• Que signifie les vocables "donnée à caractère personnel" et qui est désigné par la mention "la personne concernée"?
  
• Les données des personnes morales sont-elles également couvertes et protégées par le RGPD?
  
• De quelle manière le RGPD encadre-t-il le traitement des données personnelles dans les campagnes marketing, et quelles sont les bases légales ainsi que les finalités associées à ces traitements?
  
• Qu'entend-on par marketing direct et indirect?
  
• Dans vos campagnes marketing, qui assume la responsabilité du traitement des données?
  
• Quel est le rôle d'INFOBEL dans le traitement des données utilisées pour vos campagnes marketing?
  
• D'où proviennent les données qu'INFOBEL met à votre disposition?
  
• Quels sont les droits des personnes dont vous traitez les données?
  
• Pourquoi et comment devez-vous informer les personnes concernées par vos traitements de données notamment dans le cadre de vos campagnes marketing?
  
• Qui les personnes concernées peuvent-elles contacter pour exercer leurs droits?
  

AVANT-PROPOS

Dans un environnement numérique en constante évolution, la gestion des données personnelles est devenue une responsabilité essentielle pour toute entreprise. En tant que data broker, nous sommes particulièrement attentifs à l’importance cruciale de traiter les données avec soin et en conformité avec les réglementations en vigueur, notamment le Règlement Général sur la Protection des Données (ci-après « RGPD »).

Ainsi, soucieux de garantir un haut niveau de protection des données à caractère personnel tout au long de la chaîne du traitement, INFOBEL met à votre disposition le présent « guide de bonnes pratiques » présenté sous forme de foire aux questions (FAQ). Cet outil a pour objectif de vous accompagner dans la mise en œuvre d’un traitement conforme au RGPD.

Nous espérons qu’en vous appuyant sur cette FAQ, vous serez en mesure de renforcer la confiance des personnes concernées par vos traitements à finalité de marketing. Ce guide vous permettra de répondre, de manière claire et cohérente, aux éventuelles demandes ou interrogations des personnes concernées à qui vous adressez des campagnes marketing.

Si vous avez des questions supplémentaires, n’hésitez pas à nous les transmettre à l’adresse électronique suivante: dpo@infobel.com

1. Que signifie les vocables "donnée à caractère personnel" et qui est désigné par la mention "la personne concernée" ?

Le RGPD définit une « donnée à caractère personnel » comme "toute information se rapportant à une personne physique identifiée ou identifiable". Dans le contexte du traitement à des fins de marketing, la donnée à caractère personnel s’entend comme suit :

« Toute information se rapportant à un individu, conservée sous une forme permettant d’identifier cet individu, et pouvant inclure ne serait-ce qu’un nom de famille. Certaines informations ne comportant pas de nom de famille doivent néanmoins être considérées comme des données à caractère personnel et sont donc couvertes par le présent code. Cela peut être le cas, par exemple, des adresses postales, numéros de téléphone, numéros de fax ou adresses électroniques, ou encore du titre professionnel, si la personne concernée peut être raisonnablement identifiée ».

Il s’agit d’une définition donnée par la Fédération européenne du marketing direct (Fedma) dans son Code de conduite relatif à l’utilisation de données à caractère personnel dans le cadre du marketing direct, disponible via le lien suivant:

https://www.fedma.org/wp-content/uploads/2017/06/FEDMACodeEN.pdf

La « personne concernée » désigne, quant à elle, la personne physique à qui se rapportent les données traitées. Dans le cadre du marketing direct, cela peut être un client ou un prospect dont vous détenez des informations pour envoyer des offres personnalisées.

Les « données anonymes » désignent des informations ne se rapportant pas à une personne physique identifiée ou identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage.

Ces données anonymes ne sont pas considérées comme des données à caractère personnel. Par exemple, si vous collectez des informations pour des statistiques générales (comme l'âge ou le sexe des utilisateurs) mais que celles-ci sont anonymisées de sorte qu'il soit impossible d'identifier un individu précis, le sujet devient non identifiable.

Cependant, si ces données peuvent être recoupées pour identifier quelqu'un[1] (par exemple via des pseudonymes ou des identifiants), elles restent des données personnelles et doivent être traitées conformément aux règles du RGPD.

2. Les données des personnes morales sont-elles également couvertes et protégées par le RGPD?

Les données relatives à une personne morale, comme son nom, son siège social ou son numéro d’entreprise, ne sont ni couvertes ni protégées par les règles du RGPD, n’étant pas considérées comme des données à caractère personnel.

Attention : Les données permettant d'identifier des personnes physiques au sein de ces personnes morales comme les coordonnées d'un employé ou d’un dirigeant sont soumises aux exigences du RGPD.

