Les instituts d’études marketing et d’opinion sont amenés à constituer et à utiliser des bases de données personnelles au gré des commandes, des études qu’ils réalisent pour leur propre compte, ou celui de leurs clients. Les traitements de données réalises à ce titre s’intègrent dans des pratiques, voire des modelés économiques très varies, répondant aux besoins d’entités d’horizons divers (presse, ministères et institutions publiques, agences de communication, départements marketing).
Il n’existe donc pas de définition uniforme
des mesures de protection des données personnelles à intégrer par les
instituts (…)
Il n’existe donc pas de définition uniforme des mesures de protection des données personnelles à intégrer par les instituts, au risque pour celle-ci de présenter des incohérences avec les réalités du terrain. Afin d’éviter cet écueil, le règlement général sur la protection des données personnelles (Règlement [UE] n° 2016/679 du 27 avril 2016, qui entre en application le 25 mai 2018) prévoit différents outils permettant aux professionnels de mettre en musique, dans la pratique, ses dispositions. Ainsi, les instituts devront établir dans un premier temps une cartographie des traitements, sous forme de « registre » comme le prévoit l’article 30 du RGPD, puis analyser, dans un second temps, au cas par cas, s’ils sont responsables du traitement, coresponsable ou sous-traitant et en déduire leurs obligations.
Le statut de l’institut peut en effet varier en fonction des conditions de réalisation d’un sondage, des modalités de constitution de l’échantillon de personnes interrogées, du type d’étude réalisée, mais aussi des conditions de recueil des réponses (voir Note 1), du niveau d’instruction qui leur est donné par le commanditaire, du niveau de contrôle de celui-ci, du degré de transparence vis-à-vis des personnes interrogées, etc. À titre d’exemple et très schématiquement, si l’institut réalise des études pour le compte et sous les instructions d’un donneur d’ordre, il pourrait être considéré comme simple exécutant « sous-traitant » au regard de la réglementation. Dans ces cas, l’échantillon interrogé provient souvent d’un fichier fourni par le client. Les conditions d’utilisation de ce fichier relèvent donc de la responsabilité du client, qui doit préciser contractuellement les obligations et limites d’utilisation de l’institut. À l’inverse, les baromètres qui seraient réalisés à l’initiative de l’institut à partir d’un échantillon qu’il a constitué relèvent de sa responsabilité s’il n’est pas commandité et réalisé sous le contrôle d’un client.
En résumé et de manière simplifiée, le RGPD comme la législation actuelle prévoient que le décisionnaire porte la responsabilité de mise en œuvre du traitement des données des personnes interrogées, traitement qui peut être confié à un prestataire agissant en tant que sous-traitant. Chacun de ces statuts (responsable de traitements et sous-traitant) emporte des devoirs spécifiques. Le RGPD innove toutefois en nuançant ce système binaire par l’introduction d’un mécanisme de co-responsabilité, lorsque la décision et les modalités de réalisation d’un traitement (se traduisant par la réalisation d’études) sont déterminées entre plusieurs acteurs.
Par ailleurs, il est fondamental de rappeler le
statut des réponses apportées par les personnes.
En la matière, le principe est simple : soit les données sont totalement anonymisées, à savoir qu’il est impossible de rétablir le lien avec les personnes interrogées, soit ces données conservent leur caractère personnel, même lorsqu’elles sont indirectement identifiantes ou pseudonymisées. Dès 1981, la CNIL a ainsi considéré (voir Note 2) que lorsque les réponses aux questionnaires mentionnent les nom et adresses des interrogés ou comportent une codification permettant d’établir une correspondance avec une liste nominative, ou même incluent des critères dont le croisement rend possible l’identification des personnes interrogées, les informations collectées à partir de ces questionnaires sont directement ou indirectement nominatives. Dans ces cas, la séparation entre réponse et base de contact est un élément de sécurisation, mais ne coupe pas en tant que tel le lien entre la personne interrogée et ses réponses, lien qui peut directement découler de la tenue d’un fichier de correspondance.
Attention, l’absence d’anonymat ne signifie pas que le traitement est intrinsèquement illégal, mais plutôt qu’il doit respecter l’ensemble des principes de protection des données, notamment les droits à la transparence, droit d’accès, de rectification et d’opposition prévus par la réglementation actuelle comme à venir.
En termes de transparence, il est essentiel d’informer les personnes des caractéristiques du traitement de leurs données (c.-à-d. indiquer son objectif, son responsable et le contact auprès de qui exercer leurs droits, les durées de conservation associées, etc.), en adaptant le message en fonction de la finalité et du périmètre du traitement. Ainsi, à titre d’exemple s’agissant des panélistes dont les réponses pourraient être conservées de manière nominative pour être croisées sur une période donnée, une information claire sur le caractère identifiant des questions posées, sur les croisements opérés et sur la durée de conservation de leurs données devrait être fournie.
Enfin, le RGPD comme la plupart des lois de protection des données actuelles imposent de minimiser la durée de conservation des données au strict nécessaire. Les instituts doivent intégrer des systèmes de purge et procédures d’archivage pour les bases de réponses et les rapports et analyses de résultats afin que ceux-ci ne soient pas conservés indéfiniment en base active. Ces procédures devront être établies en tenant compte, d’une part, de la finalité du fichier, d’autre part, du statut de l’institut vis-à-vis de ce fichier (responsable du traitement, co-responsable ou sous-traitant) et enfin des éventuelles obligations figurant dans les contrats liant l’institut à ses commanditaires.
En conclusion, les règles de protection des données recouvrent différents impératifs de fond et de forme, qui ne sont pas tous recensés ici. Ces règles appellent toutes une analyse propre à chaque structure, nécessitant de s’interroger sur l’usage des données et le rôle de la structure vis-à-vis de ces données. Ces règles contribuent donc à améliorer non seulement la maîtrise d’un actif essentiel des instituts, les données personnelles, mais également indirectement les modèles de gouvernance des instituts, afin de maintenir la confiance dans leurs relations avec les professionnels, comme avec les particuliers interrogés.
Pour aller plus loin
Note 1 : Le faisceau d’indices elabore par la
Commission europeenne et repris par le G29 dans un avis du 16
fevrier 2009 peut servir de grille de lecture aux instituts de
sondage: goo.g//1Wt3iScontent_copy
Note 2 : Délibération n° 81-28 du 24 mars 1981
concernant les traitements automatisés à des des fins statistiques
d’informations nominatives extraites d’enquêtes par sondages
intéressant des personnes physique effectués par l’Etat et les
établissements publics à caractère administratif et Délibération n°
82-97 du 01 juin 1982 portant adoption d’une recommandation
relative à la collecte et au traitement d’informations
nominatives recueillies par sondage en vue de procéder à des études
de marche ou de produits.