Annuaire professionnel et obligation de consentement
il y a 6 ans par OlivierLuisetti

Bonjour,

pour faire simple et arrêter de se prendre la tête avec un tel sujet. l'autorisation préalable n'est opposable que pour une utilisation commerciale de vos coordonnées. Ce qui nécessiterait cette autorisation c'est l'utilisateur des annuaires que vous envisagez d'éditer s'ils souhaitent se servir des coordonnées desdits annuaires pour de la prospection par courrier (papier ou électronique) ou par téléphone ... quant à l'éditeur des annuaires de ses membres ou de personnes morales, rien ne le contraint à obtenir un quelconque consentement pour la publication (même après compilation) de données qui sont publiques (pour les personnes morales) ou nécessaire à l'animation de ses membres (pour la question 2).

Bonjour,

Pour le consentement, tout dépend l'objet de votre club. Si dans cet objet, il est fait mention d'une promotion des membres du club, ou bien si la publication de cet annuaire fait partie des activités du club, selon moi il n'est pas utile de demander le consentement des personnes représentants des entreprises/associations/personnes morales: normalement, adhérer à un club veut dire que l'entreprise consent à participer aux activités de celui-ci :)

Par contre, il est primordial de les informer de cette publication, et de leurs droits.

Attention, ce n'est pas parce qu'il s'agit de B2B qu'il n'y a pas de données personnelles!

Bonjour,

Je suis longuement intéressé au RGPD en automne dernier et je vous propose mon interprétation pour tenter de répondre partiellement à vos questions. Si ce projet doit être une sources de revenues pour vous, il serait souhaitable de consulter un avocat spécialisé.

Question 1: je pense qu'il faut revenir à la définition proposé par le RGPD dans l'Article 4. Il n'est question que de personne physique. Constituer un annuaire d'entités morales ne me semble pas poser de problème particulier. Informer les "membres" de leur inscription dans l'annuaire est alors la moindre des courtoisies.(et permet à chacun, le cas échéant de signifier son refus)

Question 2: il s'agit là effectivement de personnes physiques, vous devez obtenir leur consentement formel. Je ne connais pas la structure juridique de votre club  (je n'ai pas trouvé les mentions légales sur votre site, ce n'est pas bien !) mais si les membres paient une cotisation vous pouvez demander leur accord lors du renouvellement.

Question 3: Je ne connais pas cette notion d'association de presse mais il me semble que même les journalistes ont des contraintes et doivent respecter certains consentement (ne serait ce que le droit à l'image ou de faire figurer comme sur tout site professionnel des mentions légales nommant un directeur de la publication et un moyen de le contacter)

A propos de votre conclusion, je ne partage pas votre inquiétude. D'abord le rôle des GAFA n'est pas d'informé (et heureusement). Avec le RGPD nous allons peut être (j'ai le droit de rêver) avoir la possibilité d'avoir une meilleure maitrise des données personnelles tant au niveaux des entreprises que des individus.

Au niveau des entreprises, cela va les amener à se poser les bonnes questions sur leur collectes et traitements des données personnelles. ce sera, je le souhaite, la fin des "entrepreneurs de web 2.0" qui considèrent que tous ce qui est en ligne est public et libre de droit. Ce sont au mieux des pilleurs du travail des autres au pire des escrocs. Cela va aussi les sensibiliser sur les impacts indirects de la cyber sécurité et améliorer (c'est la volonté du législateur) les relations de confiance en ligne.

Au niveau de l'individu, c'est plus fort encore. Aujourd'hui, plus personne ne sait qui détient des données sur lui ou pas! Qui sait ce que sont devenues ses données personnelles liés à ses comptes Orkut, MultiMania, M6net,.... Quand on se désabonne d'une publication reçue de façon "spontanée", l'annonceur comme le routeur du mail conservent nos données personnelles à notre corps défendant sans limitation de temps avec simplement un flag "unsubscribed". Plus de la moitié des mails que nous recevons chaque jour, ne sont pas solliciter,  sont sans valeur de contenu pour nous, viennent d'expéditeurs inconnues.... cela induit une perte de temps qui empêche souvent de répondre, par exemple, à vos demandes de consentement. Je ne vais pas vous exposer l'impact économique et écologique du spam....

Ma conclusion est que le RGPD cherche à mettre les différentes parties prenantes face à leurs responsabilités dans un monde où il est devenu impossible d'avoir la maitrise de ses propres données personnelles face à l'agressivité entrepreneuriale de certains "startupeurs" qui  ne respectent rien. J'ai entendu une pépinière de startups prétendre que leur statut leur permettait de transgresser les lois; l'expression "il y a des délits tous les jours, on ne peut s'arrêter à cela" résonne encore dans ma tête...

