Vous êtes ici : Accueil > En pratique > Marketing direct

Pour en savoir plus

Recommandation marketing direct 2009 >

Renvois

introduire une déclaration >

Marketing Direct

Vous recevez régulièrement des messages de marketing direct à votre nom dans votre boîte aux lettres ou dans votre boîte de messagerie ? Vous vous demandez peut-être si c'est réellement autorisé ou comment les expéditeurs de ces messages ont obtenu vos coordonnées ?

En tant que société, vous souhaitez envoyer des messages de marketing direct nominatifs mais vous ne savez pas très bien ce qui est et n'est pas autorisé ?

Tout cela, vous l'apprendrez en lisant ce qui suit.

Dans cette page

Vous recevez un message de marketing direct
Vous souhaitez utiliser des données à caractère personnel à des fins de marketing direct

Après avoir interrogé toute les commissions de la vie privée européennes sur la base des différentes plaintes et questions traitées au cours de ces dernières années, mi-juin 2008, la Commission vie privée a actualisé son point de vue sur le marketing direct dans une note juridique.

Sur la base de cette note, toutes les personnes concernées ont été invitées à donner leur vision sur l'application de la Loi vie privée au marketing direct. Au terme de la période de consultation, une nouvelle période de réflexion a commencé pendant laquelle tous les commentaires reçus ont été analysés, traités et refondus dans une deuxième version de la note juridique citée plus haut. Il s'agit de la deuxième version retravaillée soumise pour approbation à la Commission vie privée et publiée sous la forme d'une recommandation.

Avant tout, cette recommandation représente l'interprétation par la Commission des dispositions de la Loi vie privée d'application au marketing direct. Par ailleurs, la Commission recommande également diverses modalités qu'elle qualifie de best practices. Enfin, elle formule, à l'adresse du législateur, plusieurs améliorations souhaitables des dispositions existantes.

Voici déjà ci-dessous les grandes lignes de cette recommandation.

Le marketing direct, c'est quoi exactement ?

La Loi vie privée à proprement parler ne définit pas la notion de "marketing direct". La législation européenne définit le marketing direct comme suit: " l'ensemble des activités ainsi que tout service auxiliaire à celles-ci permettant d'offrir des produits et des services ou de transmettre tous autres messages publicitaires à des segments de population par le moyen du courrier, du téléphone ou d'autres moyens directs dans le but d'information ou afin de solliciter une réaction de la part de la personne concernée".

La situation la plus courante est celle dans laquelle quelqu'un reçoit un message publicitaire à son nom, non seulement par la poste mais aussi, par exemple, par e-mail, sms, ... Mais il y a d'autres possibilités encore :

les actions de marketing direct effectuées par une société pour une autre (dans lesquelles il y a, en d'autres termes, un transfert de données à caractère personnel) ;
le courtage d'adresses (échange, vente ou location de fichiers) ;
la publicité personnalisée au sens de la Loi sur le commerce électronique ou de la Loi sur les pratiques du commerce ;
les traitements effectués à des fins non commerciales, notamment la promotion des activités d'une asbl, des actions de propagande politique ;
...

Les messages (publicitaires) non personnalisés ne tombent pas dans le champ d'application de la Loi vie privée étant donné qu'ils n'impliquent pas le traitement de données à caractère personnel (p. ex. le traitement d'un nom, d'un numéro de téléphone, d'une adresse, ...).

Quand le marketing direct est-il autorisé ?

La Loi vie privée stipule que le traitement de données à caractère personnel n'est possible que dans certains cas précis.

Pour bien faire la différence entre les différentes obligations, il convient de bien avoir à l'esprit la distinction suivante :

vous avez reçu un message de marketing direct ;
vous souhaitez utiliser des données à caractère personnel à des fins de marketing direct.

Vous recevez un message de marketing direct

Cette situation, vous l'avez sans doute déjà vécue à plusieurs reprises. Il vous sera donc déjà arrivé de trouver un message de marketing direct personnalisé (p. ex une publicité) dans votre boîte aux lettres, dans votre messagerie électronique (p. ex. un bulletin d'information), sur votre gsm, ... Votre première réaction à ce moment précis aura sans doute été de vous demander si quelqu'un pouvait, comme ça, sans ambages, obtenir votre adresse et comment il pouvait se la procurer ?

Ces interrogations sont tout à fait légitimes et demandent une réponse claire. Pour y répondre et répondre aussi à d'autres questions sur le même thème, la Commission vie privée vous propose de commencer par un aperçu de la situation dans ses grandes lignes.

N'importe qui a-t-il le droit d'utiliser mes données à caractère personnel dans le cadre d'actions de marketing direct ?

Dans le cadre du marketing direct, 3 fondements ancrés dans la Loi vie privée peuvent être invoqués pour justifier l'utilisation de vos données à caractère personnel, à savoir (1) votre consentement, (2) l'existence d'une relation (pré)contractuelle directe entre vous et la société, mais ceci uniquement si le message de marketing direct s'avère strictement nécessaire dans le cadre de cette relation (pré)contractuelle et (3) l'existence de ce qu'on appelle un intérêt pondéré.

Utilisation de vos données à caractère personnel avec votre consentement

Votre consentement indubitable constitue un des fondements légaux du traitement de vos données à caractère personnel. Ce consentement, que vous pouvez, qui plus est, retirer à tout moment, doit toutefois satisfaire à certaines conditions.

