Skip to Main Content

Protection des données

Références

CHARLET, François. GDPR, consentement et marketing (digital). Blog de François Charlet [en ligne]. Publication le 6 décembre 2017. [Consulté le 17.11.2021]

DUBOIS Lorette, GAULLIER Florence. Publicité ciblée en ligne, protection des données à caractère personnel et ePrivacy : un ménage à trois délicat, LEGICOM, 2017/2 (N° 59), p. 69-102 [en ligne] [Consulté le 25.01.2019]

GARDNER DE BEVILLE, Eric. RGPD : donner sa carte de visite est-il constitutif de consentement explicite ? In : La Lettre des Juristes d'Affaires, no 1356, 25 juin 2018. [en ligne]. [Consulté le 17.11.2021]

RGPD et email : intérêt légitime vs consentement

Pour pouvoir recourir à l'email pour communiquer des messages, il existe deux cas :

- la personne a consenti à recevoir les messages.

Cela implique la création d'une case à cocher sur le formulaire de collecte des données, une information claire sur la manière dont les données sont traitées, la possibilité de décocher la case aussi facilement qu'elle a été cochée.

- le responsable du traitement considère qu'il a un intérêt légitime à envoyer les communications

L'intérêt légitime doit être évalué et rédigé par écrit, et la personne concernée doit pouvoir s'opposer au traitement.

 

Les avantages de l'intérêt légitime par rapport au consentement :

  • Du point de vue marketing : permet aux entreprises de continuer à communiquer par rapport au consentement qui risque de réduire drastiquement le nombre de personnes qui veulent être contactées (la base légale doit être mentionnée lors de la collecte de données)
  • Du point de vue éthique : le choix de cette base légale demande à l'entreprise de réfléchir à ce qui est "raisonnablement attendu". Alors que le consentement risque d'être défini de manière expressément large pour justifier des pratiques discutables.
  • Du point de vue technique : l'intérêt légitime allège le processus car il ne requiert pas la mise en place d'un processus de récolte des consentements complexe mais uniquement la mise en place d'un système de gestion des opt-out.
  • Du point de vue juridique : l'intérêt légitime représente une alternative légale dans le cas des utilisateurs existants (voir considérant 47 RGPD)

Quelle que soit la base légale choisie, le responsable du traitement doit informer la personne concernée (ex. dans le cas d'un intérêt légitime :  "x se réserve le droit d'utiliser ces données afin de vous communiquer ultérieurement des informations relatives aux services émis par x dans le cadre de l'intérêt légitime de x à promouvoir ses services auprès de ses clients")

Loi sur l'emailing en Suisse

La Loi révisée sur les télécommunications (LTC) est entrée en vigueur le 1/4/2007 (RS 241)

Elle interdit le "pollupostage" : L’envoi automatisé de publicité au moyen de services de télécommunication (courriel mais aussi SMS), n’est plus autorisé sans le consentement préalable du destinataire sous peine de poursuites pénales (art. 3, let. o LTC).

Il n'est pas permis d'envoyer de la publicité de masse sans lien avec une information demandée, sans consentement préalable, sans mention de l'émetteur et sans mention du droit à l'opposition. Si la communication est en lien avec une prestation déjà obtenue (prestation analogue), la communication est autorisée sans consentement.

Compléments d'informations : FAQ de l'Office fédéral de la communication


La personne concernée, quant à elle, en vertu de l’article 8 de la loi sur la protection des données, a le droit d’exiger du détenteur d’une liste qu'il lui communique quelles données il possède et de les faire supprimer.

Qu'est-ce qu'un consentement valide ?

Les critères d'un consentement valide :

- existence d'une case à cocher (pas de case préremplie à décocher ni exploitation du silence et de l'inactivité)

- une case par consentement (ex. une case pour recevoir des informations sur des formations et une case pour recevoir des news sur des évènements)

- présence d'une mention d'information qui renvoie à une politique de traitement des données plus complète

- possibilité de retirer le consentement aussi facilement qu'il a été donné

- la preuve du consentement doit être stocké électroniquement dans la base de données comme preuve

- en tant que bonne pratique le double opt-in est recommandé (envoi d'un mail pour avoir une double confirmation d'inscription)

Les courriels de masse : attention à la violation de la sécurité des données

  • Une exigence en matière de sécurité des données est de correspondre par "copie carbone invisible ou copie cachée (cci)" et de ne jamais utiliser la fonctionnalité "copie carbone (cc)" pour l'envoi de courriels de masse afin d'éviter de dévoiler les adresses électroniques de tous les destinataires.
  • Les adresses électroniques constituent des données à caractère personnel au sens des art. 4 ch. 1 RGPD et art. 5 let a nLPD.
  • Leur divulgation non autorisée constitue une violation de données au sens des art. 4 ch 12 RGPD et art. 5 let h nLPD.
  • Concrètement, en combinant les nom/prénom des destinataires avec le contenu du courriel, des données sensibles pourraient être déduites (par exemple des données concernant la santé).
  • Dans ce cas, en envoyant un courriel groupé plutôt que distinct à chaque destinataire et en n'utilisant pas la fonction "cci" dans son courrier, le responsable du traitement enfreint le principe de sécurité des données.
  • Pour les traitements soumis au RGPD, le risque est pécunier (amende)
  • Pour les traitements soumis à la loi suisse, le risque est une sanction pénale en cas de non-respect intentionnel des exigences  minimales de sécurité. En cas de simple négligence, le Préposé fédéral à la protection des données pourrait ordonner des mesures administratives assorties de la menace d'une amende.