Protection des données dans le marketing: où en sommes-nous? L’avocate Caroline Danner nous parle de l’application de la nouvelle loi fédérale sur la protection des données
La nouvelle loi fédérale sur la protection des données est entrée en vigueur en Suisse le 1er septembre 2023. Comment les publicitaires gèrent-ils la mise en œuvre? Quels sont les obstacles? A-t-on déjà constaté des infractions à la loi? L’avocate Caroline Danner tire un premier bilan et donne des conseils pour la pratique.
Que nous apprennent les premières expériences en lien avec la nouvelle loi fédérale sur la protection des données: dans quelle mesure complique-t-elle le travail des publicitaires?
Caroline Danner: La nouvelle loi fédérale sur la protection des données ne complique pas fondamentalement le travail des publicitaires s’ils respectaient déjà auparavant les directives sur la protection des données. Le point nouveau concerne l’extension des obligations d’informer. Dans le domaine du marketing et de la publicité, il s’agit là d’un thème central: afin d’assurer la transparence, les entreprises sont tenues d’informer les personnes physiques sur l’acquisition et le traitement des données personnelles de manière précise, compréhensible et facilement accessible. Ce devoir de transparence n’entrave cependant pas fondamentalement le travail des publicitaires, de nombreuses options restent ouvertes.
À ce jour, les entreprises respectent-elles bien cette obligation d’informer?
De nombreuses entreprises ont remanié leurs déclarations de protection des données et informé leur clientèle des modifications dans le domaine de la protection des données. Il est cependant difficile de savoir globalement si les obligations d’informer étendues sont remplies.
Quels sont les principaux défis de mise en œuvre auxquels les publicitaires doivent faire face?
Ils doivent avoir une vue d’ensemble de tous les points où ils collectent et traitent des données. Ils doivent également vérifier s’ils transmettent (peut-être à leur insu) des données à l’étranger, en utilisant par exemple un service de cloud étranger. Dans ce contexte, il convient de se demander si les données sont traitées par des tiers et s’il existe de ce fait un traitement des données sur mandat qui n’avait jusque-là pas été reconnu comme tel? Autre défi, déjà apparu avant le 1er septembre 2023: de nombreuses entreprises suisses sont confrontées à des règlementations étrangères, en premier lieu au règlement général sur la protection des données de l’UE (RGPD). Outre la nouvelle loi fédérale sur la protection des données, la loi fédérale contre la concurrence déloyale (LCD) joue un rôle important dans le domaine du marketing et de la publicité.
Quelles sont les dispositions légales de la LCD?
La LCD règle par exemple le télémarketing: elle interdit aux entreprises d’appeler les personnes qui déclarent sur l’annuaire téléphonique ne pas accepter de prospection téléphonique. Par ailleurs, concernant le marketing par e-mail, la LCD dispose que le consentement des destinataires est impérativement requis (procédure opt-in) pour envoyer une newsletter. Si l’inscription est liée à un achat ou à la prestation d’un service, les destinataires doivent être informés de l’envoi d’une newsletter et avoir la possibilité de se désinscrire (procédure opt-out). Les entreprises doivent également vérifier au cas par cas pour quels objectifs publicitaires elles ont ou non besoin de l’accord des utilisatrices et des utilisateurs.
Notre loi fédérale sur la protection des données a un caractère libéral, à l’opposé du RGPD de l’UE.
Caroline Danner
Pour certaines procédures de marketing comme l’intégration de plug-ins sociaux, il n’est pas évident de savoir à première vue si elles sont significatives en matière de droit de la protection des données. Quels sont les risques et les obstacles dans la pratique?
Dans la pratique, les principaux obstacles apparaissent lorsque la collaboration entre les spécialistes en marketing et les responsables de la protection des données fonctionne mal. À cet égard, l’exemple des plug-ins sociaux est parlant: de nombreux publicitaires utilisent ces outils sans être pleinement conscients des implications en matière de protection des données. Ceci s’explique souvent par un manque de compétences techniques et un intérêt limité pour les questions en lien avec la protection des données. De l’autre côté, on trouve des personnes qui sont chargées de rédiger les déclarations de protection des données. Elles ont l’obligation de rassembler des informations détaillées et précises sur le mode de collecte et d’utilisation des données par ces plug-ins. L’absence d’échange ou le manque de compréhension entre ces deux acteurs peut entraîner la présence d’informations fausses ou incomplètes dans la déclaration de protection des données et conduire, de fait, à une infraction à l’obligation d’informer. Afin de réduire ce risque, les spécialistes du marketing doivent s’intéresser à la protection des données.
