AVEC LE DATA BROKER, LES BONS RÉFLEXES
L’ENCADREMENT DE LA RELATION AVEC LE DATA BROKER, LES BONS RÉFLEXES
Guide écrit par:
Morgane Jalvy
Aujourd’hui, l’activité des data brokers est confrontée à un paradoxe : devenue un levier important dans l’acquisition de nouveaux clients, elle est de plus en plus sujette à des sanctions importantes, de la part de la DGCCRF ou encore de la CNIL. En outre, depuis la sanction “Foriou1”, les sanctions infligées par des autorités publiques ne se limitent plus à un opérateur mais à tout une chaîne de valeur sectorielle …
La sanction met en exergue des problématiques devenues cruciales pour tout opérateur voulant avoir recours à des générateurs de leads : la nécessité de responsabilisation et celle d’encadrer ses relations contractuelles.
Pour cette raison, et face à un secteur de niche qui reste complexe et difficile à appréhender au premier abord, nous avons listé des points de vigilance sur lesquels il nous paraît important de s’attarder pour limiter au maximum le risque, avant et pendant la prestation.
1. S’assurer du niveau de maturité du data broker en matière RGPD :
Avant de contracter avec un data broker, il faut toujours s’intéresser à ses pratiques.
Aujourd’hui, même si tout acteur traitant des données à caractère personnelle a l’obligation de se conformer au RGPD, tous n’ont pas le même niveau de maturité.
Nous ne pouvons donc que conseiller de vérifier ce niveau de maturité.
L’intérêt de cette vérification est de s’assurer que les règles du RGPD sont respectées d’une part et d’autre part de documenter sa propre conformité.
Ne pas oublier qu’en cas de contrôle de la CNIL toute entreprise doit être en mesure de pouvoir montrer qu’elle a adopté une posture responsable.
A ce sujet, la CNIL précise ce qu’elle attend en termes de contrôles : “relève tout d’abord qu’il résulte de ces dispositions qu’en sa qualité de responsable de traitement, la société (…) est tenue de vérifier elle-même que les conditions lui permettant de réaliser des opérations de prospection commerciale sont réunies. A cet égard, la responsabilité d’un organisme a pu être retenue en considérant qu’un simple engagement contractuel de son courtier en données à respecter le RGPD et les règles applicables en matière de prospection commerciale ne constituait pas une mesure suffisante”.
1https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000049231950
Mais alors que vérifier en pratique ?
- que le prospect a bien obtenu toutes les informations nécessaires à la bonne compréhension de la collecte et du traitement de ses données : en pratique s’assurer qu’il sache qui/ comment / pourquoi ;
- que le prospect, une fois informé, consente bien activement et de manière non équivoque à la collecte et au traitement de ses données dans les conditions dont il a été informé ;
- que le broker pose les bonnes questions au prospect de manière à cibler réellement ses besoins.
En se posant ces questions en amont de la prestation, on documente sa conformité, on se rend responsable et on garantit une prise en compte dès le début du principe de privacy by design, c’est-à-dire de configurer la prestation pour qu’elle soit, par principe, conforme à la réglementation applicable.
2. Privilégier des data broker avec des équipes juridiques
Jusqu’à récemment les brokers n’étaient pas sur le devant de la scène en termes de sanctions infligées par les autorités publiques. Depuis peu on entend régulièrement que tel ou tel acteur ne respecte pas la législation.
Dans ce contexte, un élément déterminant dans la sélection de son broker compte tenu de sa maturité peut être la présence ou non d’une ressource juridique. Ces ressources sont la preuve que les sujets réglementaires sont pris en compte par les data brokers mais surtout sont la garantie d’avoir un interlocuteur qualifié et privilégié sur des sujets parfois complexes.
Ensuite, et comme dans le cadre d’un appel d’offre, le data broker qui sera sélectionné devrait répondre à un certain nombre de critères dont le respect des normes réglementaires.
Il est donc important d’une part d’établir cette grille avec son département juridique et de s’assurer qu’en face, ces normes soient respectées.
3. Encadrer contractuellement la relation client
Aujourd’hui, la pratique sectorielle privilégie généralement la signature de devis ou de bons de commande. Cependant, ces documents s’avèrent souvent insuffisants pour encadrer de manière adéquate la relation contractuelle entre le data broker et le client. Leur nature synthétique laisse trop de place à l’interprétation, créant des zones d’incertitude potentiellement préjudiciables pour les deux parties.
Dans ce contexte, nous recommandons vivement d’opter pour la négociation d’un contrat détaillé. Cette approche permet d’aborder et de clarifier plusieurs aspects cruciaux au titre desquels : les modalités de livraison; la résiliation, les garanties RGPD, les responsabilités mutuelles, …
Une négociation approfondie du contrat offre plusieurs avantages significatifs. En effet, en anticipant les scénarios potentiels, vous réduisez les zones d’incertitude juridique et opérationnelle. Vous intégrez de facto une dimension de gestion des risques à votre relation avec le data broker. Cette approche proactive vous permet d’anticiper les problèmes potentiels et de mettre en place des mécanismes de résolution adaptés.
Le processus de négociation permet également de mieux comprendre et d’expliciter les attentes et contraintes de chaque partie et donc de lever le voile sur certains aspects complexes de l’activité des data brokers.
Bien que potentiellement plus chronophage initialement, la négociation d’un contrat détaillé avec votre data broker constitue un investissement judicieux.
4. S’auditer
Les récentes décisions jurisprudentielles ont considérablement accru la responsabilité du client donneur d’ordre. Celui-ci est désormais tenu à une obligation de vigilance renforcée concernant les pratiques de collecte de données de son prestataire.
Pour répondre à ces nouvelles exigences réglementaires, l’intégration d’une clause d’audit robuste s’avère indispensable. Contrairement aux idées reçues, cette clause doit être conçue comme un instrument bilatéral, pouvant être invoqué tant par le client que par le prestataire.
Cette approche bidirectionnelle répond à un double objectif :
- Pour le client : s’assurer de la conformité des méthodes de collecte de données du prestataire.
- Pour le prestataire : vérifier la conformité du client à certaines réglementations spécifiques, telles que le décret Naegelen.
L’intégration d’une clause d’audit permet non seulement d’évaluer les processus opérationnels liés à la prestation, mais aussi de les co-construire dans une perspective à long terme. Cette approche collaborative favorise l’adaptation continue aux évolutions réglementaires et technologiques.
La complexité et la technicité inhérentes à ces processus exigent une communication et une coopération accrues entre le client et le data broker. Cette collaboration doit s’inscrire dans la durée, couvrant l’intégralité de la prestation, afin d’assurer une conformité constante et une adaptation agile aux changements réglementaires.