• Home  / 
  • DELIBERATION 02-093

DELIBERATION 02-093

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'information et des libertés,

Saisie pour avis par le ministre délégué à l'Industrie, le 18 novembre 2002, du projet de loi relatif à l'économie numérique.

Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu la directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques,

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, pris ensemble le décret d'application du 17 juillet 1978 ;

Après avoir entendu Madame Cécile ALVERGNAT, en son rapport et Madame Charlotte Marie PITRAT, Commissaire du Gouvernement en ses observations,

EMET L'AVIS SUIVANT

Le projet de loi relatif à l'économie numérique qui vise principalement à transposer la directive 2000/31/CE du 8 juin 2000 sur le commerce électronique (1) reprend largement les dispositions du projet de loi sur la société de l'information (LSI) sur lequel la Commission s'était déjà prononcée par une délibération n° 01-018 portant avis en date du 3 mai 2001 rendue publique le 13 juin 2002

Ce projet de loi établit un cadre juridique concernant des enjeux qui ont fait l'objet de nombreux débats, en particulier ceux relatifs à la prospection électronique, compte tenu notamment de la multiplicité des textes européens en la matière. Il assure en particulier la transposition des dispositions de la directive européenne du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive dite "vie privée et communications électroniques") qui subordonnent l'utilisation de courriers électroniques dans les opérations de prospection directe au consentement préalable des personnes concernées.

Or, précisément, dans le cadre de son rapport public "Opération boîte à spams : les enseignements et les actions de la CNIL en matière de communications électroniques non sollicitées", adopté le 24 octobre 2002, la Commission avait appelé l'attention des pouvoirs publics sur le bénéfice que pourraient retirer l'ensemble des internautes d'une rapide transposition des dispositions concernant la prospection par voie électronique, afin de mieux pouvoir lutter contre les émetteurs de messages électroniques non sollicités. (1) Directive 2000/31/CE du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur ("directive sur le commerce électronique")

Observations générales,

Le texte dont la Commission est saisie s'attache notamment à compléter le dispositif relatif aux conditions de mise en jeu de la responsabilité civile et pénale des intermédiaires techniques de l'internet, à définir des règles dans le domaine du commerce électronique en encadrant notamment la publicité en ligne et enfin, à améliorer la sécurité des transactions sur internet, notamment par la libéralisation de la cryptologie.

S'agissant du régime juridique relatif à la responsabilité des prestataires techniques de l'Internet (articles 2 à 4 du Chapitre II Titre I "De la liberté de communication en ligne" du projet de loi).

La Commission relève que l'article 2 du projet de loi reprend notamment l'article 43-9 de la loi du 30 septembre 1986 introduit par la loi du 1er août 2000 qui établit à la charge des hébergeurs de sites mais aussi des fournisseurs d'accès à internet une obligation générale de "détenir et de conserver les données de nature à permettre l'identification de toute personne ayant contribué à la création d'un contenu", dans les conditions et pour une durée qui doivent être précisées par un décret en Conseil d'Etat pris après avis de la CNIL.

La Commission regrette que plus de deux ans après l'adoption de l'article 43-9, le décret n'ait pas encore été pris, cette situation entretenant une insécurité juridique pour les prestataires techniques de l'internet.

Si la Commission n'a pas à prendre position dans le débat sur la détermination du régime de responsabilité le plus adéquat applicable aux prestataires techniques de l'internet, la question de l'identification des auteurs de contenus diffusés sur internet relève directement du domaine de la protection des données personnelles dans la mesure où ce dispositif impose très précisément aux prestataires de l'internet de mettre en oeuvre des traitements permettant l'identification des auteurs de ces contenus. La Commission se réserve d'examiner cet aspect lorsqu'elle sera saisie du décret mentionné ci-dessus.

S'agissant des dispositions relatives aux contrats par voie électronique (articles 14 à 16 du Chapitre III, Titre II,"Du commerce électronique du projet de loi) et des dispositions relatives à la liberté d'utilisation des moyens et des prestations de la cryptologie (articles 17 à 27 du Chapitre I, Titre III "De la sécurité dans l'économie numérique" du projet de loi)

La Commission approuve, comme elle l'avait fait dans son avis sur le projet de loi sur la société de l'information, le principe de la liberté d'utilisation des moyens de cryptologie, de telles mesures étant incontestablement décisives pour assurer la sécurité des traitements effectués sur internet, conformément au principe de sécurité prévu à l'article 29 de la loi du 6 janvier 1978.

Par ailleurs, s'agissant des dispositions relatives aux contrats par voie électronique introduites dans le projet de loi, la Commission prend note de ce qu'elles visent à renforcer les mécanismes de protection des consommateurs.

Les observations de la Commission porteront donc principalement sur le nouveau dispositif relatif à la publicité par voie électronique.

Sur la publicité par voie électronique,

Le titre II du projet de loi sur l'économie numérique consacre son chapitre II à "la publicité par voie électronique".

