Les innovations marketing, recommandations d’achat personnalisées, interfaces conversationnelles, algorithmes prédictifs : comment bénéficier des opportunités dans un cadre juridique sécurisé ? sont les thèmes qu’abordera Céline Avignon lors du petit-déjeuner débat IA et marketing du 18 septembre 2019.

Comme de nombreux secteurs d’activité, le marketing s’appuie aujourd’hui sur l’utilisation des algorithmes prédictifs pour cibler et adresser les besoins des consommateurs en agrégeant tous types de données.

IA et marketing : Quelles sont les règles qui peuvent régir le marketing prédictif ?

Céline Avignon, Directrice du département Publicité et Marketing électronique de Lexing Alain Bensoussan Avocats, dressera un panorama des tendances marketing pour identifier les principales contraintes juridiques et exploiter de manière sécurisée tous ces nouveaux outils.

De la collecte à l’activation en passant par le traitement, c’est l’occasion d’apprendre toutes les nouvelles techniques et les contraintes qu’elles supposent d’un point de vue juridique (privacy, profilage, minimisation etc.).

Le petit-déjeuner débat a lieu le 18 septembre 2019 dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Conférence gratuite. Pour y assister, l’inscription est obligatoire en renseignant les champs obligatoires (*) du formulaire ci-dessous :

Les innovations IA et marketing, recommandations d’achat personnalisées, interfaces  conversationnelles, algorithmes prédictifs : comment bénéficier des opportunités dans un cadre juridique sécurisé ? sont les thèmes qu’abordera Céline Avignon lors du petit-déjeuner débat du 18 septembre 2019.

Comme de nombreux secteurs d’activité, le marketing s’appuie aujourd’hui sur l’utilisation des algorithmes prédictifs pour cibler et adresser les besoins des consommateurs en agrégeant tous types de données.

Quelles sont les règles qui peuvent régir le marketing prédictif ?

Céline Avignon, Directrice du département Publicité et Marketing électronique de Lexing Alain Bensoussan Avocats, dressera un panorama des tendances marketing pour identifier les principales contraintes juridiques et exploiter de manière sécurisée tous ces nouveaux outils.

De la collecte à l’activation en passant par le traitement, c’est l’occasion d’apprendre toutes les nouvelles techniques et les contraintes qu’elles supposent d’un point de vue juridique (privacy, profilage, minimisation etc.).

Le petit-déjeuner débat a lieu le 24 avril 2019 dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Conférence reportée au 18 septembre 2019 : lien d’inscription

La réglementation Informatique et libertés prévoit des infractions pénales pour non-respect de certaines obligations.

C’est d’abord dans la loi du 6 janvier 1978 que se trouvent des infractions Informatique et libertés puisque son chapitre VIII s’intitule « Dispositions pénales ».

Est ainsi puni d’un an d’emprisonnement et de 150 000 euros d’amende le fait d’entraver l’action de la Cnil et ce, en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités, en refusant de leur communiquer, en dissimulant ou en faisant disparaître les renseignements et documents utiles à leur mission, ou en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tels qu’ils étaient au moment de la demande ou qui ne présentent pas ce contenu sous une forme directement accessible (1).

L’article 50 de cette même loi renvoie à la partie législative du code pénal pour un panorama plus complet des infractions Informatique et liberté, contenues dans une section 5, « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques », regroupant les articles 226-16 à 226-24.

Toutes ces infractions sont punies de 5 ans d’emprisonnement et de 300 000 euros d’amende pour les personnes physiques. Quant aux personnes morales, elles encourent 1,5 millions euros d’amende (2), ainsi qu’une interdiction d’exercer (à titre définitif ou pour une durée maximale de 5 ans), l’exclusion des marchés publics (à titre définitif ou pour une durée maximale de 5 ans), l’interdiction d’émettre des chèques ou d’utiliser des cartes de paiement (pour une durée maximale de 5 ans) et l’affichage de la décision prononcée ou la diffusion de celle-ci (3).

Ces infractions répondent à des matérialités diverses, dont notamment :

• la mise en œuvre de traitements sans respecter les formalités légales préalables ou de traitements ayant fait l’objet d’une injonction de cesser ou d’un retrait d’autorisation, ces deux premières infractions étant caractérisées y compris en cas de simple négligence. L’effacement de tout ou partie des données faisant l’objet du traitement ayant donné lieu à l’infraction peut alors être ordonné (4) ;
• le non-respect des normes simplifiées ou d’exonération établies par la Cnil pour les traitements ne nécessitant, selon la loi de 1978, qu’une simple déclaration (5) ;
• la mise en œuvre, hors les cas où la loi de 1978 l’autorise, de traitements incluant parmi les données en cause le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (6) ;
• la mise en œuvre de traitements sans avoir pris les mesures utiles pour préserver la sécurité des données (7) ;
• le fait, pour un fournisseur de services de communications électroniques, de ne pas procéder à la notification d’une violation de données à caractère personnel à la Cnil ou à l’intéressé (8) ;
• le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite (9) ;
• le fait de procéder à des traitements concernant une personne physique malgré son opposition, lorsque ce traitement répond à des fins de prospections, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes (10) ;
• hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans consentement exprès, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle ou à l’identité de genre de celles-ci. Est également réprimé ainsi le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté (11). Ces restrictions sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en œuvre ne se limite pas à l’exercice d’activités exclusivement personnelles (12) ;
• la conservation et le traitement de données à caractère personnel au-delà de la durée prévue, sauf si elle est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi (13) ;
• le détournement de leur finalité, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, classement, transmission ou toute autre forme de traitement, de ces informations (14) ;
• le fait de porter, sans autorisation, à la connaissance d’un tiers n’ayant pas la qualité pour les recevoir, pour toute personne ayant recueilli des données à caractère personnel à l’occasion de leur enregistrement, classement, transmission ou toute autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée (15). La peine est diminuée si cette infraction est commise par imprudence ou négligence et s’élève alors à 3 ans d’emprisonnement et 100 000 euros d’amende ;
• la mise en œuvre d’un transfert de données à caractère personnel faisant l’objet ou destinées à faire l’objet d’un traitement vers un Etat n’appartenant pas à l’Union européenne, hors les cas prévus par la loi et les mesures prises par la Commission européenne et la Cnil (16). L’effacement de tout ou partie des données faisant l’objet du traitement ayant donné lieu à l’infraction peut alors être ordonné (17).

Ce panorama des infractions Informatique et liberté doit être complété par les infractions contenues dans la partie réglementaire du code pénal, dans une section 6, « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques », regroupant les articles R625-10 à R625-13.

Toutes ces infractions sont punies de l’amende prévue pour les contraventions de 5e classe (soit 1500 euros (18)). En cas de récidive, et selon les prescriptions des articles 132-11 et 132-15 du Code pénal (19), le maximum de la peine d’amende encoure est portée à 3 000 euros pour les personnes physiques et à 30 000 euros pour les personnes morales.

Est réprimé ainsi :

• le fait, pour le responsable d’un traitement automatisé de données à caractère personnel, de ne pas informer la personne concernée de façon satisfaisante, la liste des informations devant être délivrées se trouvant dans l’article R625-10 du Code pénal ;
• le fait de ne pas faire droit aux demandes des personnes concernées exercées au regard de la loi de 1978 (20).

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) Loi 78-17 du 6-1-1978, art.51
(2) Selon l’article 131-8 du Code pénal, auquel renvoie l’article 226-24
(3) Selon l’article 226-24 du Code pénal, qui renvoie partiellement à l’article 131-9
(4) C. pén. art. 226-22-2
(5) C. pén. art. 226-16-1-A
(6) C. pén. art. 226-16-1
(7) C. pén. art. 226-17
(8) C. pén. art. 226-17-1
(9) C. pén. art. 226-18
(10) C. pén. art. 226-18-1
(11) C. pén. art. 226-19
(12) C. pén. art. 226-23
(13) C. pén. art. 226-20
(14) C. pén. art. 226-21
(15) C. pén. art. 226-22
(16) C. pén. art. 226-22-1
(17) C. pén. art. 226-22-2
(18) C. pén. art. 131-13
(19) Auxquels renvoie l’article R625-13 du Code pénal
(20) Selon les articles R625-11 et R625-12 du Code pénal

La norme simplifiée n°48 pour la gestion des fichiers clients et prospects a été de nouveau actualisée par la Cnil.

Cette actualisation (1) a pour objectif d’une part de prendre en considération les évolutions du commerce et des méthodes de prospection. D’autre part, elle vise à intégrer les recommandations contenues dans les délibérations de la Cnil adoptées depuis 2012, notamment dans la recommandation relative aux cookies (2) ou l’avis sur la création du téléservice « Bloctel » ayant pour finalité la gestion de la liste d’opposition au démarchage téléphonique (3).

Une mise en conformité de la norme simplifiée n°48 aux évolutions du commerce et des méthodes de prospection

La nouvelle norme simplifiée n°48 apporte un certain nombre d’éclairage sur les durées de conservation que les responsables de traitement devront strictement respecter s’ils souhaitent souscrire à un engagement de conformité à cette norme et ainsi pouvoir bénéficier des avantages de cette procédure simplifiée. La Cnil précise, en reprenant la logique de sa délibération de 2005 (4), les différences entre les archives courantes et les archives intermédiaires. S’agissant des « comptes utilisateurs », la Cnil énumère les conditions dans lesquelles ces derniers doivent être conservés ou supprimés.

En outre, la Cnil étoffe la rédaction de sa nouvelle norme en ajoutant des exemples permettant d’en faciliter la compréhension. Ainsi, elle donne des exemples de ce qui peut être ou non considéré comme un contact émanant d’un prospect. En matière de sécurité, elle précise les conditions de conservation des pièces d’identité, etc.

Ensuite, toujours soucieuse de protéger les consommateurs, la Cnil rappelle les modalités pratiques d’information des personnes, notamment s’agissant des mentions devant figurer sur les questionnaires. A cet égard, elle précise que le terme « questionnaire » doit être entendu au sens large et inclut notamment « les formulaires à compléter sur un site web ».

Dans cette même logique, elle confirme que l’opposition d’une personne à des fins de prospection commerciale doit pouvoir intervenir à tout moment, sans avoir à être motivée.

Enfin, la Cnil a amendé les articles relatifs à la sécurité et aux transferts de données (ne sont dorénavant plus visés les principes Safe Harbor, qui ont été invalidés).

La prise en compte dans la nouvelle norme simplifiée n°48 des obligations liées à la création du téléservice « Bloctel »

La nouvelle norme simplifiée n°48 a défini comme finalité « l’actualisation [des] fichiers de prospection par l’organisme en charge de la gestion de la liste d’opposition au démarchage téléphonique ».

Par ailleurs, cet organisme figure dorénavant dans la liste des destinataires potentiels des données.

Enfin, s’agissant de l’information des personnes et de l’exercice de leurs droits, la Cnil rappelle expressément les nouvelles conditions applicables à la prospection par voie téléphonique auxquelles devront se conformer les responsables de traitement.

L’intégration des recommandations de la Cnil sur les cookies

Pour ce faire, la Cnil, en renvoyant à sa recommandation de 2013 sur le sujet, a ajouté à la liste des informations collectées et traitées, celles collectées par le biais des cookies et autres traceurs.

Dans sa nouvelle norme simplifiée n°48, la Cnil a aligné les durées de conservation sur celles prévues dans sa recommandation, en consacrant ainsi la durée de conservation de 13 mois, tant au sujet des statistiques de mesures d’audience que des données de fréquentation brutes.

La consécration des recommandations de la Cnil sur les données bancaires

La Cnil ajoute à la liste des données traitées le cryptogramme visuel, tout en précisant que ce dernier ne devra pas être conservé.

La nouvelle norme simplifiée n°48 précise également, conformément aux délibérations de la Cnil, les durées de conservation des données bancaires. Ainsi, en particulier, la Cnil affine la rédaction de la norme sur la possibilité, pour les responsables de traitement, de conserver les données de leurs clients pour la réalisation de transactions ultérieures.

Cette nouvelle délibération abroge la précédente délibération n° 2012-209 du 21 juin 2012 portant création d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects.

La Cnil fixe un délai de 12 mois à compter de la publication de la norme à tous les organismes privés et publics ayant effectué une déclaration simplifiée en référence à l’ancienne norme pour se mettre en conformité avec la nouvelle norme simplifiée n°48.

Aussi, il importe, pour les responsables de traitement qui ont fait un engagement de conformité à l’ancienne norme simplifiée, de vérifier qu’ils sont conformes à la nouvelle. Dans le cas contraire, ils devront établir une déclaration normale, le délai accordé étant antérieur à mai 2018, date à laquelle le règlement européen 2016/679 (5) sera effectivement contraignant et dispensera les responsables de traitement de toute formalité.

Lexing Alain Bensoussan Avocats
Lexing Publicité et Marketing électronique

(1) Cnil, Délib. 2016-264 du 21-7-2016
(2) Cnil, Délib. 2013-278 du 5-12-2013
(3) Cnil, Délib. 2016-264 du 21-7-2016
(4) Cnil, Délib. 2005-213 du 11-10-2005
(5) Règl. (UE) 2016/679 du 27-4-2016 : JOUE 2016 L 119 p.1.

Si l’article 6 du règlement 2016/679 vise comme base légale du traitement les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, ce fondement ne pourra être retenu que si le résultat du test de la balance des intérêts le permet (1).

La Cnil a d’ores et déjà dégagé des critères d’appréciation à prendre en compte dans le cadre du test de la balance des intérêts.

Balance des intérêts dans la décision Google

Pour justifier la combinaison des données des utilisateurs de tous ses services, Google (2) a plaidé son intérêt légitime pour garantir aux utilisateurs « la meilleure qualité de service possible ». Le moteur de recherche a soutenu que ses intérêts « convergent avec ceux de l’utilisateur qui souhaite pouvoir utiliser ses services et bénéficier de la meilleure qualité disponible, si bien que, leurs intérêts respectifs se rejoignant, les siens propres ne peuvent qu’être qualifiés de légitimes ».

Si la Cnil a reconnu que « l’amélioration de la qualité de ses services relève incontestablement des intérêts de la société qui peuvent être qualifiés de légitimes au sens de la loi ». Elle relève que « la société a prévu de procéder à la combinaison potentiellement illimitée de toutes les données qu’elle collecte sur chacun de ses utilisateurs, quel que soit leur statut, et alors même qu’elle n’a pas déterminé les durées de conservation qui leur seraient applicables ».

