Prospection directe par courrier électronique : des règles à respecter

Publié le 28/04/2008 - CIO Online

Huitième épisode d’une série sur les droits et obligations de l’entreprise en matière de données personnelles.

La prospection directe consiste « à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services » (CPCE, art. 34-5). Elle est d’autant plus rapide, économique et efficace que les adresses électroniques sont publiquement accessibles et permettent de « cibler » les envois (telle catégorie professionnelle, telle fonction dans l’entreprise, tel métier…). Mais comme une adresse permet en principe d’identifier une personne physique (ce n’est pas le cas des adresses de type contact@societe.com), une telle opération est soumise à la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, plus particulièrement aux formalités préalables de déclaration ou d’autorisation auprès de la Cnil (L. 6 janv. 1978, art. 22 et s.).

La collecte des données doit être loyale et licite. A ce titre, il est interdit d’utiliser l’adresse de courrier électronique d’une personne physique à des fins de prospection commerciale sans avoir préalablement obtenu son consentement et sans offrir au destinataire une faculté de désinscription (CPCE, art. L.34-5). C’est ce que l’on appelle l’« opt-in », par opposition à l’« opt-out », système dans lequel une personne peut faire l’objet d’une prospection directe tant que lui est laissée la possibilité de s’opposer pour l’avenir à cette prospection.

Les personnes doivent avoir été mises en mesure, au moment de la collecte de leurs données, de s’opposer, de manière simple et dénuée d’ambiguïté à une utilisation de leurs données à des fins commerciales. A cet effet, elles doivent avoir été informées, lors de la collecte de leur adresse, de l’utilisation de celle-ci ou de sa cession à des tiers à des fins de prospections. Le responsable du traitement doit ainsi, sauf cas de contraintes techniques (cas des SMS par exemple), faire mention du caractère de prospection commerciale du message dans l’objet du courrier électronique.

La Cnil préconise un consentement « libre, spécifique et informé » qui ne soit pas « dilué dans une acceptation de conditions générales ou couplé à une demande de bons de réduction ». Elle recommande plus spécifiquement « qu’il soit recueilli par le biais d’une case à cocher et rappelle qu’une case pré-cochée est contraire à l’esprit de la loi ». Ainsi, seules les coordonnées récupérées avec l’autorisation de la personne physique concernée peuvent être utilisées pour un démarchage direct ultérieur ; a contrario, la personne physique qui n’aurait pas consenti à l’enregistrement de ses coordonnées en vue d’un possible démarchage peut être présumée avoir refusé ce démarchage.

Par ailleurs, la personne physique ou morale pour le compte de laquelle le message est envoyé doit être clairement identifiable dans le message. Devront à ce titre être précisées l’identité et l’adresse physique de l’éditeur du site.

Exceptions au principe de l’opt-in

L’article L.34-5 précité prévoit toutefois que le consentement préalable de la personne concernée n’est pas requis lorsque, de manière cumulative (i) les coordonnées du destinataire ont été valablement recueillies directement auprès de lui à l’occasion d’une vente ou d’une prestation de service, (ii) la prospection directe concerne des produits ou des services analogues fournis par la même personne, et (iii) le destinataire se voit offrir la possibilité de s’opposer à l’utilisation de ses coordonnées dans chaque message qui lui est adressé.

La Cnil estime pour sa part qu’il peut être fait exception au principe de l’opt-in lorsque des personnes physiques sont prospectées par courrier électronique à leur adresse électronique professionnelle, mais uniquement si le message leur est envoyé au titre de la fonction qu’elles exercent. À titre d’exemple, la Cnil indique que « l’envoi d’un message présentant les mérites d’un logiciel à paul.toto@nomdelasociété, directeur informatique, sans l’accord préalable de Monsieur Paul Toto est acceptable, non l’envoi d’un message vantant le charme du tourisme aux Caraïbes en hiver. Par ailleurs, la Cnil considère que le recours à l’opt-out est possible si la prospection concerne des « produits ou services analogues » à ceux déjà fournis par la même personne physique ou morale qui aura recueilli les coordonnées électroniques de l’intéressé. Le groupe « Article 29 », qui rassemble les différentes autorités de protection des données personnelles européennes, comme la Cnil pour la France, a précisé la définition de « produits et services analogues » dans un avis du 27 février 2004 : « par exemple, une entreprise qui a vendu un livre pourra solliciter cet acheteur pour l’acquisition d’un disque, à la condition toutefois que la personne démarchée ait été expressément informée, lors de la collecte de son adresse de courrier électronique, de l’utilisation de celle-ci à des fins commerciales et qu’elle ait été mise en mesure de s’y opposer de manière simple ». En d’autres termes, si un internaute a acheté un livre sur Fnac.com, il pourra recevoir des promotions sur les DVD, les logiciels ou autres produits proposés par le site.

Sanctions

Le non-respect du principe de l’opt-in est sanctionné par une amende de 750 euros pour chaque message irrégulièrement expédié (CPCE, art. R. 10-1) et le non respect des règles de collecte et du droit d’opposition est sanctionné de peines d’emprisonnement (5 ans) et de peines d’amende (300.000 euros) (C. pén., art. 226-18 et 226-18.1).

L’« envoi massif, et parfois répété, de courriers électroniques non sollicités, à des personnes avec lesquelles l’expéditeur n’a jamais eu de contact et dont il a capté l’adresse électronique de façon irrégulière » – plus communément dénommé spamming – peut également être sanctionnée sur le fondement de l’utilisation, à l’insu des personnes, de leur matériel informatique (C. pén., art. 323-1) ou encore du délit d’entrave (C. pén., art. 323-2).

Aux termes de la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), la Cnil se voit confier la mission de surveillance de la bonne application de la loi, « pour ce qui concerne la prospection directe utilisant les coordonnées d’une personne physique » et par la loi du 6 août 2004 le pouvoir de prononcer des sanctions.

Boîte à spam

Avant même l’entrée en vigueur de ces dispositions, la Cnil avait engagé des actions pour enrayer le spamming. À titre d’exemple, elle a mis en place, dès la fin de l’année 2002, une « boîte à spam » électronique pour recueillir les plaintes des internautes. C’est dans ce cadre qu’elle a usé à plusieurs reprises de son pouvoir de dénonciation au Parquet des infractions constatées. Depuis le 10 mai 2007, les internautes victimes de spams peuvent signaler d’un simple clic les spams dont ils sont victimes. En effet, le service Signal Spam est une plate-forme nationale de signalement des spams créé à l’initiative de l’ensemble des acteurs de la lutte contre le spam (autorités publiques, organisations professionnelles, entreprises privées…).

Autres publications