Au mois de juin dernier, la CNIL a fait connaître son programme de contrôles pour 2009. La commission annonce une augmentation du nombre de contrôles et privilégiera les contrôles sur place. Le secteur de la prospection commerciale, du marketing fera l'objet d'une attention toute particulière. Les sites web seront par conséquent "sous surveillance".

Outre ce plan volontariste, il faut noter qu'en 2008 les autres missions diligentées par la CNIL ont été décidées dans le cadre de l'instruction de plaintes ou afin de vérifier les engagements pris par les entreprises à la suite d'une mise en demeure décidée par la formation contentieuse de la CNIL. C'est dans ce cadre que deux décisions ont été rendues par la CNIL les 6 et 27 novembre 2008, décisions qui ont condamné respectivement à 30.000 euros d'amende deux sociétés pour non respect du droit d'opposition, les plaignants ne parvenant pas à se désinscrire des fichiers de ces sociétés.

Ces deux décisions renforcées par l'annonce d'une multiplication des contrôles doivent donc inciter à une plus grande vigilance les responsables de traitement de données à but commercial. Le respect du droit d'opposition passe par un certain formalisme lors de la collecte des informations. Ainsi, si la collecte a lieu via un site Internet, les mentions d'information à l'attention des personnes fichées doivent figurer sur les formulaires utilisés pour collecter les données ainsi que dans les mentions légales des sites Internet. De même lors de prospections téléphoniques, les entreprises devront mettre "l'interrogé" en mesure d'exercer son droit d'opposition avant toute autre question.

Ces décisions offrent l'occasion de rappeler les contours et les effets du droit d'opposition (I) et de revenir sur les conditions de mise en oeuvre de ce droit lorsqu'il est appliqué aux courriers électroniques à visée commerciale (II).

I - Le droit d'opposition selon la CNIL

Dans ces deux décisions, la CNIL a constaté un manquement au droit d'opposition (A) et rappeler les principes de l'article 38 de la loi du 6 janvier 1978 qui dispose "Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Elle a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur. (...)" (B).

A - Les deux dernières décisions de la CNIL
Le cas Isotherm [1]. Une première mission de contrôle portant sur la politique commerciale mise en oeuvre au sein de la société a été réalisée courant 2007. La CNIL a notamment demandé que soient précisées la nature des opérations de prospection réalisées, les données utilisées et les conditions de prise en compte du droit d'opposition. Ayant relevé un certain nombre d'irrégularités [2], la CNIL a adressé une mise en demeure à la société Isotherm.

La mise en demeure ordonnait à la société Isotherm, sous un délai d'un mois, à compter de la notification de la délibération de : 
"- procéder à l'accomplissement des formalités préalables auprès de la CNIL pour l'ensemble des traitements automatisés de données à caractère personnel mis en oeuvre, en particulier ceux relatifs à la gestion (...) des clients et prospects (...) ;

- prendre toutes mesures de nature à garantir qu'il soit tenu compte, de manière immédiate et systématique, du droit d'opposition exercé par toute personne concernée à recevoir de la prospection commerciale, en application de l'article 38 de la loi du 6 janvier 1978 et notamment, mettre en place une gestion pérenne des demandes d'opposition dans l'hypothèse de l'achat d'un nouveau CD-ROM de prospection ;

- communiquer à la CNIL l'intégralité des mesures prises au sein de la société Isotherm visant à respecter les dispositions de l'article 32 de la loi du 6 janvier 1978 (droit à l'information de toute personne auprès de laquelle sont recueillies des données à caractère personnel) ;

- prendre toute mesure de nature à garantir la sécurité et la confidentialité des informations collectées dans l'ensemble des traitements mis en oeuvre (...)".

Aux vues des éléments de réponse formulés par Isotherm, une délégation de la Commission a procédé à une deuxième mission de vérification sur place début juin 2008. A la suite des constats effectués, la CNIL a décidé de prononcer une sanction à l'encontre de la société Isotherm notamment pour manquement au droit d'opposition et à l'obligation d'information.

Le cas Cdiscount [3]. Saisie de plaintes de personnes ayant tenté sans succès de se désabonner, à plusieurs reprises, des listes de diffusion de la société Cdiscount afin de ne plus recevoir de courriers électroniques publicitaires, la Commission a alors adressé à la société Cdiscount un courrier lui demandant de procéder à la radiation de ses fichiers commerciaux des informations relatives aux personnes concernées. Les plaintes se multipliant, la Commission a mis en demeure la société Cdiscount, sous un délai d'un mois à compter de la notification, de :

- prendre toutes mesures de nature à garantir qu'il soit tenu compte, de manière efficace, systématique et immédiate, du droit d'opposition exercé par toute personne concernée à recevoir de la prospection commerciale, en application de l'article 38 de la loi du 6 janvier 1978 ;

- préciser à la Commission l'origine des adresses électroniques des personnes démarchées par courriel et les modalités du recueil de leur consentement préalable à l'envoi de ces courriels (...).

Faute de réponse et considérant que la société Cdiscount ne s'était pas exactement conformée à la mise en demeure en ce qui concerne le manquement au droit d'opposition, la CNIL prononça une sanction pécuniaire de 30.000 euros.

 

B - Les contours du droit d'opposition dans la loi informatique et libertés  
Rappelons que les données personnelles permettent d'identifier ou de reconnaître, directement ou indirectement, des personnes. Il peut s'agir du nom, prénom, de la date de naissance, de l'adresse postale, adresse électronique, adresse IP d'un ordinateur, du numéro de téléphone, numéro de carte de paiement, de la plaque d'immatriculation d'un véhicule, de l'empreinte digitale ou génétique, de la photo, du numéro de sécurité sociale...

Le droit d'opposition porte donc sur ces données personnelles. Il consiste à s'opposer à figurer dans un fichier. Par principe, toute personne est libre de décider de l'utilisation de données la concernant. Cette liberté peut s'exprimer par le refus d'apparaître dans certains fichiers ou de voir communiquer des informations la concernant à des tiers.
Chacun peut donc refuser, sans avoir à se justifier, que ses données soient utilisées à des fins de prospection, en particulier commerciale.

 

En pratique, la CNIL considère que le droit d'opposition peut prendre la forme :

· d'un refus de répondre lors d'une collecte non obligatoire de données,

· d'un refus de donner l'accord écrit obligatoire pour le traitement de données sensibles telles que les opinions politiques ou les convictions religieuses,

· d'une possibilité d'exiger la non-cession ou la non-commercialisation d'informations, notamment par le biais d'une case à cocher dans les formulaires de collecte,

· d'une faculté de demander la radiation des données contenues dans des fichiers commerciaux.

Et c'est justement ce dernier aspect qui a été méconnu dans les cas rapportés ci-dessus. Le droit d'opposition impose aux sociétés collectant des données à caractère personnel encore appelées "responsables du traitement" un certain nombre d'obligations. Logiquement, le responsable d'un fichier ou d'un traitement de données personnelles doit permettre aux personnes concernées par les informations qu'il détient d'exercer pleinement leur droit.

 

Il doit :
- informer de façon systématique de l'existence du droit d'opposition,
- mettre en place un système permettant un exercice simple et automatique du droit d'opposition,
- mettre en place un système non aléatoire de prise en compte des oppositions exprimées.

Quoi ? (le fond ?) Pour cela, et conformément à l'article 32 de la loi du 6 janvier 1978, le responsable de traitement doit informer :

- de son identité (identité de la personne pour le compte de laquelle la collecte est effectuée),
- de la finalité de son traitement ("gestion de clientèle", "prospection commerciale"...),
- du caractère obligatoire ou facultatif des informations qu'il collecte,
- des destinataires de ces informations,
- de l'existence de droits pour les personnes fichées, avec en l'occurrence une mention expresse du droit d'opposition,
- auprès de qui les faire valoir (indiquer des coordonnées valables permettant au destinataire d'exercer efficacement son droit d'opposition),
- des transmissions envisagées.

Quand ? Cette information se fait en principe au moment où sont collectées les données (commande, souscription d'un abonnement...). Pour autant le droit d'opposition peut s'exercer à tout moment lors de la collecte d'informations ou plus tard, une fois l'information transmise en s'adressant au responsable du fichier. Chacun peut donc revenir sur sa décision de figurer sur un fichier.

Forme ? Le respect du droit d'opposition passe par un certain formalisme lors de la collecte des informations. Ainsi, les mentions d'information à l'attention des personnes fichées doivent figurer sur les formulaires utilisés pour collecter les données ainsi que dans les mentions légales des sites Internet.

Coût ? La CNIL rappelle que le droit d'opposition ne doit occasionner aucun frais à la personne qui l'exerce.

 

Limites au droit d'opposition ? La loi précise que le droit d'opposition n'existe pas pour de nombreux fichiers du secteur public comme, par exemple, ceux des services fiscaux, des services de police, des services de la justice, de la sécurité sociale (LIL, article 38, al. 3).

