RGPD : quelles conséquences sur les envois de SMS professionnels ?

À l’ère du digital et des nouvelles technologies, les flux de données personnelles se multiplient et deviennent une denrée précieuse pour les entreprises. Pour encadrer l’utilisation de ces données et renforcer l’obligation d’information et de transparence à l’égard des personnes dont les données sont traitées (clients, collaborateurs, etc.), une directive européenne a été mise en place : le RGPD. Qu’est-ce que c’est ? Que dit la loi ? Quel est son impact sur la réglementation concernant les communications électroniques, et notamment l’envoi de SMS professionnels ? Explications.

RGPD : tout ce qu’il faut savoir

Le Règlement Général sur la Protection des Données, communément appelé RGPD, est le texte européen de référence en matière de protection des données à caractère personnel. Adopté par le Parlement européen en 2016 et entré en vigueur en 2018, il vient renforcer et compléter les principes établis par la loi Informatique et Libertés de 1978.

À qui le RGPD est-il destiné ?

Il s’adresse à toute entité publique ou privée (entreprise, association, administration publique) – quelle que soit sa taille, son pays d’implantation et son activité – amenée à manipuler des données à caractère personnel dès lors : 

• que son activité cible des résidents européens à des fins commerciales ;
• qu’elle possède un établissement sur le territoire de l’Union européenne qui participe au traitement de données dans le cadre de ses activités, que le traitement lui-même ait lieu ou non dans l’Union Européenne.

Le RGPD est également applicable aux entreprises qui traitent des données personnelles pour le compte d’une autre entité.

À quoi sert ce règlement européen ?

Le cadre réglementaire fixé par le RGPD vise à :

• rendre le traitement des données personnelles plus transparent pour les consommateurs ; 
• redonner le contrôle de leurs données personnelles à tous les résidents européens ;
• responsabiliser les entreprises dans le traitement des données personnelles récoltées, au travers notamment des autorités de contrôle ;  
• harmoniser les règles en Europe via un cadre juridique unique pour tous les professionnels.

Données personnelles, traitement de données : de quoi parle-t-on ?

• Les données personnelles (ou données à caractère personnel) 

Elles concernent toutes les informations qui permettent d’identifier des personnes physiques, que ce soit directement (nom, prénom, numéro de sécurité sociale…) ou bien indirectement (n° client, numéro de téléphone, adresse postale, adresse email, adresse IP, plaque d’immatriculation, etc.).
Cette identification des personnes physiques peut se faire à partir d’une seule donnée ou d’un croisement de plusieurs données.

• Le traitement des données personnelles 

C’est un ensemble d’opérations portant sur des données personnelles, quel que soit le procédé utilisé. Par exemple, remplir un formulaire ou mettre à jour un fichier fournisseur est considéré comme un traitement de données personnelles.

À lire aussi : GDPR et traitement de données

Qu’est-ce qu’un DPD ? Et quel est son rôle ?

Les autorités publiques et certains organismes privés dont l’activité de base implique un traitement à grande échelle de données dites « sensibles » ou de données permettant un suivi régulier et systématique de personnes doivent obligatoirement désigner un DPD (Délégué à la Protection des Données). Celui-ci a un rôle de « chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme. 

Il a pour objectif de coordonner les processus de conformité et exerce un rôle d’information, de conseil et de contrôle dans l’entreprise. Il assure également la sécurité juridique du traitement des données personnelles.

Enfin, le Délégué à la Protection des Données (DPD) est le point de contact de la CNIL (Commission nationale de l’informatique et des libertés de France) et des personnes concernées pour l’exercice de leurs droits. 

En France, la CNIL est l’autorité de référence pour gérer le RGPD.

Communications commerciales et RGPD : obligations et sanctions

Le Règlement Général sur la Protection des Données (RGPD) définit le cadre légal de l’utilisation de celles-ci par les différents canaux de communication.

Les points essentiels à prendre en compte par les entreprises

Les entreprises sont tenues de respecter certains points capitaux en termes de RGPD :

• Seules les données strictement utiles doivent être collectées.
• La finalité, l’objectif du traitement de chaque donnée doit être déterminé et légitime au regard de l’activité de l’entreprise. 
• Les entreprises doivent obtenir le consentement explicite (opt-in) des personnes dont elles traitent les données.
• Ces personnes doivent être informées de tout ce qui concerne l’utilisation de leurs données de manière concise, transparente, compréhensible et aisément accessible.
• Aucune donnée ne peut être collectée à leur insu.
• Une fois collectées, ces données ne peuvent être traitées autrement que pour l’objectif initialement prévu. Si la finalité change, les clients doivent en être informés.
• Les individus qui font l’objet de la collecte de données doivent en garder la maîtrise. Ils disposent d’un droit d’opposition, d’accès, de rectification, de suppression et de portabilité.
• Les entreprises doivent organiser les modalités permettant aux personnes d’exercer leurs droits et être en mesure de répondre dans les meilleurs délais à leurs demandes.
• Une durée de conservation pour chaque donnée collectée doit être définie. Celle-ci doit être strictement nécessaire pour répondre à l’objectif initial poursuivi. Passé ce délai, la donnée doit être supprimée ou archivée. 
• Les entreprises doivent prendre toutes les mesures nécessaires pour garantir la sécurité des données à caractère personnel collectées.
• La mise en conformité de l’ensemble de ces procédures doit s’inscrire dans une démarche continue.

Les sanctions prévues en cas de non-respect du RGPD

La CNIL peut effectuer des contrôles auprès de l’ensemble des entités qui traitent des données personnelles et également intervenir auprès des prestataires sous-traitants.

Suite à des contrôles, à des plaintes ou en cas de manquements au RGPD, la CNIL peut sanctionner les responsables de traitement ainsi que les sous-traitants. 

Les sanctions prononcées sont graduées et peuvent aller du simple rappel à l’ordre et à l’obligation de se mettre en conformité à : 

• une astreinte d’un montant maximal de 100 000 euros par jour de retard ; 
• une limitation temporaire ou une interdiction définitive du traitement de données à caractère personnel ; 
• un retrait de certification, etc.

Pour les manquements les plus graves, une entreprise peut recevoir une amende allant jusqu’à 20 millions d’euros ou 4 % de son chiffre d’affaires annuel mondial.

Ces sanctions peuvent dans certains cas être rendues publiques.

RGPD : l’envoi de SMS professionnels et de courriers électroniques

La prospection commerciale par SMS, MMS ou emailing est tout à fait possible, mais doit respecter quelques règles.

L’envoi de communications commerciales à des particuliers (BtoC)

Avant de démarcher un client ou un prospect par SMS ou par l’envoi d’un emailing, l’entreprise doit impérativement recueillir son consentement explicite (opt-in). Pour que ce consentement soit valide, il doit être : 

• Libre : il ne doit pas être contraint ni influencé. 
• Spécifique : il doit correspondre à un seul objectif, à une seule finalité bien déterminée. S’il y a plusieurs finalités, elles doivent toutes être précisées et le client doit donner son accord pour chacune d’entre elles.
• Éclairé : le consentement doit être accompagné de certaines informations, telles que l’identité du responsable du traitement, la finalité du traitement, l’existence d’un droit de retrait, etc.
• Univoque : il doit être recueilli par le biais d’une case à cocher par exemple.

Ces critères sont cumulatifs. Par ailleurs, l’entreprise est dans l’obligation de stocker ces réponses qui serviront de preuve en cas de contrôle de la CNIL.

Voici deux exceptions pour lesquelles l’entreprise n’a pas besoin de demander le consentement explicite de ses prospects et/ou de ses clients : 

• si la personne est déjà cliente et que la communication par SMS concerne la promotion d’un produit ou d’un service similaire à celui qu’elle a déjà acheté ; 
• si la communication n’a pas d’objectif commercial. 

Attention, ne valent pas consentement : 

• les cases pré-cochées dans un formulaire ;
• la demande de consentement associée à un bon de réduction, à l’offre d’un service, la participation à un jeu-concours, une loterie, etc. ;
• l’acceptation des conditions générales de vente au moment d’un achat ; 
• la création d’un compte client sur un site web sans qu’aucun achat n’ait été effectué.

À lire aussi : Trois manières efficaces et légales de demander le consentement de vos clients

L’envoi de communications commerciales à des professionnels (BtoB)

Pour communiquer auprès d’un professionnel, l’entreprise expéditrice doit :

• informer la personne de l’objectif de l’utilisation de son numéro de téléphone ou de son email au moment de la collecte ;
• donner la possibilité à la personne démarchée de s’opposer facilement et gratuitement à l’utilisation de son numéro de téléphone ou de son email ;
• envoyer des sollicitations en lien direct avec l’activité de la personne démarchée.

À noter que le RGPD stipule que chaque communication électronique (SMS, MMS, emailing) doit toujours :

• préciser l’identité de l’expéditeur ;
• permettre au destinataire de pouvoir retirer son consentement à tout moment, aussi simplement qu’il l’a accordé (via un lien de désinscription à la fin du message, par exemple).

À lire aussi : Comment recycler votre politique de confidentialité ?

Pour aller plus loin :

• SMS, SMS Landing Page ou RCS, quel canal choisir ?
• Comment se préparer face à l’arrivée du GDPR ?
• GDPR et envoi de messages : ce que vous devez savoir