GRC et données personnelles : peut-on tout savoir sur ses clients ?

relation clientFrédéric Forster évoque pour E.D.I. Magazine la gestion de la relation client à l’aune de la décision Google de la Cnil.

Comme le souligne Frédéric Forster, Avocat, directeur du pôle Télécoms du cabinet Lexing Alain Bensoussan Avocats, dans sa dernière chronique du magazine E.D.I., « tout gestionnaire de la relation client en rêve : en savoir le plus possible sur son client pour être capable de répondre au mieux à ses besoins, voire même les anticiper ». Et d’ajouter : « Dans le domaine de la gestion de la relation client, les ressources quasiment infinies qu’offre le big data constituent un eldorado informationnel qu’il suffit de structurer au moyen d’algorithmes facilement disponibles sur le web pour être en mesure d’offrir un service tellement pertinent et précis qu’il est personnalisable et individualisable à l’envi. Mais attention : les données auxquelles le professionnel de la relation client accède sont, pour beaucoup d’entre elles, des données à caractère personnel protégées, à ce titre, par la loi informatique et libertés et par le RGPD ».

C’est dans ce contexte que s’inscrit la première sanction prononcée par la Cnil sur le fondement du RGPD (Délibération SAN-2019-001 du 21 janvier 2019) prononçant une sanction pécuniaire à l’encontre de Google, qui a fait couler beaucoup d’encre, et qui permet de mieux comprendre « ce que serait la pratique décisionnelle d’une autorité de protection des données alors que le RGPD est entré en application depuis près d’un an ».

Une chose est certaine selon Frédéric Forster : « la Cnil n’hésitera manifestement pas à appliquer le nouveau barème des sanctions prévu par le RGPD », puisqu’en effet la société Google a succombé à une condamnation de 50 millions d’euros.

Pourquoi cette condamnation ? Pour ne pas avoir appliqué scrupuleusement deux principes fondamentaux de la protection des données à caractère personnel :

  • Le premier est celui du droit à l’information dont disposent toutes les personnes physiques dont les données font l’objet d’un traitement ;
  • Le second touche aux modalités de recueil du consentement des personnes, sur la base duquel la société Google assied certains de ses traitements.

Et Frédéric Forster de conclure : « quels que soient les projets d’un responsable de la gestion client, cette première décision démontre qu’il lui faut impérativement prendre en considération les limites posées par ce que ses clients ont autorisé et par ce qui leur a été annoncé lors de la collecte de leurs données ».

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique