Clara Botton – Stagiaire
C’est ce que rappelle la récente amende de 10.000 euros infligée à la SNCB, la société nationale des chemins de fer belges, par l’Autorité belge de Protection des Données (APD) dans sa décision n° 71/2022 du 4 mai dernier.
De quoi était-il question ?
En octobre 2020, la SNCB avait adressé à plus de 3,5 millions de personnes une « newsletter » les informant, notamment, du lancement du « Hello Belgium Railpass », c’est-à-dire une carte de trajets gratuits que tout résidant en Belgique de plus de 12 ans pouvait obtenir en remplissant un formulaire en ligne.
Pour la SNCB, il ne s’agissait pas là de « marketing direct », mais bien d’une mission de service public puisque cela s’inscrivait dans la volonté gouvernementale d’encourager les Belges à prendre le train pour (re)découvrir le pays durant la crise de la pandémie de la Covid-19.
Ce n’est toutefois pas l’avis de l’APD qui a, au contraire, adopté une position stricte en considérant (§§45 et seq.) qu’il était bel et bien question d’une communication relevant de la définition du « marketing direct » adoptée dans sa Recommandation correspondante n° 01/2020 du 17 janvier 2020, c’est-à-dire « toute communication, sollicitée ou non sollicitée, visant la promotion d’une organisation ou d’une personne, de services, de produits, que ceux-ci soient payants ou gratuits, ainsi que de marques ou d’idées, adressée par une organisation ou une personne agissant dans un cadre commercial ou non commercial, directement à une ou plusieurs personnes physiques dans un cadre privé ou professionnel, par n’importe quel moyen, impliquant le traitement de données à caractère personnel. »
Ce n’est donc pas parce qu’il est question de services ou de produits gratuits qu’il ne s’agit pas de « marketing direct ».
Quel impact cela a-t-il ?
Conformément aux articles 12 et 21 du Règlement Général européen sur la Protection des Données (RGPD), les personnes concernées par le traitement de leurs données à caractère personnel ont alors le droit de s’y opposer, facilement.
Or, pour l’APD, le simple fait pour la SNCB de renseigner dans sa « newsletter » litigieuse un hyperlien renvoyant vers sa politique de vie privée ne suffit pas (§§57 et 58).
Par ailleurs, ce qui posait également problème, c’est l’absence de base juridique qui aurait justifié cet envoi.
De fait, comme l’exige tout traitement de données à caractère personnel (ici les adresses emails des personnes physiques concernées), il est nécessaire pour un responsable du traitement de s’appuyer sur l’une des « bases juridiques » visées à l’article 6 du RGPD.
Or, en l’occurrence, pour l’APD, il n’était aucunement question de l’exécution d’un contrat entre la SNCB et chacun des destinataires de cette newsletter (§31). Aucun consentement de leur part n’avait non plus été obtenu ; ce n’était pas nécessaire à l’exécution d’une mission d’intérêt public (§34) et il n’y avait, formellement parlant, pas d’obligation légale pour la SNCB d’envoyer cette newsletter (§33). Enfin, il n’était pas non plus possible pour la SNCB de s’appuyer sur la poursuite de ses intérêts légitimes car toutes les conditions requises n’étaient pas rencontrées ; la SNCB aurait pu faire la promotion de ce Railpass autrement que par l’envoi de cette newsletter (§38).
En d’autres termes, retenons de cette décision de l’APD que, non seulement, une communication de « marketing direct » n’est pas limitée aux seules « véritables » publicités, mais également que choisir la « bonne » base juridique justifiant le traitement des données à caractère personnel correspondantes procède d’une réflexion circonstanciée, et non in abstracto.
Cette décision de l’APD (en NL) est disponible ici :
La recommandation de l’APD sur le marketing direct (en FR) est disponible ici :