Les services de relations publiques des entreprises utilisent chaque jour des bases de données contenant des centaines voire des milliers de données de journalistes ou d’influenceurs (nom, prénom, adresse mail, téléphone, etc…). Ces informations en ce qu’elles permettent d’identifier une personne physique sont des données à caractère personnel et leur traitement est soumis au Règlement Général sur la Protection des Données (RGPD).

Comment fonctionnent les bases de données ?

L’email marketing, ou e-mailing, est une méthode de prospection utilisée par les entreprises pour faire la promotion de leurs produits ou prestations. Cette forme de télémarketing permet à l’entreprise de communiquer directement avec des personnes cibles, sans intermédiaire.

Ce type de répertoire permet ainsi aux entreprises de cibler plus précisément les destinataires et de transmettre les supports susceptibles d’intéresser le plus le public visé.

Cette technique est également utilisée pour communiquer avec les journalistes et les influenceurs par le biais d’agences qui fournissent aux entreprises et aux institutions les coordonnées de ces premiers. Ces bases de données permettent également de référencer les influenceurs et les journalistes en fonction de leurs préoccupations et de leurs centres d’intérêt.

Comment sont constituées les bases de données ?

Les fichiers presse peuvent être constitués par collecte directe, c’est-à-dire lorsque le journaliste à directement confié ses informations personnelles à un gestionnaire de base de données. Mais dans la majeure partie des cas les fichiers presse sont constitués par collecte indirecte, c’est-à-dire par des entreprises tierces qui collectent les coordonnées de journalistes via des mécanismes variés et les revendent.

Les bases de données de journalistes sont-elles légales ?

Oui en principe. Il convient de rappeler que la prospection commerciale entre professionnels est légale à condition que l’entreprise de prospection respecte les principes d’information des personnes et que les professionnels visés puissent s’opposer à la prospection.
Le Règlement général sur la protection des données (RGPD) impose une information concise, transparente, compréhensible et aisément accessible. Ainsi tout professionnel dont l’adresse de messagerie, le numéro de téléphone ou l’adresse postale est collectée à des fins de prospection doit être informé de la nature du traitement de ses données. Il convient également de rappeler que le RGPD affecte toute entreprise ayant accès à des données personnelles appartenant à des citoyens européens. Lorsqu’un département marketing et communication travaille avec une longue liste de journalistes mais ne possède pas d’historique sur la provenance des données, il est obligatoire de se plier aux restrictions du RGPD, même si l’entreprise ne réside pas dans l’Union Européenne.

En tant que professionnels, lorsque les données sont directement collectées auprès des journalistes, ceux-ci doivent donc être informés de la finalité du traitement dès le moment du recueil de leurs données. Cette information prend le plus souvent la forme d’une case à cocher lors de la collecte des informations par le biais d’un formulaire en ligne.

En revanche, lorsque les données ne sont pas collectées directement auprès des personnes (collecte indirecte), le responsable de traitement doit informer les personnes concernées dès que possible du traitement de leurs données et au plus tard dans un délai d’un mois. C’est également le cas lorsque c’est l’employeur qui transmet les coordonnées de ses collaborateurs.

Quels sont les droits des journalistes et des influenceurs sur leurs données ?

Les journalistes recevant des communiqués de presse ou des mailing doivent toujours avoir la possibilité de s’opposer aux emails de prospection commerciale et pouvoir revenir sur leur accord (direct ou implicite). Cette notion relève du consentement au traitement des données à caractère personnel. Selon l’article L34-5 du Code des postes et des communications électroniques, toute prospection commerciale est interdite sans la manifestation de volonté libre, spécifique et informée de la personne concernée. Le consentement peut être à tout moment retiré, conférant ainsi le droit à tout professionnel destinataire de prospection commerciale le droit d’opposition aux traitement de ses données à caractère personnel [1].

Les journalistes peuvent par conséquent demander au responsable de traitement ou à la personne qui utilise le fichier l’origine de l’envoi (par exemple pour savoir quand et comment ils ont donné leur autorisation).

Les agences et les entreprises qui utilisent ces fichiers sont également responsables des traitements dès lors qu’elles déterminent seul ou conjointement les finalités et les moyens du traitement des données personnelles [2]. Le ou les responsables conjoints du traitement doivent s’assurer du respect des exigences du RGPD notamment en ce qui concerne l’exercice des droits de la personne concernée.

Les agences doivent ainsi être en mesure d’informer les journalistes et les influenceurs sur la qualité des données collectées, où elles sont stockées, comment elles sont traitées et surtout être en mesure de les supprimer à n’importe quel moment. En effet l’opposition se doit d’être simple et gratuite, par exemple via un lien en fin d’email pour se désinscrire.