Ce consentement, c'est vous qui devez le donner directement. La Commission vie privée préconise idéalement un consentement actif et positif, c.-à-d. qu'il soit, par exemple, demandé à la personne concernée de cocher une case de consentement exprès sur un formulaire. Cette façon de procéder diminue le risque de contestation de la validité du consentement.

Votre consentement doit être donné librement. Cela suppose, par exemple, que vous devez pouvoir participer à un concours en vue d'en remporter un cadeau à la clé (p. ex. un dvd , un cd, un bon de réduction, ...) sans pour autant devoir être obligé de communiquer en même temps vos coordonnées pour qu'on puisse (ultérieurement) vous envoyer des messages de marketing direct. En d'autres termes, ces deux éléments (d'une part la participation au concours et d'autre part votre consentement à recevoir des messages de marketing direct) doivent donc être indépendants l'un de l'autre.

Votre consentement doit aussi être spécifique. Cela implique que le consentement doit spécifiquement concerner une action de marketing direct concrète. Il ne suffit donc pas, par exemple, de simplement faire référence à l'obligation d'information (que vous ignorez encore et dont vous ne savez pas à qui elle incombe) dans les conditions générales.
Enfin, votre consentement doit être éclairé. Nous reviendrons sur cette notion plus loin.

Dans certains cas la Commission vie privée estime que votre consentement est nécessaire :

en cas d'envoi de messages personnalisés par e-mail, sms, mms, fax ou par le biais de systèmes d'appel automatique, une législation particulière exige votre consentement. C'est ce qu'on appelle l' "opt-in". Dans certains cas, ce consentement préalable n'est cependant pas nécessaire et vous ne pouvez vous y opposer qu'a posteriori, c'est ce qu'on appelle l' "opt-out". Etant donné qu'il s'agit d'une compétence qui ressortit au SPF Économie, vous trouverez plus d'informations à ce sujet dans sa brochure "Le spamming en 24 questions & réponses" ;
le traitement de données sensibles vous concernant (p. ex. des données relatives à la santé, des données sur vos opinions politiques ou vos origines) nécessite votre consentement écrit ;
lorsque l'activité de marketing direct visée n'est pas compatible avec la finalité initiale pour laquelle les données ont été collectées. La réutilisation de sources publiques (p. ex. des messages dans la presse écrite ou des infor mations disponibles sur internet) en vue d'actions de marketing direct est, par exemple, jugée incompatible ;
lorsque vous êtes mineur ;
lorsqu'il est question de "marketing viral". Un mot barbare qui signifie l'incitation à communiquer les données à caractère personnel d'amis ou de connaissances en vue d'actions de marketing direct. Il arrive ainsi régulièrement qu'on vous demande les noms, les adresses et/ou les numéros de téléphone de vos amis et/ou connaissances en échange d'un cadeau ou d'une réduction. Cette pratique est loin d'être honnête car les amis et/ou connaissances concernés ne sont généralement pas informés de cette communication ce qui les empêche forcément de donner leur consentement et les prive de tout contrôle sur les traitements de leurs propres données à caractère personnel.

Dans certains cas, étant donné le caractère sensible de certaines activités de marketing direct, il est recommandé que ces actions ne soient possibles qu'avec votre consentement. C'est notamment le cas pour :

le courtage d'adresses. Le courtage d'adresses, c'est la commercialisation de vos coordonnées. Cela comprend la transmission de vos données à caractère personnel à des tiers ou le traitement de vos données à caractère personnel pour le compte de tiers (p. ex. location de données). Le courtage d'adresses passe souvent par des intermédiaires professionnels et a souvent pour but de collecter et de commercialiser des données d'adresses et/ou de profils à partir de différentes sources ;
le profilage ;
le courtage de profils personnels.

Utilisation de vos données à caractère personnel dans le cadre d'une relation (pré)contractuelle directe entre vous et une entreprise

L'exécution d'un contrat que vous avez conclu entraîne bien entendu toute une série de traitements de vos données à caractère personnel. Si vous vous posez des questions en tant que prospect, la réponse à ces questions impliquera également le traitement de vos données à caractère personnel.

La Loi vie privée prévoit que dans ces cas, un traitement de données est autorisé, dans la mesure où il s'avère nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci.

Si vous êtes client, un suivi contractuel est nécessaire. On peut par exemple penser, dans ce cadre, à la livraison, la facturation ou à une éventuelle mise en demeure. Les données précisément nécessaires dépendront du produit et/ou du service concerné.

Si vous êtes un prospect, il est parfois nécessaire de disposer de vos coordonnées pour pouvoir répondre à votre demande et, par exemple, pour pouvoir vous établir une offre personnalisée.

Les données qui ne sont pas strictement nécessaires pour l'exécution d'un contrat ou pour la prise de mesures précontractuelles (notamment, p. ex. une enquête de satisfaction menée auprès des clients spécifiquement sur les produits et les services qu'ils achètent, l'information des prospects sur de nouvelles promotions, l'envoi d'une invitation aux anciens clients en vue de leur proposer une prolongation ou le renouvellement de leur contrat) devront reposer sur un autre fondement. Pour cela, il peut être fait appel au consentement (voir plus avant) ou à ce qu'on appelle l'intérêt pondéré (voir plus loin).