L'apport principal de ce chapitre est la modification de l'article L. 33-4-1 du code des Postes et Télécommunications pour assurer la transposition de l'article 13 de la directive "vie privée et communications électroniques" du 12 juillet 2002. Le nouveau texte de cet article pose le principe du consentement préalable (opt-in) en matière de prospection directe opérée par systèmes automatisés d'appel (automates d'appel), télécopieurs ou courriers électroniques.

Le principe du consentement préalable est une garantie forte en termes de protection des personnes dont il convient de ne pas amoindrir la portée. A cet égard, la définition du consentement (2) issu de la directive cadre du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données exclut que l'expression de ce consentement soit, par exemple, diluée dans une acceptation des conditions générales d'utilisation d'un service proposé ou encore couplée à une demande de bons de réduction. La Commission recommande donc que le recueil du consentement soit effectué de manière à respecter le texte et l'esprit de la directive cadre de 1995, par exemple, par le biais d'une case à cocher comme le suggère l'un des considérants de la directive du 12 juillet 2002. (2) article 2 de la directive du 24 octobre 1995 : "consentement de la personne concernée" : toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement".

Observations sur le dispositif d'ensemble,

Le projet de loi pose le principe du consentement préalable en matière de prospection par voie électronique au bénéfice des personnes physiques et morales. Ce choix est de nature à éviter la délicate opération qui consisterait à distinguer les adresses électroniques des personnes physiques de celles-ci des personnes morales. En tout état de cause, la Commission a, de façon constante, considéré qu'une adresse électronique est toujours rattachée à une personne physique puisqu'elle est directement nominative lorsque le nom de la personne figure dans le libellé de l'adresse et, lorsque tel n'est pas le cas, indirectement nominative dans la mesure où toute adresse électronique peut être associée à un nom.

Dans le même esprit, l'abrogation de l'article L. 121-20-5 du code de la consommation relatif à la prospection par télécopie et automates d'appel dont le champ d'application différait de l'ancien article L. 33-4-1 du code des Postes et Télécommunications permet d'unifier le principe du consentement préalable à l'ensemble des personnes physiques et morales.

Cependant, le nouveau dispositif arrêté par le projet de loi appelle les réserves suivantes.

Sur la notion de courrier électronique,

1. Si les notions d'"automates d'appel" et de "télécopieurs" sont claires, il importe de définir précisément celle de "courrier électronique". En effet, l'évolution rapide des technologies impose une définition de cette notion pour lui permettre, à l'avenir, d'englober les futurs modes de communication.

L'article 2 de la directive "vie privée et communications électroniques" définit dans cette optique le "courrier électronique" comme "tout message sous forme de texte, de voix, de son ou d'image envoyé par un réseau public de communications qui peut être stocké dans le réseau ou dans l'équipement terminal du destinataire jusqu'à ce que ce dernier le récupère".

Sont donc inclus dans cette définition les SMS et les MMS.

Le texte du projet de loi ou, à défaut, le décret en Conseil d'Etat prévu au 5e alinéa du nouvel article L. 33-4-1 qui doit préciser les conditions d'application de cet article devraient, dès lors, reprendre la définition issue de l'article 2 de la directive.

2. L'article 12, comme il l'a été relevé ci-dessus, modifie le codé des Postes et Télécommunications en y introduisant un principe général de consentement préalable pour l'utilisation de certains moyens à des fins de prospection directe, notamment les courriers électroniques, à l'exception notable des courriers électroniques envoyés dans le cadre de la dérogation prévue à l'alinéa 2 de l'article L. 33-4-1 du code des Postes et Télécommunications. L'article 11 du projet de loi introduit, quant à lui, dans le code de la consommation, un article L. 121-15-1 qui énonce dans son premier alinéa : "Les publicités non sollicitées, notamment les offres promotionnelles, telles que les rabais, les primes ou les cadeaux ainsi que les concours ou les jeux promotionnels, adressées par courrier ,électronique, doivent pouvoir être identifiées de manière claire et non équivoque dès leur réception par leur destinataire".

Il convient, dès lors, de supprimer le terme de "non sollicitées" de l'article L. 121-15-1 du code de consommation précité afin de faire peser l'obligation d'identification ainsi créée sur l'ensemble des courriers électroniques qui peuvent être reçus par une personne, que ces courriers soient sollicités (principe général du consentement préalable) ou non (exception prévue à l'alinéa 2 précité).

3. Dans la même optique, il conviendrait de clarifier la rédaction de l'alinéa 3 de l'article L. 33-4-1 du code des Postes et Télécommunications qui, entre autres, transpose le premier alinéa de l'article 7 de la directive sur le commerce électronique. En effet, dans sa rédaction actuelle, cette disposition pourrait laisser croire qu'il est possible de dissimuler l'identité de l'expéditeur ou d'envoyer un courrier électronique dont l'objet est sans rapport avec le service proposé à condition d'offrir la possibilité de s'opposer aux envois ultérieurs de tels messages.