Par exemple, si vous utilisez l’adresse électronique professionnelle d’un employé (nom.prenom@entreprise.com) pour envoyer des offres de marketing direct, ces données doivent être traitées conformément au RGPD.

De même, les informations relatives à une personne physique exerçant une activité d’indépendant (comme les professions libérales, les consultants ou avocats) sont également protégées, car elles peuvent être directement liées à une personne physique.

3. De quelle manière le RGPD encadre-t-il le traitement des données personnelles dans les campagnes marketing, et quelles sont les bases légales ainsi que les finalités associées à ces traitements?

Tout traitement de données doit impérativement poursuivre un objectif précis, appelé « finalité ». Dans sa recommandation de 2025 relative aux traitements des données à des fins de marketing, disponible via le lien suivant (Recommandation-01-2025), l’Autorité de Protection des Données (APD) fournit plusieurs exemples de finalités:

• Informer les clients de nouveaux produits ou services;
• Initier la vente de produits et/ou services;
• Établir le profil de ses clients;
• Proposer des offres personnalisées à l’occasion de l’anniversaire des clients;
• Tenir informés les clients d’actions promotionnelles;
• Promouvoir l’image de marque auprès du grand public;
• Inviter les clients ou prospects à des événements organisés à des fins promotionnelles;
• Adresser aux clients des offres ciblées susceptibles de correspondre à leurs intérêts;
• Démarcher de nouveaux clients, abonnés ou affiliés.

La finalité doit être explicite, déterminée et reposer sur une des bases légales énoncées limitativement à l’article 6 §1 du RGPD.

Par finalité, le responsable du traitement doit choisir une seule base de licéité.

Dans le cadre du marketing direct, les deux bases légales le plus souvent utilisées sont les suivantes:

• Le consentement:
  
  

  Il est nécessaire d’obtenir le consentement préalable de la personne concernée de manière claire et explicite avant d’utiliser ses données.

  L’utilisateur doit avoir donné son consentement de manière active (opt-in), et ce consentement doit être librement accordé, spécifique, éclairé, et rétractable à tout moment.

  En toutes circonstances, si les données ont été collectées sur la base du consentement, tout traitement ultérieur, même à des fins de marketing doit également reposer sur ce même consentement, en respectant sa portée spécifique.

  La personne concernée doit avoir la possibilité de retirer son consentement à tout moment. Si c’est le cas, vous devez arrêter de traiter ses données à des fins de marketing direct et en informer INFOBEL.

  Un consentement pour du marketing direct ne sera, par exemple, pas libre s’il est posé comme condition pour l’utilisation d’un service ou pour l’obtention d’avantages et de réductions.

  En principe, lorsque le marketing direct prend la forme d’une communication électronique, la base juridique doit être le consentement, en conformité avec ce que prescrit la Directive e-Privacy en son article 13.

• L'intérêt légitime:
  
  

  L’intérêt légitime peut également constituer une base valable pour les traitements à des fins de marketing, à condition qu’il ne porte pas atteinte aux droits et libertés des personnes concernées.

  Cela peut s’appliquer, par exemple, à l'envoi de communications marketing ou newsletter à des clients existants, sous réserve qu’ils aient déjà exprimé un intérêt pour des services ou produits similaires, que les données aient été obtenues dans le cadre d’une vente et qu’ils puissent s'y opposer sans frais et de manière simple. Il s’agit alors du principe du "soft opt-in".

  Si vous vous fondez sur l’intérêt légitime, vous devez obligatoirement effectuer un “test d’intérêt légitime” (Legitimate Interest Assessment), c’est-à-dire:

  • Identifier l’intérêt poursuivi (ex. : promouvoir ses produits auprès de clients existants);
  • Vérifier la nécessité du traitement (le même objectif pourrait-il être atteint par des moyens moins intrusifs ?);
  • Réaliser une mise en balance entre l’intérêt poursuivi et les droits des personnes concernées (examen des attentes raisonnables, etc.)

   

  La personne concernée doit pouvoir s’y opposer dès le premier contact. Si elle s’y oppose, vous devez absolument arrêter de traiter ses données à des fins de marketing direct et en informer INFOBEL.

  En toutes circonstances, il est essentiel de respecter les principes fondamentaux du RGPD y compris la transparence et la minimisation des données, et d’intégrer la protection des données dès la conception de vos campagnes de marketing.

  Par exemple, en vertu du principe de minimisation des données, lorsque vous envoyez des newsletters uniquement, il n'est pas nécessaire de collecter l'adresse postale de l'abonné. Limitez-vous à demander uniquement les informations nécessaires pour atteindre l'objectif de votre campagne.

