Support de M. Jean-Paul Amoudry, vice-président de la CNIL, utilisé lors de sa présentation "droit des internautes et obligations des responsables de sites web et e-marchands" lors de l'évènement Work'n Coffee organisé par Net Design en novembre 2011.
eCom Geneve 2014 : Le web est mort ! Bienvenue dans un monde d'influence et d...
Intervention CNIL : droit des internautes et obligations des e-marchands
1. Droit des internautes et obligations des
responsables de sites,
e-marchands et dirigeants d’entreprise
Work n’Coffee agence Net Design – intervention du 2 décembre 2011
M. AMOUDRY, Sénateur de Haute-Savoie et Vice-Président de la CNIL
1
2. Sommaire
• Principes « informatique et libertés »
• Les bases de données comportementales
• Prospection par voie électronique et SMS
• Les règles à respecter après la collecte
Exemples de questions abordées :
Etat des lieux des bases de données comportementales
Quelles sont les directives et les sanctions en matière de e-mailing et
campagnes SMS?
Quelles différences de règlementation entre la gestion B2B et B2C?
2
4. Les données à caractère personnel
• Définition : Données permettant d’identifier directement ou
indirectement une personne (article 2 de la loi « Informatique et
libertés (IL))
• La possibilité d’identifier une personne n’implique plus
nécessairement la faculté de connaître son identité sociale
• Exemples : Nom et prénom, initiales, numéro client, numéro de
carte de fidélité, adresse IP, identifiant du cookie
4
5. Le traitement
• Définition (article 2) : Toute opération ou tout ensemble
d’opérations portant sur des données
• notamment la collecte, l’enregistrement, l’organisation, la
conservation, l’adaptation ou la modification, l’extraction, la
consultation, l’utilisation, la communication par transmission,
diffusion ou toute autre forme de mise à disposition, le
rapprochement ou l’interconnexion, ainsi que le verrouillage,
l’effacement ou la destruction
• Exemples : collecte d’emails, envoi de prospection, application
Smartphones, utilisation des réseaux sociaux
5
6. Le responsable du traitement
• Définition : La personne, l’autorité publique, le service ou l’organisme qui
détermine la finalité et les moyens d’un traitement …
• …. sauf désignation expresse par les dispositions législatives ou
réglementaires relatives à ce traitement (article 3)
• En matière de marketing : souvent plusieurs traitements plusieurs
responsables de traitements
La collecte et cession d’une L’éditeur d’une base de
• Exemple : base de données d’emails données d’emails
L’utilisation de la base L’utilisateur de la base
6
7. Les principes « loi informatique et libertés »
• Obligations des responsables de traitement :
• Formalités préalables ou registre du CIL (articles 22 et suivants)
• la finalité des traitements (article 6-2°)
• la durée de conservation des informations (article 6-5°)
• la sécurité des fichiers (article 34)
• la confidentialité des données (article 34)
• l’information des personnes (article 32)
• Droits des personnes dont les données sont collectées :
• le droit à l'information (article 32)
• le droit d’opposition - pas de motif légitime pour la prospection
commerciale (article 38-2)
• le droit d'accès (article 39)
• le droit de rectification (article 40)
7
8. Les données sensibles
• Relatives à l'origine raciale ou ethnique, les opinions politiques, les
convictions religieuses ou philosophiques, l'appartenance syndicale,
la santé ou la vie sexuelle.
• La personne concernée doit avoir donné son consentement exprès
(manifestation de volonté libre, informée et spécifique) pour que ses
données sensibles fassent l’objet d’un traitement. Par ailleurs, leur
renseignement doit être facultatif.
• Exemple : publicité en fonction d’opinion politique ou d’orientation
sexuelle
8
9. Les bases de données comportementales
(bases consommateurs)
9
10. Enjeux
• Constitution de bases de données segmentées selon les centres
d’intérêts et les habitudes des consommateurs:
• Collecte d’un grand nombre de données
• Collecte de données fiables
• Location ou cession des données à des tiers
• Respect de la vie privée des consommateurs
• Loyauté de la collecte
• Information et droit d’opposition
• Consentement
10
11. La collecte des données – Clarté et lisibilité
• CNIL : Recommandation relative aux bases de données comportementales sur
les habitudes de consommation des ménages constituées à des fins de
marketing direct (Délibération n° 97-012 du 18 février 1997)
• Pas d’ambigüité quant à la finalité du questionnaire.