Elle en conclut donc que la combinaison d’autant de données « est donc de nature à méconnaître les intérêts des utilisateurs et à porter atteinte à leur droit au respect de la vie privée ».

Ainsi, dans le cadre de l’analyse de la balance des intérêts la Cnil considère que si Google a effectivement développé des outils visant à permettre aux utilisateurs d’exercer un contrôle sur la collecte et le traitement de leurs données, « que leur portée et leur présentation ne sont pas de nature à rendre ce contrôle effectif pour l’ensemble des utilisateurs, quel que soit leur statut ».

En outre, la Cnil précise que : « contrairement à ce que soutient la société, les droits dont bénéficient les utilisateurs ne leur confèrent pas un large pouvoir de contrôle sur le principe même, le moment de la fourniture de données et sur la manière dont celle-ci sont utilisées et ne lui permettent (pas) de modifier, restreindre ou mettre un terme au traitement de ses données » pour conclure que la société ne peut se prévaloir, d’un juste équilibre entre son intérêt légitime et les droits fondamentaux de ses utilisateurs.

Balance des intérêts dans la décision Facebook

Dans la décision Facebook (3), la Cnil a également reproché à Facebook de procéder à une combinaison massive de données recueillies dans des contextes différents sans avoir recueilli préalablement le consentement des utilisateurs sur le fondement de l’article 7 de la loi informatique et libertés.

Il convient de signaler que la combinaison est effectuée non seulement au regard des différentes utilisations du réseau social mais également en combinant des données de plusieurs sociétés du groupe.

Après avoir effectué une analyse de la balance entre l’intérêt légitime poursuivi par les sociétés et l’intérêt, les droits et libertés des personnes concernées, la Cnil conclut que les sociétés ne disposent pas d’un fondement légal pour la mise en œuvre du traitement dans la mesure où notamment elles n’apportent pas de garantie pour préserver les intérêts, droits et libertés des personnes concernées et n’organisent pas cette combinaison dans le cadre contractuel.

Balance des intérêts : multiplier les garanties et mesures pertinentes

Compte tenu de ce qui précède, les principaux enseignements de la décision Google sont qu’en matière de poursuite d’un intérêt commercial (animation, prospection, etc.), il est nécessaire notamment de multiplier les garanties et mesures pertinentes par le responsable de traitement pour parvenir à faire pencher la balance des intérêts du côté de l’intérêt légitime du responsable :

• Limitation stricte des données traitées ;
• Mesures techniques et organisationnelles pour interdire que les données servent à la prise de décision ou de mesures à l’endroit des personnes (séparation fonctionnelle) ;
• Technique d’anonymisation/pseudonymisation ;
• Agrégation des données ;
• Transparence renforcée ;
• Droit d’opposition général et inconditionnel ;
• Gestion contractuelle ;
• Mécanisme fonctionnel permettant aux clients d’accéder à ses propres données et de les modifier.

Céline Avignon
Lexing Publicité et marketing électronique

(1) Voir notre précédant post du 14-9-2016.
(2) Cnil, Délib. 2016-054, 10-3-2016, Google Inc.
(3) Cnil, Délib. 2016-007, 26-1-2016, Facebook Inc et Facebook Ireland.

Une société a fait l’objet d’un avertissement public de la Cnil pour manquement à la loi Informatique et libertés.

Cette société a pour activité principale la constitution d’une base de données relative aux « seniors » français qu’elle loue à des tiers effectuant de la prospection commerciale sous forme électronique.

Suite à une plainte déposée le 13 août 2013 d’une personne dénonçant l’absence de réponse de la société concernée à sa demande d’accès aux informations la concernant et à ses demandes d’opposition de communication de ses données à des tiers et à la prospection téléphonique, cette dernière a répondu de manière satisfaisante à la plaignante, ce qui a amené la Cnil à clôturer la plainte.

Cependant, et afin de s’assurer du respect des dispositions de la loi Informatique et libertés, la Cnil a effectué une mission de contrôle dans les locaux de cette société le 26 mars 2015, aboutissant à un avertissement public (1).

Ce contrôle sur place a conduit à la mise en exergue de nombreux manquements au regard de la loi Informatique et libertés.

ABSENCE DE FORMALITE – Le premier manquement constaté est relatif à l’absence de déclaration de la base de données auprès de la Cnil. En effet, cette société dispose d’une base de données relative aux « seniors » français. Or, il s’avère qu’elle n’avait pas déclaré ce traitement contenant des données à caractère personnel auprès de la Cnil, comme l’exige l’article 22-I de la loi Informatique et libertés. Par ailleurs, il est à noter que ce manquement est passible d’une sanction à a fois pécuniaire et pénale. La société a indiqué que cette formalité a depuis été réalisée.

COLLECTE DELOYALE – Le second manquement concerne la collecte déloyale des données. En application de l’article 6-1° de la loi Informatique et libertés, il s’avère que les données à caractère personnel qui sont collectées doivent l’être de manière loyale et licite. Par conséquent, cela conduit le responsable du traitement à informer ses clients de la finalité de la collecte et à s’assurer que cette collecte respecte bien les dispositions en vigueur, et en cela peut être qualifiée de licite.

Or, la Cnil indique que le script téléphonique utilisé afin de collecter les données des seniors concernés, n’indique pas la finalité de cette collecte. En effet, ce script laisse croire aux personnes interrogées qu’elles participent à une enquête sur la consommation des ménages français alors même qu’à cette finalité s’ajoute celle, non déclarée, de la constitution d’une base de données des seniors, futurs cibles de la prospection commerciale électronique des partenaires de la société concernée, à qui sera loué la base de données.

ABSENCE DE RECUEIL DE CONSENTEMENT PREALABLE – Le troisième manquement concerne l’absence de recueil de consentement préalable de la personne concernée à l’envoi de prospection commerciale par des tiers. En effet, il s’avère que les tiers, partenaires de la société envoient de la prospection commerciale aux personnes concernées, sans que ces dernières n’y aient préalablement consentie.

Or, en application de l’article L. 34-5 du Code des postes et des communications électroniques, et à moins que la prospection ne concerne des produits ou services analogues fournis par la même personne physique ou morale, le consentement à l’envoi de prospection commerciale par voie électronique doit être recueilli de manière préalable et express à tout envoi.

ABSENCE DE SECURITE DES DONNEES – De plus et en application des articles 34 et 35 de la loi Informatique et libertés, le responsable du traitement a l’obligation de mettre en place des mesures garantissant la sécurité et la confidentialité des données. De plus, de telles mesures doivent également être mises en place par un sous-traitant, lorsque le responsable du traitement fait appel à un prestataire agissant en son nom et pour son compte.

En l’espèce, la Cnil relève que la société, en tant que responsable du traitement, ne met pas en place des mesures satisfaisantes pour garantir la sécurité et la confidentialité des données. En effet, elle constate que :

• des données sont transférées à des prestataires de manière non sécurisée ;
• les mots de passe utilisés ne sont pas robustes, ce qui signifie qu’ils ne font pas minimum 8 caractères alphanumériques et qu’ils ne sont pas renouvelés régulièrement, soit tous les trois mois ;
• une politique d’habilitation n’existe pas.

De plus, la Cnil a pu constater qu’aucun contrat n’a été conclu avec ses sous-traitants et que seul un contrat a été conclu avec l’hébergeur mais qu’aucune clause relative à la confidentialité et à la sécurité des données n’est implémentée.