Utilisation de vos données à caractère personnel dans le cadre de ce qu'on appelle un intérêt pondéré

L'obtention de votre consentement reste une best practice, mais le marketing direct est aussi autorisé en cas d'intérêt pondéré. Il s'agit ici d'une pondération de l'intérêt entre, d'une part, l'intérêt légitime du responsable du traitement (p. ex. l'entreprise qui vous envoie un message de marketing direct) et d'autre part, l'intérêt ou les droits et les libertés fondamentaux de la personne concernée (vous en l'occurrence).

Cette pondération de l'intérêt doit être effectuée au cas par cas.

La Commission vie privée estime qu'en pratique, l'équilibre est un exercice loin d'être évident, notamment dans le cadre du courtage d'adresses et de profils.

Par contre, la Commission vie privée accepte que l'intérêt pondéré soit considéré comme un fondement pour justifier notamment une enquête de satisfaction menée auprès de ses propres clients sur les produits et les services qu'ils achètent, informer les prospects de nouvelles promotions s'ils ont eu récemment des contacts avec la société à ce sujet ou envoyer une invitation à d'anciens clients ou à des clients existants pour renouveler ou prolonger leur contrat.

L'utilisation de mes données à caractère personnel dans le cadre du marketing direct est-elle encore soumise à d'autres règles ?

Un point important est que tout cela doit se faire de manière honnête et transparente et que l'obligation d'information et le droit d'opposition occupent une place centrale. Nous reviendrons sur ces deux obligations plus en détail plus loin.

Quelles informations doit-on vous communiquer ?

Les informations qui vous sont communiquées doivent être claires (le cas échéant adaptées à leur public cible) et compréhensibles (donc ni compliquées ni déguisées).

La Loi vie privée fixe le contenu de ces informations.

Vos données sont obtenues directement de vous

Si les données ont été collectées directement chez vous, vous devez recevoir les informations suivantes au plus tard le jour de leur communication :

le nom et l'adresse du responsable du traitement (une simple référence à un produit ou à un service, un site web, ou à une adresse de contact par e-mail ne suffit pas) ;
la finalité du traitement (p. ex. "marketing direct") ;
l'existence d'un droit d'opposition gratuit ;
l'existence d'un droit d'accès et de rectification ;
les destinataires ou les catégories de destinataires de vos données.

Si les données à caractère personnel ont été collectées par écrit et directement chez vous (p. ex. un coupon-réponse dans le journal ou une revue, un formulaire rempli dans le cadre d'une commande ou de la prise d'un abonnement, un formulaire rempli sur internet), vous devez avoir la possibilité d'exercer votre droit d'opposition sur le même document que celui qui a été utilisé pour collecter vos données (sur internet ce sera, p. ex., par le biais d'une case que vous devrez cocher sur la même page que celle sur laquelle les données étaient demandées).

Si vos données à caractère personnel ont été collectées autrement que par écrit et que directement chez vous (p. ex. lors d'un entretien téléphonique) vous devez, soit avoir la possibilité d'exercer votre droit d'opposition par le biais d'un moyen technique, soit être contacté par écrit dans les deux mois pour vous permettre d'exercer votre droit d'opposition.

Vos données n'ont pas été obtenues directement chez vous

Si les données ne sont pas collectées directement chez vous mais par exemple par le biais d'une carte d'épargne (certains grands magasins dans lesquels vous pouvez épargner des points, travaillent p. ex. avec différents partenaires), d'une opération de courtage d'adresses (vous êtes-vous déjà demandé p. ex. comment les marques de voiture faisaient pour envoyer leurs messages de marketing direct à votre adresse ?), soit le jour de l'enregistrement de vos données, soit au plus tard le jour de la première communication de vos données à un tiers, vous devez recevoir les informations suivantes :

le nom et l'adresse du responsable du traitement (une simple référence à un produit ou à un service, un site web, ou à une adresse de contact par e-mail ne suffit pas) ;
la finalité du traitement (p. ex. "marketing direct") ;
l'existence d'un droit d'opposition gratuit ;
l'existence d'un droit d'accès et de rectification ;
les destinataires ou les catégories de destinataires de vos données ;
la Commission vie privée recommande aussi fortement que l'origine des données vous soit communiquée de manière proactive. L'expérience montre en effet que la première réaction de très nombreux citoyens qui reçoivent des messages de marketing direct est de se demander comment l'expéditeur de ce message a eu connaissance de leurs coordonnées.

Dans ce cas, le responsable du traitement prend contact avec vous par écrit en vous communiquant les informations reprises plus haut et vous informe de votre droit d'opposition que vous pouvez donc exercer en utilisant le même document écrit.

Combien de temps mes données peuvent-elles être conservées ?

La Loi vie privée stipule que dans le cadre du marketing direct vos données ne peuvent être conservées que pendant une durée limitée. Vos données clients peuvent ainsi être conservées pendant la durée des contrats à condition toutefois d'être nécessaires pour leur exécution. Au terme de cette relation contractuelle, les données peuvent encore être conservées pendant un délai supplémentaire déterminé.

La Loi vie privée interdit la conservation illimitée des données à caractère personnel. La Commission vie privée estime que la reprise de vos données à caractère personnel dans des fichiers de masse et leur mise à jour permanente sans date de fin concrète et sans entretenir de contacts avec vous sont interdites. Pour cette raison, la Commission vie privée plaide pour un délai de conservation raisonnable (en fonction des circonstances et de la nature de la source des données).

Les données ne sont pas non plus toujours à jour : votre adresse peut changer si vous déménagez, vous pouvez changer de numéro de gsm, ... Pour disposer de votre dernière adresse ou de votre dernier numéro de téléphone, on utilise ce qu'on appelle des fichiers de masse (p. ex. fichiers de déménagement, listes d'adresses, entrepôts de données,...).

Ne pas communiquer un changement d'adresse reste d'ailleurs parmi les stratégies les plus efficaces pour éviter les spams et les communications indésirables.

Comment pouvez-vous faire concrètement pour vous opposer à l'utilisation de vos données à des fins de marketing direct ?

Si le responsable du traitement propose d'initiative une option d'opt-out, utilisez-la. Si rien n'est prévu ou si vous n'arrivez pas à vous désinscrire, vous pouvez recourir à votre droit d'opposition spécifiquement prévu par la Loi vie privée.

La Loi vie privée stipule en effet que vous avez toujours le droit de vous opposer à un traitement à des fins de marketing direct gratuitement et sans devoir motiver cette opposition.

Pour exercer ce droit d'opposition, il vous suffit d'envoyer une lettre ou un fax (avec une copie de votre carte d'identité – pour que n'importe qui ne puisse pas envoyer une lettre ou un fax en votre nom) ou un e-mail pourvu de votre signature électronique. Vous pouvez même déposer une lettre sur place.

Le responsable du traitement doit vous communiquer la suite réservée à votre demande dans le mois qui suit l'introduction de cette dernière. Si vous ne recevez pas de réponse ou si cette réponse ne vous satisfait pas, vous pouvez prendre contact avec la Commission vie privée qui peut intervenir en tant que médiateur.

Le secteur a lui aussi pris des initiatives en vue de permettre le droit d'opposition (qui doit cependant être distingué du droit légal d'opposition prévu par la Loi vie privée). Dans ce cadre, la Belgian Direct Marketing Association (BDMA) a mis au point 2 "listes robinson" (pour le téléphone et la publicité nominative). Vous pouvez vous inscrire sur ces listes pour ne plus recevoir de publicité personnalisée, mais l'impact de cette action reste bien sûr limité aux seules entreprises parties prenantes à ces listes. Vous trouverez de plus amples informations à ce sujet sur le site Robinson de la BDMA.

Vous disposez aussi d'un droit d'accès et d'un droit de rectification

Le droit d'accès vous permet d'obtenir, à tout moment et gratuitement, des informations du responsable du traitement. Ce droit vous permet ainsi de lui demander s'il possède des données vous concernant et l'oblige à vous communiquer s'il dispose de données vous concernant, le type de ces données et la raison pour laquelle il en dispose ainsi que le type de vos données appelées à être communiquées et à qui. Un point important à ne pas perdre de vue est toutefois que ce droit d'accès dont vous disposez ne signifie pas que vous pouvez automatiquement obtenir une copie de la liste des données sur laquelle vous êtes enregistré. Le responsable peut aussi se limiter à simplement vous communiquer (par lettre ou même par téléphone) qu'il dispose de données vous concernant et de quelles données il s'agit plus précisément (p. ex. votre nom, votre adresse, votre numéro de téléphone, votre date de naissance, votre adresse e-mail).

Pour exercer ce droit d'accès, il suffit (comme pour le droit d'opposition) d'envoyer une lettre, un fax (avec une copie de votre carte d 'identité) ou un e-mail pourvu de votre signature électronique. Vous pouvez aussi même remettre votre lettre sur place. Si vous ne recevez pas de réponse dans les 45 jours qui suivent la réception de votre demande ou si la réponse qui vous est donnée ne vous suffit pas, vous pouvez prendre contact avec la Commission vie privée qui pourra intervenir en tant que médiateur.

Si vous remarquez que des données inexactes, incomplètes, superflues ou interdites circulent à votre sujet, vous pouvez gratuitement les faire rectifier, les faire supprimer ou en faire interdire l'utilisation. Ce droit s'exerce de la même manière que le droit d'accès. La seule différence, c'est que le délai dont dispose le responsable du traitement pour vous répondre est plus court car il n'est que d'un mois.

A qui pouvez-vous adresser vos questions et vos plaintes ?

Vous pouvez les adresser à diverses instances.

la Commission vie privée est compétente pour répondre à vos questions et traiter vos plaintes concernant les traitements de données à caractère personnel à des fins de marketing direct.
la Direction générale Contrôle et Médiation du Service public fédéral Économie est compétente si vous estimez avoir été victime de pratiques commerciales malhonnêtes ou si vous avez reçu des courriers électroniques ou des fax à contenu publicitaire sans que votre consentement ne vous ait été demandé.
la Federal Computer Crime Unit est compétente si vous voulez dénoncer un cas d'escroquerie par e-mail, notamment le hameçonnage (dont le but était de vous extorquer vos données bancaires, p. ex. par internet), de fausses loteries, ...
si une entreprise membre de la Belgian Direct Marketing Association procède à l'envoi de publicité personnalisée, malgré le fait que vous vous soyez inscrit sur une des listes Robinson ou si cette entreprise ne respecte pas le code de bonne conduite de la BDMA, vous pouvez le signaler au Comité de surveillance de la BDMA.

Pour de plus amples informations sur les règles à suivre en matière de marketing direct, vous pouvez consulter la recommandation "Marketing direct et protection des données à caractère personnel".

Vous souhaitez utiliser des données à caractère personnel à des fins de marketing direct

Vous souhaitez, en tant que commerçant, entreprise ou association, faire la promotion de vos produits, services ou activités ? Vous aimeriez, par exemple, envoyer un message de marketing direct (personnalisé) par la poste (p. ex. une publicité nominative), par e-mail (p. ex. un bulletin d'information), par sms, … ? Souhaitez-vous dans ce cas, acheter tout simplement une liste d'adresses sur mesure ou en confectionner une vous-même ?

Vous vous demandez peut-être quelles sont les règles à respecter en cas d'utilisation de données à caractère personnel ?

Si c'est le cas, vous trouverez déjà ci-dessous dans un premier aperçu, les grandes lignes de conduite en matière d'utilisation des données à caractère personnel à des fins de marketing direct.

Pouvez-vous sans plus utiliser des données à caractère personnel à des fins de marketing direct ?

Dans ce cas, la Commission vie privée préconise de recueillir le consentement de la personne concernée et considère cette façon de faire comme une best practice.

Utilisation des données à caractère personnel à des fins de marketing direct après obtention du consentement de la personne concernée

Le consentement indubitable constitue un des fondements légaux du traitement de vos données à caractère personnel. Ce consentement, qui peut être retiré à tout moment, doit toutefois satisfaire à certaines conditions.
Ce consentement doit être donné directement par la personne concernée. La Commission vie privée préconise idéalement un consentement actif et positif de la personne concernée (par exemple, cocher une case sur un formulaire). Si le consentement est déduit de l'absence d'action de la personne concernée (par exemple, ne pas décocher une case qui l'est déjà), le risque de contestation du consentement donné est bien plus important.

Le consentement doit être donné librement. Cela suppose, par exemple, que le public doit pouvoir participer à un concours en vue d'en remporter un cadeau à la clé (p. ex. un dvd, un cd, un bon de réduction, ...) sans pour autant devoir être obligé de communiquer en même temps ses coordonnées pour qu'on puisse (ultérieurement) lui envoyer ultérieurement des messages de marketing direct. En d'autres termes, ces deux éléments (d'une part la participation au concours et d'autre part le consentement de recevoir des messages de marketing direct) doivent être indépendants l'un de l'autre.

Le consentement doit aussi être spécifique. Cela implique qu'il doit spécifiquement concerner une action de marketing direct concrète. Pour cette raison, il ne suffit pas, par exemple, de simplement faire référence à l'obligation d'information dans les conditions générales, car cette façon de procéder annule le caractère libre du consentement. Attirer l'attention sur les informations complètes qui figurent dans les conditions générales, par exemple, par le biais d'une clause d'information succincte s'inscrit dans le cadre d'un traitement honnête et transparent. Enfin, le consentement doit être éclairé. Nous reviendrons sur cette notion plus loin.

Dans certains cas la Commission vie privée estime que le consentement de la personne concernée est nécessaire:

lors de l'envoi de messages personnalisés par e-mail, sms, mms, fax ou par le biais de systèmes d'appel automatique, une législation particulière exige le consentement de la personne concernée. C'est ce qu'on appelle l' "opt-in". Dans certains cas, ce consentement préalable n'est toutefois pas nécessaire et la personne concernée ne peut exercer son droit d'opposition qu'a posteriori, c'est ce qu'on appelle l'"opt-out". Etant donné qu'il s'agit d'une compétence qui ressortit au SPF Économie, vous trouverez plus d'informations à ce sujet dans sa brochure “Le spamming: en 24 questions & réponses ”. Etant donné la définition légale de la publicité dans cette législation particulière, les messages envoyés par les partis politiques et leurs mandataires à des fins électorales tombent en dehors du champ d'application de la règle d'opt-out citée plus haut. Ces messages s'inscrivant néanmoins dans la notion de marketing direct, la Commission vie privée estime qu'étant donné le caractère intrusif de ces moyens de communication, une règle d'opt-in devrait être applicable aux messages de marketing direct qui seraient envoyés par courrier électronique, fax ou des systèmes d'appel automatique ;
le traitement de données sensibles de la personne concernée (p. ex. des données relatives à la santé, des données sur vos opinions politiques ou vos origines) nécessite son consentement écrit.
Lorsque l'activité de marketing direct visée n'est pas compatible avec la finalité initiale pour laquelle les données ont été collectées. La réutilisation de sources publiques (p. ex. des données dans la presse écrite ou des informations disponibles sur internet) en vue d'actions de marketing direct n'est, par exemple, pas compatible. Les évolutions des entreprises (p. ex. fusion, reprise ou réorientation de l'entreprise vers d'autres marchés) sont aussi souvent à l'origine de traitements ultérieurs des données à d'autres fins incompatibles avec les finalités initiales ;
lorsque la personne concernée est mineure ;
lorsqu'il est question de “marketing viral”. Un mot barbare qui signifie l'incitation à communiquer les données à caractère personnel d'amis ou de connaissances en vue d'actions de marketing direct. Il arrive ainsi régulièrement qu'on demande les noms, les adresses et/ou les numéros de téléphone d'amis et/ou connaissances en échange d'un cadeau ou d'une réduction. Cette pratique ne respecte pas l'équilibre des intérêts de chacun puisque les amis et/ou connaissances concernés ne sont généralement pas informés de cette communication, qu'ils ne peuvent donc pas donner leur consentement qu'ils n'ont, de ce fait, aucun contrôle sur les traitements de leurs propres données à caractère personnel.