Jeter la pierre aux seules GAFA, c'est se voiler la face et j'estime que la réussite du RGPD va dépendre de la capacité de l'organisme de contrôle à sanctionner les abus sans se limiter aux gros acteurs du web national.

Avant de vous répondre, je vais me permettre de rétablir certaines vérités concernant les GAFAs.

Tout d'abord, aucune d'entre elles n'a son siège social dans une localisation offshore. Il s'agit là d'un mythe tenace. La plupart des GAFAs ont leur siège social dans le Delaware qui, même s'il est considéré comme un paradis fiscal par tout le monde, sauf par l’OCDE(*), reste avant tout le premier état américain.

Au besoin, je vous invite à la lire la section "économie" de la page Wikipédia qui lui est consacrée :
fr.wikipedia.org/wiki/Delaware

Le Delaware étant un état de boites aux lettres, c'est-à-dire que les entreprises ne sont nullement implantées sur leur territoire, implique aux sociétés d'avoir leur siège opérationnel dans la ville d'un autre état (ex. : Cupertino pour Apple, Mountain View pour Google, etc.). Pourquoi ? Car c’est l’unique condition demandée par leur administration pour payer un impôt relativement faible (de l’ordre de 300 € par an). De ce fait, quasiment toutes les entreprises américaines – je parle des plus riches – y ont leur siège social. Les GAFAs n’ont donc fait que suivre la logique économique de leur pays.

Nous sommes donc très loin du fonctionnement des véritables sociétés offshores. En effet, en matière de réglementation internationale, il est clairement dit qu’une entreprise qui se veut être dans la légalité doit impérativement créer des filiales dans les pays dans lesquelles elle a décidé, à plus ou moins long terme, de s’implanter. Si elle ne le fait pas, nous sommes effectivement sur des entreprises offshores, dont le fonctionnement opaque et la fiscalité délocalisée peuvent être répréhensibles pénalement. Or, Apple ou encore Google disposent de filiales dans quasiment tous les pays du monde.

Par contre, j’en conviens, le seul reproche que l’on pourrait leur faire est de pratiquer l’optimisation fiscale à outrance. Or, le problème, c’est que toutes les entreprises américaines le font  (ex. : Coca Cola, Disney, JPMorgan, etc.).

* OCDE : Organisation de Coopération et de Développement Économiques.

Le RGPD ne fait pas spécifiquement évoluer les règles en matière de consentement et d'Opt-in sur des données B2B, toutefois cela ne vaut que pour la prospection.

La diffusion d'informations concernant des tiers nécessite obligatoirement leur aval et la nécessité de mettre en place des outils pour la mise à jours des données entre autres.

Remarque: Les GAFA et autres sociétés transnationales opérant sur le territoire européen sont soumises à l'application du RGPD sous peines d'application d'amendes (4% du CA, 20 millions d'euros).

Bonjour OlivierLuisetti,

Questions complexes pour ma part car j'ai l'intime conviction que l'interprétation de la RGPD faite par les uns et les autres est totallement différente.

1- Pour ma part, (peut-être à tord), la RGPD interdit la divulgation directe ou indirecte de données personnelles.

Avec mon interprétation de cela, en divulguant des informations directes de personnes morales, on peut trouver indirectement les données personnelles de peronnes physiques.

Si on applique cette réflexion, on ne peut plus publier de nombreuses données...

J'ai posé cette question à la CNIL, avocat, lors d'ateliers à ce propos, aucune réponse sûre.

2- Normalement, il faut demander l'autorisation à une personne AVANT de diffuser ses données personnelles.

En l'occurence, en pratique, la grande majorité des sites internet ne s'en soucient pas vraiment, vous êtes déjà presque clean en leur demandant.

Leur refus de réponse n'équivaut pas à un consentement par défaut.

Là encore, entre théorie et pratique... difficile de s'y retrouver.

Le "problème" en fait, c'est qu'à priori, votre site internet est déjà scrapé. C'est un WordPress, Wayback machine est déjà passé dessus, c'est foutu. Il y a des contraintes informatique dont on a pas forcément conscience.

Là, toutes les données sur votre site sont crawlées et scrappées, c'est à dire enregistrées par des tonnes de robots, et quelques humains. Si vous changez des information ou données sur votre site, si vous le supprimez de votre serveur, ça change rien, les données publiées seront toujours accessibles.

3- Aucune idée, je cherche aussi une solution miracle ;)