Base de connaissances
- FOCUS – RGPD : Comment constituer et utiliser une base de données ?
- FOCUS – Le vol d’information
- FAQ – Qu’est-ce qu’une base de données ?
- FAQ – Qu’est-ce qui est protégé au sein d’une base de données ?
- FAQ – Comment prouver la violation de ma base de données ?
- FAQ – Combien de temps est protégé le producteur d’une base de données ?
- FAQ – Quels sont les droits reconnus au producteur de la base de données ?
- FAQ – Qui peut bénéficier de la protection du droit sui generis ?
- FAQ – Quelles sont les conditions pour bénéficier de la protection par le droit sui generis des producteurs de bases de données ?
FOCUS – RGPD : Comment constituer et utiliser une base de données ?
(Référence de l'article : 4404)
RGPD : Comment constituer et utiliser une base de données ?
A l’heure du « Big Data » et de la collecte massive de données numériques, les bases de données, et notamment les fichiers clients, constituent la principale richesse des entreprises. Depuis le 25 mai 2018, la constitution et l’utilisation des bases de données sont encadrées par le Règlement général sur la protection des données (RGPD). Contrairement à l’opinion générale, le RGPD ne constitue pas une révolution dans le domaine de la protection des données à caractère personnel mais vient, dans l’ensemble, simplement renforcer des obligations qui existaient déjà au sein de la loi « Informatique et libertés ».
- Constituer une base de données conformément au RGPD
- Les principes essentiels de collecte des données
Hormis les données sensibles, le règlement européen n’interdit pas formellement de collecter certaines données à caractère personnel. Cependant, cette collecte est encadrée par un principe directeur qui est le principe de finalité. En pratique, il est nécessaire, pour le responsable de traitement, d’identifier au préalable la finalité qui justifie que de telles données soient collectées. A ce titre, les données personnelles qui ont été recueillies auprès d’une personne dûment informée d’une finalité de traitement, ne peuvent être utilisées ultérieurement d’une manière différente[i].
Par ailleurs, le traitement n’est licite que s’il se fonde sur une des bases juridiques énoncées à l‘article 6 du RGPD. Dans le domaine commercial, les fondements légaux les plus couramment invoqués sont :
- L’exécution d’un contrat (ex : traitement du nom et de l’adresse d’un client pour qu’un produit acheté en ligne puisse lui être livré) ;
- Le respect d’une obligation légale (ex : les obligations relatives à la facturation et la comptabilité) ;
- Le consentement (ex : personne ayant donné son consentement pour une finalité spécifique en cochant une case dédiée dans un formulaire de contact).
Enfin, le RGPD renforce l’obligation d’information des personnes concernées. Ainsi, lorsqu’il souhaite collecter des données personnelles, le responsable de traitement est tenu de fournir les informations suivantes aux personnes concernées :
- son identité ;
- les finalités poursuivies ;
- les catégories de données collectées ;
- les transferts hors UE le cas échéant.
- Quid des bases de données créées avant le RGPD ?
Tous les traitements mis en place avant l’entrée en application du RGPD et qui ont perduré après le 25 mai 2018 peuvent continuer dans les mêmes conditions, sous réserve que ces traitements soient en conformité avec les obligations prévues par le règlement telles que l’obligation d’information des personnes concernées.
A titre d’exemple, lorsque le traitement, déjà en cours à la date d’entrée en vigueur du RGPD, est fondé sur le consentement, il n’est pas nécessaire que la personne concernée consente une nouvelle fois si la manière dont ce consentement a été donné est conforme aux dispositions du RGPD[ii].
La décision de la Cour de justice de l’Union européenne (CJUE) du 11 novembre 2020 dans l’affaire C-61/19, a réaffirmé que le consentement préalable pour le traitement des données dans le cadre du RGPD était indispensable, même pour des bases de données créées avant l’entrée en vigueur du RGPD.
Sur ce point, rappelons que l’article 4 du RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement »[iii]. Pour être valablement recueilli, le consentement doit donc être tout à la fois :
- Libre, c’est-à-dire dénué de toute contrainte ;
- Spécifique, c’est-à-dire donné pour une finalité déterminée ;
- Eclairé, c’est-à-dire accompagné d’un certain nombre d’informations ;
- Univoque, c’est-à-dire matérialisé par un acte positif clair.
- Constituer une nouvelle base de données à partir d’une ancienne
Lorsqu’un salarié commercial quitte une entreprise, se pose la question de savoir s’il est en droit de conserver son fichier client et, surtout, s’il est autorisé à l’utiliser pour son propre compte ou celui d’un nouvel employeur. Pour répondre à cette question, il est nécessaire de distinguer la notion de responsable de traitement de celle de propriétaire (producteur) d’une base de données.
