Nos articles suivent nos épisodes d’1min pour tout comprendre . Il s’agit de courtes vidéos à l’occasion desquelles nos juristes experts en protection des données personnelles vous proposent des définitions simples de notions clefs du Règlement général sur la protection des données personnelles (RGPD) et vous donnent des exemples concrets. Suivez-nous sur LinkedIn pour ne manquer aucune actualité !
Aujourd’hui nous abordons les techniques d’opt-in et d’opt-out. Asseyez-vous confortablement avec votre café et un biscuit, on vous explique tout en 5 min ! ☕️ ?
Qu’est-ce que l’opt-in ?
Il s’agit d’une modalité du recueil du consentement destinée aux personnes concernées dans le cadre de traitements fondés sur cette base légale (retrouvez notre article consacré à ce sujet ici). Pour ce faire, il est proposé à la personne de consentir au traitement de ses données par le biais d’une case à cocher. Si la case n’est pas cochée, le responsable de traitement ne peut pas traiter les données pour la finalité envisagée (le consentement permettant d’autoriser le traitement fondé sur cette base légale n’ayant pas été recueilli). Il peut s’agir par exemple d’une case à cocher accompagnée d’une mention telle que « J’accepte que mon adresse mail soit utilisée pour que la société X m’envoie ses offres par courriers électroniques ».
Il existe une méthode d’opt-in passif qui consiste à pré-cocher la case en question. Cette méthode est à proscrire car le consentement ainsi recueilli ne résulte pas d’un acte positif de la personne. Les conditions de validité du consentement ne sont alors pas réunies dans la mesure où le consentement n’est pas univoque. La CNIL recommande des outils d’opt-in actif pour lesquels la personne coche elle-même la case.
N’oubliez pas qu’il est nécessaire pour que le recueil du consentement soit valide que celui-ci soit :
– Libre (ni contraint, ni influencé). La personne doit réellement disposer d’un choix, qu’elle peut faire sans craindre de subir des conséquences négatives en cas de refus.
– Spécifique. C’est-à-dire un consentement par finalité. Il n’est pas possible de recueillir le consentement pour plusieurs finalités distinctes par le biais d’une case unique du type « j’accepte que mes données soit traitées pour recevoir la newsletter de la société X et être transmises aux partenaires commerciaux de la société X en vue de m’adresser de la prospection commerciale ».
– Éclairé. La personne doit être informée préalablement des modalités du traitement auquel il lui est demandé de consentir (mentions obligatoires au titre des articles 13 et 14 du RGPD) et notamment de l’identité du responsable de traitement, les finalités poursuivies, les catégories de données collectées, le droit de retirer son consentement et, le cas échéant, le fait que les données seront utilisées dans le cadre d’une prise de décision individuelle automatisée et/ou l’existence d’un transfert hors de l’Union européenne et les garanties associées à ce transfert.
– Univoque. Le consentement est recueilli par un acte positif clair dénué d’ambiguïté.
Pour aller plus loin, il existe une méthode de double opt-in. Prenons l’exemple d’une inscription à une newsletter. La personne s’inscrit sur le site internet vitrine de l’émetteur et son consentement est soumis à un premier opt-in. Pour s’inscrire la personne doit cocher une case de type « J’accepte que mes données personnelles (nom, prénom, adresse mail) soient traitées pour recevoir la newsletter de X ». Une fois le consentement de la personne recueilli, le double opt-in consiste à faire confirmer son inscription par la personne. Cela se fait généralement par l’envoi d’un mail de confirmation comportant un lien cliquable. Par exemple « Pour finaliser votre inscription, veuillez cliquer sur le lien suivant […] ». Cela permet de vérifier que l’adresse mail de la personne n’a pas été utilisée frauduleusement et qu’elle est bien à l’origine de cette inscription.
L’opt-in est-il obligatoire ?
L’opt-in est obligatoire dans certaines hypothèses lorsque le traitement en cause est fondé sur le consentement (il existe 5 autres bases légales envisageables, retrouvez notre article sur le sujet ici). C’est le cas par exemple lorsque la collecte des données personnelles a pour finalité l’envoi de mail de prospection commerciale en BtoC. Ce traitement de données est soumis au consentement préalable des personnes concernées, à moins que la personne soit déjà cliente et que la prospection concerne des biens ou services
analogues. Cette obligation est fixée par l’article L. 34-5 du Code des postes et des communications électroniques qui dispose : « Est interdite la prospection directe au moyen de système automatisé de communications électroniques au sens du 6° de l’article L. 32, d’un télécopieur ou de courriers électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen. »
Au contraire, les mails de prospection commerciale envoyés en BtoB, dès lors que le bien ou service a un lien direct avec l’activité professionnelle de la personne contactée, ne sont pas soumis à un opt-in obligatoire. Ils peuvent relever d’une autre base légale que le consentement et être fondé sur l’intérêt légitime (retrouvez notre article sur le sujet ici). Si le professionnel ne s’oppose pas, le responsable de traitement peut lui adresser des sollicitations. En BtoB, les personnes doivent d’une part être informées, au moment de la collecte, que leurs données professionnelles seront utilisées à des fins de prospection commerciale ; et d’autre part pouvoir exercer leur droit d’opposition à tout moment. Dans cette hypothèse, les personnes doivent pouvoir accéder à un mécanisme d’opt-out.
Qu’est-ce que l’opt out ?
Cette méthode s’applique en matière de traitements fondés sur l’intérêt légitime. Il s’agit d’un mécanisme d’exercice du droit d’opposition. Dans ce cas, le consentement préalable de la personne au traitement de ses données n’a pas été recueilli, puisqu’il ne s’agit pas de la base légale du traitement. Autrement dit, le responsable de traitement peut traiter les données pour la finalité en cause tant que la personne concernée ne s’est pas opposée au traitement. Tant qu’elle n’a pas dit « non », c’est « oui ». C’est la logique inverse du consentement.
Le responsable de traitement doit mettre à disposition des personnes concernées un moyen de s’opposer au traitement de manière simple et gratuite dès le moment où les données sont collectées, puis à tout moment. Cet opt-out peut par exemple être mis en œuvre sous la forme d’une case à cocher du type « Je refuse que mon adresse postale soit utilisée pour recevoir de la prospection commerciale provenant de la société X ». A noter qu’il convient également d’organiser un opt-out par finalité.
La prospection par voie postale ou par téléphone peut être adressée sans consentement préalable des personnes. Dans ce cas, aucun moyen d’opt-in n’est à mettre en œuvre. Cependant, la personne doit pouvoir exercer son droit d’opposition par un opt-out au moment de la collecte de ses données qui seront utilisées pour les finalités précitées. Par la suite, si la personne ne souhaite plus recevoir ces sollicitations, elle doit pouvoir également à tout moment s’opposer au traitement. C’est également le cas en matière de publicité par voie électronique BtoB comme évoqué ci-dessus et BtoC pour des produits ou services analogues ou similaires à ceux que la personne a déjà commandés auprès du responsable de traitement qui va réaliser les opérations de prospection.
Vous souhaitez en savoir plus à ce propos ? Pour tout comprendre sur le respect du RGPD dans le cadre de la prospection commerciale, retrouvez nos webinaires dédiés : « Respecter le RGPD dans votre prospection BtoC : comment faire ? » et « Respecter le RGPD dans votre prospection commerciale BtoB : comment faire ? »