• Faire en sorte que le consommateur ait pleinement conscience que ses
réponses seront amenées à alimenter des fichiers de prospection
commerciale
• Exemple : appellations « Institut » ou « sondage » pouvant laisser
inexactement croire à une finalité statistique, voire officielle ayant pour
objet la dissimulation de la réalité commerciale de l’opération
11
12. Information des consommateurs
• Article 32 de la loi « informatique et libertés » :
• Responsable de traitement
• Finalité
• Destinataires
• Caractère facultatif ou obligatoire
• Droit d’accès, de rectification et d’opposition
• Existence d’un transfert hors UE
• Information :
• à délivrer au moment de la collecte
• présente sur le formulaire de collecte et non uniquement dans les CGU
12
13. Information des consommateurs - suite
• CNIL : Recommandation relative aux bases de données comportementales sur
les habitudes de consommation des ménages constituées à des fins de
marketing direct (Délibération n° 97-012 du 18 février 1997)
• Information des conditions dans lesquelles les consommateurs pourront bénéficier
des offres accompagnant les questionnaires, en particulier lorsque ces offres sont
réservées aux seules personnes ne s'étant pas opposées à la cession de leurs
données à des sociétés extérieures
• Information des personnes, et en particulier indication que des sociétés extérieures
pourront être destinataires des informations les concernant, sauf opposition de leur
part
• Information des personnes de la possibilité de s’opposer à la cession de leurs
données à des tiers, et des conséquences d’une telle opposition
13
14. Droit d'opposition ou ...
• Possibilité de s’opposer
• Opposition à l’utilisation de ses données à des fins de prospection
commerciale au moment de la collecte (article 96 du décret du 20 octobre
2005 modifié le 25 mars 2007)
• Opposition à ce que des sociétés commerciales, autres que l'organisme qui
procède au recueil de données, soient destinataires des informations
nominatives les concernant (CNIL : Recommandation de 1997)
• Exemple : case opt-out : case à cocher « non, je refuse … »
14
15. ... consentement préalable
• Consentement préalable : Données sensibles (article 8 de la loi IL)
• Exemple : case opt-in : case à cocher « oui, j’accepte … »
15
16. Formalités préalables
• Norme simplifiée n° 48 - Déclaration normale - Registre du CIL
• Exemple : Déclaration en 2006 de la base consommateurs Axciom
(n°358759)
• Autorisation :
• Si flux hors UE dans un pays n'assurant pas un niveau de protection
des données adéquat (sauf BCR par exemple)
• Interconnexion de fichiers à finalités différentes (article 25-I-5°)
16
17. Mauvaises pratiques
• Oubli d’informer ou de proposer des cases opt-out ou opt-in
• Echanges, cession ou location, de bases de données sans consentement du
consommateur
• Prospection électronique à partir d’adresses de courriers électroniques
collectées dans les espaces publics de l'internet (site web, annuaire, forum
discussion,…)
Sanctions de la CNIL ou sanctions pénales
17
19. Les principes « informatiques et libertés »
appliqués au marketing
• Application d’un double régime juridique résultant de l’application des
règles issues de :
• Loi « Informatique et libertés »
• Loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) article
22 – codifié aux articles L.34-5 du code des postes et des communications
électroniques (CPCE) et L.121-20-5 du code de la consommation
• Les règles sont différentes selon le vecteur de prospection utilisé :
• Courrier postal
• Téléphone avec intervention humaine
• SMS
• Automate d’appel
• Em@il
19
20. La prospection commerciale par SMS/MMS
• Pas de distinction de règlementation B2B / B2C
• Le principe : opt-in. Pas de message préalable sans accord préalable du
destinataire (article L. 34-5 du code des postes et télécommunications)
• Deux exceptions :
• si la personne prospectée est déjà cliente de l'entreprise et si la
prospection concerne des produits ou services analogues à ceux déjà
fournis par l’entreprise.
