Prospection sur Internet : quelles règles faut-il respecter ?

La prospection directe via courrier électronique recèle il est vrai bien des avantages : elle est rapide, économique et relativement efficace. Mais on ne peut l'utiliser sans contraite, sans quoi, les sanctions tombent.

La prospection directe consiste "à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services" (article L.34-5 du Code des postes et des communications électroniques - CPCE). Cette opération est d'autant plus séduisante pour les entreprises qu'elle est rapide, économique et efficace, les adresses électroniques étant publiquement accessibles et permettant de "cibler" les envois (telle catégorie professionnelle, telle fonction dans l'entreprise, tel métier...). Toutefois, celle-ci doit respecter quelques règles.
Donnée à caractère personnel
Comme une adresse permet en principe d'identifier une personne physique (ce n'est pas le cas des adresses de type contact@societe.com), une telle opération est soumise à la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, plus particulièrement aux formalités préalables de déclaration ou d'autorisation auprès de la Cnil (L. 6 janv. 1978, art. 22 et s.). Il est toutefois possible de procéder à une déclaration simplifiée par simple engagement de conformité à la norme n°48.
Loyauté et licéité de la collecte des données
Il est interdit d'utiliser l'adresse de courrier électronique d'une personne physique à des fins de prospection commerciale sans avoir préalablement obtenu son consentement et sans offrir au destinataire une faculté de désinscription (CPCE, art. L.34-5). C'est ce que l'on appelle l'"opt-in", par opposition à l'"opt-out", système dans lequel une personne peut faire l'objet d'une prospection directe tant que lui est laissée la possibilité de s'opposer pour l'avenir à cette prospection.

Les personnes doivent avoir été mises en mesure, au moment de la collecte de leurs données, de s'opposer, de manière simple et dénuée d'ambiguïté à une utilisation de leurs données à des fins commerciales. A cet effet, elles doivent avoir été informées, lors de la collecte de leur adresse, de l'utilisation de celle-ci ou de sa cession à des tiers à des fins de prospections. Le responsable du traitement doit ainsi, sauf cas de contraintes techniques (cas des SMS par ex.), faire mention du caractère de prospection commerciale du message dans l'objet du courrier électronique.

La Cnil préconise un consentement "libre, spécifique et informé" qui ne soit pas "dilué dans une acceptation de conditions générales ou couplé à une demande de bons de réduction". Elle recommande plus spécifiquement  "qu'il soit recueilli par le biais d'une case à cocher et rappelle qu'une case pré-cochée est contraire à l'esprit de la loi" . Ainsi, seules les coordonnées récupérées avec l'autorisation de la personne physique concernée peuvent être utilisées pour un démarchage direct ultérieur ; a contrario, la personne physique qui n'aurait pas consenti à l'enregistrement de ses coordonnées en vue d'un possible démarchage peut être présumée avoir refusé ce démarchage.

Par ailleurs, la personne physique ou morale pour le compte de laquelle le message est envoyé doit être clairement identifiable dans le message. Devront à ce titre être précisées l'identité et l'adresse physique de l'éditeur du site.
Les exceptions.
L'article L.34-5 précité prévoit toutefois que le consentement préalable de la personne concernée n'est pas requis lorsque, de manière cumulative les coordonnées du destinataire ont été valablement recueillies directement auprès de lui à l'occasion d'une vente ou d'une prestation de service, la prospection directe concerne des produits ou des services analogues fournis par la même personne, et le destinataire se voit offrir la possibilité de s'opposer à l'utilisation de ses coordonnées dans chaque message qui lui est adressé.

La CNIL estime pour sa part qu'il peut être fait exception au principe de l'opt-in lorsque des personnes physiques sont prospectées par courrier électronique à leur adresse électronique professionnelle, mais uniquement si le message leur est envoyé au titre de la fonction qu'elles exercent . À titre d'exemple, la Cnil indique que "l'envoi d'un message présentant les mérites d'un logiciel à paul.toto@nomdelasociété, directeur informatique, sans l'accord préalable de Monsieur Paul Toto est acceptable, non l'envoi d'un message vantant le charme du tourisme aux Caraïbes en hiver".

Par ailleurs, la CNIL considère que le recours à l'opt-out est possible si la prospection concerne des "produits ou services analogues" à ceux déjà fournis par la même personne physique ou morale qui aura recueilli les coordonnées électroniques de l'intéressé.

Le groupe "Article 29", qui rassemble les différentes autorités de protection des données personnelles européennes, comme la Cnil pour la France, a précisé la définition de "produits et services analogues" dans un avis du 27 février 2004  : "par exemple, une entreprise qui a vendu un livre pourra solliciter cet acheteur pour l'acquisition d'un disque, à la condition toutefois que la personne démarchée ait été expressément informée, lors de la collecte de son adresse de courrier électronique, de l'utilisation de celle-ci à des fins commerciales et qu'elle ait été mise en mesure de s'y opposer de manière simple". En d'autres termes, si un internaute a acheté un livre sur Fnac.com, il pourra recevoir des promotions sur les DVD, les logiciels ou autres produits proposés par le site.
Les sanctions
Le non-respect du principe de l'opt-in est sanctionné par une amende de 750 euros pour chaque message irrégulièrement expédié (CPCE, art. R. 10-1) et le non respect des règles de collecte et du droit d'opposition est sanctionné de peines d'emprisonnement (5 ans) et de peines d'amende (300 000 euros) (C. pén., art. 226-18 et 226-18.1). La Cnil, dans sa délibération du 28 novembre 2002  avait préconisé "l'instauration d'une amende - sanction prévue pour les contraventions de 5e classe - par adresse irrégulièrement collectée (qui) paraît, en effet, une sanction plus adaptée et plus dissuasive que les dispositions générales de l'article 226-18 du Code pénal".