ABSENCE D’ENCADREMENT DE TRANSFERTS DE DONNEES EN DEHORS DE L’UNION EUROPEENNE – Il a été relevé que la société envoie des données à caractère personnel en dehors de l’Union européenne et notamment à l’Ile Maurice. Or, lorsqu’un flux transfrontière existe, il convient de vérifier si le pays concerné propose un niveau de protection adéquat. En l’espèce, l’Ile Maurice ne propose pas un niveau de protection adéquat, ce qui conduit à devoir encadrer de manière spécifique ce transfert.

En l’espèce, la Cnil souligne qu’aucun contrat n’a été conclu avec le sous-traitant situé à l’Ile Maurice et qu’aucune formalité n’a été effectuée auprès d’elle afin d’autoriser ce transfert.

Cette délibération de la Cnil permet de reprendre les grands principes de la loi Informatique et libertés devant absolument être appliqués pour la mise en œuvre de tout traitement de données à caractère au sein d’une entreprise.

Par conséquent, il est fortement recommandé de vérifier que :

• tous les traitements présents dans une entreprise ont bien été déclarés ;
• la collecte de données à caractère personnel est bien licite et loyale et que la finalité du traitement est clairement et précisément présentée à la personne concernée ;
• le consentement de la personne concernée à recevoir de la prospection commerciale par voie électronique a bien été recueilli de manière express et préalablement à tout envoi ;
• les contrats conclus avec les prestataires et les sous-traitants contiennent tous une clause relative à la sécurité et à a confidentialité des données ;
• les envois de données à caractère personnel en dehors de l’Union européenne sont bien tous correctement encadrés.

Pour s’en assurer, il convient de mener une mission d’audit Informatique et libertés au sein de son entreprise.

Lexing Alain Bensoussan Avocats
Lexing, Droit Informatique et libertés

(1) Cnil, Délib. 2015-454, 21-12-2015 Profils Seniors.

La Cnil vient de publier son 35e rapport d’activité pour l’année 2014. L’année 2014 a été marquée par une préoccupation croissante des Français quant à leurs données personnelles.

Bilan des actions et contrôles Cnil en 2014. La Cnil a reçu 5246 demandes de droit d’accès indirect, soit une augmentation de 22% par rapport à 2013. Ces demandes concernent principalement le fichier FICOBA de l’administration fiscale, les fichiers d’antécédents judiciaires de la police et de la gendarmerie (fichier unique TAJ depuis le 1er janvier 2014) et les fichiers de renseignement. De plus, le nombre de plaintes est toujours aussi important puisque 5825 plaintes ont été enregistrées, dont 39% concernent l’e-reputation.

Un nouveau service de plaintes en ligne a été mis en place en avril 2015. Il permet de répondre aux difficultés liées à la suppression de données personnelles sur des sites, blogs, forums, réseaux sociaux ou des moteurs de recherches, ou encore aux questions relatives au spam et à la prospection commerciale par courrier, courriel ou par téléphone, aux questions de surveillance des salariés et aux inscriptions dans les fichiers d’incidents de paiement.

L’année 2014 se caractérise également par les premiers contrôles en ligne de la Cnil. Ainsi, le rapport d’activité compte 58 contrôles en ligne effectués entre octobre et décembre 2014 portant notamment sur la conformité à la recommandation cookies et autres traceurs adoptée par la Cnil le 5 décembre 2013.

La Cnil a également rendu un avis sur le projet de loi relatif au renseignement. Plusieurs recommandations de la Cnil ont été prises en compte, mais la Cnil reste attentive à l’occasion des discussions à venir sur les modifications proposées par les parlementaires, notamment celles relatives aux modalités de contrôles des fichiers de renseignements.

Les thématiques prioritaires pour 2015. L’année 2015 s’annonce également riche en actions pour la Cnil qui entend encore augmenter le nombre de ses contrôles sur les thèmes qu’elle juge prioritaires :

• le fichier judiciaire national automatisé des auteurs d’infractions sexuelles ou violences (FIJAISV). Environ 15 missions sont planifiées pour 2015 ;
• le fonctionnement du Fichier des Incidents de remboursement de Crédits aux Particuliers (FICP). Une vingtaine de contrôles, tant sur pièces que sur place, est envisagée ;
• les traitements mis en œuvre au titre du paiement et recouvrement de l’impôt sur le revenu. La Cnil va poursuivre les missions auprès notamment d’établissements de service informatique (ESI) et de centres de données.

Chloé Torres
Lexing, Droit Informatique et libertés

L’objectif de la Cnil, à travers l’adoption de cette nouvelle norme simplifiée 48 (1), a été de mettre en conformité l’ancienne norme aux nouvelles méthodes de prospection et aux grandes évolutions du e-commerce.

Pour ce faire, de nouvelles finalités de traitement ont été définies, telles que notamment la réalisation d’enquêtes de satisfaction et l’organisation de loteries publicitaires et de jeux concours.

La Cnil a également ajouté comme nouvelle finalité « la gestion d’avis des personnes sur des produits, services ou contenus », de manière à anticiper l’adoption prochaine d’une norme Afnor ayant pour objectif d’encadrer les processus de traitements des avis des consommateurs sur internet. En effet, cette nouvelle norme devrait mettre à la charge des éditeurs de sites internet la mise en place de traitements impartiaux et de bonne foi des avis des consommateurs.

Par ailleurs, conformément à la position adoptée par le groupe de l’article 29, la Cnil vise expressément la possibilité de recourir aux implémentations de cookies d’analyse et de statistique de fréquentation des sites internet à des fins de mesure d’audience, sans avoir à recueillir préalablement le consentement des personnes concernées, sous réserve du respect de certaines conditions.

Protéger la vie privée des consommateurs reste la priorité de la Cnil, ainsi la nouvelle norme encadre précisément les traitements, en précisant les durées de conservation, les modalités pratiques d’information des personnes, les mesures de sécurité assurant la confidentialité des données, et les différents cas dans lesquels les transferts de données hors de l’Union européen sont permis.

Par ailleurs, la Cnil accentue ses exigences en matière de recueil du consentement préalable et du droit d’opposition. En effet, la Cnil spécifie que ces droits doivent pouvoir s’exprimer par un moyen simple et spécifique, elle cite à titre d’exemple une case à cocher. De même, en précisant que l’acceptation des conditions générales d’utilisation n’est pas une modalité suffisante du recueil du consentement des personnes, la Cnil réaffirme que le consentement exprimé doit être une manifestation de volonté libre, spécifique et informée.

Concernant l’exercice du droit d’opposition à la collecte des données personnelles par l’intermédiaire de cookies, la Cnil précise que l’outil permettant de désactiver la traçabilité mise en œuvre par l’outil d’analyse de fréquentation doit être accessible aisément par tous les internautes, et doit assurer l’absence totale de collecte de données.

Enfin, afin de lutter contre la fraude bancaire et l’usurpation d’identité, la Cnil détermine des mesures de sécurité renforcées, telles que l’authentification des personnes accédant aux données, la traçabilité de tout accès aux données dans le cas d’accès illégitime, ou encore l’utilisation de clé secrète lorsqu’il y a stockage des numéros de carte bancaire.

La Cnil fixe un délai de 12 mois à compter de la publication de la norme à tous les organismes privés et publics ayant effectué une déclaration simplifiée en référence à l’ancienne norme pour se mettre en conformité avec la nouvelle norme.

