S’il n’y avait qu’Apple et quelques autres services email pour les empêcher de faire leur métier, cela ne troublerait guère le sommeil des marketeurs.
J’oserais dire que les ruades d’Apple ne sont que le cadet de leurs soucis. Ce qui semble les inquiéter beaucoup plus ce sont les positions des autorités nationales de protection des données réunies dans le groupe de travail « article 29 », dont le travail est aujourd’hui poursuivi par l’EPDB (European Data Protection Board).
Ce groupe de travail fait ainsi valoir que la seule manière de justifier la collecte d’information relative à l’ouverture d’un email est le consentement non ambigu du destinataire.
Je pense que cette interprétation est inexacte.
Tout dépend en effet de la finalité que l’on vise. Le traçage de l’ouverture peut en effet être utilisé à des fins qui ne sont pas liées au marketing ni au profilage. C’est notamment un moyen permettant de juger du fait qu’une adresse email est une adresse valide en vue d’améliorer la délivrabilité des campagnes en évitant les spam traps. Ce traitement se justifie par l’intérêt légitime de l’expéditeur d’assurer le bon acheminement de ses messages. Exactement de la même manière que la poste se constitue un fichier des personnes habitant à une adresse donnée afin d’éviter de devoir, par exemple, dépêcher un postier pour délivrer un recommandé à une adresse qui n’existe plus.
Par ailleurs, même si la seule finalité du traçage était le suivi de campagnes marketing, l’intérêt légitime pourrait la justifier.
Comme on l’a souligné dans un précédent article, le texte même du RGPD prévoit, au rang des justifications des traitements de marketing direct l’intérêt légitime de l’expéditeur. C’est particulièrement vrai pour ce qui concerne les communications BtoB.
Le RGPD prévoit toutefois qu’il faut, dans ce cas, permettre à la personne concernée de manifester son opposition au traitement marketing (considérant 70 et article 21). Le texte précise ainsi que la personne concernée peut s’opposer « à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection ».
C’est bien d’une forme d’opt-out qu’il s’agit. Mais cet opt-out est général. On n’évoque pas la possibilité d’un opt-out partiel au terme duquel on pourrait accepter la prospection, mais pas le profilage par exemple.
Si l’on pousse le raisonnement plus loin, on peut affirmer que le texte lie indissociablement prospection et profilage (je pense qu’il s’agit d’une erreur du législateur, car on aurait pu en décider autrement). Donc si l’on admet que l’on peut prospecter sur le fondement de l’intérêt légitime, on peut également « profiler » sur le fondement de l’intérêt légitime et, partant, suivre le comportement de l’utilisateur sans consentement explicite.
Et, même si on ne devait pas admettre la justification tirée de l’intérêt légitime, on pourrait se rabattre sur le consentement de la personne concernée.
En effet il suffirait, au moment où l’on collecte l’opt-in d’envoi d’un email de préciser « Vous acceptez de recevoir des emails de la marque X. Ce faisant, vous acceptez que nous traitions vos données et notamment que nous suivions les ouvertures de ces emails afin d’assurer la qualité de notre communication avec vous ». Il y a certainement moyen de faire plus succinct, mais cela vous donne idée de la manière de procéder.