Exploitation des mails à des fins publicitaires : l’avis de la CNIL

La semaine dernière, a été publié le décret « secret des correspondances » issu de la loi Lemaire. Il impose désormais votre consentement à l’exploitation des mails, notamment à des fins publicitaires. Nous diffusons ci-dessous l’avis de la CNIL.

Depuis la loi sur la République numérique, opérateurs et fournisseurs de services peuvent désormais déroger au principe du secret des correspondances, pour opérer des traitements automatisés d'analyse « à des fins publicitaires, statistiques ou d'amélioration du service apporté à l'utilisateur ». L’expression d’« opérateurs » et « fournisseurs » est très large. Elle frappe aussi bien les gestionnaires de mails que les messages privés sur les réseaux sociaux, en passant par les messageries instantanées.

Cette exploitation est conditionnée à un consentement exprès de l'utilisateur, recueilli tous les ans. Ce type de cuisine interne préexistait à la loi Lemaire mais était trop souvent noyée dans les méandres des conditions générales d’utilisation (CGU) que l’internaute peine à lire. Désormais, par la volonté du législateur, est exigée une alerte évidente, bien visible sur les rétines.

Extension du contrôle de la CNIL

Ce décret d’application a été publié après consultation de la CNIL. Seulement, son avis n’a pas été diffusé. Suite à une demande de communication, nous avons obtenu le précieux document diffusé ci-dessous. L’autorité administrative indépendante soulève plusieurs interrogations absentes de son billet publié pour l’occasion.

Elle se frotte déjà les mains, puisque l’exigence d’un tel feu vert lui permet de facto d’étendre ses modalités de contrôle, notamment sur les trois finalités posées par la loi : exploitation « à des fins publicitaires, statistiques ou d'amélioration du service apporté à l'utilisateur ». Dit autrement, un recueil trop flou ou encore une discordance dans les finalités engageront chacun une possible sanction du responsable après enquête de l’autorité.

Celle-ci fait une autre remarque d’évidence : la notion de correspondance implique a minima deux personnes, l’émetteur et le récepteur du message privé. Conséquence ? « Les traitements opérés à des fins publicitaires et basés sur le contenu des correspondances ne doivent permettre au responsable de traitement que de cibler l’utilisateur qui y a consenti et non d’éventuelles personnes tierces dont les données personnelles apparaîtraient dans la correspondance ».

Quatre qualités attendues du recueil du consentement

Toujours dans son avis, elle réexplique les qualités attendues du recueil : il faut une « manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Ce consentement doit dès lors se traduire « par une déclaration ou par un acte positif clair » de l’intéressé. Du droit européen, la CNIL énumère du coup les quatre qualités attendues :

• Un consentement précédé « d’une information et spécifique pour chaque traitement »
• Un consentement préalable à la réalisation du traitement
• Un consentement exprès, concrétisé par un acte positif (non implicite, par exemple)
• Un consentement libre

Ceci posé, une lacune est épinglée dans les textes français qui lui ont été soumis (le décret appliquant l’article L32-3 du Code des postes). Ces pièces n’évoquent en effet qu’un consentement exprès et spécifique, oubliant donc les deux autres critères exigés des textes européens. L’autorité administrative indépendante a dès lors voulu faire preuve de pédagogie, rappelant quelques fondamentaux. Des remarques précieuses, déjà parce qu’elles révèlent les difficultés pratiques tapies dans l’ombre de dispositions d’apparence simpliste.

Le recueil du consentement, concrètement

Par exemple, le consentement spécifique exige que la personne soit informée « non seulement de la réalisation d’un traitement d’analyse de ses correspondances » mais aussi « des finalités, de la durée de conservation des données collectées, de leurs destinataires, des droits dont elle dispose et des moyens pour les exercer ». Dans l’esprit de la CNIL, cette ligne directrice doit être suivie pour chaque traitement. L’acceptation d’une exploitation à des fins statistiques ne peut donc être étirée pour autoriser une exploitation des mails à des fins cette fois publicitaires.

S’agissant du consentement dit « exprès », il est tout autant interdit de le déduire à partir du silence ou de l’inaction de l’internaute. « Par exemple, le consentement ne peut être considéré comme exprès s’il est exprimé par une case précochée ». Dans la même veine, le recueil ne peut être automatique et implicite un an plus tard. Il faudra donc qu'une nouvelle notification régénère la première passe. La CNIL recommande chaudement d’ailleurs à l’exploitant d’opter pour une sorte de préavis. Un « délai de prévenance » qui amorcera le nouveau recueil dans les meilleures conditions.

Un refus d’exploitation ne pourra priver d’accès au service

Fait important : le consentement, qu'il soit initial ou consécutif, ne peut être « contraint ». De cette qualité, la CNIL dézingue la possibilité d'une sorte chantage. L’internaute qui refuse l’exploitation ne peut donc se voir refuser l’accès au service.

En anticipant le règlement européen sur les données personnelles, elle rappelle aussi que l’utilisateur pourra dès 2018 retirer son accord à tout moment. Et ce retrait ne pourra se traduire que par l’arrêt du traitement, sûrement pas l’interruption du service.

• Télécharger l’avis de la CNIL