(1) Cnil, Délibération n° 2012-209 du 21-6-2012
(2) Groupe de l’article 29, Avis 04/2012 WP 194 du 7-6-2012

L’édito de la Lettre juristendance Informatique et libertés de janvier-février 2012 est consacré aux opérations de prospection par courrier électronique non consenties. La formation restreinte de la Cnil vient en effet de prononcer, à l’encontre d’une société spécialisée dans le diagnostic immobilier, une sanction pécuniaire suite à des opérations de démarchage par SMS effectuées par cette dernière auprès de propriétaires de biens immobiliers à vendre, sans leur consentement.

Juristendance Informatique et libertés Janvier-Février 2012

La formation restreinte de la Cnil vient de prononcer, à l’encontre d’une société spécialisée dans le diagnostic immobilier, une sanction pécuniaire.

La Cnil a sanctionné la prospection par courrier électronique non consentie, s’agissant d’opérations de démarchage par SMS effectuées par cette société auprès de propriétaires de biens immobiliers à vendre, sans leur consentement.

Dans cette affaire, la Cnil avait été saisie par quatre plaignants ayant été démarchés par cette société via l’envoi de SMS sur leurs téléphones portables alors qu’ils n’avaient jamais consenti à recevoir de la prospection commerciale par ce moyen. Avant de saisir la Cnil, chaque plaignant avait tenté d’exercer en vain son droit d’opposition à recevoir de telles prospections.

Un contrôle avait alors été effectué par les agents de la Cnil dans les locaux de la société et cette dernière avait été mise en demeure par la Cnil de cesser les manquements constatés.

La Cnil, estimant que les réponses apportées par la société à la mise en demeure ne répondaient pas aux exigences de celle-ci, a engagé une procédure de sanction à l’issue de laquelle elle a considéré que la société avait :

• manqué aux dispositions de l’article L.34-5 du Code des postes et des communications électroniques en adressant des SMS à des destinataires qui n’avaient pas donné leur consentement à recevoir de la prospection par ce moyen (et ce, malgré le fait que les coordonnées téléphoniques de ces personnes étaient issues de fichiers achetés auprès de sociétés spécialisées dans la pige immobilière) ;
• manqué à l’obligation d’information des personnes concernées, telle qu’imposée par la loi Informatique et libertés. A cet égard, la Cnil considère que le message « Stop » suivi d’un numéro de téléphone figurant dans les SMS ne saurait être considéré comme une mention satisfaisante au regard des exigences de la loi ;
• manqué à l’obligation de respecter le droit d’opposition des personnes destinataires des messages, le dispositif d’opposition mis en œuvre ne répondant pas aux exigences de gratuité et d’effectivité requises par les normes en vigueur.

Au regard de ces constatations, la Cnil a prononcé à l’encontre de la société expéditrice des messages une sanction pécuniaire d’un montant de 20.000 euros. Elle a, en outre, décidé de rendre publique sa délibération de sanction, eu égard à la nature et à la gravité des manquements commis.

Cnil, Délibération n° 2011-384 du 12-1-2012

Les nouvelles dispositions issues de l’ordonnance du 24 août 2011 (1) transposant le paquet télécoms introduisent une protection renforcée de la vie privée et des données personnelles, se traduisant par diverses mesures, dont l’encadrement légal des « cookies », l’interdiction de la prospection directe sans consentement préalable et la modification de la loi Informatique et libertés. Concernant l‘encadrement légal des « cookies », l’article 37 de l’ordonnance rappelle le principe d’une information claire et complète de l’internaute sur l’installation des cookies, ainsi que sur leur finalité et les moyens de les refuser. La mesure innovante de ce texte relève de la subordination de l’accès aux informations déjà stockées dans l’équipement terminal ou de l’inscription des informations dans cet équipement au consentement préalable de l’abonné ou de la personne utilisatrice. Ce consentement peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont toutefois pas applicables aux cookies dits de « navigation » qui ont pour principale finalité de « permettre ou de faciliter la communication par voie électronique » et aux cookies strictement nécessaires à la fourniture d’un service.

Concernant la prospection directe visée à l’article 8 de l’ordonnance, celle-ci est interdite lorsqu’elle est effectuée au moyen de systèmes automatisés d’appel et de communication, d’un télécopieur ou de courriers électroniques et qu’elle utilise les coordonnées d’une personne physique abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement.

Parallèlement, l’article L.121-15-1 du code de la consommation, qui prévoit que « les publicités, et notamment les offres promotionnelles […] adressées par courrier électronique, doivent pouvoir être identifiées de manière claire et non équivoque dès leur réception » est complété par une disposition posant l’obligation d’indiquer une adresse ou un moyen électronique qui permet effectivement au destinataire de transmettre une demande visant à obtenir la cessation de ces publicités.

Concernant la protection des données à caractère personnel, l’ordonnance prévoit, à l’article 38, une procédure spécifique de notification à la Cnil et à l’utilisateur en cas de « faille de sécurité ». Cet article s’applique aux traitements de données à caractère personnel mis en oeuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification.

Ainsi, le fournisseur de ces services est désormais astreint à l’obligation de notifier sans délai à la Cnil toute de violation de sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques.

Cet article impose également au fournisseur de services de communications électroniques d’informer l’intéressé lorsque la faille de sécurité porte atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique. Toutefois, la notification à l’intéressé n’est plus nécessaire en cas de constatation par la Cnil de mesures de protection appropriées mises en oeuvre par le fournisseur pour rendre les données concernées par la violation incompréhensibles à toute personne non autorisée à y avoir accès. A défaut, la Commission peut mettre en demeure le fournisseur d’informer également les intéressés après avoir examiné la gravité de la violation.

Enfin, chaque fournisseur de services de communications électroniques tient à jour, à la disposition de la Cnil, un inventaire des violations de données à caractère personnel, ainsi que leur effet et les mesures pour y remédier. Le Conseil national du numérique (CNN) avait rendu, sur demande du gouvernement, un avis du 23 mai 2011 (2) considérant que ce dernier dispositif d’information de la Cnil en cas de faille de sécurité était plus contraignant que celui prévu par la directive. A titre d’illustration, dans le texte de la directive, le fournisseur doit avertir « sans retard indu » l’intéressé, mention qui n’est pas fidèlement transposée dans l’ordonnance puisque la mention « sans délai », beaucoup plus contraignante, y est substituée. L’avis du Conseil national du numérique n’a donc pas été suivi par le Conseil des ministres puisque des mesures plus strictes que celles instaurées par la directive ont été adoptées.

(1) Ordonnance n° 2011-1012 du 24-8-2011 ; Rapport du 26-8-2011 ; Arcep, Avis n° 2011-0524 du 10-5-2011
(2) Avis du 23-5-2011

L’édito de la Lettre juristendance Informatique et libertés novembre-décembre 2010 met l’accent sur les sanctions pécuniaires prononcées par la Cnil en raison de la réitération constatée de manquements graves aux dispositions de la loi dite Informatique et libertés.La Cnil a récemment fait usage de son pouvoir de sanction à l’encontre d’une société ayant procédé à des opérations de prospection commerciale par télécopie en ayant omis de se conformer aux dispositions légales applicables. Après une mise en demeure non suivie d’effet, elle a été condamné au paiement d’une sanction pécuniaire d’un montant de 5 000 euros.

