Le marketing direct représente un des secteurs identifiés comme une  priorité dans le plan stratégique de l’APD. L’importance du défi que cela constitue est proportionnelle au nombre d’acteurs qui recourent à des traitements de données à caractère personnel afin d’effectuer des communications de marketing direct, quotidiennement, à l’attention de millions de personnes en Belgique qui pour leur part, souhaitent pouvoir comprendre et exercer leurs droits de façon efficace.

Le Service de première ligne de l’APD a été fortement sollicité au cours de l’année 2021 pour des demandes d’information, des médiations et des plaintes dans le cadre de traitements de données à caractère personnel liés aux activités de marketing direct..

En 2021, l’APD a pour la première fois sanctionné un « data broker » (ou commerçant de données). Elle a en effet imposé 50.000 euros à l’entreprise Family Service. Celle-ci distribue les «boîtes roses » bien connues des jeunes parents, qui comprennent des échantillons, des offres spéciales et des fiches informatives pour les futures mamans. En plus de manquer à ses devoirs en termes de transparence, en n’indiquant pas de manière claire et compréhensible à ses clients que leurs données étaient vendues/louées à des tiers, l’entreprise partageait sans un consentement valable des données concernant plus d’1 million de clients et leurs enfants avec des partenaires commerciaux. Vu le nombre de personnes concernées (environ 21,10 % de la population belge), la gravité de l’infraction et la nature des données traitées (notamment des données concernant des enfants), la Chambre Contentieuse de l’APD a décidé qu’une sanction relativement élevée s’imposait. Dans le cadre de cette décision, l’APD a rappelé qu’il est essentiel que les data brokers, de par leur business model invasif, travaillent dans la transparence la plus totale, et de manière à ce que les citoyens puissent garder le contrôle sur les données qui les concernent.

La Chambre Contentieuse s’est également prononcée dans plusieurs dossiers concernant des demandes d’opposition à des communications de marketing direct auxquelles des entreprises n’ont pas répondu, ou du moins pas de manière satisfaisante. C’est le cas par exemple dans ses décisions 19/2021, 59/2021, 80/2021, 81/2021, 91/2021, 137/2021. Elle s’est également exprimée dans des dossiers portant plus précisément sur des demandes quant à la source des données utilisées dans le cadre de marketing direct (décision 32/2021 et 53/2021).

L’APD a également en 2021  recouru à sa compétence de surveillance, en contactant  à deux reprises des entreprises qui traitaient des données afin d’envoyer des communications de marketing direct. Dans un premier cas, une entreprise écrivait à des personnes à des fins publicitaires et ce à l’aide de données obtenues auprès d’autres organisations. L’APD a été mise au courant de ces traitements après avoir reçu des signalements de plusieurs citoyens. Elle a donc ouvert un dossier de monitoring afin de recevoir plus d’informations sur la manière dont l’entreprise s’y prenait avec les données personnelles qu’elle traitait.

Dans le second cas, l’APD s’est penchée, à nouveau suite à des signalement reçus par sa Première ligne, sur une entreprise qui aide certaines organisations à contacter des prospects. L’APD a pris contact avec elle afin de comprendre notamment d’où cette entreprise obtenait les données utilisées dans le cadre de ses activités de contacts à but marketing, et sur quelle base juridique reposaient ses traitements.

L’APD a également interrogé plusieurs entreprises par rapport à leurs activités d’«affiliate marketing». L’affiliate marketing est une forme de marketing sur internet via lequel les annonceurs récompensent leurs partenaires (les « affiliates » ou « affiliés ») pour les ventes ou « leads » que l’affilié a générées. Les affiliés peuvent ainsi être rémunérés lorsqu’ils amènent de par leur intervention des personnes à s’abonner ou à adhérer à un service.  Dans le cas d’espèce, des données personnelles ont notamment été collectées par le biais de concours en ligne apparemment douteux. 

Si suite à ses contacts avec ces entreprises, l’APD a estimé disposer d’indices sérieux de l’existence d’une pratique pouvant donner lieu à une infraction aux principes fondamentaux de la protection des données à caractère personnel, son Comité de direction s’est réservé le droit de lancer une enquête formelle à l’encontre du responsable du traitement, à travers son Service d’Inspection.[1]

 
[1] La manière dont le Comité de direction constate et traite l’existence d’indices d’atteintes au sens de l’article 63 § 1, 1° LCA, a été revue par le Comité de direction renouvelé et fera le cas échéant l’objet d’un commentaire dans le rapport annuel 2022