(par Federica De Stefani, avocate et responsable d'Aidr Regione Lombardia) Le Garant de la protection des données personnelles intervient à nouveau sur la délicate question du télémarketing sauvage et inflige une amende de plus de 3 millions d'euros à Sky.
Cette disposition intervient après une enquête longue et complexe lancée à la suite de dizaines de signalements et de plaintes de personnes se plaignant de recevoir des appels téléphoniques indésirables, destinés à promouvoir les services offerts par Sky, à la fois directement et via les centres d'appels d'autres sociétés.
Dans ses enquêtes, l'Autorité a découvert de nombreux problèmes critiques, notamment la réalisation d'appels promotionnels sans information et sans consentement, en utilisant des listes non vérifiées, acquises auprès d'autres sociétés.
L'analyse de l'ordonnance d'injonction émise par le garant offre une importante matière à réflexion et met en évidence certaines étapes des activités de télémarketing susceptibles de constituer des « lignes directrices » pour la bonne exécution de celles-ci.
Nous revenons à l'équilibre délicat entre l'entreprise, le traitement des données et la protection des données.
La protection des données personnelles ne doit pas, comme l'indique expressément l'art. 1 du Règlement européen, être un obstacle aux activités économiques.
Il s'agit de concilier deux besoins différents (des entreprises et de la protection des données) qui ne sont qu'apparemment inconciliables, souvent considérés comme tels par manque de connaissance approfondie de la législation.
La procédure de télémarketing
Le télémarketing est une technique utilisée par les entreprises pour promouvoir leurs produits. Dans le cas spécifique, analysé par l'ordonnance d'injonction de l'Autorité, Sky a acquis des listes d'utilisateurs de sociétés tierces à contacter à des fins de marketing express.
La procédure pour exercer cette activité, selon les dispositions du règlement européen sur la protection des données personnelles, comprend les étapes suivantes :
- Acquisition par la société tierce en sous-traitance du consentement de l'utilisateur à communiquer ses données à des tiers.
- Acquisition des noms par Sky.
- Utilisation par Sky des listes acquises en contactant le client et en lui fournissant ses propres informations.
- Acquisition, toujours par Sky, du consentement de l'utilisateur à formuler des propositions commerciales et seulement après cette acquisition, possibilité, par l'opérateur, de formuler la proposition commerciale.
Selon l'enquête menée par le Garant, la procédure suivie pour l'activité promotionnelle de Sky manquait de certains éléments essentiels, se limitant à l'utilisation des noms acquis auprès de sociétés tierces déjà « agréées ».
Le point fondamental est exactement le suivant : le consentement fourni par l'utilisateur à la société tierce ne représentait une base juridique valable que pour la communication des noms à Sky et non également pour l'utilisation ultérieure de ceux-ci à des fins de marketing par cette dernière. .
Il faut également ajouter que Sky devrait, avant d'effectuer toute opération, vérifier par ses listes noires que les personnes à contacter n'avaient pas manifesté leur opposition à recevoir des appels publicitaires relatifs à ses produits.
Le PEC comme canal approprié pour l'exercice des droits de l'intéressé
Un autre élément notable concerne les canaux mis à disposition des utilisateurs pour l'exercice de leurs droits.
L'Autorité, en effet, a prescrit à Sky d'inclure parmi les canaux de réception des déclarations d'opposition au traitement, également l'adresse PEC indiquée dans le registre des sociétés, une adresse qui jusqu'à présent n'avait pas été considérée comme un point de contact valable pour la vie privée . . .
Les sociétés de sous-traitance et la qualification des sous-traitants
Enfin, l'ordonnance d'injonction clarifie un autre aspect important, à savoir la qualification des sociétés tierces qui constituent les listes de noms utilisées à des fins de commercialisation, en rappelant, une fois encore, comme cela a déjà été fait par le passé, que les agences d'externalisation ne peuvent être qualifiées de contrôleurs de données indépendants.
La disposition en cause, en particulier, souligne expressément que « la prétendue propriété formelle ne correspond pas, même concrètement, aux pouvoirs strictement prévus par le Code pour la configuration et l'exercice de la propriété, qui sont et restent la prérogative exclusive de les principaux. Parmi ceux-ci, tout d'abord : - prendre des décisions relatives aux finalités de traitement des données des destinataires de campagnes promotionnelles aux fins d'envoi de matériel publicitaire ou de vente directe ou de recherche commerciale ou de communication commerciale effectuée par des tiers agissant en sous-traitance pour la performance des activités susmentionnées de promotion et de commercialisation de biens, produits et services ; - d'émettre des instructions et directives contraignantes à l'égard des sous-traitants, correspondant en substance aux instructions que le responsable du traitement doit donner au gestionnaire ; - d'exercer des fonctions de contrôle en ce qui concerne le travail des sous-traitants eux-mêmes ».
Il s'ensuit donc naturellement que ces sujets doivent également recevoir une désignation expresse et formelle en tant que responsables du traitement, conformément aux dispositions de l'art. 29 Règlements.