Réutilisation de vos données publiées sur Internet à des fins commerciales : quels sont vos droits ?

12 juin 2024

Lorsque vos données personnelles sont librement accessibles sur Internet, elles peuvent être récupérées par des organismes pour constituer ou enrichir leurs bases de données à des fins commerciales. Cette réutilisation de données doit respecter différentes règles afin d’être légale. La CNIL fait le point sur vos droits.

Le principe :

  • Vous devez être informé de l’objectif de la collecte et de l’utilisation de vos données dans tous les cas. Vos droits doivent être respectés.
  • Selon les cas, cette collecte peut nécessiter, ou non, votre accord.

La CNIL reçoit régulièrement des plaintes à l’encontre de sociétés exploitant des données personnelles accessibles en ligne à des fins de prospection commerciale, alors même que certains internautes ont indiqué s’opposer à une telle réutilisation de leurs informations.

Ces plaintes visent notamment des sociétés :

  • qui collectent sur des annuaires en ligne l’ensemble des données personnelles se rapportant à leur secteur géographique, afin de démarcher les personnes concernées (par exemple l’ensemble des personnes habitant à Lyon ou plus précisément dans le quartier de la Croix-Rousse) ;
     
  • qui sont spécialisées dans la « pige immobilière » et récupèrent les coordonnées de particuliers diffusées sur des sites de petites annonces, dans le but de les louer / revendre auprès d’agences immobilières.

D’autres sociétés exploitent des données accessibles sur Internet pour enrichir leurs propres bases de prospects d’informations supplémentaires (par exemple, pour ajouter une adresse électronique ou des informations issues des réseaux sociaux professionnels ou personnels, de sites de petites annonces, etc.). Elles commercialisent également, à des fins de prospection ciblée, des profils de consommateurs sur la base de critères tels que la profession, la catégorie socio-professionnelle, la localisation, l’âge, le sexe ou encore les centres d’intérêt.

Ces entreprises ont recours à des outils, comme des logiciels d’extraction (ou web scraping en anglais), qui permettent de collecter automatiquement de nombreuses données sur Internet.

Bien que publiquement accessibles en ligne, ces données sont généralement des données personnelles (adresse électronique, numéro de téléphone, etc.). Dès lors, elles ne peuvent être réutilisées que dans le respect du règlement général sur la protection des données (RGPD) et des règles spécifiques applicables en matière de prospection commerciale lorsqu’elles s’appliquent.

Une entreprise peut-elle légalement récupérer les données que vous partagez en ligne pour les utiliser à des fins commerciales ?

Cas n° 1 : vous avez donné votre consentement à la collecte et à l’utilisation de vos données

Dans les deux hypothèses suivantes, l’entreprise peut légalement, avec votre accord préalable, collecter et exploiter vos données à des fins de prospection commerciale :

  • vous avez répondu positivement à une demande directe et précise de l’entreprise qui vous a contacté via des coordonnées dont elle disposait déjà dans le cadre de la gestion de ses activités commerciales. Le message suivant vous a, par exemple, été adressé :
    « Pour améliorer la connaissance de nos prospects et cibler davantage les offres commerciales qui leur sont adressées, nous souhaiterions collecter et exploiter les informations liées à leur situation géographique, profession et centres d’intérêts qu’ils ont choisi de diffuser, le cas échéant, sur leurs profils publics des réseaux sociaux suivants : (…). Acceptez-vous que nous procédions à un tel enrichissement des données vous concernant ? »
     
  • vous avez coché, sur le site où sont publiées vos données, une case (non pré-cochée) « J’accepte » qui précise les traitements en cause et l’identité des sociétés – partenaires de l’éditeur du site – qui peuvent réutiliser vos données.

Rappel : votre consentement requiert, pour être valable, une action positive et spécifique de votre part (ex. une case à cocher dédiée et qui ne soit pas pré-cochée).

Ainsi, l’acceptation générale des conditions d’utilisation (CGU) d’un service ne peut être assimilée à un consentement spécifique, même si ces conditions d’utilisation contiennent un engagement à recevoir de la prospection commerciale par voie électronique. L’accord doit être libre.

