RGPD: Comment utiliser des données personnelles trouvées sur internet ?

Tu utilises des données

RGPD: Comment utiliser des données personnelles trouvées sur internet ?

20 février 2023 | Tu utilises des données

Parce qu’en tant qu’entrepreneur, on a tous eu envie de récupérer les données de prospects sur internet et de les ajouter à notre base de données de contacts pour notre future campagne marketing.

Ou de stalker le profil Facebook d’un candidat pour évaluer si on a vraiment envie de l’engager.

Comme ça, pouf, ni vu, ni connu.

Après tout, pourquoi les gens mettraient leurs données en ligne, si ce n’est pas pour qu’elles soient utilisées ?

C’est limite un sujet de dissertation à part entière.

Si au jour de la publication de cet article, je n’ai pas écrit plus longuement sur le sujet, je te renvoie vers un article du LINC (le Laboratoire d’Innovation Numérique de la CNIL) qui m’a pas mal fait cogiter : « De l’intrusion à l’exposition de soi : la diversité des pratiques numériques et de protection des données personnelles« , que tu trouves en page 15 du cahier IP.

Disons, pour faire bref, que :

  • les gens n’ont pas toujours le choix d’exposer ou non leurs données personnelles ;
  • les gens ne sont pas toujours conscients (manque d’information, de compétences techniques, de temps pour s’en inquiéter) de l’étendue de la dissémination de leurs données personnelles ;
  • chaque publication de données personnelles se fait dans le cadre d’un contexte de vie particulier.. et quand le contexte disparaît, c’est le début du malaise, du malentendu et des ennuis (pour toi, si tu es à la source du malaise).

Quel est le problème de cette « collecte & utilisation » de données personnelles trouvées en ligne ?

Arrivée du RGPD en 2018, qui renforce les règles pour une utilisation « légale » des données.

Depuis l’arrivée RGPD, la protection des données personnelles est devenue un véritable enjeu (je t’assure..) pour tout organisme qui souhaite se reposer sur des données personnelles pour poursuivre son activité.

Que ce soit une entreprise, une administration, une association sans but lucratif ou juste toi, qui gère « pour rendre service » les réseaux sociaux du club de sport de ton petit dernier.

Il faut donc pouvoir montrer patte blanche par rapport à la manière dont nous récoltons des informations sur nos clients, prospects, travailleurs et ce que nous voulons en faire.

Et pas juste collecter des adresses emails à tout va, et se dire qu’on a bien travaillé. 

Pourquoi devons-nous respecter les obligations qu’il nous impose ?

Et bien, plein de raisons, qui vont de la simple politesse à vouloir éviter des sanctions.

Les gens qui mettent leurs données en ligne avec un contexte particulier en tête et qui constatent que ces données ont été recyclées comme ça, à l’insu de leur plein gré, peuvent éventuellement se fâcher.

Et tu sais quoi ? Les gens fâchés finissent par porter plainte. Ou en tout cas, ils ne deviennent pas clients.

En matière de RGPD, les amendes (qui ne sont qu’une des sanctions possibles) peuvent être bien salées.. de 2 à 4% de ton chiffre d’affaire annuel mondial, ou de de 10 à 20 millions EUR. Le montant le plus élevé des deux.

Mais tu peux aussi devoir te mettre en conformité dans une délai très court avec paiement d’une somme par jour de retard ou voir ton image de marque impactée parce qu’une décision te concernant est publiée.

OK, mais comment faire pour utiliser ces données sans se faire sanctionner pour non-respect du RGPD ?

Toutes ces données personnelles à disposition, ce serait bien pratique si on pouvait les utiliser pour atteindre nos objectifs.

Par exemple, pouvoir vérifier que le candidat qui postule chez toi ne publie pas des horreurs (selon tes critères) sur ses réseaux sociaux ou encore collecter les adresses emails des responsables achat dans ton secteur et leur envoyer de la publicité en direct.

Facile.

Est-ce possible ?

Dans certains cas, oui. Pas dans tous les cas.

Je précise qu’ici, je ne parle pas de la situation d’un journaliste ou d’un chercheur. Je parle des situations du quotidien d’un entrepreneur ou d’une association qui gère son activité.

L’analyse que tu vas devoir faire dans ce cas est en fait identique à l’analyse que tu dois faire pour toute utilisation de données personnelles, en général.

Le fait que les données personnelles sont disponibles publiquement aura quand même un impact (trois, en fait).

Pour déterminer si tu peux utiliser des données personnelles, tu dois te poser plusieurs questions :

Quel est l’objectif que tu poursuis, en utilisant ces fameuses données personnelles « publiques » ?

Si tu n’as pas d’objectif spécifique en tête mais que tu veux accumuler l’information « au cas où », pas la peine de poursuivre ta réflexion, c’est non.

