Avec l’arrivée de la nouvelle année, de nombreuses entreprises souhaitent marquer le coup en offrant des cadeaux à leurs clients : chocolats, goodies personnalisés ou autres attentions sont au rendez-vous. Cette pratique censée renforcer les relations commerciales doit bien entendu respecter certaines obligations légales ou réglementaires, y compris le RGPD.
Quel rapport entre le RGPD et l’envoi de cadeaux ?
Selon le Règlement Général sur la Protection des Données (RGPD), tout opération ou ensemble d’opérations menées sur des données personnelles est un traitement de données, mis en oeuvre pour l’atteinte de finalités (les objectifs du traitement).
Or, il est nécessaire, pour l’envoi de cadeaux d’entreprise, de faire usage de données à caractère personnel, au moins aux fins d’identification du destinataire du cadeau.
Le processus par lequel une entreprise va envoyer des cadeaux de fin d’année à ses clients doit ainsi respecter toutes les obligations prévues par le RGPD et la Loi Informatique et Libertés. Le caractère généreux de cet acte ne saurait en effet délier un organisme de ses responsabilités.
Quelles données sont habituellement traitées ?
Parmi les obligations pesant sur l’organisme emetteur des cadeaux, le principe de minimisation des données sera particulièrement important. Ce principe du RGPD impose aux organismes de n’utiliser, en fonction des finalités de leur traitement, que les données strictement nécessaires à l’atteinte de leurs objectifs.
Article 5 – Principes relatifs au traitement des données à caractère personnel
1. Les données à caractère personnel doivent être :
[…]
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
[…]
Afin d’assurer la bonne réception du cadeau par un destinataire, les organismes peuvent compter sur quelques données seulement, habituellement traitées dans le cadre de la relation commerciale, comme le nom et le prénom du destinataire, une adresse postale professionnelle, un numéro de téléphone professionnel éventuellement.
A moins d’un accord fourni clairement et explicitement par le destinataire, aucune information de nature sensible, y compris les allergies alimentaires dans le cas de cadeaux comestibles, ne peut être utilisée.
Dois-je indiquer ce traitement dans mon registre des activités de traitement ?
Si ce traitement est mis en oeuvre de manière recurrente (chaque année, ou fréquemment), il sera nécessaire d’indiquer l’existence de ce traitement dans le registre des traitements de l’organisme.
Ce registre doit obligatoirement contenir au moins l’identité du responsable du traitement (l’organisme décidant de l’envoi des cadeaux), les types de données traitées et leurs durées de conservation, les catégories de personnes concernées par ces données (les clients ou partenaires), les sous-traitants ou tiers intervenant dans la préparation, l’envoi, l’acheminement et la remise des cadeaux (lorsqu’ils ont connaissance des données personnelles, bien entendu), l’existence d’éventuels transferts de données, et une liste des mesures de sécurité mises en oeuvre pour protéger les données.
Quelles durées de conservation appliquer ?
Les données utilisées étant généralement récoltées afin de respecter des obligations contractuelles existantes entre l’organisme emetteur, et le client, les durées de conservation applicables aux données seront celles déterminées dans le cadre de la relation commerciale : les coordonnées et l’identité du destinataire seront conservées tant que le contrat sera actif (tant que les relations contractuelles ou partenariales existent), puis pendant une durée restreinte après la fin des relations.
Quid du fondement de licéité et de l’obligation d’information ?
Le fondement de licéité doit être déterminé en amont de l’usage de la donnée. Six (6) fondements sont prévus par le RGPD, et tout traitement doit se baser sur au moins un (1) de ces fondements.
Vérification rapide des fondements disponibles :
- le traitement des données aux fins de l’envoi de cadeaux d’entreprise n’est pas rendu obligatoire par une loi ou une règlementation en vigueur ;
- le traitement n’est pas strictement nécessaire à l’exécution de mesures contractuelles ou précontractuelles, bien que ce soit à cette occasion que les données sont récoltées ;
- le consentement des destinataires au traitement de leurs données aux fins de l’envoi des cadeaux n’est généralement ni prévu, ni récolté ;
- cet envoi ne remplit pas les critères d’un traitement nécessaire à la sauvegarde d’intérêts vitaux d’une personne ;
- cet envoi ne remplit pas les critères d’un traitement mis en oeuvre dans le cadre d’une mission de service public.
Seul l’intérêt légitime de l’organisme pourra être invoqué comme fondement de licéité pour la mise en oeuvre de ce traitement.
Il appartient à l’organisme de le justifier par sa volonté de maintenir ou de renforcer ses relations commerciales ou partenariales avec les destinataires.
L’information des destinataires
Bien que le RGPD impose au responsable du traitement de prévenir les personnes concernées des finalités du ou des traitements de leurs données, les organismes ne préviennent habituellement pas le destinataire du cadeau de ce type de traitement.
S’il peut s’avérer trop contraignant d’ajouter cette finalité dans les mentions d’information, dans un contrat ou une politique de confidentialité, il faudra néanmoins disposer de mentions d’information complètes (telles que prévues par l’article 13 du RGPD) disponibles en cas de demande de la personne concernée, et bien entendu être prêt à respecter les droits RGPD des personnes, car celles-ci peuvent refuser, pour le futur, l’usage de leurs données aux fins de l’envoi de cadeaux.
L’envoi de cadeaux d’entreprise est une pratique légitime, mais elle reste encadrée, notamment par le RGPD. N’hésitez pas à vous tourner vers votre DPO pour savoir ce que vous pouvez faire et ne pas faire. Vous souhaitez approfondir vos connaissances sur le RGPD ? Contactez-nous pour découvrir comment nous pouvons vous accompagner dans votre démarche de conformité et renforcer la confiance de vos clients dans la gestion de leurs données personnelles.