• si la prospection n'est pas de nature commerciale (caritative par exemple)
• Dans tous les cas, l’utilisation d’adresses électroniques collectées dans
les espaces publics en ligne (site internet, annuaire, forum de
discussion) est interdite.
20
21. La prospection commerciale par courrier électronique –
B2C
• Différences de règlementation entre les prospections B2B / B2C
• Le principe : opt-in. Pas de message préalable sans accord préalable du
destinataire (article L. 34-5 du code des postes et télécommunications)
• Deux exceptions :
• si la personne prospectée est déjà cliente de l'entreprise et si la
prospection concerne des produits ou services analogues à ceux déjà
fournis par l’entreprise.
• si la prospection n'est pas de nature commerciale (caritative par exemple)
• Dans tous les cas, l’utilisation d’adresses électroniques collectées dans
les espaces publics en ligne (site internet, annuaire, forum de
discussion) est interdite.
21
22. La prospection commerciale par courrier électronique –
B2B
• Le principe : Information préalable et droit d’opposition
• Les adresses professionnelles génériques sont des coordonnées de
personnes morales. Elles ne sont pas soumises aux principes du
consentement.
• Les coordonnées des employés ou gérants de sociétés peuvent être soumis
au même régime à condition que l’objet de la sollicitation soit en rapport
avec la profession de la personne démarchée (exemple : message
présentant les mérites d’un logiciel à paul.toto@nomdelasociété ,
directeur informatique.)
• la personne doit, au moment de la collecte de son adresse de messagerie
être informée que son adresse électronique sera utilisée à des fins de
prospection, et être en mesure de s’opposer à cette utilisation de manière
simple et gratuite.
22
23. Prospection par voie électronique (@, SMS/MMS) -
Information
• Information quant aux finalités : utilisation de l’adresse à des fins de
prospection
• Mentions obligatoires : chaque message doit :
• préciser l'identité de l'annonceur (article L. 34-5 CPCE)
• proposer un moyen simple de s'opposer à la réception de nouvelles
sollicitations (par exemple, un n° de téléphone non surtaxé où il est
possible de se désinscrire à la fin du message).
23
24. Prospection par voie électronique ou SMS - Information :
Droit d'opposition ou ...
• Possibilité de s'opposer à l’utilisation de ses données à des fins de
prospection commerciale au moment de la collecte (article 96 du
décret du 20 octobre 2005 modifié le 25 mars 2007)
• B2C : Prospection par voie électronique ou SMS uniquement pour des
produits ou services analogues (L.34-5 CPCE)
• B2B : Prospection à destination d’un professionnel – sollicitation en
rapport avec son activité professionnelle
• Exemple : case opt-out : case à cocher « non, je refuse … »
24
25. ... consentement préalable
• Consentement requis :
• B2C :
• Prospection par voie électronique (@, SMS/MMS)
• Transmission à des partenaires
• Collecte de données sensibles (article 8 de la loi IL)
• Exemple : case opt-in : case à cocher « oui, j’accepte … »
25
26. Mauvaises pratiques
• Oubli d’informer ou de proposer des cases opt-out ou opt-in
• Echanges, cession ou location, de bases de données sans
consentement du consommateur (pour la prospection en B2C)
• Prospection électronique à partir d’adresses de courriers électroniques
collectées dans les espaces publics de l'internet (site web, annuaire,
forum discussion,…)
26
28. Durée de conservation
• Proportionnée à la finalité … et données à jour (article 6-4) !