Sans objectif d’utilisation précis, pas de collecte de données personnelles, qu’elles soient publiques ou non !

Feu rouge.

Par rapport à cet objectif d’utilisation précis, quelle serait ta base légale qui justifie que tu as le droit d’utiliser ces données personnelles ?

Un simple « j’avais envie, c’était dispo en ligne » n’est donc pas suffisant.

Tu devras pouvoir expliquer que la donnée personnelle convoitée est

  • Nécessaire à l’exécution d’un contrat avec la personne ou ;
  • Collectée et utilisée pour une finalité précise, pour laquelle tu as eu l’accord de la personne ou ;
  • Nécessaire au respect d’une de tes obligations légales ou ;
  • Nécessaire à la sauvegarde des intérêts vitaux de la personne ou d’une autre personne physique ou ;
  • Nécessaire à l’exécution d’une mission d’intérêt public ou ;
  • Nécessaire à un intérêt légitime que tu poursuis, et qui va prévaloir sur le droit au respect de la vie privée de la personne (que tu peux expliquer, bien entendu).

Et c’est tout.

Si aucune de ces justifications ne peut s’appliquer à ta situation, c’est le deuxième feu rouge.

Dans le cadre d’une utilisation de données « publiques », c’est comme pour toute utilisation de données globalement. Cela dépendra vraiment du contexte.

Tu pourrais devoir demander l’accord de la personne, mais je te conseille plutôt (en l’absence d’un contrat ou d’une obligation légale), de justifier l’utilisation par un intérêt légitime.

Le cas du marketing direct

Attention que si ton objectif, c’est de faire du marketing direct en mode « cold call », le canal de communication que tu choisis va avoir un impact sur la justification que tu devras utiliser.

Et cela peut varier d’un pays à l’autre (parce qu’il y a parfois d’autres lois qui viennent mettre leur grain de sel).

En bref, en Belgique (Art. VI.110 du Code de droit économique) :

  • tu peux justifier un appel téléphonique avec utilisation d’un numéro de téléphone récupéré « publiquement » par ton intérêt légitime (à faire *à toi de trouver ton excuse ;-)*), mais tu dois avoir vérifié que le numéro n’était pas sur la liste des gens qui ne veulent pas être sollicités par téléphone.
  • tu dois d’office demander le consentement de la personne si tu veux lui envoyer des emails quand cette  personne n’est pas déjà cliente chez toi (ou si elle est cliente chez toi mais que l’email concerne des services/produits n’ayant rien à voir).

Comment vas-tu informer la personne que tu as collecté/reçu des données personnelles qu’elle avait mis en ligne publiquement ?

Qu’importe ta justification à utiliser les données trouvées publiquement, il faudra informer la personne de tes intentions les concernant.

Tu devras aussi clarifier les modalités pratiques d’utilisation de ces données :

  • où seront stockées les données,
  • combien de temps tu les conserveras,
  • quels sont les droits de la personne par rapport à ton utilisation de ces données
  • etc.

Tu retrouves la liste complète des sujets à aborder à l’article 14 du RGPD. J’en parle aussi dans cet article t’expliquant quel est ton droit à l’information, quand ce sont tes données qui sont utilisées.

Toutes ces modalités pratiques d’utilisation vont te servir à formuler l’information que tu devras communiquer aux personnes dont tu souhaites utiliser les données personnelles.

Ce texte d’information, c’est le même type de texte que celui que tu as du rédiger pour ton site internet et que tu as appelé « déclaration de vie privée », « déclaration de confidentialité » ou encore « privacy statement ».

Attention que comme ici, tu ne collectes pas les données directement de la personne, tu devras aussi lui dire (logiquement) quelles catégories de données personnelles tu souhaites utiliser et d’où ces données proviennent.

Par exemple: données concernant l’expérience professionnelle affichées sur le profil LinkedIn

Est-ce que le fait de trouver les informations disponibles publiquement a un impact, finalement ?

Carrément.

Premier impact : le type de donnée personnelle que tu vas pouvoir utiliser.

Dans le cas de l’utilisation de données sensibles, le fait que la donnée ait été rendue publique par la personne elle-même a certainement un gros impact.

Je m’explique: certaines données personnelles sont considérées comme tellement sensibles (par exemple celles en lien avec la santé, l’opinion politique, religieuse ou encore la vie sexuelle) qu’elles ne peuvent normalement pas être utilisées du tout, sauf exception.

Et.. tu me vois venir avec mes gros sabots, une de ces fameuses exceptions, c’est le fait que la personne ait rendu « manifestement publique » la donnée personnelle sensible.

Du coup, l’interdiction d’utiliser la donnée sensible tombe et il ne te reste « plus qu’à » trouver une base légale pour justifier son utilisation, comme si c’était une donnée personnelle classique.

Deuxième impact : le moment où tu dois informer la personne dont tu souhaites utiliser les données personnelles.

Normalement, quand tu demandes à la personne en direct pour obtenir des données personnelles la concernant (ou que tu lui proposes d’utiliser un outil/app qui va collecter des données en direct), tu dois lui fournir l’information sur ton utilisation de ses données AVANT de récolter ses données personnelles.

Mais quand tu trouves les données publiquement, c’est comme si quelqu’un d’autre te fournissait les données personnelles de cette personne.

Du coup, le moment où tu devras informer la personne est différent. Au maximum un mois à partir du moment où elles sont rentrées en ta possession et dans ce délai, au plus tard :

  • le moment où tu vas communiquer pour la première fois avec cette personne.
  • ou le moment où tu vas toi-même transférer ses données à une autre personne.

Troisième impact : l’existence d’exceptions par rapport à ton obligation d’informer la personne dont tu as récolté les données personnelles.

Dans quels cas tu n’aurais pas besoin d’informer la personne que tu as récupéré ses données dispo en ligne (par exemple) ?

Attention, c’est la minute bon sens:

  • parce qu’elle a déjà reçu cette information => attention que tu devras pouvoir prouver que tu as déjà fourni cette information auparavant et qu’elle est toujours valable.
  • parce que fournir l’information à cette personne demanderait un effort disproportionné ou serait carrément impossible (par exemple, si dans les données personnelles collectées, tu n’as aucun moyen de contacter la personne). Dans ce cas, tu devras faire de ton mieux pour mettre à disposition l’information, pour que si la personne découvre que tu as des données sur elle, elle trouve les informations sur pourquoi et comment tu les as collectées et utilisées.
  • parce que la loi te dit que y’a pas besoin => je te conseille de noter dans ton registre de traitement quelle est cette fameuse loi qui dit que.. .
  • parce que tu as une obligation de secret professionnel (que la loi t’impose, comme à un médecin ou un avocat)

Alors, petit rappel bienveillant : si tu comptes te reposer sur cette exception, note sur un bout de papier que tu n’as rien communiqué pace que tu connaissais l’exception.. et n’attend pas qu’on te pose la question pour justifier ta nonchalance.

Ca s’appelle « documenter » sa conformité, et c’est une de nos obligations, en tant que personne aux commandes de notre business !

Conclusion

L’objectif du RGPD n’est pas d’interdire l’utilisation des données personnelles, mais de l’encadrer pour que tout le monde (disons, nos prospects et nous, en tant qu’entrepreneur) soit gagnant.

Le fait que ces données personnelles soient publiques ne leur fait pas perdre le bénéfice de cette protection.

Si tu prends le pli de te poser systématiquement les bonnes questions quand tu choisis de te lancer dans un projet qui se repose sur une utilisation de données personnelles, tu éviteras les sanctions.

Et en avantages bonus, ton business gagnera en transparence et tu prendras vraiment soin de tes clients.

C’est pas beau la vie ?

=> Tu préfères écouter un podcast sur le sujet ? Je te renvoie à l’épisode 21 de mon podcast I run on privacy.


Salut, moi c’est Mel’,

Juriste passionnée tombée dans la marmite du RGPD.
J’ai finalement compris qu’à côté des aspects légaux « administratifs-punitifs » pour nous avec notre casquette d’entrepreneur/travailleur, il y avait des enjeux très concrets pour les vraies gens.
Nos clients, nos collègues.
Nos proches.
Nous.
La société, même.

Tu as envie de comprendre :

  • les enjeux pour toi en tant que personne ?
    => Abonne-toi à mon compte Instagram ou lis les articles de ce blog catégorie « On utilise tes données »
  • les enjeux pour toi en tant que travailleur / entrepreneur ?
    => Suis moi sur LinkedIn ou lis les articles de ce blog catégorie « Tu utilises des données »

Besoin d’aide pour implémenter la protection des données au cœur de ton activité pro (via entre autres des formations pour toi ou tes collègues/travailleurs) ? => N’hésite pas à me contacter pour une première discussion sans engagement et sans frais pour déterminer si nous sommes faits pour collaborer ou non.

Retour au Blog 

Sur le(s) même(s) thème(s) 

Vis ma vie de sous-traitant RGPD

Hier, j'ai reçu la confirmation d'un client que nous allons signer une annexe "contrat de traitement de données" à une lettre de mission que nous avons déjà en place. Mon premier contrat de traitement de données en tant que sous-traitant ! Une sombre histoire...

w

Je suis à votre écoute 5j/7, alors n'hésitez pas !

Du lundi au vendredi, je réponds à toute demande de prestation ou de renseignement.