au test de l’équilibre. Ces tests sont stricts, et la nécessité semble insuffisamment démontrée, tandis que les attentes raisonnables des personnes concernées ne sont pas suffisamment claires en raison du manque de transparence.
Absence d’accord de traitemet
Enfin, la société viole le RGPD parce qu’il n’existe pas d’accord de traitement avec l’un de ses partenaires, alors qu’elle s’est engagée dans le traitement de données de personnes concernées.
Conclusion
L’APD déteste que le fournisseur des « boîtes roses » ait été si négligent dans son modèle commercial pour parier sur la protection des données personnelles. Il n’y a aucune excuse à cela, d’autant plus que le traitement des données personnelles est une tâche essentielle de l’entreprise. En tant que professionnel, il devait certainement connaître les règles applicables, qui ne sont plus « nouvelles » et pour lesquelles, en ce qui concerne le marketing direct, des lignes directrices détaillées ont déjà été mises à disposition.
L’APD n’hésite donc pas, en plus de sa mission de clarification, à se lancer résolument dans la demande, et à sanctionner sévèrement la violation par une amende de 50.000 euros.
En juin 2020, nous avons déjà constaté qu’il était grand temps pour les entreprises d’examiner de près leur stratégie de marketing. Si votre organisation a besoin de conseils à ce sujet, vous pouvez toujours nous contacter à l’adresse hallo@dejuristen.be.
Rédigé par Larissa De Keyser, Trainee lesJuristes, et Kris Seyen, Partner lesJuristes
