Comment prospecter légalement par courrier ou téléphone ?

Communication de la CNIL du 6 décembre 2019

Le 6 décembre dernier, la CNIL a publié un rappel des règles à suivre pour les entreprises ayant recours à la prospection par courrier (postal) ou encore par appels téléphoniques.

Sans doute pour faire suite à l’amende de 500.000 euros prononcée le 21 novembre dernier à l’encontre d’une entreprise se livrant à du démarchage téléphonique illégal, la CNIL a publié le 6 décembre un récapitulatif des règles applicables en la matière (hors automates d’appel et SMS), ainsi que pour la prospection par courrier postal.

Si ces deux canaux de prospection diffèrent de la prospection par voie électronique, certaines règles sont communes, notamment eu égard aux règles issues du RGPD et de la Loi Informatique et Libertés récemment réformée.

 

Prospection par l’organisation initiale

Les personnes destinataires de la prospection devront impérativement avoir été informées, au moment de la collecte de leurs coordonnées postales et/ou de leur numéro de téléphone, de l’utilisation de ces coordonnées à des fins de prospection par la société avec laquelle elles sont en relation.

Elles devront également avoir été mises en mesure de refuser cette prospection, par un moyen simple (case à cocher indiquant le refus de la prospection).

Prospection par des tiers

1) Obligation d’information

Dans l’hypothèse où la prospection n’a pas lieu avec la société initialement en relation avec le destinataire de la prospection, mais par des tiers (souvent identifiés comme des « partenaires » dans les formulaires de collecte des données), y compris si les coordonnées sont accessibles au public (ex : sur les réseaux sociaux), les règles suivantes s’appliquent :

Lorsque les données ne sont pas recueillies directement auprès de la personne (par exemple : données récupérées auprès de partenaires commerciaux, de data brokers, de sources accessibles au public ou d’autres personnes), une information complète doit être faite par l’organisation ayant récupéré les données, au plus tard lors du premier contact avec la personne concernée.

Cette information est relativement dense dans la mesure où elle doit notamment comprendre :

  • l’identité de l’organisation les utilisant,
  • la finalité de cette utilisation,
  • la manière dont le destinataire de la prospection peut exercer ses droits,
  • la source depuis laquelle ses données ont été collectées.

2) Modalités de transmission des données par l’organisation initiale

La CNIL rappelle que lorsqu’une organisation détient des coordonnées et souhaite les mettre à la disposition d’autres organisations pour leur permettre de réaliser de la prospection par voie postale ou par téléphone, l’organisation initiale doit, au préalable :

  • informer les personnes concernées de cette transmission, de sa finalité et, au moins, des catégories de partenaires destinataires des données ;
  • permettre à ces personnes de s’opposer facilement et gratuitement à une telle transmission, par exemple par une case à cocher, prévoyant l’opposition à la prospection par les partenaires de l’organisation initiale.

Le destinataire de la prospection doit aisément pouvoir exercer ses droits, notamment son droit d’opposition à de nouvelles sollicitations, lequel doit bien entendu être formellement respecté.

L’organisation auprès de laquelle le droit d’opposition a été exercé est par ailleurs tenue d’informer sans délai de cette opposition toute autre organisation qu’elle a rendue destinataire des données personnelles concernées.

A rapprocher : Communication de la CNIL du 6 décembre 2019

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…