Si l’amende de 20 000 euros peut être perçue comme limité au regard des sanctions beaucoup plus lourdes prononcées en 2020 par la Commission, cette nouvelle délibération n’en demeure pas moins importante en ce qu’elle s’attache aux conditions de mise en œuvre de la prospection commerciale via les réseaux sociaux par une technique très répandue : celle du scraping.
Parmi les différents manquements soulevés, il est en un qui a particulièrement retenu l’attention de la Commission : la sollicitation commerciale de prospects identifiés via LinkedIn en l’absence de tout consentement.
Pour motiver sa décision de sanction, la CNIL observe que la société Nestor a constitué sa base de prospects par recours au web-scraping à partir des données accessibles en ligne sur « le site web de réseau social professionnel de la société ».
Cette base a permis à la société de solliciter plus de 600 000 prospects.
Bien que les données soient rendues publiquement accessibles sur le réseau professionnel, ces actions de prospection constituent pour la CNIL une violation de l’article L34-5 du Code des postes et des communications électroniques prohibant la prospection directe en l’absence de consentement de la personne concernée.
La Commission retient que :
Les messages envoyés pour la vente de repas sur le lieu de travail n’ont que peu de lien avec l’activité professionnelle des prospects.
La CNIL a déjà eu l’occasion de préciser que lorsque les personnes qui ont diffusé leurs données ne s’attendent pas raisonnablement à faire l’objet de prospection commerciale, la réutilisation des données à des fins commerciales n’est possible qu’avec leur consentement.
Un particulier qui publie son adresse email professionnelle sur un réseau social professionnel ne s’attend raisonnablement pas à être prospecté pour des services de restauration.
Les prospects n’ont pas eu connaissance de la collecte de leurs données et n’ont pas été mis en mesure de consentir au traitement de leurs données.
Cette décision est l’occasion d’un retour sur les règles à appliquer lorsque vous prospectez via les réseaux sociaux professionnels.
Règle n°1 : attention au web-scraping.
Face à la recrudescence des prestataires et logiciels d’extraction de données, la CNIL a eu l’occasion de se prononcer sur la pratique du web-scraping (ou extraction de données publiquement accessibles).
Si l’extraction de données est permise, c’est à la condition qu’un certain nombre de conditions issues de la règlementation Informatique et Libertés soient respectées.
Règle n°2 : s’assurer de l’origine des données.
Les conditions générales d’utilisation (CGU) de certains sites web interdisent l’aspiration et la réutilisation des données à des fins commerciales.
Tel est notamment le cas des CGU de LinkedIn lesquelles précisent que :
« Vous vous engagez à ne pas développer, prendre en charge ou utiliser des logiciels, des dispositifs, des scripts, des robots ou tout autre moyen ou processus (notamment des robots d’indexation, des modules d’extension de navigateur et compléments, ou toute autre technologie) visant à effectuer du web scraping des Services ou à copier par ailleurs des profils et d’autres données des Services ».
Dans cette hypothèse, l’aspiration et la réutilisation des données n’est pas autorisée et vous exposez à des sanctions.
Règle n°3 : obtenir le consentement.
En matière de prospection commerciale par courrier électronique, la règle est la suivante : pas de message commercial sans accord du destinataire.
Quand bien même les données sont rendues publiquement et volontairement accessibles, le consentement des prospects doit être recueilli préalablement à toute sollicitation commerciale.
En effet, la publicité par courrier électronique est possible à condition que les personnes aient explicitement donné leur accord pour être démarchées, au moment de la collecte de leur adresse électronique.
Deux exceptions :
si la personne prospectée est déjà cliente de l’entreprise et si la prospection concerne des produits ou services analogues à ceux déjà fournis par l’entreprise,
si la prospection n’est pas de nature commerciale (p.ex. prospection caritative).
De manière générale, il convient de s’assurer du caractère libre, spécifique éclairé et univoque du consentement collecté.
L’acceptation des conditions d’utilisation (CGU) ne constitue pas un consentement spécifique, même si ces conditions informent l’internaute de son engagement à recevoir de la prospection commerciale par voie électronique.
Règle n°4 : respecter le droit d’opposition.
En application de l’article 21 du RGPD, la personne concernée par le traitement a le droit de retirer son consentement et de s’opposer au traitement de ses données à tout moment.
Les différents canaux de communication devront prévoir un moyen simple pour toute personne de s’opposer au traitement (lien d’opposition, numéro « stop ») et respecter, le cas échéant, les listes anti-prospection tel que le dispositif Bloctel pour le démarchage téléphonique.
5. Règle n°5 : respecter les durées de conservation spécifiques en matière de marketing direct.
Les données à caractère personnel relatives à un prospect non client peuvent être conservées pendant un délai de 3 ans à compter de leur collecte ou du dernier contact émanant du prospect.
Une demande de documentation ou un clic sur un lien hypertexte contenu dans un courriel constituent un acte positif. En revanche, l’ouverture d’un courriel ne peut être considérée comme un contact émanant du prospect.
Règle n°6 : respecter les obligations générales issues du RGPD.
Comme pour tout autre traitement, il convient de se conformer aux principes généraux de la protection des données personnelles.
Il s’agira notamment de :
minimiser la collecte des données,
informer les personnes concernées du traitement de leurs données,
encadrer les relations avec les sous-traitants (prestataires de web-scraping),
le cas échéant, réaliser une analyse d’impact sur la vie privée des personnes en amont du traitement.