Effet ? Enfin, une fois l'opposition exprimée, le responsable du fichier doit mettre à jour les données et supprimer les coordonnées de la personne ayant formulé cette demande. La CNIL rappelle que la société qui reçoit une demande de désinscription doit réagir promptement voire immédiatement afin que le destinataire ne reçoive plus de nouveaux courriels. Le prospecteur doit mettre en place un système permettant le retrait systématique des contacts. La prise en compte de l'opposition doit se faire de façon non aléatoire. Le système mis en place qu'il soit humain ou technique doit donc fonctionner de façon quasi automatique.

Le cadre juridique du droit d'opposition est donc bien défini par la loi informatique et libertés. La CNIL dispose des pouvoirs lui permettant de sanctionner le non respect de ses dispositions. Elle porte une attention particulière au système permettant la mise en oeuvre du droit d'opposition (II).

II - Le droit d'opposition appliqué aux démarchages par courriers électroniques

Pour que le destinataire du courriel soit en mesure d'exercer son droit d'opposition, l'expéditeur doit au préalable remplir un certain nombre de conditions (A) dont le non respect est pénalement sanctionné (B). Ainsi, au-delà du recours devant la CNIL, le droit d'opposition appliqué aux démarchages par courriers est encadré par le Code de la consommation et le Code des postes et communications électroniques et sanctionné par le Code pénal.

A - Les préalables à l'envoi d'un courrier électronique

Principe : opt-in. Le régime des courriers électroniques commerciaux est fixé par l'article L. 121-20-5 du Code de la consommation, inséré par la loi pour la confiance dans l'économie numérique (LCEN) du 21 juin 2004, qui renvoie à l'article L. 34-5 du Code des postes et  des communications électroniques et qui pose le principe de l'interdiction de toute prospection directe par courrier électronique à destination des personnes physiques qui n'ont pas exprimé leur consentement préalable à les recevoir (opt-in) [4].

 

La loi vise toute prospection destinée "à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services" à destination d'un consommateur.

 

Le consentement préalable est défini par la loi comme "toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe ".

 

L'expéditeur doit donc :

- Obtenir le consentement préalable du destinataire ;
- S'assurer du respect des dispositions de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
- Satisfaire à certaines obligations de transparence : identité de la personne pour laquelle la communication a lieu, objet du message en rapport avec la prestation ou le service proposé...

 

Il devra par ailleurs, faire en sorte que le caractère publicitaire du message soit identifié de manière claire et non équivoque dès sa réception par le destinataire, ou en cas d'impossibilité technique, dans le corps du message (Code de la consommation, art. 121-15-1).

 

Exception : opt-out. Toutefois, Le législateur a prévu une exception au principe du consentement préalable. Le prospecteur commercial peut passer outre ce consentement à condition de satisfaire aux conditions suivantes :

. l'envoi doit concerner la promotion de produits ou services analogues à ceux que le commerçant a déjà eu l'occasion de fournir au consommateur ;

. il doit utiliser l'adresse de courrier électronique fourni par le consommateur à l'occasion d'une vente ou d'une prestation de services antérieure ;

. il doit permettre au destinataire, "de manière expresse et dénuée d'ambiguïté", "de s'opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l'utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque fois qu'un courrier électronique lui est adressé".

En pratique, il faut donc que soit mis en place un système permettant un exercice efficace et systématique du droit d'opposition.

Le plus souvent, il s'agira d'un lien internet de désinscription sous forme d'un lien hypertexte figurant dans les conditions générales de vente, ou bien encore dans les pages de l'espace client voire dans les courriels eux-même. Ce lien doit être facile d'usage et idéalement ne doit pas nécessiter un mot de passe. Il peut encore s'agir d'une adresse électronique destinée à la désinscription. L'opposition devrait également pouvoir se faire par courrier papier.

Comme le souligne Bertrand Lemaire, "dans la pratique, il semblerait que l'opt-out soit général, tant les fichiers se baladent de commerçant en commerçant grâce à des conditions générales d'utilisation des services en ligne sur lesquels les internautes s'inscrivent" [5].

Or la société démarcheuse doit pourvoir préciser à la CNIL l'origine des adresses électroniques des personnes démarchées par courriel et les modalités de recueil de leur consentement préalable à l'envoi de ces courriels.