Dans certains cas, étant donné le caractère sensible de certaines activités de marketing direct, il est recommandé que ces actions ne soient possibles qu'avec le consentement de la personne concernée. C'est notamment le cas pour:

le courtage d'adresses. Le courtage d'adresses, c'est la commercialisation de vos coordonnées. Cela comprend la transmission de vos données à caractère personnel à des tiers ou le traitement de vos données à caractère personnel pour le compte de tiers (p. ex. location de données). Le courtage d'adresses passe souvent par des intermédiaires professionnels et a souvent pour but de collecter et de commercialiser des données d'adresses et/ou de profils à partir de différentes sources ;
le profilage ;
le courtage de profils personnels.

Il s'agit de cas dans lesquels il est extrêmement difficile, voire impossible, de traiter des données à caractère personnel en travaillant conformément à toutes les dispositions de la Loi vie privée sans avoir obtenu le consentement de la personne concernée.

Utilisation de données à caractère personnel dans le cadre d'une relation (pré)contractuelle directe entre vous et la personne concernée

L'exécution de tout contrat que vous avez conclu entraîne bien entendu une série de traitements de vos données à caractère personnel. Si un prospect pose des questions, la réponse à ces questions impliquera également le traitement de données à caractère personnel.

Dans ces cas, la Loi vie privée prévoit qu'un traitement de données est autorisé, dans la mesure où il s'avère nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci.

Si un client demande un suivi contractuel. On peut par exemple penser, dans ce cadre, à la livraison, la facturation ou à une éventuelle mise en demeure. Les données précises nécessaires dépendront du produit et/ou du service concerné.
En ce qui concerne les prospects, il est parfois nécessaire de disposer de leurs coordonnées pour répondre à leur demande, par exemple pour pouvoir établir une offre personnalisée.

Les traitements qui ne sont pas strictement nécessaires pour l'exécution d'un contrat ou pour la prise de mesures précontractuelles doivent donc reposer sur un autre fondement. Dans la pratique, de nombreuses sociétés attachent beaucoup d'importance à l'entretien de leurs relations avec leurs clients et prospects, c'est ce qu'on appelle le "customer relationship management". Cette gestion de la clientèle comprend, entre autres, les études de satisfaction menées auprès des clients spécifiquement sur les produits et les services qu'ils achètent, l'information des prospects sur de nouvelles promotions ou encore l'envoi d'une invitation aux anciens clients en vue de leur proposer une prolongation ou le renouvellement de leur contrat. Etant donné que ces actions ne sont pas strictement nécessaires pour l'exécution du contrat ou la prise de mesures précontractuelles, elles doivent reposer sur le consentement (voir plus avant) ou sur ce qu'on appelle l'intérêt pondéré (voir plus loin).

La vente, la location ou la mise à disposition d'une quelconque autre manière d'un fichier de clients à une autre entreprise à des fins de marketing direct ne peut pas reposer sur le fondement cité plus haut.

Utilisation de données à caractère personnel dans le cas d'un intérêt pondéré

L'obtention du consentement reste une best practice, mais le marketing direct est aussi autorisé en cas d'intérêt pondéré. Il s'agit ici de la pondération des intérêts entre, d'une part l'intérêt légitime du responsable du traitement (à savoir vous qui envoyez un message de marketing direct) et, d'autre part l'intérêt ou les droits et libertés fondamentaux de la personne concernée.

Cette pondération des intérêts doit être effectuée au cas par cas. Il ne suffit donc pas que vous fassiez valoir votre propre intérêt en tant qu'entreprise, par exemple la liberté de commerce, ou que vous évoquiez en tant qu'association la réalisation de vos objectifs. Ce qui est important, c'est le fait qu'invoquer un intérêt légitime n'est pas en soi déterminant. Le simple fait d'invoquer ce fondement ne légitime donc pas nécessairement le traitement. L'existence d'un équilibre entre les différents intérêts peut bien sûr être plus facilement démontré lorsqu'il existe déjà entre vous, en tant que responsable du traitement, et la personne concernée une relation d'une certaine importance (un contact unique et superficiel ne pèse pas très lourd dans la balance face à une relation contractuelle de longue date).

La pondération de ces intérêts constitue une préoccupation constante. En d'autres termes, cette pondération des intérêts n'est pas un acte ponctuel unique et suppose également le respect de toutes les autres dispositions de la Loi vie privée. Avant de commencer un traitement, certaines procédures doivent être suivies (p. ex. une éventuelle déclaration auprès de la Commission vie privée, prendre les mesures nécessaires pour garantir la sécurité des données, conclure les arrangements contractuels nécessaires avec les éventuels sous-traitants). D'autres obligations encore doivent quant à elles être respec tées en cours de traitement ou après ce dernier (p. ex. communiquer des informations claires, donner suite au droit d'opposition, supprimer les données au terme du délai de conservation).

La Commission vie privée estime qu'en pratique, l'équilibre est un exercice loin d'être évident, notamment dans le cadre du courtage d'adresses et de profils.