Les interdictions posées par cet article devraient donc être plus clairement définies et s'appliquer à l'ensemble des moyens de prospection directe.

Sur le principe de la dérogation au consentement préalable en matière de prospection directe par courrier électronique,

Le deuxième alinéa du nouvel article L. 33-4-1 du code des Postes et Télécommunications prévoit, conformément à la directive du 12 juillet 2002, une dérogation au principe de recueil du consentement préalable d'une personne physique ou morale avant de lui adresser un courrier électronique à des fins de prospection directe.

1. La rédaction de cet article atteste que les conditions dans lesquelles une telle opération de prospection est possible ont été sensiblement élargies par rapport au texte communautaire. En effet, alors que la directive ne prévoyait la possibilité d'utiliser les coordonnées du destinataire que si celles-ci-ci avaient été fournies directement dans le cadre "d'une vente d'un produit ou d'un service", le projet de loi étend cette possibilité à "la vente ou la fourniture d'une prestation de service".

Cette rédaction sensiblement différente permet de faire bénéficier de cette dérogation, non plus uniquement le secteur marchand - seul concerné par le terme "vente" issu de la directive mais aussi la sphère non marchande, c'est à dire toute personne physique ou morale qui aura fourni "une prestation de service". Peuvent être considérées comme telle, par exemple, la fourniture par un site culturel d'une lettre d'information électronique à titre gratuit, l'inscription à un site, etc. Peuvent ainsi être concernés par cette dérogation, les secteurs associatifs, caritatifs voire même les personnes physiques, dès lors qu'elles fournissent une "prestation de service".

En conséquence, la transposition du deuxième alinéa de l'article 13 de la directive est rédigée dans des termes qui permettent une interprétation plus large que celle issue de la lecture de la directive. En effet, le considérant 41 de la directive montre clairement le champ d'application qu'a entendu lui donner le législateur européen en énonçant : "Dans le cadre d'une relation client-fournisseur existante, il est raisonnable d'autoriser l'entreprise qui, conformément à la directive 95/46/CE, a obtenu les coordonnées électroniques, et exclusivement celle-ci à exploiter ces coordonnées électroniques pour proposer au client des produits ou services similaires ...".

La Commission est donc réservée sur la rédaction retenue par le projet de loi qui élargit nettement le champ d'application de l'exception au principe du consentement préalable et, par là même, amoindrit la protection de la vie privée et de la tranquillité de chacun, instaurée par la directive.

2. Une opération de prospection directe effectuée dans le cadre de cette dérogation ne doit exclusivement porter, selon l'article L. 33-4-1 nouveau, que sur "des biens ou services analogues à ceux fournis antérieurement". Cette rédaction, qui est celle du texte de la directive, sera inévitablement source de contentieux. Il paraît délicat, en effet, de définir a priori le champ exact de la notion de "biens ou services analogues", chaque entreprise pouvant alors être amenée à interpréter différemment celle-ci. A titre d'exemple, l'opération qui consiste à acheter en ligne un livre autorise-t-elle le vendeur à prospecter l'acheteur pour un disque (un disque est-il un "bien" analogue à un livre ?) ou pour un voyage (acheter un voyage en ligne est-ce un "service" analogue à l'opération d'acheter un livre en ligne ? ) ? Les interprétations divergentes ne manqueront pas, au détriment, d'une part, de la sécurité juridique et, d'autre part, de la protection des données personnelles des individus, avant l'établissement d'une jurisprudence.

Nonobstant cette difficulté d'interprétation, la Commission recommande que l'article L. 33-4-1 du code des Postes et Télécommunications reprenne les termes exacts de l'article 13 de la directive du 12 juillet 2002 dont le régime dérogatoire devra être entendu de manière stricte, sous peine de voir la prospection directe par courrier électronique rester dans un régime de droit d'opposition.

Dans cette même optique, il serait souhaitable que soient définies les conditions d'un régime transitoire permettant aux entreprises ayant collecté loyalement sous le régime légal précédent, les coordonnées électroniques de clients ou de prospects d'offrir à ces derniers la faculté d'exprimer leur consentement à de futures opérations de prospection directe.

Enfin, il conviendrait que le décret en Conseil d'Etat prévu au 5ème alinéa du nouvel article L. 33-4-1 du code des Postes et Télécommunications prévoie les sanctions pénales destinées à réprimer l'inobservation de ces principes et soit soumis, pour avis, à la Commission nationale de l'informatique et des libertés. L'instauration d'une amende - sanction prévue pour les contraventions de 5ème classe - par adresse irrégulièrement collectée paraît, en effet, une sanction plus adaptée et plus dissuasive que les dispositions générales de l'article 226-18 du code pénal.

Le Président, Michel GENTOT

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: