Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Exploitation des mails à des fins publicitaires : l’avis de la CNIL

Correspondance prisée
Droit 4 min
Exploitation des mails à des fins publicitaires : l’avis de la CNIL
Crédits : Senat

La semaine dernière, a été publié le décret « secret des correspondances » issu de la loi Lemaire. Il impose désormais votre consentement à l’exploitation des mails, notamment à des fins publicitaires. Nous diffusons ci-dessous l’avis de la CNIL.

Depuis la loi sur la République numérique, opérateurs et fournisseurs de services peuvent désormais déroger au principe du secret des correspondances, pour opérer des traitements automatisés d'analyse « à des fins publicitaires, statistiques ou d'amélioration du service apporté à l'utilisateur ». L’expression d’« opérateurs » et « fournisseurs » est très large. Elle frappe aussi bien les gestionnaires de mails que les messages privés sur les réseaux sociaux, en passant par les messageries instantanées.

Cette exploitation est conditionnée à un consentement exprès de l'utilisateur, recueilli tous les ans. Ce type de cuisine interne préexistait à la loi Lemaire mais était trop souvent noyée dans les méandres des conditions générales d’utilisation (CGU) que l’internaute peine à lire. Désormais, par la volonté du législateur, est exigée une alerte évidente, bien visible sur les rétines.

Extension du contrôle de la CNIL

Ce décret d’application a été publié après consultation de la CNIL. Seulement, son avis n’a pas été diffusé. Suite à une demande de communication, nous avons obtenu le précieux document diffusé ci-dessous. L’autorité administrative indépendante soulève plusieurs interrogations absentes de son billet publié pour l’occasion.

Elle se frotte déjà les mains, puisque l’exigence d’un tel feu vert lui permet de facto d’étendre ses modalités de contrôle, notamment sur les trois finalités posées par la loi : exploitation « à des fins publicitaires, statistiques ou d'amélioration du service apporté à l'utilisateur ». Dit autrement, un recueil trop flou ou encore une discordance dans les finalités engageront chacun une possible sanction du responsable après enquête de l’autorité.

Celle-ci fait une autre remarque d’évidence : la notion de correspondance implique a minima deux personnes, l’émetteur et le récepteur du message privé. Conséquence ? « Les traitements opérés à des fins publicitaires et basés sur le contenu des correspondances ne doivent permettre au responsable de traitement que de cibler l’utilisateur qui y a consenti et non d’éventuelles personnes tierces dont les données personnelles apparaîtraient dans la correspondance ».

Quatre qualités attendues du recueil du consentement

Toujours dans son avis, elle réexplique les qualités attendues du recueil : il faut une « manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Ce consentement doit dès lors se traduire « par une déclaration ou par un acte positif clair » de l’intéressé. Du droit européen, la CNIL énumère du coup les quatre qualités attendues :

  • Un consentement précédé « d’une information et spécifique pour chaque traitement »
  • Un consentement préalable à la réalisation du traitement
  • Un consentement exprès, concrétisé par un acte positif (non implicite, par exemple)
  • Un consentement libre

Ceci posé, une lacune est épinglée dans les textes français qui lui ont été soumis (le décret appliquant l’article L32-3 du Code des postes). Ces pièces n’évoquent en effet qu’un consentement exprès et spécifique, oubliant donc les deux autres critères exigés des textes européens. L’autorité administrative indépendante a dès lors voulu faire preuve de pédagogie, rappelant quelques fondamentaux. Des remarques précieuses, déjà parce qu’elles révèlent les difficultés pratiques tapies dans l’ombre de dispositions d’apparence simpliste.

Le recueil du consentement, concrètement

Par exemple, le consentement spécifique exige que la personne soit informée « non seulement de la réalisation d’un traitement d’analyse de ses correspondances » mais aussi « des finalités, de la durée de conservation des données collectées, de leurs destinataires, des droits dont elle dispose et des moyens pour les exercer ». Dans l’esprit de la CNIL, cette ligne directrice doit être suivie pour chaque traitement. L’acceptation d’une exploitation à des fins statistiques ne peut donc être étirée pour autoriser une exploitation des mails à des fins cette fois publicitaires.