Par contre, la Commission vie privée accepte que l'intérêt pondéré soit considéré comme un fondement dans le cadre du "customer relationship management " déjà cité et notamment la réalisation d'une enquête de satisfaction auprès des propres clients de l'entreprise spécifiquement sur les produits et les services qu'ils achètent, l'information des prospects sur de nouvelles promotions s'ils ont eu récemment des contacts avec la société à ce sujet ou l'envoi d'une invitation à d'anciens clients ou des clients existants pour renouveler ou prolonger leur contrat.

La description claire des finalités

En tant que responsable du traitement, vous devez déterminer les finalités du traitement des données de la personne concernée de sorte à ce que cette dernière puisse se forger une idée raisonnable du(des) traitement(s) au(x)quel(s) s'attendre. La Commission vie privée recommande, dans ce cadre de faire une distinction (pour autant qu'elle soit d'application) entre 4 types de finalités: (1) la propre gestion des clients, (2) la location d'adresses/ou profils personnels, (3) la vente d'adresses et/ou de profils personnels et (4) la compliance.

Si vous décidez ultérieurement d'utiliser ces données pour d'autres finalités, vous devrez préalablement en vérifier la compatibilité avec le traitement initial. La Commission vie privée estime à ce sujet que tout courta ge de données à caractère personnel (adresses et profils) constitue systématiquement un traitement ayant une finalité propre qui, s'il y a traitement ultérieur, est incompatible avec la finalité du traitement initial. Qui plus est, la Commission vie privée estime que la réutilisation des sources de données publiées (aussi bien d'origine publique que privée) à des fins de marketing direct est incompatible avec la finalité initiale de cette publication. La publication de données à caractère personnel publiées directement par la personne concernée ou dont la publicité est légalement obligatoire, est toujours dictée par une finalité particulière qui n'a le plus souvent aucun lien avec le marketing direct.

Si le marketing direct est autorisé, pouvez-vous traiter toutes les données à caractère personnel du destinataire ?

La Loi vie privée stipule très clairement que dans le cadre du marketing direct vous ne pouvez traiter que les données qui sont adéquates, pertinentes et non excessives par rapport à l'envoi du message.

Combien de temps pouvez-vous conserver les données de quelqu'un ?

La Loi vie privée stipule que dans le cadre du marketing direct, vous ne pouvez conserver les données à caractère personnel de quelqu'un que pendant une période limitée. C'est ainsi que vous pouvez conserver les données de vos clients pendant la durée de leur contrat pour autant que leur conservation soit nécessaire à son exécution. Au terme de ces relations contractuelles vous pourrez encore les conserver pendant un certain temps.

La Loi vie privée interdit la conservation illimitée des données à caractère personnel. Pour cette raison, la Commission vie privée plaide pour un délai de conservation raisonnable (en fonction des circonstances et de la nature de la source des données).

Les données ne sont pas non plus toujours à jour : quelqu'un peut déménager, changer de numéro de gsm, ... Pour disposer de la dernière adresse ou du dernier numéro de téléphone des personnes concernées, on utilise ce qu'on appelle des fichiers de masse (p. ex. fichiers de déménagement, listes d'adresses, entrepôt de données,...). Le danger de ces fichiers réside dans le fait qu'au fil du temps, la source (1) devienne inconnue, (2) ne soit plus du tout transparente et (3) qu'il ne soit pas (plus) question du moindre contact avec la personne concernée ou d'informations claires la concernant.

La Commission vie privée estime donc que l'intégration des données à caractère personnel dans des fichiers de masse et la mise à jour permanente de ces données sans date de fin de conservation concrète et sans que le contact ne soit entretenu avec la personne concernée sont interdites.

Quelles informations devez-vous communiquer et quand ?

Les informations que vous communiquez doivent être claires (le cas échéant adaptées au public cible) et compréhensibles (donc ni compliquées, ni déguisées).

La Loi vie privée décrit le contenu de l'information. La Commission vie privée préconise une approche par phases basée, par exemple, sur une clause d'information succincte qui pourrait faire référence à l'information complète contenue dans les conditions générales et/ou à la déclaration de confidentialité complète.

Vous recevez les informations directement de la personne concernée

Si vous collectez les données directement auprès de la personne concernée, elle doit être informée des éléments suivants au plus tard le jour de la communication:

le nom et l'adresse du responsable du traitement (une simple référence à un produit ou à un service, un site web, ou à une adresse de contact par e-mail ne suffit pas) ;
la finalité du traitement (p. ex. "marketing direct") ;
l'existence d'un droit d'opposition gratuit ;
l'existence d'un droit d'accès et de rectification ;
les destinataires ou catégories de destinataires de vos données.

Si vous collectez des données à caractère personnel par écrit et directement auprès de la personne concernée (p. ex. par le biais d'un coupon-réponse dans un journal ou dans une revue, par le biais d'un formulaire rempli pour une commande ou une inscription à un abonnement sur internet), vous devez lui donner la possibilité d'exercer son droit d'opposition sur le même document que celui utilisé pour collecter ses données (sur internet, par exemple, en prévoyant une case que la personne concernée peut cocher sur la même page que celle sur laquelle ses coordonnées sont demandées).

Si vous collectez des données à caractère personnel d'une autre manière que par écrit et directement auprès de la personne concernée (p. ex. par le biais d'un entretien téléphonique) vous devez donner à la personne concernée la possibilité d'exercer son droit d'opposition soit par un moyen technique, soit en prenant contact avec la personne concernée dans les deux mois qui suivent pour lui permettre d'ainsi exercer son droit d'opposition.