Selon le règlement européen, le responsable de traitement est défini comme « la personne physique ou morale qui détermine les finalités et les moyens du traitement »[iv]. Or, en pratique, les personnes concernées accordent leur consentement à des traitements mis en œuvre par une société, le commercial salarié n’étant qu’un simple utilisateur de ces données. Par conséquent, une réutilisation ultérieure des données par un ancien salarié sera considérée comme une nouvelle finalité de traitement nécessitant de solliciter de nouveau le consentement de la personne concernée.
En droit de la propriété intellectuelle, le producteur d’une base de données, entendu comme « la personne qui prend l’initiative et le risque des investissements correspondants, bénéficie d’une protection du contenu de la base lorsque la constitution, la vérification ou la présentation de celui-ci atteste d’un investissement financier, matériel ou humain substantiel ». En pratique, l’employeur dont les salariés ont pour mission principale de constituer un fichier clients pourra bénéficier de la protection accordée au producteur de bases de données et pourra donc s’opposer à sa réutilisation par un tiers.
La constitution d’une nouvelle base de données à partir d’une base existante parait donc impossible sans l’accord de la société qui l’a constituée (qui est le plus souvent à la fois responsable de traitement et producteur de cette base), d’autant que la reprise d’une base existante sans l’accord de son propriétaire est également susceptible de constituer un acte de concurrence déloyale.
- Utiliser une base de données conformément au RGPD
- RGPD et campagne emailing
Comme l’a rappelé la Commission nationale de l’informatique et des libertés (CNIL), le RGPD ne change pas les règles applicables aux e-mails de prospection, qui sont régis par l’article L34-5 du code des postes et des communications électroniques, que ces derniers soient adressés à des particuliers ou à des professionnels.
Les campagnes emailing seront donc fondées, soit sur le consentement de la personne, soit sur l’intérêt légitime. Dans ce dernier cas, il sera nécessaire de mettre en balance les intérêts de l’entreprise avec ceux des personnes concernées afin de justifier le caractère légitime du traitement de données. Concernant les prospects professionnels (relation B to B), la CNIL considère que le traitement est légitime et, de ce fait, autorise la technique de l’opt-out par laquelle le consentement est présumé sous réserve d’une information préalable et de la mise en œuvre d’un droit d’opposition[v].
En 2022, la CNIL a sanctionné plusieurs entreprises pour des pratiques de prospection par email non conformes au RGPD, notamment pour absence de consentement explicite et impossibilité pour les utilisateurs de se désabonner facilement. [CNIL, Délibération n°SAN-2022-017 du 3 août 2022, Société ACCOR SA].
Enfin, si un responsable de traitement souhaite utiliser des données personnelles collectées par un partenaire commercial, il lui sera nécessaire de recueillir au préalable le consentement des personnes concernées dûment informées et de conserver une preuve de ce consentement[vi].
- Durée de conservation des données
Selon le RGPD, la durée de conservation doit être limitée au strict minimum[vii] et ne doit pas excéder celle nécessaire au regard des finalités pour lesquelles les données sont traitées[viii]. En pratique, il s’agira donc de déterminer la durée de conservation de chaque type de traitement et non de l’ensemble des données d’une personne dans la mesure où une même donnée peut être utilisée pour plusieurs finalités.
En l’absence de précision du règlement européen, le responsable de traitement pourra s’appuyer sur les normes législatives ou réglementaires et les délibérations de la CNIL afin de fixer des durées de traitements adéquates et conformes.
En vertu d’une délibération du 21 juillet 2016, les données personnelles relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale. Elles feront ensuite l’objet d’un archivage intermédiaire à titre de preuve jusqu’à la fin du délai de prescription légale.
Cependant, la CNIL a précisé dans ses lignes directrices actualisées de novembre 2022 que les données relatives aux prospects non clients peuvent être conservées pendant un délai de trois ans à compter de leur collecte ou du dernier contact émanant du prospect.
Passé ce délai, le responsable de traitement sera autorisé à reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations commerciales. En l’absence de réponse positive et explicite de cette personne, les données devront être supprimées ou archivées[ix].
Enfin, conformément à l’article L233-22 du code de commerce, les pièces comptables telles que les factures doivent être conservées pendant une durée de dix ans à compter de la clôture de l’exercice.
[i] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 5.1 b).
[ii] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, considérant 171.
[iii] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 4 11).
[iv] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 4 7).
[v] CNIL, La prospection commerciale par courrier électronique, 28 décembre 2018 : https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique.
[vi] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 7.
[vii] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, considérant 39.
[viii] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 5.1 e).
[ix] Délibération n°2016-264 du 21 juillet 2016 portant modification d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects (NS-048), art. 5.