Malgré cette condamnation, qui n’a d’ailleurs été exécutée que partiellement, les agissements de la société ont perduré. La Commission ayant été saisie de sept nouvelles plaintes entre juin 2009 et mars 2010, dont l’objet est identique aux plaintes déposées entre 2005 et 2007, une procédure fut engagée à l’encontre de la société, sur le fondement du 1° du I de l’article 45 de la loi du 6 janvier 1978 modifiée.

La Cnil acondamné la société mise en cause au paiement d’une sanction pécuniaire d’un montant de 15000 euros et a décidé de la publication de la délibération sur son site et sur le site internet Légifrance.

Juristendance Informatique et libertés n°36 Novembre-Décembre 2010

Petit-déjeuner du 6 octobre 2010 – Alain Bensoussan, Chloé Torres et Céline Avignon ont coanimé un petit-déjeuner débat consacré aux obligations Informatique et libertés dans le secteur bancaire. Le secteur bancaire fait régulièrement l’objet de contrôles par la Cnil, à raison de la sensibilité des traitements qu’il met en oeuvre (lutte contre le blanchiment de capitaux et le financement du terrorisme, scoring, interdits bancaires, fichiers de crédits à la consommation, banque en ligne, etc.)  et des nombreuses opérations de prospection commerciale pratiquées dans ce secteur.

Quelles sont les données pouvant être collectées auprès des clients et prospects et quelles sont celles qui peuvent être utilisées à des fins de prospection ?

Quelle politique adopter en matière de conservation des données?Comment prévenir et faire face à un contrôle sur place de la Cnil ?

Comment concilier secret bancaire et contrôle Cnil ?Quelles mesures mettre en oeuvre pour assurer la confidentialité et la sécurité des données ?

Comment encadrer les opérations de sous-traitance, notamment lorsqu’un centre d’appel est situé hors de l’Union européenne ?

Quel est le meilleur profil d’un correspondant informatique et libertés (Cil) dans le secteur bancaire ?

Quels outils implémenter pour limiter les risques juridiques liés à la saisie de données interdites dans des zones de commentaires libres ?

Autant de sujets, non limitatifs, que nous vous avons proposé d’aborder au cours d’un petit-déjeuner débat.

La Cnil a récemment fait usage de son pouvoir de sanction à l’encontre d’une société ayant procédé à des opérations de prospection commerciale par fax sans s’être conformée aux dispositions légales applicables en la matière. Dans cette affaire, la Cnil avait été saisie de nombreuses plaintes concernant une société de commerce de détail d’habillement qui effectuait régulièrement des opérations de prospection commerciale par télécopie sans avoir obtenu, conformément à la loi, le consentement préalable des personnes concernées, et surtout sans tenir compte des demandes d’opposition qui avaient été formulées par les destinataires de ces télécopies.

Après une mise en demeure de la Cnil non suivie d’effets, cette dernière avait condamnée la société concernée au paiement d’une sanction pécuniaire d’un montant de 5000 euros . Toutefois, malgré cette condamnation, qui n’a d’ailleurs été exécutée que partiellement, les agissements de la société ont perduré et d’autres plaintes ont été reçues de la Cnil.

Pour se défendre, la société mise en cause arguait de ce que ces envois de télécopies étaient de la responsabilité de son prestataire, ce dernier s’étant contractuellement engagé à respecter les dispositions de la loi Informatique et libertés dans le cadre des opérations de prospection dont il était en charge. Dans sa décision, la Cnil rappelle que la société donneuse d’ordre demeure responsable du traitement même lorsqu’elle fait appel à un sous-traitant. Elle précise également de manière détaillée les manquements constatés, à savoir :

• mise en place d’opérations de prospection commerciale sans avoir obtenu le consentement préalable des destinataires ;
• non respect du droit d’opposition des personnes concernées ;
• manquement à l’obligation d’accomplir les formalités préalables adéquates auprès de la Cnil.

Enfin, la Cnil, faisant pour la première fois usage du pouvoir dont elle dispose pour condamner la réitération de manquements aux dispositions «Informatique et libertés», condamne la société mise en cause au paiement d’une sanction pécuniaire d’un montant de 15000 euros et décide de la publication de la délibération sur son site et sur le site internet Légifrance.

Cnil, Délib. 2010-232 du 17-6-2010
Cnil, Délib. 2007-352 du 22-11-2007

Informatique et libertés

Jurisprudence – France

2007

Publicité

Prospection commerciale

Le Maroc choisit le régime de l’opt-in

La loi marocaine relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel vient d’être publiée (1). Le Maroc se dote ainsi d’une loi relative à la protection des données à caractère personnel, très similaire à la directive 95/46 relative à la protection des personnes physiques à l’égard des traitement de données à caractère personnel. Cette loi lui permettra sans doute, à terme, d’obtenir une décision de la Commission européenne lui reconnaissant un niveau de protection adéquat, permettant aux exportateurs de données vers le Maroc de simplifier les formalités à accomplir pour mettre en œuvre des flux de données.

Outre ce nouveau régime de la protection des données à caractère personnel, le Maroc choisit de soumettre au régime de l’opt-in la prospection directe au moyen d’un automate d’appel, d’un télécopieur, d’un courrier électronique ou d’un moyen employant une technologie de même nature, qui utilise, sous quelque forme que ce soit, les coordonnées d’une personne physique. En effet, la prospection directe, par l’un de ces moyens, est interdite si la personne physique, dont les coordonnées sont utilisées, n’a pas préalablement et expressément consenti à recevoir de la prospection directe par l’un de ces moyens.

A l’instar de l’article L.34-5 du Code français des postes et des communications électroniques, la loi marocaine prévoit une exception, uniquement pour les courriers électroniques, en cas de prospection directe concernant des produits ou services analogues fournis par la même personne physique ou morale que celle à l’origine de la collecte des données. Si cette réglementation est dans la droite ligne de la directive 2002/58 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), il convient néanmoins de remarquer, suivant en cela les dernières recommandations du groupe de l’article 29 (2), que le Maroc soumet également à l’opt-in les « moyens utilisant une technologie de même nature ». S’il appartiendra à la doctrine et aux juridictions de définir les moyens et techniques visés par cette précision, il semble d’ores et déjà, compte tenu des débats actuels, que celle-ci vise notamment le Bluetooth.

En tout état de cause, quel que soit le moyen de prospection directe utilisé, les messages de prospection directe devront toujours contenir des coordonnées valables, auxquelles le destinataire puisse utilement transmettre une demande tendant à obtenir que ces communications cessent, sans frais autres que ceux liés à la transmission de celle-ci. L’identité de la personne pour le compte de laquelle la communication est émise devra être mentionnée. Il sera également interdit, comme dans le droit français, de mentionner un objet sans rapport avec la prestation ou le service proposé.

(1) Loi n°09-08 du 18 02 2009
(2) Groupe de l’article 29, Recommandations du 10 février 2009.