Si aucune procédure de désinscription simple et accessible n’est mise à disposition, l’auteur de la sollicitation commerciale peut encourir jusqu’à 375 000€ d’amende [3].

Les agences doivent donc être vigilantes. En effet, toute impossibilité de répondre aux exigences prévues par le règlement peut être lourdement sanctionnée par une amende pouvant aller jusqu’à 4 % du chiffre d’affaires, selon la durée, la nature et la gravité de la violation. Il faut aussi envisager un risque d’image important s’agissant de personnes ayant des relais dans les médias.

Comment distinguer le journaliste ou l’influenceur professionnel d’un particulier ?

Il faut distinguer les journalistes ou les influenceurs professionnels et les particuliers qui ont une activité médiatique qui s’apparente plus à un loisir. En effet, pour que les règles de prospection commerciale soient applicables comme présentées précédemment, les destinataires doivent être des professionnels. Un blogueur n’est par exemple pas systématiquement considéré comme tel. Cette frontière est d’autant plus floue depuis l’avènement des journalistes indépendants et des influenceurs sur les réseaux sociaux où la frontière entre vie privée et activité professionnelle est poreuse.

La qualité de blogueur ou d’influenceur professionnel peut être observée par plusieurs indices. Tout d’abord si le blogueur ou l’influenceur agit pour le compte de son entreprise (auto-entrepreneur, micro-entreprise ou entreprise individuelle) il sera considéré comme un professionnel. Également si le blogueur ou l’influenceur exerce habituellement des actes de commerce, par des contrats de promotion publicitaire par exemple, son activité est une activité professionnelle au sens du droit du commerce.

Dans le cadre des bases de données professionnelles, il faut aussi s’assurer que l’adresse mail ou le numéro de téléphone communiqué soit bel et bien utilisé à des fins professionnelles. On peut d’ailleurs plus facilement supposer qu’une adresse mail se terminant par “@nomdesociete” relève de l’activité professionnelle qu’une adresse générique fournie gratuitement par exemple par Google ou Orange.

Quelles données peuvent être effectivement collectées ?

Ce n’est pas parce que des informations sont accessibles en ligne qu’il est possible de présumer un quelconque consentement à la collecte et à la revente de ses données. C’est d’autant plus vrai lorsqu’il s’agit de référencer des informations sensibles par exemple sur l’orientation politique d’une personne même si cette dernière est un “professionnel”.

Malheureusement, certaines entreprises collectent des données sans le consentement des personnes intéressées et sans respect de la notion d’intérêt légitime. L’intérêt légitime est une des bases légales prévues par le RGPD sur laquelle peut se fonder un traitement de données personnelles. Le recours à cette base légale suppose que les intérêts (commerciaux, de sécurité des biens, etc.) poursuivis par l’organisme traitant les données ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées.

Plusieurs conditions sont nécessaires pour répondre à la notion d’intérêt légitime :
 L’intérêt poursuivi par l’organisme doit être légitime : par exemple la jurisprudence a reconnu comme légitime le traitement nécessaire aux opérations de prospection commerciale auprès de clients d’une société.
 Le traitement satisfait à la condition de nécessité : l’organisme doit vérifier que le traitement de données qu’il envisage permet effectivement d’atteindre l’objectif poursuivi, et non, en réalité, d’autres objectifs. Il doit également s’assurer qu’il n’existe pas de moyen moins intrusif pour la vie privé d’atteindre cet objectif.
 Le traitement ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables : l’organisme doit donc opérer une mise en balance, une pondération entre les droits et intérêts en cause, et vérifier dans ce cadre que les intérêts (commerciaux, de sécurité des biens, de lutte contre la fraude, etc.) qu’il poursuit ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées.

Si les conditions de l’intérêt légitime ne sont pas remplies, tout traitement de données à caractère personnel sans le consentement de la personne intéressée est puni de 5 ans d’emprisonnement et de 300 000€ d’amende [4].

En définitive, s’il est parfois difficile de connaître l’origine de la collecte, les utilisateurs de bases de données doivent assurer aux destinataires finaux que leurs données sont traitées conformément aux exigences de la CNIL. Au-delà des exigences légales, il est essentiel de rappeler qu’il est préférable de ne pas fatiguer ses destinataires. En effet, il y a fort à parier qu’un mailing mal calibré apparaîtra rapidement dans les spams ou conduira à une demande de désinscription.

Anna Ploix, Juriste et Yann-Maël Larher, Avocat Docteur en droit social - relations numériques de travail. Barreau de Paris Avocat cofondateur Legalbrain https://legalbrain-avocats.fr https://yml-avocat.fr [->contact@yml-avocat.fr]