Contraintes par les mesures de fermeture obligatoire et la mise en place du « click and collect » par l’arrêté ministériel du 1er novembre 2020, de nombreuses entreprises ont amorcé, dans l’urgence, un tournant numérique pour continuer à fonctionnement autant que faire se peut.
Ceci impliquera nécessairement de traiter certaines données personnelles (données de contact, adresse de livraison, données bancaires).
Les questions que se poseront les entreprises souhaitant digitaliser tout ou partie de leurs activités diffèreront essentiellement en fonction du fait qu’elles disposent déjà ou non des adresses email de leurs clients (par exemple via un programme de fidélité).
1. Si l’entreprise ne dispose pas encore d’une base de données de ses clients (potentiels), à quoi doit-elle veiller lors de la constitution de cette base de données ?
Si l’entreprise part d’une feuille blanche, elle devra tout d’abord se poser les trois questions suivantes :
• Quelle sont les finalités pour lesquelles l’entreprise a besoin de données ? Cette identification des besoins est essentielle et conditionnera la validité de toutes les autres étapes. Il faut donc s’interroger sur le projet poursuivi : s’agit-il de livrer des biens aux consommateurs ? de leur fournir des services à distance ? de leur envoyer des emails publicitaires ?
• Quelles sont les données dont l’entreprise a besoin ? Le Règlement général relatif à la protection des données (ci-après « RGPD ») impose en effet de limiter autant que possible la collecte des données (principe de minimisation). Ainsi, en fonction des finalités identifiées, les données nécessaires ne seront pas toujours les mêmes. L’entreprise a-t-elle vraiment besoin de la date de naissance de ses clients si la seule finalité identifiée est de leur livrer des biens qu’ils ont commandés ?
• Quelle est la base de licéité des traitements envisagés ? Le RGPD impose en effet que tout traitement repose sur l’une des bases de licéité qu’il énumère. Pour les entreprises, les bases les plus fréquemment utilisées sont :
(1) l’exécution du contrat conclu avec une personne physique (ex : si la personne a commandé un bien, son adresse postale sera nécessaire pour exécuter le contrat),
(2) l’intérêt légitime de l’entreprise (à condition que les droits et libertés des individus ne prévalent pas sur cet intérêt) (ex : un intérêt légitime pourrait consister à mettre en place des mesures de vérification de l’identité des personnes, pour éviter qu’une même personne ne bénéficie plusieurs fois d’une action promotionnelle),
(3) une obligation légale (ex : la conservation de certaines données peut être imposée par des règles fiscales et/ou comptables) et,
(4) le consentement de la personne concernée (ex : si l’entreprise souhaite revendre les données collectées, elle aura besoin du consentement des personnes auxquelles elle se rapporte).
La réponse à ces questions constituera la base du registre des traitements de données que le RGPD impose de tenir.
Elle permettra également à l’entreprise de préparer la notice d’information qu’elle doit adresser aux personnes dont elle collecte les données en vertu du principe de transparence. Il s’agit essentiellement d’expliquer aux personnes quelles sont les données collectées, pour quelle(s) raison(s) et selon quelles modalités (base de licéité, durée de conservation, droits des personnes concernées, etc.).
Enfin, à ce stade, il est crucial de réfléchir à la façon dont les données seront stockées et sécurisées : l’entreprise a en effet la responsabilité de veiller à ce que le niveau de sécurité soit suffisant au regard du risque pour les personnes concernées. Plus les données sont sensibles (ex : données bancaires), plus le niveau de sécurité devra être élevé.
2. Si l’entreprise dispose déjà des adresses email de ses clients, peut-elle leur envoyer un email pour les informer de la mise en place d’un service d’e-commerce ?
Il peut arriver qu’une entreprise dispose déjà des coordonnées de ses clients, qu’elle aurait par exemple collectées dans le cadre d’un programme de fidélité. Peut-elle les utiliser pour contacter ses clients et les informer de la mise en place d’un service d’e-commerce ?
Outre que l’entreprise doit bien entendu veiller à être en conformité avec les principes exposés au point 1, deux aspects supplémentaires doivent être pris en considération.
En premier lieu, il est nécessaire de vérifier que la nouvelle finalité (envoyer un message de marketing) est compatible avec la finalité initiale pour laquelle les données avaient été collectées. Cette question devra être examinée au cas par cas, notamment en fonction des circonstances initiales dans lesquelles les données ont été collectées et des attentes légitimes des personnes concernées.
En second lieu, l’entreprise devra vérifier si elle a – ou non – besoin du consentement des personnes concernées. En matière de marketing électronique, les règles applicables sont déterminées par un arrêté royal du 4 avril 2003. En vertu de celui-ci, l’entreprise est dispensée de recueillir le consentement préalable des personnes concernées pour leur adresser des publicités par courrier électronique lorsque les trois conditions cumulatives suivantes ont été réunies :
(1) les coordonnées ont été obtenues dans le cadre de la vente d’un produit ou d’un service et dans le respect des règles en matière de protection de la vie privée (notamment les règles exposées au point 1 ci-dessus) ;
(2) la publicité porte sur des produits ou services analogues à ceux achetés préalablement et que l’entreprise fournit elle-même ;
(3) l’entreprise a fourni à ses clients, au moment où leurs coordonnées électroniques ont été recueillies, la faculté de s’opposer, sans frais et de manière simple, à l’envoi de publicité.
3. Conclusion
Si la crise sanitaire a accéléré la transition numérique, il est essentiel pour les entreprises de prendre en considération la réglementation encadrant le traitement des données personnelles. En effet, outre les risques réputationnels auprès de leur clientèle, les amendes imposées par l’autorité belge de protection des données peuvent être très sévères. A titre d’exemple, elle a imposé une amende de 10.000 € à un commerçant qui voulait créer une carte de fidélité avec la carte d’identité d’un client, une amende de 10.000 € à une entreprise qui avait adressé par erreur des emails publicitaires à une personne qui n’était un client, ou encore une amende de 15.000 € à l’exploitant d’un site web qui ne respectait pas ses obligations en matière de transparence et de consentement pour les cookies.
Enfin, il faut souligner qu’il est bien plus aisé – et donc bien moins onéreux – de construire un mode opérationnel conforme à la réglementation que de tenter de le rendre compatible a posteriori.