L'"envoi massif, et parfois répété, de courriers électroniques non sollicités, à des personnes avec lesquelles l'expéditeur n'a jamais eu de contact et dont il a capté l'adresse électronique de façon irrégulière" - plus communément dénommé spamming - peut également être sanctionnée sur le fondement de l'utilisation, à l'insu des personnes, de leur matériel informatique (C. pén., art. 323-1) ou encore du délit d'entrave (C. pén., art. 323-2).
Les moyens d'action de la Cnil
Aux termes de la loi du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN), la Cnil se voit confier la mission de surveillance de la bonne application de la loi, "pour ce qui concerne la prospection directe utilisant les coordonnées d'une personne physique" et par la loi du 6 août 2004 le pouvoir de prononcer des sanctions.

Avant même l'entrée en vigueur de ces dispositions, la Cnil avait engagé des actions pour enrayer le spamming. À titre d'exemple, elle a mis en place, dès la fin de l'année 2002, une "boîte à spam" électronique pour recueillir les plaintes des internautes . C'est dans ce cadre qu'elle a usé à plusieurs reprises de son pouvoir de dénonciation au Parquet des infractions constatées.
Débats judiciaires autour des logiciels aspirateurs
Le fait que les données utilisées soient publiquement accessibles en particulier sur internet n'ôte rien au caractère potentiellement illicite et déloyal de cette collecte. En effet, la Cnil a eu l'occasion de dénoncer l'usage de logiciels de collecte automatique d'adresses électroniques (logiciels aspirateurs) sur des sites Internet, sur la double incrimination de collecte de données personnelles par un moyen frauduleux, déloyal ou illicite et de traitement de données concernant une personne physique malgré son opposition (C. pén., art. 226-18). Les adresses électroniques, collectées à l'insu des personnes concernées ou des responsables du site, étaient ensuite utilisées à des fins de prospection commerciale.

Le juge a, par jugement du tribunal correctionnel de Paris du 7 décembre 2004 , considéré que ni l'une, ni l'autre de ces infractions n'était constituée. S'agissant de l'infraction de collecte frauduleuse, déloyale ou illicite, le tribunal a estimé, pour l'un des logiciels, que l'absence de conservation des adresses excluait qu'il y ait collecte au sens de cette disposition.

Pour l'autre logiciel, qui lui, permettait une conservation de ces adresses électroniques, le tribunal a écarté l'infraction de collecte déloyale considérant que le "consentement exprès des intéressés, qu'il intervienne a priori ou a posteriori, n'est pas exigé en tant que tel par la loi pour caractériser la loyauté de la collecte". Le tribunal a précisé que le recueil de données sur les espaces publics d'internet n'est pas illicite du seul fait d'une absence d'information des personnes concernées, une telle pratique n'étant pas interdite par la loi et n'impliquant l'usage d'aucun procédé frauduleux. Le juge pénal a également écarté l'incrimination de traitement de données nominatives en violation du droit d'opposition des propriétaires de ces données. Il relève que l'exercice de ce droit d'opposition par le biais d'un lien de désinscription n'était, la plupart du temps, pas opérationnel. Mais, ces faits et le non-respect de la faculté d'opposition n'étant pas visés dans la citation, le tribunal a relaxé le prévenu.

La Cnil a fait savoir le 16 décembre 2004 qu'elle ne partageait pas cette analyse en indiquant notamment que "de son point de vue, le principe de loyauté de la collecte des informations personnelles impose l'obligation d'informer préalablement les personnes auprès desquelles sont recueillies des données". La collecte est déloyale dès lors qu'elle est faite à l'insu de l'intéressé qui n'est alors pas en mesure de faire jouer ses droits et en particulier son droit d'opposition.

C'est également l'avis des juges d'appel qui ont réformé le jugement de relaxe précité du 7 décembre 2004. En effet, l'arrêt de la cour d'appel de Paris en date du 18 mai 2005  a retenu l'infraction de l'article 226-18 du Code pénal en considérant que la mise en oeuvre des deux logiciels par la société pour "aspirer" sur Internet des adresses électroniques de personnes physiques constituait une collecte de données nominatives opérée par un moyen illicite et en tous les cas déloyal qui réprime le fait de collecter des données personnelles par un moyen frauduleux, déloyal ou illicite.

La chambre criminelle de la Cour de cassation, suivant arrêt du 14 mars 2006  a rejeté le pourvoi formé par le dirigeant de la société concernée, confirmant ainsi la position de la Cnil selon laquelle la collecte d'informations sur des sites publics est déloyale quand ces informations sont utilisées et à l'insu des intéressés, "ce procédé faisant obstacle à leur droit d'opposition".

La Haute Juridiction a ainsi considéré, d'une part, que les adresses collectées sur des sites ou annuaires professionnels ou sur des forums de discussion avaient donné lieu à une utilisation sans rapport avec l'objet de leur mise en ligne, d'autre part, que le consentement des personnes titulaires de ces adresses n'avait à aucun moment été recueilli. Elle pose en principe qu'"est déloyal le fait de recueillir, à leur insu, des adresses électroniques personnelles de personnes physiques sur l'espace public d'Internet, ce procédé faisant obstacle à leur droit d'opposition".