GENERATION DE LEADS ET RESPECT DES DROITS DES PERSONNES

La génération de leads consiste à obtenir un contact, dont le potentiel commercial est avéré. Ce contact est obtenu grâce à ses données personnelles (telles que son adresse e-mail, son numéro de téléphone…). Cette opération s’opère la plupart du temps via le remplissage d’un formulaire internet.Si, aujourd’hui, recueillir les données d’un potentiel client est chose aisée, cela doit s'effectuer au regard des droits des personnes (tel que le respect du principe de l’opt-in par exemple).

En outre, une articulation entre génération de leads et respect des droits des personnes s'impose. Quelles sont les obligations incombant au responsable de la collecte de ces données ? La personne intéressée peut-elle avoir accès aux informations la concernant ? Peut-elle demander à les récupérer ou à les voir effacées ?

L’obligation d’information du responsable de la collecte

L’article 32 de la Loi informatique et libertés de 1978 prévoit une première obligation d’information pour l’entreprise qui va générer le lead. Cette obligation se retrouve également à l'article 6 de la Norme simplifiée NS-048 relative aux fichiers clients-prospects.

La personne dont les données vont être récupérées doit être informée sur le traitement qu’elles vont subir (quelles données ont été collectées ? pour quoi faire ?). Ainsi, le responsable de la collecte doit toujours préciser son identité.  Celui-ci doit également indiquer la finalité d’une telle génération (à des fins commerciales par exemple).

Cet article pose le principe selon lequel la personne doit être informée des « caractéristiques essentielles du traitement de ses données et de ses droits » (CE, 24 Aout 2011, HSBC Private Bank, n°336382).

C'est pourquoi d'autres droits, tel que le droit d’accès aux données, découlent de cette première obligation d’information.

La possibilité d’accéder aux données

Par ailleurs, l’article 39 de cette même loi permet l’accès de la personne concernée à ses données. Par conséquent, tout individu, justifiant de son identité, doit pouvoir obtenir des informations relatives à l’utilisation de ses données.

Vous devrez donc être en mesure de lui en fournir une copie (sous une forme accessible).

Aucune condition ne pourra être imposée à l’octroi de cet accès ! Il vous sera impossible d’exiger une somme d’argent correspondant au coût de la reproduction de l’information, par exemple.

Cependant, vous pourrez vous opposer à toute demande manifestement abusive. En effet, le nombre, le caractère répétitif ou systématique d'une demande peut être un motif valable pour ne pas y faire droit. Cela étant dit, si la Cnil estime ce refus infondé vous pourrez être retoqué.

En somme, « toute personne peut à tout moment avoir accès aux données à caractère personnel la concernant contenues dans un fichier » (CE, 20 Octobre 2010, Sté Centrapel, n°327916).

Ce droit n’est finalement qu’un corollaire de l’obligation d’information qui pèse sur le responsable de la collecte.

Outre ce droit d'accès à ses propres données auprès du responsable de la collecte, toute personne peut demander à les rectifier ou même les effacer.

Le droit de rectification, de mise à jour et d’effacement des données

Les entreprises détenant des informations personnelles doivent être en mesure de les modifier, les rectifier ou encore les effacer, sur simple demande de la personne concernée.

En effet, l’article 40 de la Loi informatique et libertés de 1978 dispose que toute personne peut demander la rectification, l’effacement ou encore la mise à jour de ses données personnelles. Cette possibilité concerne des données qui seraient « inexactes, incomplètes, équivoques, périmées » ou dont l’emploi serait interdit.

A noter : S’agissant des droits d’accès, de rectification et d'effacement, vous devrez également faire droit à la demande des héritiers d’une personne décédée.

Quid de la réglementation européenne ?

S’agissant du droit d’information, les articles 10 et 11 de la directive 95/46/CE énoncent que le responsable du traitement informe la personne concernée du traitement de ses données.

Par ailleurs, l'article 12 impose au responsable du traitement l’obligation d’un droit d’accès et de rectification des données concernées.

Des sanctions pénales sont prévues en cas de violation de ces obligations.

Non-respect des droits des personnes et sanctions

Le non-respect des droits des personnes est sanctionné par le Code pénal en tant que contraventions. Le refus de transmettre, de rectifier ou d'effacer des données est pénalement répréhensible. Le défaut d'information à l'égard de la personne est également sanctionné.Les articles R.625-10 à R.625-12 du CP régissent ces situations.

La sanction est identique pour chacune de ces infractions et correspond au montant de l’amende prévue pour les contraventions de cinquième classe, soit un montant de 1500 euros. Ce montant peut être porté à 3000 euros en cas de récidive (art. 132-11 et 132-15 CP).

A noter : l’article R.625-13 du même code prévoit la responsabilité des personnes morales pour l'ensemble de ces contraventions.

En définitif, la génération de leads ne peut se faire sans le respect des droits de la personne concernée. Non seulement, vous devez l’informer des données que vous avez en votre possession, mais vous devez aussi pouvoir lui en fournir un accès et une possible modification. Tout ceci implique que vous sachiez exactement où sont stockées et conservées vos données…

Si cet article vous a plu, consultez nos articles dans le thème de la réglementation juridique ou à consulter notre livre blanc les aspects juridique de la génération de leads. Vous souhaitez être accompagnés dans votre démarche d'augmentation de vos leads? Nous vous invitons à contacter nos équipes pour plus d'informations.