Directive sur les données personnelles : quel régime pour les spams et les cookies ?

Dernière modification le 21 septembre 2011.

La réglementation sur la protection de la vie privée à l’ère d’internet a beaucoup évolué, notamment au niveau européen où plusieurs directives ont été prises, que ce soit en matière de cookies, spamming, etc. Zoom sur le régime applicable aujourd’hui en France.

1. Spamming

La Commission nationale de l’informatique et des libertés (Cnil) définit le spam comme l'envoi massif et parfois répété de courriers électroniques non sollicités, le plus souvent à caractère commercial, à des personnes avec lesquelles l'expéditeur n'a jamais eu de contact, et dont il a capté l'adresse électronique dans des espaces publics de l'internet : forum de discussion, listes de diffusion, annuaires électroniques, sites web…

L'intérêt du spam pour les entreprises est principalement économique : les coûts à leur charge sont bien moindres par rapport à tout autre procédé de communication (courrier postal, fax…). Le spam permet ainsi aux entreprises d'atteindre rapidement, directement et massivement les consommateurs par le biais de leur boîte aux lettres électroniques et de réduire ainsi les frais qu'ils auraient dû engager.

Après de nombreux débats sur la question, Le Conseil des ministre européens a adopté, le 12 juillet 2002, la proposition de directive sur la protection des données personnelles dans le secteur des télécommunications électroniques. Le Conseil impose désormais aux Etats membres le système de "l'opt in"* pour les e-mails, fax et systèmes d'appel automatique, obligeant ainsi les professionnels du marketing direct à recueillir le consentement préalable des consommateurs avant tout envoi d'e-mail commercial.

Déjà, en 1995, une directive européenne (24 octobre 1995, relative à la protection des données personnelles) reprenant certaines dispositions de la loi " Informatique et Libertés " du 6 janvier 1978 imposait que les données à caractère personnel soient collectées pour des finalités déterminées, explicites et légitimes et ne soient pas traitées ultérieurement de manière incompatible avec ces finalités. Pour être légitime, le traitement de données devait ainsi être nécessaire au but légitime poursuivi par son responsable, et la personne devait avoir donné son consentement.

Par ailleurs, le caractère facultatif de la collecte devait être rappelé, de même que le destinataire des données collectées, l'existence d'un droit d'accès et de rectification, l'existence d'un droit gratuit et sur demande de s'opposer au traitement de ces données à des fins de prospection et la possibilité de refuser toute communication ou toute utilisation de ces données par des tiers.

En plus de ces obligations, les professionnels doivent désormais recueillir le consentement préalable des consommateurs avant tout envoi d'e-mail commerciaux.

Toutefois, lorsque les coordonnées électroniques ont été obtenues lors de la vente d'un produit ou d'un service, le professionnel peut les exploiter à des fins de prospection directe pour des produits et services analogues. Si le commerçant veut présenter d'autres produits par mail, il doit en revanche demander l'accord préalable du client.

2. Les cookies

Les cookies sont des outils nécessaires au bon développement du commerce électronique. En effet, ces fichiers, en se logeant dans le dossier "Temporary Internet Files" du disque dur de l’internaute, permettent au site visité de reconnaître ce dernier lors de nouvelles connexions. C’est grâce à cette technique que les sites marchands peuvent ainsi fidéliser leur clientèle en proposant une personnalisation de la page d'accueil en rapport avec les goûts exprimés lors des précédentes visites.

De plus, si ces fichiers permettent de cibler l’information présente sur le site en fonction des profils des internautes, les données qu’ils recueillent ne touchent en aucun cas les caractéristiques individuelles des internautes, sauf si ces derniers ont eux-mêmes saisi leurs nom, prénom et adresse dans le cadre d’un questionnaire.

Une directive de 2009, transposée par la loi « portant diverses dispositions d’adaptation de la législation au droit de l’Union européenne en matière de santé, de travail et de communications électroniques » (Journal officiel du 23 mars 2011) et par une ordonnance du 24 août 2011, précise les contours de la réglementation applicable.
Cette directive impose aux Etats membres une double condition en matière de stockage et d’accès aux cookies déjà stockés : l’internaute doit avoir reçu préalablement une information claire et complète (sur la nature, la finalité des cookies, les conditions de stockage, etc.) et y avoir consenti expressément. C'est donc la règle de "l'opt in" qui prévaut désormais.
Seules exceptions à cette nouvelle obligation : les cookies qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou ceux qui sont strictement nécessaires à la fourniture d'un service de communication en ligne, sur demande expresse de l'utilisateur.

*Par opposition à "opt out" qui oblige le prestataire à permettre au destinataire de pouvoir retirer son adresse de la liste d'envoi de l'annonceur (généralement, en cochant une case).

Nelly LAMBERT et Laura BONNET
Rédaction de NetPME
redaction@netpme.fr

Sources :
Revue Squire Sanders
BBC

En application du code de la propriété intellectuelle, toute reproduction totale ou partielle est strictement interdite sans autorisation écrite de NetPME.