4. Qu'entend-on par marketing direct et indirect?

L’APD propose de définir cette notion comme suit:

• « L’ensemble des activités résultant en une communication directe à une ou plusieurs personne(s) physique(s) identifiée(s) ou identifiable(s), de messages au contenu promotionnel ».

En revanche, les courriels de service (par exemple les confirmations de commandes, les courriels relatifs au suivi de la commande, les courriels récoltant l’avis des personnes concernées sur leurs commandes, etc.) ne sont pas considérés comme du marketing direct puisque la base légale qui justifie l’envoi de ces courriels est l’exécution du contrat entre le vendeur et l’acheteur.

5. Dans vos campagnes marketing, qui assume la responsabilité du traitement des données?

Vous êtes « responsable du traitement » lorsque, seul ou conjointement, vous déterminez les finalités et les moyens d’un traitement de données à caractère personnel.

Ci-dessous une liste non-limitative et exemplative de vos obligations en qualité de responsable du traitement:

• Assurez-vous que les données personnelles sont traitées de manière licite, loyale et transparente, collectées pour des finalités spécifiques, explicites et légitimes, et conservées sous une forme permettant l’identification des personnes concernées pour une durée n’excédant pas celle nécessaire à ces finalités.

  Ex: Si vous envoyez des offres promotionnelles par courriel, ne collectez que les adresses électroniques nécessaires et conservez-les uniquement pendant la durée de votre campagne promotionnelle.

• Garantissez la transparence : informez les personnes concernées de manière claire et compréhensible sur la collecte et le traitement de leurs données personnelles.

  Ex: Lors de l'inscription à une newsletter, fournissez une politique de confidentialité détaillée expliquant comment les adresses électroniques seront utilisées et stockées.

Conformément à la recommandation de 2020 de l’APD relative au marketing direct [2], les organisations qui collectent des données, par exemple en rachetant des listes de données auprès d’autres organisations doivent être particulièrement attentives au respect de cette obligation de transparence qui inclut l’obligation d’identifier la source de provenance des données. Le non-respect de cette obligation constitue une violation de l'article 14 du RGPD.

• Obtenez un consentement explicite et éclairé des personnes concernées lorsque le traitement est basé sur le consentement, et offrez la possibilité de retirer ce consentement à tout moment.

  Ex: Assurez-vous que chaque communication inclut un mécanisme facile et clair pour se désinscrire, garantissant que le consentement peut être retiré à tout moment.

• Facilitez l'exercice des droits des personnes concernées : assurez l'accès, la rectification, la suppression, la limitation du traitement, la portabilité des données, et l'opposition à ces droits.

  Ex: Permettez à vos abonnés de mettre à jour leurs préférences de communication ou de se désabonner de votre liste de diffusion via un lien dans chaque courriel marketing.

• Mettez en œuvre des mesures de sécurité appropriées par la mise en place de mesures techniques et organisationnelles pour protéger les données contre les violations de sécurité, telles que l’accès non autorisé, la perte ou la destruction.
• Informez l’APD et, le cas échéant[3], les personnes concernées en cas de violation de données personnelles, dans les 72 heures suivant la découverte de la violation.
• Maintenez un registre détaillé des activités de traitement effectuées, comprenant les finalités du traitement, les catégories de données, les destinataires, et les mesures de sécurité en place.

6. Quel est le rôle d'INFOBEL dans le traitement des données utilisées pour vos campagnes marketing?

INFOBEL est une plateforme digitale de portée mondiale spécialisée dans l’achat et la vente de données à caractère personnel qui propose une large gamme de solutions B2B, incluant des produits et services destinés à améliorer, acquérir ou exploiter des données à des fins de marketing direct.

Son rôle de responsable du traitement des données personnelles se manifeste à plusieurs niveaux:

• Acquisition et vente de données : INFOBEL collecte, valide et vend des bases de données contenant des informations personnelles. Ces données peuvent inclure des informations de contact, des données démographiques et d'autres données pertinentes pour le marketing direct.
• Traitement et gestion des données : INFOBEL traite les données en veillant à leur qualité et leur pertinence. Cela inclut la mise à jour régulière des informations, la correction des erreurs et la gestion des consentements pour garantir que les données respectent les exigences légales, notamment le RGPD.
• Segmentation et ciblage : INFOBEL facilite la segmentation des données pour permettre aux entreprises de cibler précisément leurs campagnes marketing. INFOBEL offre des outils basés sur des évaluations statistiques et des algorithmes pour filtrer et segmenter les données selon divers critères, afin d'optimiser la pertinence des communications et d'améliorer le retour sur investissement.

Pour rappel, dans vos campagnes de marketing, vous assumez le rôle de responsable du traitement.

En toutes circonstances, INFOBEL veille à ce que le traitement des données vendues soit conforme au RGPD. Ainsi INFOBEL assure son obligation de transparence en fournissant des informations sur la provenance et la validité des données. Par ailleurs, elle a adopté un ensemble de mesures qui assurent une gestion fluide des droits des personnes concernées, tels que notamment les demandes de suppression ou de rectification.

7. D'où proviennent les données qu'INFOBEL met à votre disposition?

Les données qu’INFOBEL met à votre disposition proviennent de collectes indirectes. Elles sont collectées auprès de courtiers en données, qui les collectent eux-mêmes soit:

• À la suite de jeux concours et promotions : Les données peuvent être collectées lors de jeux concours, promotions ou inscriptions à des newsletters, où les participants fournissent leurs informations personnelles en échange de la participation ou de la réception de récompenses.
• Par l’achat de bases de données auprès de partenaires ou fournisseurs tiers.

INFOBEL a mis en place un mécanisme régulier de vérification et de contrôle de la qualité de la donnée et de la validité de la base légale du traitement. À cet égard, INFOBEL s’assure notamment que l’adresse postale soit toujours correcte. Par ailleurs, un autre d’exemple de contrôle consiste à vérifier que les personnes concernées ne figurent pas sur des listes telles que la liste Robinson ou la liste « do not call me » (DNCM).

8. Quels sont les droits des personnes dont vous traitez les données?

Conformément au RGPD, il vous incombe, en tant que responsable du traitement, de répondre aux demandes des personnes concernées dont nous vous avons vendu les données.[4]

Ces droits sont les suivants:

• Le droit d'accès (article 15 du RGPD) : ce droit permet à un individu de savoir si des données le concernant sont traitées, et si oui, d’en obtenir une copie dans le format dans lequel la demande est adressée, ainsi qu’un ensemble d’informations claires sur ce traitement, telles que la provenance de la donnée, la base légale du traitement et la finalité.

  Ex: Un abonné à votre newsletter peut demander une copie des informations que vous avez sur lui, à savoir son adresse électronique et les préférences de communication.

• Le droit de rectification (article 16 du RGPD) : ce droit permet à toute personne concernée de demander la correction de données personnelles inexactes la concernant. Elle peut également demander de compléter des données incomplètes.

  Ex: Si un client vous informe que son adresse électronique a été mal saisie lors d'une inscription à une promotion, il peut demander la correction de cette information.

• Le droit à l'effacement (article 17 du RGPD) : ce droit permet à une personne de demander la suppression de ses données personnelles, notamment lorsque celles-ci ne sont plus nécessaires ou ont été traitées illicitement. Il inclut aussi le droit à l’oubli, visant à effacer des informations diffusées en ligne sur des moteurs de recherche (droit au déréférencement).

  Ex: Un client qui ne souhaite plus recevoir de publicités par courriel peut demander la suppression de son adresse électronique de votre liste de diffusion.

• Le droit à la limitation du traitement (article 18 du RGPD) : ce droit permet aux personnes concernées de demander la limitation du traitement de leurs données à caractère personnel, dans les cas suivants:
  • Si elles contestent l’exactitude de ces données, dans l’attente de l’évaluation des intérêts en présence avant l’exercice du droit d’opposition au traitement de certaines de leurs données personnelles.
  • Si le traitement de leurs données personnelles est illégitime, mais qu’elles ne souhaitent néanmoins pas exercer leur droit à l’effacement des données.
  • Si vous n’avez plus besoin de leurs données personnelles, mais qu’elles en ont besoin dans le cadre d’une action en justice.

  Ex: Si un abonné conteste l'exactitude de ses données personnelles utilisées pour une campagne marketing, il peut demander de limiter leur utilisation jusqu'à ce que la question soit résolue.

• Le droit à la portabilité des données (article 20 du RGPD) : ce droit permet à une personne de récupérer ses données personnelles dans un format lisible et de les transmettre à un autre organisme. Il s’applique lorsque le traitement est automatisé et repose sur le consentement ou un contrat.

  Ex: Un client peut demander à recevoir ses informations de contact et ses préférences de communication dans un format lisible pour les transférer à un autre service de marketing avec lequel il souhaite interagir.

• Le droit d'opposition (article 21 du RGPD) : ce droit permet à toute personne de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement de ses données personnelles lorsque celui-ci repose sur l’intérêt légitime du responsable de traitement, en particulier lorsqu’il est réalisé à des fins de prospection commerciale.

  Ex : Si vous envoyez une newsletter à vos clients fondée sur votre intérêt légitime, ils doivent pouvoir s’opposer à ce traitement facilement. Il vous revient donc d’inclure une mention claire permettant de se désinscrire, comme un lien de désabonnement présent dans chaque e-mail.

• Le droit de déposer une plainte auprès de l’Autorité de protection des données (article 77 du RGPD).

Vous êtes tenus de nous informer s’il convient de rectifier ou effacer les données d’une personne concernée. Les personnes concernées peuvent toujours retirer leur consentement sur notre site internet via le lien suivant: https://dpo.infobel.com 

Il est important de noter que ces droits ne sont pas absolus et peuvent être soumis à certaines exceptions et conditions. Par exemple, le droit à l'effacement peut ne pas s'appliquer si le traitement est nécessaire notamment, pour respecter une obligation légale, contractuelle, pour l'exercice ou la défense de droits en justice si vos intérêts légitimes ou l’intérêt légitime de tiers prévalent.

9. Pourquoi et comment devez-vous informer les personnes concernées par vos traitements de données notamment dans le cadre de vos campagnes marketing?

Conformément à la recommandation de l’APD relative au marketing direct, les responsables de traitement doivent fournir une information transparente et claire aux personnes concernées, qu'ils collectent les données directement auprès d’elles ou indirectement auprès de différentes sources.

Voici comment vous pouvez le faire:

• Collecte directe (article 13 du RGPD) : Lorsque vous collectez des données directement auprès des personnes concernées, vous devez leur fournir des informations claires au moment de la collecte.

  Ex: Si vous demandez à un client de remplir un formulaire d'inscription à une newsletter sur votre site web, vous devez inclure une politique de confidentialité sur la page de collecte.

• Collecte indirecte (article 14 du RGPD) : Si vous obtenez des données de manière indirecte, par exemple en achetant des listes de données auprès d'autres organisations, comme en l’espèce auprès d’INFOBEL, vous devez informer les personnes concernées de la provenance de ces données.

  Ex: Si vous achetez une liste de contacts auprès d’INFOBEL, vous devez informer les personnes concernées de la manière dont vous utiliserez leurs données et leur indiquer comment elles peuvent exercer leurs droits.

Si vous ne pouvez pas fournir ces informations en raison d'une des exceptions prévues par l'article 14 du RGPD, vous devez pouvoir justifier pourquoi.

Si, par exemple, informer les personnes concernées nécessiterait un effort disproportionné, vous devez démontrer qu'il est techniquement impossible ou déraisonnable d’y parvenir.

10. Qui les personnes concernées peuvent-elles contacter pour exercer leurs droits?

Les personnes concernées peuvent exercer leurs droits ou poser toute question relative à l’exercice de leurs droits en complétant le formulaire accessible sur la page dpo.infobel.com ou en nous envoyant un courrier à l’adresse postale suivante:

DPO – INFOBEL SA
Chaussée de St Job, 506
1180 BRUXELLES (Belgique)

Tout envoi de courrier ordinaire ou demande par le biais du formulaire web doit être accompagné de la copie d’une pièce justificative d’identité et, pour les demandes émanant des personnes morales, d’une preuve du pouvoir de représentation de la personne exprimant celles-ci.

Nous ne manquerons pas de donner suite à leur demande dans les meilleurs délais, et au plus tard dans le mois qui suit la réception de leur demande.

Selon la difficulté de leur demande ou le nombre de requêtes que nous recevons d’autres personnes, ce délai pourra être prolongé de deux mois. Dans ce cas, nous avertirons la personne concernée de cette prolongation dans le mois suivant la réception de sa demande.

Si la personne concernée souhaite mettre à jour les données la concernant publiées sur le site www.infobel.com, elle est invitée à cliquer sur le lien suivant: «mettre mes données personnelles à jour»

Nous ne pouvons être tenus au retrait des données affichées sur d’autres sites internet ou supports informatiques à qui nous ne fournissons pas de données. Il appartient à la personne concernée de contacter directement les propriétaires des sites concernés.

[1] C'est ce qu'on appelle des données pseudonymisées.

[2] Pour information, l’Autorité belge de protection des données (APD) a publié une première recommandation sur le marketing direct en 2020, suivie d’une seconde en 2025.

[3] Si la violation est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes concernées.

[4] La réponse doit être fournie dans un délai d'un mois à compter de la réception de la demande. Si la demande est complexe et nécessite un délai supplémentaire, l'organisation doit informer la personne concernée de la prolongation et des raisons de ce délai supplémentaire dans un délai d'un mois à compter de la réception de la demande initiale.