Cas n° 2 : vous n’avez pas donné votre consentement préalable à la collecte et à l’utilisation de vos données

En l’absence de consentement, vos données peuvent être collectées si cette collecte ne porte pas une atteinte disproportionnée à vos droits et intérêts.

L’entreprise devra, en particulier, déterminer si vous pouvez raisonnablement vous y attendre.

Les questions suivantes permettent d’évaluer si l’exploitation de vos données à des fins commerciales est acceptable et prévisible :  

  • La collecte de vos données est-elle trop intrusive ?

Vous pouvez plus facilement vous attendre à ce que vos coordonnées postales et/ou électroniques soient collectées que d’autres catégories de données permettant d’établir des profils plus détaillés (par exemple, les centres d’intérêts, préférences, etc.).

  • Le site vous permet-il de vous opposer à la réutilisation de vos données à des fins de prospection commerciale ?

La collecte des données des personnes qui se sont opposées à ce type de réutilisation (par exemple, en cochant une case prévue à cet effet par le site sur lequel les données sont publiées ou en ne décochant pas une case qui permet une opposition par défaut) est interdite.
Il en va de même lorsque les personnes ont manifesté d’elles-mêmes leur refus à être démarchées par des sociétés (par exemple, en insérant une mention en ce sens dans leur petite annonce).

  • Quelle est la nature du site web sur lequel les données sont publiées ?

Par exemple, vous pourrez plus vous attendre à une telle réutilisation de vos données lorsqu’elles sont publiées sur un annuaire universel que sur un site de petites annonces destiné à la commercialisation de biens ou de services entre particuliers..

  • La collecte est-elle interdite dans la politique de confidentialité ou des CGU du site sur lequel vos données sont publiées ?

​​​​​​​​​​​​​​Lorsque ces documents interdisent la récupération des données par des tiers à des fins de prospection commerciale, la collecte des données peut surprendre les internautes.

  • Quel est l’objet de la prospection ?

Vous pouvez davantage vous attendre à la réutilisation de vos données à des fins de prospection commerciale si la prospection concerne des biens ou services en lien direct avec votre activité professionnelle ou avec l’objet de vos petites annonces (par exemple, prospection des vendeurs de biens immobiliers par une agence immobilière, prospection des vendeurs de voitures par des garages).

Dans tous les cas, l’entreprise qui souhaite vous démarchez devra respecter les règles applicables en matière de prospection commerciale. Cela l’obligera parfois (prospection par courriel sans lien direct avec votre profession) à demander votre consentement préalable, dans le cadre de l’envoi d’un premier message à caractère purement informatif.

Quelles informations le responsable de traitement doit-il vous fournir ? Quels sont vos droits ?

Vous devez être informés de la réutilisation de vos données

Les entreprises qui récupèrent vos données personnelles pour de la prospection commerciale doivent vous informer, aussitôt que possible et de manière claire, des objectifs poursuivis et des conditions de collecte et d’exploitation de vos données. Elles doivent notamment vous informer de la source des données (sites web concernés) ainsi que de vos droits et de la manière de les exercer.

Vos droits doivent être respectés

Les entreprises qui collectent des données sur Internet aux fins de prospection commerciale, pour leur propre compte ou pour des partenaires commerciaux, doivent :

  • ne pas vous démarcher si vous vous êtes déjà opposées / si vous avez retiré votre consentement à recevoir des sollicitations commerciales de l’entreprise en question ;
  • traiter les demandes d’exercice des droits d’accès, de rectification, d’effacement et de limitation, en respectant les délais et conditions prévus par le RGPD et la loi ;
  • notifier à leurs partenaires commerciaux toute demande de rectification, effacement de données ou limitation du traitement effectuée lorsque les données leur ont été transmises et, le cas échéant, le fait que vous ayez retiré votre consentement lorsqu’elles ont recueilli ce dernier pour leur compte.

Si vos droits ne sont pas respectés (absence de réponse sous un mois à compter de votre demande ou si la réponse ne vous satisfait pas) vous pouvez adresser une plainte à la CNIL.