Connexion
Abonnez-vous

Exploitation des mails à des fins publicitaires : l’avis de la CNIL

Correspondance prisée

Exploitation des mails à des fins publicitaires : l’avis de la CNIL

Le 03 avril 2017 à 08h30

La semaine dernière, a été publié le décret « secret des correspondances » issu de la loi Lemaire. Il impose désormais votre consentement à l’exploitation des mails, notamment à des fins publicitaires. Nous diffusons ci-dessous l’avis de la CNIL.

Depuis la loi sur la République numérique, opérateurs et fournisseurs de services peuvent désormais déroger au principe du secret des correspondances, pour opérer des traitements automatisés d'analyse « à des fins publicitaires, statistiques ou d'amélioration du service apporté à l'utilisateur ». L’expression d’« opérateurs » et « fournisseurs » est très large. Elle frappe aussi bien les gestionnaires de mails que les messages privés sur les réseaux sociaux, en passant par les messageries instantanées.

Cette exploitation est conditionnée à un consentement exprès de l'utilisateur, recueilli tous les ans. Ce type de cuisine interne préexistait à la loi Lemaire mais était trop souvent noyée dans les méandres des conditions générales d’utilisation (CGU) que l’internaute peine à lire. Désormais, par la volonté du législateur, est exigée une alerte évidente, bien visible sur les rétines.

Extension du contrôle de la CNIL

Ce décret d’application a été publié après consultation de la CNIL. Seulement, son avis n’a pas été diffusé. Suite à une demande de communication, nous avons obtenu le précieux document diffusé ci-dessous. L’autorité administrative indépendante soulève plusieurs interrogations absentes de son billet publié pour l’occasion.

Elle se frotte déjà les mains, puisque l’exigence d’un tel feu vert lui permet de facto d’étendre ses modalités de contrôle, notamment sur les trois finalités posées par la loi : exploitation « à des fins publicitaires, statistiques ou d'amélioration du service apporté à l'utilisateur ». Dit autrement, un recueil trop flou ou encore une discordance dans les finalités engageront chacun une possible sanction du responsable après enquête de l’autorité.

Celle-ci fait une autre remarque d’évidence : la notion de correspondance implique a minima deux personnes, l’émetteur et le récepteur du message privé. Conséquence ? « Les traitements opérés à des fins publicitaires et basés sur le contenu des correspondances ne doivent permettre au responsable de traitement que de cibler l’utilisateur qui y a consenti et non d’éventuelles personnes tierces dont les données personnelles apparaîtraient dans la correspondance ».

Quatre qualités attendues du recueil du consentement

Toujours dans son avis, elle réexplique les qualités attendues du recueil : il faut une « manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Ce consentement doit dès lors se traduire « par une déclaration ou par un acte positif clair » de l’intéressé. Du droit européen, la CNIL énumère du coup les quatre qualités attendues :

  • Un consentement précédé « d’une information et spécifique pour chaque traitement »
  • Un consentement préalable à la réalisation du traitement
  • Un consentement exprès, concrétisé par un acte positif (non implicite, par exemple)
  • Un consentement libre

Ceci posé, une lacune est épinglée dans les textes français qui lui ont été soumis (le décret appliquant l’article L32-3 du Code des postes). Ces pièces n’évoquent en effet qu’un consentement exprès et spécifique, oubliant donc les deux autres critères exigés des textes européens. L’autorité administrative indépendante a dès lors voulu faire preuve de pédagogie, rappelant quelques fondamentaux. Des remarques précieuses, déjà parce qu’elles révèlent les difficultés pratiques tapies dans l’ombre de dispositions d’apparence simpliste.

Le recueil du consentement, concrètement

Par exemple, le consentement spécifique exige que la personne soit informée « non seulement de la réalisation d’un traitement d’analyse de ses correspondances » mais aussi « des finalités, de la durée de conservation des données collectées, de leurs destinataires, des droits dont elle dispose et des moyens pour les exercer ». Dans l’esprit de la CNIL, cette ligne directrice doit être suivie pour chaque traitement. L’acceptation d’une exploitation à des fins statistiques ne peut donc être étirée pour autoriser une exploitation des mails à des fins cette fois publicitaires.