Les publicitaires ont besoin de l’accord de leurs personnes cibles pour communiquer avec elles à des fins commerciales. Comment mettre en œuvre au mieux ces dispositions?
Le consentement n’est pas indispensable partout. En effet, notre loi fédérale sur la protection des données a un caractère libéral, à l’opposé du RGPD qui s’appuie sur le principe de l’interdiction sous réserve d’autorisation. En clair: dans l’Espace économique européen et dans l’UE, tout traitement des données est fondamentalement interdit. Quiconque souhaite malgré tout traiter des données, doit disposer d’une base légale. Dans le domaine de la publicité, il s’agit souvent du consentement. En Suisse, le principe est autre: nous pouvons fondamentalement continuer de traiter des données. Pour cela, nous devons cependant respecter différents principes de traitement des données, par exemple le principe de la transparence ou de la proportionnalité. Il convient de toujours évaluer la situation et les publicitaires doivent se poser la question: un consentement est-il vraiment nécessaire? De fait, il n’est requis que dans certains cas.
Dans quelles situations le consentement est-il nécessaire?
Quiconque veut transmettre des données personnelles sensibles à des tiers, par exemple des données touchant la santé, l’intimité ou l’origine ethnique doit nécessairement obtenir le consentement des personnes concernées si cette transmission n’est pas justifiée par une loi ou un intérêt prépondérant. Le consentement est souvent également requis si le RGPD de l’UE s’applique en complément de la loi fédérale sur la protection des données. C’est-à-dire à chaque fois qu’une entreprise ouvre son offre à l’Espace économique européen, par le biais d’une boutique en ligne par exemple, qui livre également en Allemagne. Sur les sites web, les consentements peuvent être recueillis à l’aide d’un outil de gestion des consentements via une bannière relative aux cookies.
Qu’en est-il du suivi en Suisse, le consentement est-il nécessaire dans ce cas?
Non, selon moi, le consentement n’est pas toujours nécessaire pour le suivi. Il convient de faire une distinction en fonction de la situation, surtout quand il s’agit du suivi sur les sites web. C’est aussi ce que semble penser le préposé fédéral à la protection des données et à la transparence (PFPDT), bien qu’il ne se soit pas exprimé clairement sur le sujet. Sa position pour le moment est la suivante: les personnes concernées doivent savoir qu’elles sont suivies et pouvoir refuser ce suivi.
Qu’est-ce que cela signifie pour les publicitaires?
Ils ne doivent pas systématiquement recueillir un consentement, ils doivent seulement proposer à leur groupe cible une option opt-out. J’évalue la situation de manière différente s’agissant du suivi en lien avec une newsletter gratuite. Dans la majorité des cas, il devrait être suffisant d’informer du suivi du taux d’ouvertures et de clics. Les abonnées et les abonnés ne peuvent alors pas choisir de recevoir la newsletter avec ou sans suivi.
Avez-vous eu connaissance de cas dans lesquels des sanctions pour infraction à la loi fédérale sur la protection des données ont été infligées?
Non, aucun à ma connaissance. S’agissant de sanctions, il est important de différencier: les autorités de poursuite pénale sont compétentes pour les amendes n’excédant pas CHF 250 000. Dans la majorité des cas, pour qu’une procédure pénale soit engagée, une personne concernée doit déposer plainte. Par ailleurs, le préposé fédéral à la protection des données et à la transparence (PFPDT) peut mener des enquêtes et prendre de nouvelles dispositions. Cependant, rien ne laisse penser que le PFPDT va ouvrir des enquêtes sur l’ensemble du territoire ou effectuer des contrôles aléatoires.
Sur la base des premières expériences avec la nouvelle loi fédérale sur la protection des données, que recommandez-vous aux publicitaires? À quoi doivent-ils prêter particulièrement attention?
En premier lieu, je leur recommande de s’intéresser autant à la loi fédérale sur la protection des données qu’à la loi fédérale contre la concurrence déloyale. Car même des profanes peuvent acquérir avec un minimum d’effort les connaissances de base nécessaires pour comprendre les points délicats. C’est un gage de sécurité. Ensuite, les publicitaires doivent exposer avec transparence quelles sont les données qu’ils collectent, comment elles sont utilisées et en quoi elles participent à la personnalisation. Enfin, les publicitaires ne doivent pas hésiter à utiliser les marges de manœuvre que laisse le cadre juridique; elles offrent assez d’espace pour une publicité créative.
Caroline Danner est avocate à Berne. Elle conseille les entreprises entre autres dans les domaines spécialisés du droit de la publicité, de la protection des données et du marketing en ligne.