(Mise en ligne Avril 2009)

Autres brèves

• La Cnil prend position sur la prospection commerciale via bluetooth

(Mise en ligne Novembre 2008)

• Prospection commerciale par SMS : la Cnil rappelle les limites

(Mise en ligne Juillet 2008)

• La prospection commerciale à l’insu des internautes est illicite

(Mise en ligne Avril 2006)

Publicité

Prospection commerciale

Prospection commerciale par SMS : la Cnil rappelle les limites

L’envoi de messages à caractère commercial et publicitaire sur les téléphones portables (SMS) a tendance à se généraliser. Or ce type d’envoi est encadré par la loi du 21 juin 2004 pour la confiance dans l’économie numérique et par la loi Informatique et Libertés. La Cnil vient d’ailleurs de rappeler tout récemment les limites à ne pas dépasser en ce domaine. Il est ainsi obligatoire de recueillir le consentement « préalable » du destinataire du message. Celui-ci doit en effet, avoir accepté de recevoir ce type de message, par exemple, en ayant coché une case prévue à cet effet lors de la souscription de son abonnement téléphonique ou de la collecte de son numéro de téléphone. L’envoi de SMS commerciaux à des personnes déjà clientes est toutefois toléré, si la prospection concerne des «produits ou services analogues » à ceux déjà fournis par l’entreprise. Dans ce dernier cas, la société doit néanmoins permettre à ses clients de s’opposer gratuitement, dès qu’ils le souhaitent, à l’envoi des SMS. Pour limiter ou faire cesser ces envois, il faut demander à son opérateur de téléphonie mobile s’il a mis en place une procédure d’opposition (SFR et Bouygues proposent par exemple aux abonnés de répondre « STOP » à l’émetteur) ou signaler sur le site de la Cnil (boîte de signalement) les messages récurrents. Des plaintes successives peuvent aboutir à un contrôle de la Cnil, qui sera suivi de sanctions financières.

Quelles sont les limites de la prospection par SMS ?, Alain Bensoussan, Micro Hebdo, 10 juillet 2008.

(Mise en ligne Juillet 2008)

Publicité

Prospection commerciale

La Cnil prend position sur la prospection commerciale via bluetooth

Selon la Cnil, la loi Informatique et libertés est applicable aux données techniques traitées dans le cadre du protocole de communication bluetooth. C’est ce qu’elle a annoncé lors d’une séance plénière, en qualifiant l’adresse physique de l’interface du portable et l’identifiant bluetooth du téléphone de données à caractère personnel. Elle considère également que l’envoi de messages publicitaires sur des téléphones mobiles via la technologie bluetooth constitue une prospection directe au moyen d’un courrier électronique, soumise aux dispositions de l’article L.34-5 du code des postes et communications électroniques. Par ailleurs, elle précise que les envois de messages demandant à l’utilisateur s’il accepte l’établissement d’une connexion bluetooth n’est pas une modalité satisfaisante de recueil du consentement, dans la mesure où cette procédure intervient trop tardivement.

La Cnil réaffirme le principe selon lequel l’envoi systématique de messages publicitaires à tous les utilisateurs se trouvant dans une zone de couverture ne doit pas être la règle. En revanche, elle se montre plutôt favorable à l’utilisation de solutions permettant aux seules personnes réellement intéressées par le contenu publicitaire d’être sollicitées telles que, par exemple, le recours à une solution nécessitant que l’utilisateur approche son portable de l’affiche pour recevoir de la publicité. En effet, la Cnil considère qu’avec cette procédure le consentement de la personne est matérialisé.

Cnil, Communiqué de presse du 12 novembre 2008

(Mise en ligne Novembre 2008)

Les sociétés faisant de la prospection commerciale par télécopie doivent avoir recueilli préalablement le consentement des personnes démarchées. C’est en effet ce qu’a rappelé la Cnil dans une délibération portant sanction à l’encontre d’une société qui avait envoyé des milliers de fax sans l’accord des prospects. Après avoir tenté en vain d’exercer leur droit d’opposition à ne plus recevoir des sollicitations commerciales adressées par télécopie par cette société, de nombreux particuliers ont saisi la Cnil. Cette dernière a d’abord rappelé à la société, dont le message commercial prévoyait pourtant la mise en oeuvre du droit d’opposition, ses obligations.

Puis la Cnil a mis en demeure cette société de «procéder à l’accomplissement des formalités préalables auprès de la Cnil pour tout traitement automatisé de données à caractère personnel mis en oeuvre ; cesser toute prospection commerciale par télécopie auprès des personnes qui n’auront pas préalablement donné leur accord pour être démarchées (…) ; supprimer les coordonnées des requérants ayant exercé leur droit d’opposition ; apporter toute garantie que, pour l’avenir, les droits des personnes dont les données à caractère personnel font l’objet d’un traitement automatisé à des fins commerciales soient respectés (…) ; indiquer par quels moyens la société (…) s’est procuré les numéros des télécopieurs de ses prospects et apporter toute garantie qu’une telle collecte a bien été réalisée conformément aux dispositions de la loi Informatique et libertés ».

La société n’y ayant donné aucune suite, un rapport de sanction lui a été notifié. Suite aux observations en réponse à la Cnil, cette dernière a considéré que la société n’avait apporté aucune garantie permettant d’établir qu’elle collectait et traitait les données à caractère personnel de manière loyale et licite, qu’elle n’avait apporté aucun élément attestant qu’elle avait cessé toute prospection commerciale par télécopie auprès des personnes physiques n’ayant pas préalablement donné leur accord pour être démarchées, qu’elle n’avait procédé à aucune formalité préalable que le système de gestion des oppositions de la société était insuffisant et qu’elle n’avait pas répondu dans le temps qui lui était imparti à l’ensemble des demandes formulées dans la mise en demeure. La Cnil a donc prononcé le 22 novembre 2007 à l’égard de cette société une sanction pécuniaire de 5 000 euros.

Cnil, Délibération n° 2007-352 du 22-11-2007

Marketing électronique

Prospection B to C

Prospection commerciale par SMS : la Cnil rappelle les limites

L’envoi de messages à caractère commercial et publicitaire sur les téléphones portables (SMS) a tendance à se généraliser. Or ce type d’envoi est encadré par la loi du 21 juin 2004 pour la confiance dans l’économie numérique et par la loi Informatique et Libertés. La Cnil vient d’ailleurs de rappeler tout récemment les limites à ne pas dépasser en ce domaine. Il est ainsi obligatoire de recueillir le consentement « préalable » du destinataire du message. Celui-ci doit en effet, avoir accepté de recevoir ce type de message, par exemple, en ayant coché une case prévue à cet effet lors de la souscription de son abonnement téléphonique ou de la collecte de son numéro de téléphone. L’envoi de SMS commerciaux à des personnes déjà clientes est toutefois toléré, si la prospection concerne des «produits ou services analogues » à ceux déjà fournis par l’entreprise. Dans ce dernier cas, la société doit néanmoins permettre à ses clients de s’opposer gratuitement, dès qu’ils le souhaitent, à l’envoi des SMS. Pour limiter ou faire cesser ces envois, il faut demander à son opérateur de téléphonie mobile s’il a mis en place une procédure d’opposition (SFR et Bouygues proposent par exemple aux abonnés de répondre « STOP » à l’émetteur) ou signaler sur le site de la Cnil (boîte de signalement) les messages récurrents. Des plaintes successives peuvent aboutir à un contrôle de la Cnil, qui sera suivi de sanctions financières.