S’agissant du consentement dit « exprès », il est tout autant interdit de le déduire à partir du silence ou de l’inaction de l’internaute. « Par exemple, le consentement ne peut être considéré comme exprès s’il est exprimé par une case précochée ». Dans la même veine, le recueil ne peut être automatique et implicite un an plus tard. Il faudra donc qu'une nouvelle notification régénère la première passe. La CNIL recommande chaudement d’ailleurs à l’exploitant d’opter pour une sorte de préavis. Un « délai de prévenance » qui amorcera le nouveau recueil dans les meilleures conditions.

Un refus d’exploitation ne pourra priver d’accès au service

Fait important : le consentement, qu'il soit initial ou consécutif, ne peut être « contraint ». De cette qualité, la CNIL dézingue la possibilité d'une sorte chantage. L’internaute qui refuse l’exploitation ne peut donc se voir refuser l’accès au service.

En anticipant le règlement européen sur les données personnelles, elle rappelle aussi que l’utilisateur pourra dès 2018 retirer son accord à tout moment. Et ce retrait ne pourra se traduire que par l’arrêt du traitement, sûrement pas l’interruption du service.

Commentaires (11)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Est-ce que Gmail sera concerné ?

votre avatar

La question que je me pose, c’est s’ils sont en Irlande ou aux USA, comment on saura faire appliquer la loi là-bas… :/

votre avatar

Autre question : lorsque l’on est sensible à sa vie privée, pourquoi utiliser Gmail ?

votre avatar

Le but de la CNIL n’est pas forcément de protéger ceux qui sont sensibles à leur vie privée et font déjà “ce qu’il faut “, mais plus les gens qui n’y connaissent pas grand chose et ont quand même besoin qu’on protège leur vie privée.



Enfin, c’est comme ça que je le vois…

votre avatar

C’est un choix de chacun;  tu fera plus pour la vie privée en contraignant Gmail à être respectueux qu’en convainquant un par un les gens d’en changer.



Et même quand tu n’utilise pas Gmail, tu peux envoyer des mails a des contacts qui l’utilisent.

votre avatar

J’ai un courrier de Mediapost (la filiale de la Poste qui bombarde de la pub à 40 millions de français) où il est explicitement marqué qu’ils envoient de la pub même si on a refusé de cocher la petite case quand on s’inscrit quelque part (la fameuse exploitation des données par les partenaires). Donc le recueil explicite du consentement, ils nous le mettent où je pense <img data-src=" />



&nbsp;J’ai demandé son avis à la CNIL mais je n’ai pas eu de réponse…

votre avatar

“Fait important&nbsp;: le consentement, qu’il soit initial ou consécutif, ne peut être «&nbsp;contraint&nbsp;». De cette qualité, la CNIL dézingue la&nbsp;possibilité d’une sorte chantage. L’internaute qui refuse l’exploitation ne peut donc se voir refuser l’accès au service.”



&nbsp;Excellent, je le voyais venir de loin lui !

&nbsp;





Jarodd a écrit :



J’ai un courrier de Mediapost où il est explicitement marqué qu’ils envoient de la pub même si on a refusé de cocher la petite case quand on s’inscrit quelque part





De toute façon faut pas rêver, il n’y a aucun moyen de contrôle du backend. Le fameux consentement à récolter tous les ans ne servira à rien. C’est aussi utile que les politiques de confidentialités, de la poudre aux yeux.


votre avatar

Je trouve hallucinant le décalage entre les réalités et ce genre de débat. Dans la réalité, l’arsenal technique et juridique permettant aux boites de nous espionner est énorme. Et la CNIL n’a aucun moyen de lutter contre ça. Je trouve ça dommage mais dans une société globale et libérale, c’est devenu inévitable.

votre avatar

Bravo à la CNIL de veiller au grain autant que possible avec leurs moyens :)

votre avatar

tu le dis bien: le souci est au niveau des moyens de la CNIL.

votre avatar

On ne peut que saluer cette initiative de la CNIL ! Pour ma part cela montre encore une fois leur indépendance.

Exploitation des mails à des fins publicitaires : l’avis de la CNIL

  • Extension du contrôle de la CNIL

  • Quatre qualités attendues du recueil du consentement

  • Le recueil du consentement, concrètement

  • Un refus d’exploitation ne pourra priver d’accès au service

Fermer