Cadre juridique▲
Créée par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL, Commission nationale de l'informatique et des libertés, est une autorité administrative indépendante chargée de veiller à la protection des données personnelles.
LCEN : La loi pour la confiance dans l'économie numérique, n° 2004-575 du 21 juin 2004 : abrégée sous les sigles LCEN ou LEN, est une loi française sur le droit de l'Internet, transposant la directive européenne 2000/31/CE.
Code de déontologie de la Communication directe électronique - Syndicat national de la communication directe (SNCD) - Mars 2005.
Directive 2000/31/CE du Parlement européen et du Conseil, adoptée le 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique »).
Les lois qui régissent la collecte d'adresses.
- Loi « Informatiques et libertés » : article 2 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés :
« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».
- Selon l'article 22, de la loi n° 2004-575 du 21 juin 2004, sur la confiance dans l'économie numérique (LCEN) :
« Est interdite la prospection directe au moyen d'un automate d'appel, d'un télécopieur ou d'un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d'une personne physique qui n'a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen ».
- En mars 2005, la CNIL a toutefois émis une dérogation spéciale pour la prospection BtoB :
« Des personnes physiques peuvent être prospectées par courrier électronique à leur adresse électronique professionnelle sans leur consentement préalable, si le message leur est envoyé au titre de la fonction qu'elles exercent dans l'organisme privé ou public qui leur a attribué cette adresse ».
L'article 32 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés prévoit que la personne auprès de laquelle sont collectées des données à caractère personnel soit informée sur chaque formulaire de collecte d'informations :
- de l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
- de la finalité poursuivie par le traitement auquel des données sont destinées ;
- du caractère obligatoire ou facultatif des réponses ;
- des conséquences éventuelles, à son égard, d'un défaut de réponse ;
- des destinataires ou catégories des destinataires des données ;
- de leurs droits d'accès et de rectification des données collectées.
- L'article 226-18 du Code pénal a prévu une sanction en cas de collecte frauduleuse :
« Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300 000 € d'amende ».
La collecte "opt-in" repose sur l'idée que l'internaute donne son aval avant l'utilisation de ses données personnelles à des fins commerciales. On distingue trois types d'opt-in :
- l'opt-in actif : l'internaute doit volontairement cocher une case ou donner délibérément son adresse pour qu'elle soit utilisée ultérieurement à des fins commerciales ;
- l'opt-in passif : l'internaute vous permet d'utiliser son adresse à des fins commerciales par défaut, la case étant déjà précochée : il ne fait pas clairement le choix d'y souscrire mais ne s'y oppose pas ;
- le double opt-in : une adresse opt-in pour laquelle le contrôle de l'accord a été effectué à deux niveaux : généralement par accord électronique (en cochant une case) puis par l'envoi d'un e-mail à l'adresse indiquée. Cette adresse n'est qualifiée comme double opt-in que lorsque le réceptionnaire a cliqué sur un lien contenu dans l'e-mail. Ce procédé permet d'être sûr que la personne qui a fourni l'adresse est son réel propriétaire, ce qui n'est pas le cas pour une adresse simple opt-in.
La CNIL recommande l'utilisation de la technique de l'opt-in actif et le double opt-in pour la collecte des données personnelles. Le « précochage » de cases opt-in, laisse certes la possibilité à l'internaute de décocher la case, mais manque de clarté. L'utilisation de la négation dans une formule d'opt-in ("cochez cette case si vous ne souhaitez pas recevoir nos offres commerciales") est encore moins distinctement perçue par les internautes. Les cases « précochées » qui permettent de présumer du consentement de la personne ne sont pas admises.
L'absence de procédure de désinscription est illégale (directive européenne du 8 juin 2000 (2000/31/CE)) :
- offrez systématiquement dans chaque message une possibilité de désinscription ;
- facilitez la désinscription en intégrant un lien lisible et un message de confirmation à la suite ;
- respectez le choix de désinscription de vos destinataires en les éliminant de votre ciblage : vous évitez ainsi leurs plaintes et vous conservez votre bonne réputation.