S’agissant du consentement dit « exprès », il est tout autant interdit de le déduire à partir du silence ou de l’inaction de l’internaute. « Par exemple, le consentement ne peut être considéré comme exprès s’il est exprimé par une case précochée ». Dans la même veine, le recueil ne peut être automatique et implicite un an plus tard. Il faudra donc qu'une nouvelle notification régénère la première passe. La CNIL recommande chaudement d’ailleurs à l’exploitant d’opter pour une sorte de préavis. Un « délai de prévenance » qui amorcera le nouveau recueil dans les meilleures conditions.

Un refus d’exploitation ne pourra priver d’accès au service

Fait important : le consentement, qu'il soit initial ou consécutif, ne peut être « contraint ». De cette qualité, la CNIL dézingue la possibilité d'une sorte chantage. L’internaute qui refuse l’exploitation ne peut donc se voir refuser l’accès au service.

En anticipant le règlement européen sur les données personnelles, elle rappelle aussi que l’utilisateur pourra dès 2018 retirer son accord à tout moment. Et ce retrait ne pourra se traduire que par l’arrêt du traitement, sûrement pas l’interruption du service.

11 commentaires
Avatar de Nutato Abonné
Avatar de NutatoNutato- 03/04/17 à 08:46:46

Est-ce que Gmail sera concerné ?

Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 03/04/17 à 08:51:31

La question que je me pose, c'est s'ils sont en Irlande ou aux USA, comment on saura faire appliquer la loi là-bas... :/

Avatar de anonyme_f4aca4ca999d37d85f915acb32eec815 INpactien

Autre question : lorsque l'on est sensible à sa vie privée, pourquoi utiliser Gmail ?

Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 03/04/17 à 08:59:56

Le but de la CNIL n'est pas forcément de protéger ceux qui sont sensibles à leur vie privée et font déjà "ce qu'il faut ", mais plus les gens qui n'y connaissent pas grand chose et ont quand même besoin qu'on protège leur vie privée.

Enfin, c'est comme ça que je le vois...

Avatar de Nutato Abonné
Avatar de NutatoNutato- 03/04/17 à 09:01:06

C'est un choix de chacun;  tu fera plus pour la vie privée en contraignant Gmail à être respectueux qu'en convainquant un par un les gens d'en changer.

Et même quand tu n'utilise pas Gmail, tu peux envoyer des mails a des contacts qui l'utilisent.

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 03/04/17 à 09:20:57

J'ai un courrier de Mediapost (la filiale de la Poste qui bombarde de la pub à 40 millions de français) où il est explicitement marqué qu'ils envoient de la pub même si on a refusé de cocher la petite case quand on s'inscrit quelque part (la fameuse exploitation des données par les partenaires). Donc le recueil explicite du consentement, ils nous le mettent où je pense :fumer:

 J'ai demandé son avis à la CNIL mais je n'ai pas eu de réponse...

Édité par Jarodd le 03/04/2017 à 09:21
Avatar de Liara T'soni INpactien
Avatar de Liara T'soniLiara T'soni- 03/04/17 à 09:48:17

"Fait important : le consentement, qu'il soit initial ou consécutif, ne peut être « contraint ». De cette qualité, la CNIL dézingue la possibilité d'une sorte chantage. L’internaute qui refuse l’exploitation ne peut donc se voir refuser l’accès au service."

 Excellent, je le voyais venir de loin lui !
 

Jarodd a écrit :

J'ai un courrier de Mediapost où il est explicitement marqué qu'ils envoient de la pub même si on a refusé de cocher la petite case quand on s'inscrit quelque part

De toute façon faut pas rêver, il n'y a aucun moyen de contrôle du backend. Le fameux consentement à récolter tous les ans ne servira à rien. C'est aussi utile que les politiques de confidentialités, de la poudre aux yeux.

Édité par Liara T'soni le 03/04/2017 à 09:48
Avatar de zombie1871 INpactien
Avatar de zombie1871zombie1871- 03/04/17 à 10:08:14

Je trouve hallucinant le décalage entre les réalités et ce genre de débat. Dans la réalité, l'arsenal technique et juridique permettant aux boites de nous espionner est énorme. Et la CNIL n'a aucun moyen de lutter contre ça. Je trouve ça dommage mais dans une société globale et libérale, c'est devenu inévitable.

Avatar de Flyman81 INpactien
Avatar de Flyman81Flyman81- 03/04/17 à 11:37:57

Bravo à la CNIL de veiller au grain autant que possible avec leurs moyens :)

Avatar de hellmut Abonné
Avatar de hellmuthellmut- 03/04/17 à 15:17:44

tu le dis bien: le souci est au niveau des moyens de la CNIL.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2