Vous ne recevez pas les informations directement de la personne concernée

Si vous ne collectez pas les informations directement auprès de la personne concernée mais par exemple par le biais d'une carte d'épargne (certains grands magasins travaillent par exemple en collaboration avec différents partenaires chez lesquels les points peuvent être épargnés) ou par l'achat d'adresses (vous les achetez auprès d'une société qui confectionne des listes d'adresses sur mesure), vous devez lui communiquer les informations suivantes, soit le jour de l'enregistrement des données de la personne concernée ou au plus tard le jour de la première communication des données à un tiers :

le nom et l'adresse du responsable du traitement (une simple référence à un produit ou à un service, un site web, ou à une adresse de contact par e-mail ne suffit pas) ;
la finalité du traitement (p. ex. "marketing direct") ;
l'existence d'un droit d'opposition gratuit ;
l'existence d'un droit d'accès et de rectification ;
les destinataires ou catégories des destinataires de vos données ;
la Commission vie privée recommande aussi fortement que l'origine des données soit communiquée de manière proactive à la personne concernée. L'expérience montre en effet que de très nombreux citoyens qui reçoivent des messages de marketing direct se posent avant tout et surtout la question de savoir comment l'expéditeur de ce message a eu connaissance de leurs coordonnées.

Droit d'opposition in concreto

Un premier comportement orienté protection de la vie privée consiste à proposer d'initiative une option de désinscription (opt-out).

La Loi vie privée stipule néanmoins que la personne concernée a toujours le droit de s'opposer à une action de marketing direct et ceci gratuitement et sans devoir motiver sa décision.

Pour exercer correctement ce droit d'opposition, il lui suffit de vous envoyer une lettre ou un fax (avec une copie de sa carte d'identité – pour éviter que tout le monde ne puisse sans plus envoyer une lettre ou un fax au nom de quelqu'un d'autre) ou un e-mail pourvu de sa signature électronique. Il a même la possibilité de déposer une lettre sur place.
Dans le mois qui suit l'introduction de sa demande, vous devez l'informer de la suite réservée à celle-ci. Si vous ne répondez pas ou si votre réponse s'avère insuffisante, la personne concernée peut prendre contact avec la Commission vie privée qui peut intervenir en tant que médiateur.

Avez-vous d'autres obligations encore ?

Droit d'accès et de rectification

La personne concernée peut toujours exercer son droit d'accès gratuitement. Vous êtes obligé de lui fournir certaines informations. C'est ainsi que vous devez informer la personne concernée des informations dont vous disposez à son sujet, de la raison pour laquelle vous tenez ces données, des données exactes dont il s'agit et quels en sont/seront les destinataires.

Les exigences de forme de l'exercice correct de ce droit d'accès sont limitées. Il suffit d'envoyer une lettre ou un fax (avec toutefois une copie de la carte d'identité de la personne concernée) ou un e-mail (avec toutefois la signature électronique de la personne concernée). Cette lettre peut même être remise sur place.
Si la personne concernée constate que des données inexactes, incomplètes, superflues ou interdites la concernant circulent, elle peut gratuitement les faire rectifier, les faire supprimer ou en faire interdire l'utilisation. Ce droit s'exerce de la même manière que le droit d'accès, si ce n'est que le délai dont vous disposez pour répondre est plus court puisqu'il n'est que d'un mois.

Déclaration de votre traitement

Déclarez directement le traitement à des fins de marketing direct. Cette déclaration peut se faire sur le site web de la Commission vie privée (25 euros) ou via un formulaire papier que vous pouvez télécharger via le site web (125 euros). Si d'importantes modifications sont apportées au traitement, vous devrez modifier votre déclaration initiale (20 euros). Si vous mettez fin à votre traitement, vous pourrez le déclarer gratuitement. Cette déclaration peut se faire via l'e-guichet.

L'obligation de déclaration connaît néanmoins quelques exceptions dont certaines peuvent éventuellement s'appliquer aux activités de marketing direct. Cette dispense de déclaration disparaît toutefois dès qu'il y a échange, vente ou location d'un fichier à des tiers.

Sécurité suffisante des données

Vous devez garantir la confidentialité et la sécurité du traitement. Vous devez ainsi, par exemple, prendre les mesures de sécurité techniques et organisationnelles nécessaires pour empêcher que des personnes non compétentes aient accès aux données. A cet effet, la Commission vie privée a élaboré un aperçu des mesures de référence possibles en matière de sécurité.

Vous souhaitez transmettre des données à caractère personnel à l'étranger

Si vous désirez transmettre des données dans des pays de l'Union européenne, vous ne devez pour cela accomplir aucune formalité supplémentaire. Tous les pays de l'UE sont réputés offrir un niveau de protection similaire en matière de protection des données à caractère personnel.

Si vous désirez transmettre des données dans des pays hors UE, le pays de destination doit garantir un niveau de protection adéquat. Ce niveau de protection adéquat peut être garanti sur la base de divers éléments. Dans certains cas exceptionnels, cette transmission de données peut même se faire en l'absence d'un niveau de protection adéquat (p. ex. après un consentement indubitable de la personne concernée).

Pour de plus amples informations, nous vous conseillons de consulter la partie spécifique de notre site web relative au flux transfrontières de données à caractère personnel.

Pour de plus amples informations sur les règles à suivre en marketing direct, vous pouvez consulter la recommandation "Marketing direct et la protection des données à caractère personnel".