– Conseil d’État, 11 mars 2015, n°368624
– CNIL, délibération de la formation restreinte n°2015-155 du 01 juin 2015
– Code des Postes et Télécommunications (CPCE), article L. 34-5
– Loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – articles 45 à 49
– Norme simplifiée n°48 : délibération de la CNIL n°2012-209portant création d’une norme simplifiée concernant les traitements de données à caractère personnel relatifs à la gestion de clients et prospects – JORF n°0162 du 13 juillet 2012

Rappel des règles 

L’article L. 34-5 du CPCE [1] prévoit que toute prospection par un système automatisé de communications électroniques, fax ou email utilisant les coordonnées d’une personne physique, abonné ou utilisateur, requiert le consentement préalablement de ladite personne (on se réfère communément à la notion anglaise de « opt in »).

Le « consentement » est défini comme « toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe ».

La « prospection directe » est définie comme « l’envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services. »

À titre d’exception il n’y a pas besoin de consentement préalable dans le cas où :

  • les coordonnées du destinataire ont été recueillies auprès de lui, dans le respect de la Loi Informatique et Libertés, à l’occasion d’une vente ou prestation de service ;
  • la prospection concerne des produits ou services analogues fournis par ladite  personne ;
  • le destinataire se voit offrir, la possibilité de s’opposer, sans frais et de manière simple, à l’utilisation de ses coordonnées au moment où elles sont recueillies et chaque fois qu’un courrier électronique de prospection lui est adressé (on se réfère communément à la notion anglaise de « opt out»).

La violation de ces dispositions n’est plus sanctionnée par le droit pénal mais passible d’une sanction administrative prononcée par l’autorité chargée de la concurrence et de la consommation (montant maximal de 3 000 €, ou 15 000€ pour une personne morale). De plus elle peut aussi être passible d’une sanction de la CNIL dans la mesure où il y a manquement à la Loi Informatique et Libertés (avertissement, mise en demeure, sanctions pécuniaires…). Le recours aux conditions générales est insuffisant

La CNIL était intervenue auprès d’une société qui proposait des logiciels gratuits et dont l’acceptation des conditions générales de fonctionnement entraînait (i) l’installation du moteur de recherche de la société sur le terminal de l’utilisateur, (ii) l’envoi de publicités récurrentes, adaptées en fonction du suivi des connexions de l’utilisateur, et (iii) la cession de données personnelles à des tiers. 

Fin 2012, la CNIL avait mis en demeure ladite société de recueillir le consentement spécifique des intéressés avant d’utiliser leurs données à des fins de prospection commerciale, de cesser d’inscrire ou de lire des informations dans le terminal des internautes sans avoir obtenu leur accord préalable, et de cesser de collecter et traiter leurs données personnelles à leur insu et de manière déloyale. La société avait exercé un recours gracieux auprès de la CNIL, qui a été rejeté.

La société demandait devant le Conseil d’État l’annulation de la mise en demeure et décision de rejet du recours gracieux, arguant notamment du fait que ses conditions générales d’utilisation étaient claires et explicites. Le Conseil d’État reste indifférent à cet argument et juge que « le consentement donné [aux conditions générales d’utilisation] pour l’ensemble des finalités d’un traitement, dont l’usage des données personnelles de l’utilisateur, ne saurait être regardé comme valant consentement spécifique, au sens et pour l’application de l’article L. 34-5 ». Le Conseil d’État rappelle que la norme simplifiée n°48 prévoit que l’utilisateur puisse marquer son assentiment par un moyen simple et spécifique tel qu’une case à cocher.

La mise en demeure de la CNIL enjoignait également à la société de s’assurer que les coordonnées collectées sans le consentement des internautes ne soient plus utilisées, notamment par deux autres sociétés, à des fins de prospection directe électronique. Le Conseil d’État approuve cette mesure : la société devait informer les cessionnaires qu’elle ne s’était pas acquittée de ses obligations légales en la matière, afin que, dûment informés de l’illégalité de l’usage des données, ils soient en mesure de se conformer à la loi, en suspendant l’utilisation des données, le cas échéant jusqu’à ce qu’ils obtiennent eux-mêmes, ou que la société cédante obtienne le consentement spécifique des intéressés.

Cette mise en demeure a donc été validée par le Conseil d’État. La Société devra s’y conformer, sous peine de faire l’objet d’une sanction pécuniaire, comme ce fut le cas, récemment, d’un important groupe de presse en France. 

Un consentement « informé » et la mention du droit d’opposition

Une société d’édition de revues et périodiques sous format papier et sur Internet permettait aux internautes de demander à recevoir, par voie de formulaire, la lettre d’information du titre du site consulté mais également celles des autres revues ou périodiques édités par le groupe, en cochant la case « oui, je souhaite recevoir les newsletters du [Groupe] ». Dans les faits,  les lettres d’information servaient aussi à promouvoir des biens ou service proposés par des tiers. La CNIL a donc considéré que la lettre d’information avait vocation, à titre accessoire, à assurer une opération de prospection  et que ceci nécessitait de «  recueillir un consentement libre, spécifique et informé ».

Si le consentement était libre et spécifique (case à cocher), il n’était pas informé : « la société aurait dû informer l’internaute sur le formulaire de l’intégralité des lettres d’information auxquelles il consent à s’inscrire ».

En ce qui concerne le droit d’opposition, les formulaires d’inscription aux lettres d’information ne précisaient pas aux internautes qu’ils pouvaient s’opposer au traitement effectué. La société indiquait en défense qu’elle aurait respecté ses obligations en faisant mention, sur les formulaires de collecte, des droits « d’accès, de modification, de rectification et de suppression » des données et en renvoyant, pour les modalités pratiques de mise en œuvre de ces droits, à un autre support intitulé Charte pour la protection des données. La CNIL précise que « la mention relative au droit d’opposition doit figurer, sur le formulaire de collecte des données et non sur un autre support. ».  De plus, le droit d’opposition n’était en pratique pas bien respecté.

Délai de conservation

Dans la deuxième affaire, la CNIL a aussi relevé que la société avait manqué à son obligatoire de définir et respecter une durée de conservation proportionnée à la finalité du traitement. La société décomptait la durée à compter de l’ouverture de la lettre ou un clic sur un lien hypertexte alors que la CNIL considère qu’une telle action ne constitue pas « un dernier contact émanant du prospect », comme le serait par exemple une demande de documentation, au sens de la norme simplifiée N°48 (à laquelle la société avait souscrit dans une déclaration de conformité).

Après plusieurs contrôles sur place et des mises en demeures restées infructueuses, la société était donc en contradiction, sur de nombreux points, avec la Loi Informatique et Libertés. Elle a été condamnée à une sanction de 15 000 euros.
  ***
  Deux décisions sont plus qu’une piqure de rappel sur l’importance de respecter les règles dans le domaine de la prospection commerciale.

Nos équipes se tiennent à votre disposition pour vous conseiller en la matière.

Contact :
stephanie.faber@squirepb.com
   


[1] « Est interdite la prospection directe au moyen de système automatisé de communications électroniques au sens du 6° de l’article L. 32, d’un télécopieur ou de courriers électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen. Pour l’application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe. Constitue une prospection directe l’envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services »