Marketing électronique

Le secteur de la prospection « B to B » bénéficie de dérogations

La Commission nationale de l’informatique et des libertés (Cnil) a considéré en mars 2005 que l’opt-in créé par la loi pour de la confiance dans l’économie numérique (LCEN) en matière de publipostage par voie électronique ne s’applique pas à la prospection vers les professionnels. Cette disposition inscrite dans le Code de la consommation et dans celui des postes et communications électroniques peut être lourdement sanctionnée à l’échelle d’une campagne. La loi ne précise pas les notions de « coordonnées d’une personne physique » ou de « biens et services analogues ». Elle ne précise pas d’avantage si la prospection vers les professionnels peut être totalement ou partiellement exclue des ces dispositions. L’opt-in constitue le consentement libre et éclairé de la personne auprès de laquelle ont été collectées les coordonnées.

Art. L34-5 du Code des postes et communications électroniques
Art. L121-1 du Code de la consommation

(Mise en ligne Octobre 2008)

Autres brèves

• Conformité des codes de déontologie relatifs à la prospection commerciale

(Mise en ligne Octobre 2006)

Marketing électronique

Prospection B to B

Conformité des codes de déontologie relatifs à la prospection commerciale

La Cnil a reconnu conforme à la loi informatique et libertés modifiée, deux codes de déontologie présentés par des professionnels du marketing direct relatifs à la prospection électronique. Le premier code concerne le Syndicat National de la Communication Directe (SNCD) et porte sur la communication directe électronique. Le second code concerne l’Union Française du Marketing Direct (UFMD) et porte sur l’utilisation de coordonnées électroniques à des fins prospection directe.

Délibération n°2005-051 du 30 mars 2005

Délibération n°2005-047 du 22 mars 2005

(Mise en ligne Octobre 2006)

Au début de l’année 2009, l’Arcep a officiellement lancé la procédure d’attribution de la quatrième licence de téléphonie mobile de 3^ème génération vacante. L’installation d’un quatrième opérateur nécessitant une redistribution du spectre radioélectrique actuellement utilisé par les trois opérateurs existants, l’Arcep a mis en place, dès 2007, un certain nombre de règles visant à la rétrocession d’une partie de ces fréquences, dans la bande des 900 MHz et des 1800 MHz, en publiant les orientations qu’elle entendait retenir dans ce cadre.

Parallèlement et comme le prévoyait l’autorisation d’exploitation de réseau qui a été attribuée à Bouygues Télécom, l’Autorité de régulation des communications électroniques et des postes a rendu la décision n^°2007-1114 du 4 décembre 2007 fixant les conditions de renouvellement de l’autorisation d’utilisation de fréquences qui lui a été attribuée. Cette décision tenait compte des orientations adoptées précédemment. C’est dans ces circonstances que Bouygues Télécom a saisi le Conseil d’Etat, en janvier 2008, en vue de l’annulation des dispositions de l’annexe 5 de cette décision. Elle estimait, en effet, qu’elle était contraire aux dispositions de l’article L.42-1 du Code des postes et des communications électroniques, qui posent le principe selon lequel les fréquences doivent être attribuées dans des conditions objectives, transparentes et non discriminatoires.

Par décision du 27 avril 2009, le Conseil d’Etat a rejeté la requête de Bouygues Télécom. La Haute juridiction a estimé qu’aucune discrimination ne pouvait être retenue à l’encontre de Bouygues Télécom puisque le schéma mis en place par l’Arcep conduit à ce que chacun des trois opérateurs existants dispose de la même quantité de fréquences, alors que le futur attributaire de la quatrième licence n’en disposerait que d’une quantité moindre. Par ailleurs, Bouygues Télécom s’estimait victime d’une pratique discriminatoire en raison des conditions dans lesquelles cette rétrocession de fréquences aurait lieu.

En effet, alors que SFR et Orange France n’auraient à restituer, chacune, que 2,4 MHz sur la totalité des fréquences qui leur ont été allouées, Bouygues Télécom serait contrainte d’en restituer le double, soit 4,8 MHz. De plus, SFR et Orange France n’auraient à restituer leurs fréquences que le 31 décembre 2012 alors que Bouygues Télécom devrait le faire dans les 18 mois qui suivent l’attribution de la quatrième licence. Bouygues Télécom faisait, en conséquence, valoir que cette contrainte lui imposerait de décaler davantage le déploiement de ses services de 3^ème génération ou de dégrader la qualité des services de 2^nde génération pour tenir compte de la réduction du nombre de fréquences disponibles pour elle.

Par ailleurs, le Conseil d’Etat considère que la différence de traitement imposée à Bouygues Télécom est objectivement justifiée. En effet, les contraintes de trafic de Bouygues Télécom sont considérablement moins élevées que celles des deux autres opérateurs, du fait de son moins grand nombre de clients. Le Conseil d’Etat considère que l’obligation de rétrocéder une partie des bandes de fréquences allouées aux opérateurs est inscrite dans les autorisations d’attribution de fréquences depuis le 28 juillet 2000.

En conséquence, Bouygues Télécom a largement eu le temps de se préparer à cette hypothèse et d’anticiper la nécessité de procéder aux rétrocessions qui seraient exigées. Enfin, alors que l’Arcep a mené une large concertation sur ces questions au cours des années 2006 et 2007, le Conseil d’Etat constate que Bouygues Télécom n’a jamais proposé de schéma ou de calendrier alternatif qui serait susceptible de pallier les risques mis en avant par cette société dans le cadre de son recours.

CE 2° et 7° s-s-r., 27 avril 2009, n° 312741, Société Bouygues Telecom

(Mise en ligne Mai 2009)

Autres brèves

• L’arcep attribue les fréquences pour l’utilisation des téléphones mobiles à bord des avions

(Mise en ligne Décembre 2008)

• Prospection commerciale par SMS : la Cnil rappelle les limites

(Mise en ligne Juin 2008)

• Bientôt la téléphonie mobile dans les avions

(Mise en ligne Avril 2008)

• Télécoms: lancement du deuxième cycle d’analyse des marchés pertinents

(Mise en ligne Juin 2007)

Constructeurs ITE – Réglementation

Téléphonie mobile

Prospection commerciale par SMS : la Cnil rappelle les limites

L’envoi de messages à caractère commercial et publicitaire sur les téléphones portables (SMS) a tendance à se généraliser. Or ce type d’envoi est encadré par la loi du 21 juin 2004 pour la confiance dans l’économie numérique et par la loi Informatique et Libertés. La Cnil vient d’ailleurs de rappeler tout récemment les limites à ne pas dépasser en ce domaine. Il est ainsi obligatoire de recueillir le consentement « préalable » du destinataire du message. Celui-ci doit en effet, avoir accepté de recevoir ce type de message, par exemple, en ayant coché une case prévue à cet effet lors de la souscription de son abonnement téléphonique ou de la collecte de son numéro de téléphone.

L’envoi de SMS commerciaux à des personnes déjà clientes est toutefois toléré, si la prospection concerne des «produits ou services analogues » à ceux déjà fournis par l’entreprise. Dans ce dernier cas, la société doit néanmoins permettre à ses clients de s’opposer gratuitement, dès qu’ils le souhaitent, à l’envoi des SMS. Pour limiter ou faire cesser ces envois, il faut demander à son opérateur de téléphonie mobile s’il a mis en place une procédure d’opposition (SFR et Bouygues proposent par exemple aux abonnés de répondre « STOP » à l’émetteur) ou signaler sur le site de la Cnil (boîte de signalement) les messages récurrents. Des plaintes successives peuvent aboutir à un contrôle de la Cnil, qui sera suivi de sanctions financières.

Cnil, 02 juin 2008 – En bref

(Mise en ligne Juin 2008)