Les dispositions du RGPD et du Code des Postes et des Communications Electroniques sont applicables, si vous collectez des données dans le but de réaliser de la prospection commerciale
Dans ce cadre, la publicité diffusée par courrier électronique est autorisée, sous réserve que les personnes concernées aient explicitement donné leur consentement et ce, avant d’être démarchées.
Celle dans laquelle vous réalisez des campagnes de prospection commerciale par courrier électronique à destination de particuliers (B to C), sur la base de prospects provenant de bases de données achetées à des courtiers en données (aussi appelés Data Brokers).
Les courtiers en données sont des sociétés qui achètent et/ou collectent des informations à caractère personnel et les revendent à des fins lucratives. Ils sont donc soumis aux obligations du RGPD
Les courtiers en données sont, en principe, en charge de la collecte du consentement des personnes concernées, en tant que primo-collectant.
Vous effectuez des campagnes de prospection commerciale électronique et n’êtes pas en mesure de démontrer l’obtention d’un consentement valablement recueilli auprès des personnes concernées, par le courtier en données, ou à défaut, par vous-même.
Conclure, avec le Data Broker, un contrat respectant les principes du RGPD (notamment l’Art. 28) et veiller à sa bonne application : notamment, obtenir du Data Broker des éléments contractuels qui garantissent la traçabilité et le périmètre des consentements obtenus des personnes dont les données personnelles ont été recueillies
Si vous n’avez pas la preuve du recueil du consentement des personnes (par un contrôle sur les formulaires des courtiers/par la réalisation d’audits des courtiers…), il vous appartient de le faire en tant qu’organisme réalisant les opérations de prospection.
En l’absence de preuve de l’obtention des consentements, l’autorité de contrôle (la CNIL) peut sanctionner l’entité réalisant cette prospection commerciale (i.e. le responsable de traitement).
La CNIL dispose de divers choix de sanctions, les plus courantes étant une mise en demeure (publique ou non) de remédier au manquement et/ou une amende administrative, qui peut aller jusqu’à 20 M€ ou 4 % du chiffre d’affaires annuel mondial.
Le Service Contrats, Valorisation et Data est à votre disposition pour vous accompagner dans votre mise en conformité au RGPD, dans la réalisation d’audits ou de tout autre contrat relatif aux données à caractère personnel et au RGPD.
