L’achat de fichiers email : une pratique encadrée juridiquement

30.09.20
L’achat de fichiers email et les aspects juridiques à respecter

L’achat de fichiers email est donc une méthode certes efficace pour obtenir une clientèle plus proche de son activité professionnelle, mais c’est aussi une pratique aux nombreuses limitations qui rend l’utilisation des fichiers complexes et qui dans certains cas peut frôler l’illégalité si l’entreprise ne respecte pas les dispositions du RGPD.

L’achat de fichiers mails est soumis à des règles

Bien que l’achat de fichiers emailing possède de nombreux avantages, dont notamment l’obtention de coordonnées de milliers de clients potentiels, et une distribution en masse et à faible coûts des offres publicitaires, cette pratique est encadrée.

En effet, si cette pratique est légalement utilisée dans une grande majorité des sociétés, elle peut s’avérer abusive dans un certain nombre de cas. C’est pourquoi son encadrement s’est avéré nécessaire pour la protection des données personnelles des entreprises et consommateurs ciblés. Dès lors qu’une entreprise envisage de se rapprocher d’un prestataire de vente de fichiers emails, il faut qu’elle s’assure que ledit fichier respecte les exigences de la loi Informatique et Libertés de 1978. Ce fichier doit être déclaré auprès de la Commission nationale de l’Informatique et des libertés (CNIL). Cette déclaration doit être renouvelée à chaque fois qu’une modification substantielle est réalisée.

L’opt-in avec le consentement préalable pour les envois d’emails

En outre, avant toute utilisation de fichiers email en France, l’entreprise doit s’assurer que le consommateur a bien donné son consentement à ce que ses données soient utilisées, c’est « l’opt-in ». Le consentement doit se comprendre, au sens de l’article L.34-5 du Code des postes et des communications électronique, comme étant la volonté libre, spécifique et informée d’accepter que ses données personnelles soient utilisées à des fins de prospection directe.

De manière très fréquente, ce consentement, sera acquis dès lors que le consommateur aura coché la case indiquant qu’il accepte la réception d’offres commerciales d’une entreprise ou des partenaires de ladite entreprise lors de son inscription ou d’un achat sur un site internet par exemple.

Cependant, l’obtention du consentement en pré-cochant la case n’est pas valide, car il est considéré comme un « opt-in passif ». Ainsi, avant tout achat de fichiers email il faut que l’entreprise s’assure que le vendeur des fichiers a bien obtenu le consentement des personnes concernées pour l’utilisation de leurs données personnelles à des fins commerciales.

Des exceptions à l’obligation de consentement justifiées par la présence de relations commerciales préexistantes

Ainsi, si le principe veut qu’il ne puisse pas y avoir d’utilisation des fichiers email achetés sans accord préalable, il faut toutefois noter qu’il existe des cas où le consentement avant l’achat ou l’utilisation de fichiers email n’est pas nécessaire. Cela concerne notamment l’hypothèse où la personne contactée a la possibilité de refuser de recevoir des mails par le biais d’un lien de désabonnement à la newsletter par exemple, c’est ce qui est plus communément appelé « l’opt-out».

Le consentement n’est également pas nécessaire si le consommateur est déjà client de l’entreprise ou encore si la prospection a pour objet des produits semblables à ceux proposés par l’entreprise. Cette possibilité de refus s’inscrit dans le cadre de la protection des données personnelles. En effet, lors d’un achat de fichiers email, les personnes qui figurent sur la liste d’emails de particuliers ne sont pas informées que leurs données ont été achetées, il est donc tout à fait normal que ces achats soient encadrés. L’opposition à l’achat ou à l’utilisation des données personnelles d’un consommateur doit être possible de façon simple et gratuite.

Fichiers d’emails d’entreprises soumis à des règles plus souples

L’exception à l’obtention du consentement s’applique aussi dans le cas où c’est une société qui a été démarchée (BtoB). En effet, le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données personnelles distingue entre les adresses email des personnes physiques et celles des personnes morales (sociétés). Les sociétés ne rentrent pas dans le champ d’application des dispositions du RGPD.

Ainsi, l’utilisation de fichiers email « génériques » d’une société, contact@societe.com par exemple, n’implique pas de respecter le principe de consentement. En revanche, dans le cas où il s’agit de l’utilisation des adresses mails professionnelles des personnes travaillant au sein de ladite société, par exemple jean.dupont@societe.com, il faut d’une part que la prospection ait un lien avec la profession de la personne contactée, et d’autre part que celle-ci ait consenti à l’utilisation de ses données et qu’elle y ait été informée. Cette distinction entre ces deux catégories d’adresses mail résulte du fait que dans le second cas, une identification des personnes contactées est possible, alors que dans le premier seule la société est identifiable.

Information sur l’utilisation des données achetées

En plus de l’obtention du consentement des consommateurs, l’entreprise a une obligation d’information quant à l’utilisation qui sera faite des données achetées. Cette obligation concerne notamment une information quant à l’identité du responsable de l’achat des données, à la finalité poursuivie, ou encore aux droits dont les clients disposent concernant l’utilisation de leurs données personnelles.

L’entreprise reste tenue de cette obligation d’information même dans le cas où elle aurait acquis ces données de manière indirecte en vertu de l’article 32 III de l loi Informatique et Libertés, c’est-à-dire auprès d’un tiers et pas des personnes concernées directement. Il faut noter que malgré l’information concernant l’acquisition et l’utilisation des données, l’entreprise est également tenue d’informer les personnes, dont les données vont être utilisées, si elle a pour projet de partager ces données à des entreprises tierces.

Durée de conservation des fichiers achetés

De même, lorsqu’une entreprise procède à l’achat de fichiers email, elle doit s’assurer de respecter la durée de conservation de ces fichiers. S’agissant de données personnelles, les fichiers des clients doivent être supprimés dès lors que trois années sans réponse de la personne contactée se sont écoulées. Les personnes dont les données personnelles ont été achetées ont également, tel qu’il en résulte de l’article 17 I du Règlement général sur la protection des données, un droit à la suppression des données personnelles les concernant dès lors qu’elles en font la demande.

En résumé

Il est important de s’assurer que les personnes contactées par e-mail aient la possibilité de demander la suppression de leurs données, ou d’avoir obtenu le consentement préalable des personnes concernées pour l’utilisation de leurs données personnelles dans le cadre d’une relation B2C. Mais dans tous les cas il faut mettre à la disposition de ces personnes un moyen simple et rapide de s’opposer à l’utilisation de leurs données. L’achat des fichiers email dépend donc uniquement du bon vouloir et de la volonté des personnes dont les données personnelles ont été collectées. Il est donc d’une importance cruciale de respecter à la lettre les dispositions du RGPD sous peine d’amendes pouvant varier de 2% à 4% du chiffre d’affaires.

Françoise Berton, avocat en droit allemand

Tous droits de propriété intellectuelle réservés

Photo: Monster Ztudio

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

* Mentions obligatoires

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Vous avez une question sur ce point juridique et avez besoin d’un avocat ?