Réponse publiée le 7 septembre 2021

La mise en œuvre d'un traitement de données à caractère personnel est soumise aux principes prévus, notamment, par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après, le RGPD) et par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Pour être licite, la collecte de données à caractère personnel doit nécessairement se fonder sur une des six bases légales mentionnées à l'article 6 du RGPD : le consentement, l'exécution d'un contrat, le respect d'une obligation légale, la sauvegarde des intérêts vitaux, l'exécution d'une mission d'intérêt public et l'intérêt légitime du responsable de traitement. Si, en principe, la base légale est déterminée par le responsable de traitement, en amont de la collecte, compte tenu des caractéristiques du traitement, certains textes imposent une base légale spécifique. C'est ainsi que l'article L. 34-5 du code des postes et des communications électroniques (https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000042155961/) conditionne la prospection commerciale réalisée par voie électronique au seul consentement de la personne. Pour être valablement recueilli, le consentement doit être libre, spécifique, éclairé et univoque. Il peut être retiré à tout moment par la personne. Dans ce cas, le responsable de traitement cesse les activités de traitement et supprime les données collectées. Les manquements aux dispositions de l'article L. 34-5 sont sanctionnés d'une amende administrative d'un montant maximum de 75 000 € pour une personne physique et de 375 000 € pour une personne morale ; cette sanction a été renforcée par la loi n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux. Quant à la transmission de données à caractère personnel par une entreprise à ses partenaires commerciaux, elle constitue par elle-même un traitement de données et est soumise à ce titre au respect de certains principes. Ainsi, en vertu de l'article 5 du RGPD, qui dispose que les données ne peuvent être traitées d'une manière incompatible avec les finalités initiales du traitement, le consentement exprès de la personne est, s'agissant notamment de transmission à des fins de démarchage par voie électronique, requis avant cette transmission. Pour que la personne puisse valablement donner son accord à la transmission de données à caractère personnel, les articles 13 et 14 du RGPD imposent une obligation d'information. Cette obligation d'information doit, notamment, permettre à la personne concernée d'identifier les partenaires à qui seront transmises les données et d'exercer ses droits, en particulier, celui de s'opposer aux actions de prospection commerciale. En cas de méconnaissance des dispositions du RGPD de la part des responsables de traitement et de leurs sous-traitants, la Commission nationale de l'informatique et des libertés peut prononcer des sanctions pouvant s'élever jusqu'à 20 M€ ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial. En outre, les articles 226-16 à 226-24 du code pénal https://www.legifrance.gouv.fr/codes/section_lc/LEGITEXT000006070719/LEGISCTA000006165313/#LEGISCTA000006165313 prévoient des sanctions pénales sur les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques. Sont notamment punis de cinq ans d'emprisonnement et de 300 000 € d'amende, le non-respect des formalités préalables à la mise en œuvre du traitement (226-16), la collecte frauduleuse, déloyale ou illicite de données (226-18) et le traitement de données concernant une personne malgré son refus, lorsque ce traitement est fait à des fins de prospection ou lorsque cette opposition est fondée sur des motifs légitimes (226-18-1).