Plus de clarté et de pragmatisme : notre avis sur la Recommandation 01/2025 relative à la protection des données

Dans un paysage numérique et technologique sans cesse mouvant, il est tout à fait logique d’accorder une attention particulière à la protection de la vie privée et à la transparence du traitement des données. Considérant le traitement responsable des données à caractère personnel comme un aspect indispensable de la protection des consommateurs, BAM y œuvre activement par diverses initiatives. Citons le Meaningful Marketing Framework, son adhésion au Conseil de la Publicité et, bien sûr, le soutien apporté au Code ICC en tant que référence mondiale sur les questions éthiques en publicité. 

Dans tous ces domaines, le mot-clé est « autodiscipline ». Idéalement, les actions autorégulatrices des marques doivent être en phase avec les cadres réglementaires, de sorte que les ambitions de l’entreprise en matière de marketing responsable sont presque automatiquement conformes à ces règles. Dans cette optique, il faut veiller à ce que les nouvelles lignes directrices ne dépassent pas leur but, et c’est pourquoi BAM tient à formuler quelques commentaires critiques et constructifs sur la nouvelle Recommandation 01/2025. 

Qu’est-ce que le marketing direct ? 

Un premier problème réside dans la définition même du marketing direct. En effet, l’Autorité de protection des données (APD) opte pour une définition très large, qui va toutefois à l’encontre de l’interprétation des législateurs européens et belges. Ainsi, la Recommandation donne à tort l’impression que tous les messages de communication commerciale relèvent automatiquement du marketing direct. 

Qui plus est, les activités préparatoires, telles que la segmentation comportementale – qui, bien entendu, implique également de traiter des données – sont tout bonnement assimilées à l’envoi effectif de contenu promotionnel. Étant donné qu’un consentement unique pour le traitement des données à caractère personnel ne suffit pas toujours lorsque différents types d’actions marketing sont impliqués, une approche plus nuancée et différenciée s’avère souhaitable ici aussi. 

En ce qui concerne le « contenu promotionnel », les exemples fournis par l’APD à titre explicatif ne sont pas assez concrets – une lacune que l’on constate dans différents points de la Recommandation. Il est donc difficile pour les responsables du traitement des données à caractère personnel de déterminer s’ils doivent ou non se conformer à ces nouvelles lignes directrices.

Questions sur les exceptions

Toujours en ce qui concerne le contenu promotionnel, on notera que la promotion d’idées est également incluse dans cette notion. Par conséquent, on classe sous la catégorie de marketing direct toutes sortes de communication non commerciale de sensibilisation. Un choix que BAM n’approuve pas, d’autant qu’une distinction arbitraire est faite ici entre les pouvoirs publics et les organisations privées à but non lucratif…

Selon cette Recommandation, les communications des autorités publiques découlant de leurs obligations légales ne relèvent PAS de la définition du marketing direct, alors que les messages de sensibilisation des ONG –s’inscrivant pourtant dans le cadre des tâches statutaires d’intérêt public – en relèvent bel et bien. 

Trop ou pas assez détaillé

Les entreprises qui traitent les données personnelles des consommateurs doivent indiquer de manière transparente qu’elles le font et en indiquer les raisons. « Nous traitons vos données à des fins de marketing direct. » Bien que le marketing direct soit une finalité communément acceptée et conforme aux prescriptions du Règlement général sur la protection des données (RGPD), l’APD ne considère pas cela comme suffisant… Résultat : des déclarations de confidentialité encore plus étendues qui perdent en clarté.

Le contraire est vrai lorsqu’il s’agit de déterminer les périodes de conservation des données à caractère personnel. Dans ce cas, l’APD ne fournit pas d’instructions concrètes, alors qu’il s’agit d’un aspect essentiel. Il nous semble indispensable de détailler toute une série des critères pertinents – secteur, type de personnes concernées, canal, risque, etc. – que les responsables du traitement pourront consulter et évaluer.

Intérêt légitime

En outre, BAM s’oppose à la vaste obligation de due diligence imposée par l’APD lors du recours à un courtier en données. L’affirmation selon laquelle des garanties contractuelles claires ne seraient pas suffisantes nous semble infondée. Qui plus est, cela entraîne pour les responsables du traitement une charge de travail supplémentaire – à supposer qu’il soit possible de mettre la main sur la documentation interne du tiers en question, sans parler de celle d’une entreprise située plus en amont dans la chaîne. 

Une autre question épineuse est celle de l’« intérêt légitime ». Nous sommes d’avis que la reconnaissance de cette base juridique pour le traitement des données est une bonne chose, mais force est de constater que les restrictions qui l’accompagnent posent problème. Elles sont très strictes, incompatibles avec la jurisprudence et compliquent la mise en œuvre de stratégies de marketing efficaces.

Besoin de pragmatisme et de clarification

Mais même des détails apparemment innocents peuvent engendrer une insécurité juridique (et un poids inutile). Par exemple, l’APD considère qu’une adresse e-mail fonctionnelle (par exemple info@nomentreprise.be) est une donnée à caractère personnel si elle permet d’identifier une personne physique. L’évaluation de l’identification requise à cet égard n’est pas évidente et va même à l’encontre du RGPD en termes d’utilisation des données. Une approche plus pragmatique serait sans doute préférable.

En résumé : à tous les niveaux, cette Recommandation exige des éclaircissements supplémentaires, visant à prévenir l’insécurité juridique et, de préférence, à encore mieux l’aligner sur le RGPD et les pratiques marketing.

BAM a présenté toutes ces propositions pour améliorer la Recommandation 01/2025 en détail dans un Position Paper.