 

En somme, le responsable du fichier doit donc s'assurer du respect de la loi informatique et libertés, et plus particulièrement :

- veiller à ce que la collecte soit loyale et licite (LIL, art. 25) ;

- effectuer une déclaration préalable auprès de la CNIL : la collecte et l'enregistrement d'adresses électroniques constituent un traitement automatisé d'informations normatives qui doit, avant sa mise en oeuvre, faire l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés (art. 16). Le numéro de récépissé de déclaration sera indiqué dans les mentions légales ;

- informer les titulaires des adresses de courrier électronique au moment de la collecte : l'entreprise chargée de la collecte doit informer l'internaute de l'utilisation qui sera faite de son adresse électronique (art. 26) ;

- lui laisser la possibilité de s'opposer à son traitement [6] ;

- assurer la sécurité des informations : toute personne ordonnant ou effectuant un traitement d'informations nominatives s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés (art. 29).

 

Concernant le cas particulier des courriers électroniques proposant des offres promotionnelles, des concours ou des jeux, que ce soit à destination des consommateurs ou des professionnels, la loi précise que les conditions auxquelles est soumise la possibilité d'en bénéficier doivent être "clairement précisées et aisément accessibles " (Code de la consommation, art. 121-15-2).

Il faut enfin préciser qu'est considéré comme une pratique commerciale agressive, le fait "de se livrer à des sollicitations répétées et non souhaitées par téléphone, télécopieur, courrier électronique ou tout autre outil de communication à distance (C. consom., art. L. 122-11, 3°)".

L'irrespect des formalités rappelées ci-dessus est sanctionné pénalement (B).

B - Les sanctions du non respect du droit d'opposition

Le non respect du droit d'opposition peut consister à :
- ne pas mettre en oeuvre les préalables nécessaires à l'exercice de l'opposition ;
- ne pas donner suite, c'est-à-dire supprimer du fichier, à une demande d'opposition ;

Ces faits sont sanctionnés pénalement [7].

 

L'article R. 10-1 du Code des postes et des communications électroniques punit la prospection directe des personnes physiques en violation des dispositions sus-mentionnées de l'amende prévue pour les contraventions de la quatrième classe, c'est-à-dire 750 euros par message envoyé, sans préjudice de l'application du premier alinéa de l'article 226-18 du Code pénal.

 

L'article 226-18 du Code pénal punit, quant à lui, de cinq ans d'emprisonnement et de 300.000 euros d'amende la collecte frauduleuse, déloyale et illicite de données à caractère personnel ainsi que le non respect du droit d'opposition de la personne objet du traitement.

L'article L.122-12 du code de la consommation précise encore que le fait de mettre en oeuvre une pratique commerciale agressive est puni d'un emprisonnement de deux ans au plus et d'une amende de 150.000 euros au plus.

Et puis le rôle coercitif de la CNIL est réel. Nous rappelions en introduction l'intention de la commission d'accroître ses contrôles.

Elle dispose d'un large éventail de mesures coercitives et de sanctions. En vertu de l'article 45, I de la loi de 1978, outre l'avertissement, la CNIL peut après une mise en demeure infructueuse et à l'issue d'une procédure contradictoire, prononcer une sanction pécuniaire, une injonction de cesser le traitement pour ceux qui relèvent du régime déclaratif, ou encore retirer une autorisation.

En cas d'urgence et de violation des droits et libertés résultant de la mise en oeuvre d'un traitement, la CNIL peut décider l'interruption temporaire de celui-ci ou le verrouillage de données (pendant trois mois) à l'exception de certains traitements de l'État et en particulier des traitements dits de souveraineté intéressant la sûreté de l'État, la défense ou la sécurité publique et ceux ayant pour objet la recherche d'infractions pénales ou l'exécution des condamnations, pour lesquels la CNIL a cependant la possibilité d'informer le Premier ministre "pour qu'il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée" (art. 45, II).

En cas d'atteinte grave et immédiate aux droits et libertés, le président de la CNIL peut demander en référé au juge d'ordonner toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés (art. 45, III).

Encadré par l'article 47 de la Loi Informatique et libertés, le montant des sanctions pécuniaires susceptibles d'être infligées peut atteindre 150.000 € lors du premier manquement constaté et, en cas de manquement réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, 300.000 euros ou 5 % du chiffre d'affaires hors taxes du dernier exercice s'il s'agit d'une entreprise et ceci dans la limite de 300 000 euros. Le montant de ces sanctions doit en outre être "proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement".

Les sanctions pénales prévues aux articles 226-16 à 226-24 du Code pénal peuvent aussi s'appliquer, la CNIL ayant la possibilité de dénoncer au parquet les infractions à la loi dont elle a connaissance.

*        *        *

En somme, il est de la responsabilité de chaque entreprise et plus particulièrement des DSI, lorsque l'entreprise en est dotée, de vérifier auprès des directions marketing et commerciale que les règles légales sont bien appliquées. La première précaution est évidemment que la désinscription soit effective.