• Recommandation actuelle : 1 an ou deux sollicitations restées sans réponse
• Adaptation et modification prochaine de la NS48
28
29. Information et droit d’opposition
• Dans chaque message électronique envoyé
• L’identité de la personne pour le compte de laquelle la communication
émise doit être apparente (article L.34-5 CPCE)
• La possibilité de s’opposer doit être présente dans chaque message envoyé
(article L.34-5 CPCE)
• Rappel : possibilité de demander à tout moment que ses données
soient supprimées ou non utilisées à des fins de prospection (article 38
de la loi IL)
• Il n’est pas nécessaire d’invoquer des « motifs légitimes » pour
s’opposer à ce que ses données soient utilisées à des fins de
prospection (article 38 de la loi IL)
29
30. Droit d'opposition en cascade
« Le responsable du traitement auprès duquel le droit d’opposition a été
exercé informe sans délai de cette opposition tout autre responsable de
traitement qu’il a rendu destinataire des données à caractère personnel qui
font l’objet de l’opposition » (article 97 du décret de 2005 modifié en 2007)
30
31. Le droit d’accès et le droit de rectification
• Droit d’accès (article 39 de la loi IL) :
• Accès à l’intégralité de la fiche client en langage clair et intelligible
• Communication du ou des classifications des segments utilisés lors
d’une segmentation comportementale
• Communication de l’origine du fichier loué
• Droit de rectification de données erronées (article 40 de la loi IL)
31
32. Sécurité
• Sécuriser sa base de données
• « Le responsable du traitement est tenu de prendre toutes précautions utiles, au
regard de la nature des données et des risques présentés par le traitement, pour
préserver la sécurité des données et, notamment, empêcher qu’elles soient
déformées, endommagées, ou que des tiers non autorisés y aient accès » (article 34
de la loi IL)
• La protection des données nécessite des « mesures techniques et d'organisation
appropriées » (article 17 de la directive 95/46/CE)
• Guide sécurité (disponible sur le site de la CNIL)
32
33. Relais de l’action de la CNIL : les codes de déontologie élaborés par les
professionnels du marketing direct et de la vente à distance
• Exemples de codes existants :
• Code sur les bases de données comportementales (1997 – FEVAD)
• Code de déontologie européen sur le marketing direct (2003, FEDMA)
• Codes sur l’« e-mailing » publiés par le SNCD et l’UFMD (2005)
• Code sur le marketing de l’UFMD (2010)
• Accompagnement et suivi de mécanismes d’autorégulation par la CNIL
(article 11 de la loi IL) :
• Donner un avis sur la conformité de règles professionnelles à la loi IL
• Codes de 2005 : contiennent de nombreux modèles et des informations
sur les techniques de parrainage
33
34. Renforcement des contrôles et sanctions
• Contrôles et sanctions issues de :
• Plaintes
• Actualités
• Signal Spam
• Programme annuel des contrôles 2011
• Infractions à la loi du 21 juin 2004 pour la confiance dans l’économie
numérique. Contravention de 750 € par message irrégulièrement
expédié
• Infractions à la loi « Informatique et Libertés » du 6 janvier 1978.
• Délit (peine d’emprisonnement et amende)
34
35. Exemples de sanctions
• Cour de cassation - 14 mars 2006 - spam et collecte déloyale
• Formation contentieuse de la CNIL – janvier 2008 : 15 000 euros d'amende pour FAC
INTERNATIONAL et IMPACT NET – Prospection commerciale «ethnique»
• Formation contentieuse de la CNIL – novembre 2008 : 30 000 euros d’amendes pour
CDiscount et 30 000 euros d’amende pour Isotherm – non prise en compte du droit
d’opposition
• Formation contentieuse de la CNIL – juin 2010 : 15 000 euros d’amende - envoi de fax
publicitaires non sollicités – base de données achetée par la société condamnée
• Formation contentieuse de la CNIL – mars 2011 : 50 000 euros d’amende – pas de droit
d’opposition lors de la Collecte des données
• Formation contentieuse de la CNIL – novembre 2011 – 10 000 euros d'amende pour PM
PARTICIPATION - collecte déloyale
• Très nombreuses mises en demeure
35
36. Organismes sanctionnés
• Annonceur – Utilisateur de sa propre base de données ou d’une base de
donnée louée ou achetée
• Fournisseur de la base de données
• Location de fichiers externes : Garanties contractuelles à prévoir
36