La semaine dernière, a été publié le décret « secret des correspondances » issu de la loi Lemaire. Il impose désormais votre consentement à l’exploitation des mails, notamment à des fins publicitaires. Nous diffusons ci-dessous l’avis de la CNIL.
Depuis la loi sur la République numérique, opérateurs et fournisseurs de services peuvent désormais déroger au principe du secret des correspondances, pour opérer des traitements automatisés d'analyse « à des fins publicitaires, statistiques ou d'amélioration du service apporté à l'utilisateur ». L’expression d’« opérateurs » et « fournisseurs » est très large. Elle frappe aussi bien les gestionnaires de mails que les messages privés sur les réseaux sociaux, en passant par les messageries instantanées.
Cette exploitation est conditionnée à un consentement exprès de l'utilisateur, recueilli tous les ans. Ce type de cuisine interne préexistait à la loi Lemaire mais était trop souvent noyée dans les méandres des conditions générales d’utilisation (CGU) que l’internaute peine à lire. Désormais, par la volonté du législateur, est exigée une alerte évidente, bien visible sur les rétines.
Extension du contrôle de la CNIL
Ce décret d’application a été publié après consultation de la CNIL. Seulement, son avis n’a pas été diffusé. Suite à une demande de communication, nous avons obtenu le précieux document diffusé ci-dessous. L’autorité administrative indépendante soulève plusieurs interrogations absentes de son billet publié pour l’occasion.
Elle se frotte déjà les mains, puisque l’exigence d’un tel feu vert lui permet de facto d’étendre ses modalités de contrôle, notamment sur les trois finalités posées par la loi : exploitation « à des fins publicitaires, statistiques ou d'amélioration du service apporté à l'utilisateur ». Dit autrement, un recueil trop flou ou encore une discordance dans les finalités engageront chacun une possible sanction du responsable après enquête de l’autorité.
Celle-ci fait une autre remarque d’évidence : la notion de correspondance implique a minima deux personnes, l’émetteur et le récepteur du message privé. Conséquence ? « Les traitements opérés à des fins publicitaires et basés sur le contenu des correspondances ne doivent permettre au responsable de traitement que de cibler l’utilisateur qui y a consenti et non d’éventuelles personnes tierces dont les données personnelles apparaîtraient dans la correspondance ».
Quatre qualités attendues du recueil du consentement
Toujours dans son avis, elle réexplique les qualités attendues du recueil : il faut une « manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Ce consentement doit dès lors se traduire « par une déclaration ou par un acte positif clair » de l’intéressé. Du droit européen, la CNIL énumère du coup les quatre qualités attendues :
- Un consentement précédé « d’une information et spécifique pour chaque traitement »
- Un consentement préalable à la réalisation du traitement
- Un consentement exprès, concrétisé par un acte positif (non implicite, par exemple)
- Un consentement libre
Ceci posé, une lacune est épinglée dans les textes français qui lui ont été soumis (le décret appliquant l’article L32-3 du Code des postes). Ces pièces n’évoquent en effet qu’un consentement exprès et spécifique, oubliant donc les deux autres critères exigés des textes européens. L’autorité administrative indépendante a dès lors voulu faire preuve de pédagogie, rappelant quelques fondamentaux. Des remarques précieuses, déjà parce qu’elles révèlent les difficultés pratiques tapies dans l’ombre de dispositions d’apparence simpliste.
Le recueil du consentement, concrètement
Par exemple, le consentement spécifique exige que la personne soit informée « non seulement de la réalisation d’un traitement d’analyse de ses correspondances » mais aussi « des finalités, de la durée de conservation des données collectées, de leurs destinataires, des droits dont elle dispose et des moyens pour les exercer ». Dans l’esprit de la CNIL, cette ligne directrice doit être suivie pour chaque traitement. L’acceptation d’une exploitation à des fins statistiques ne peut donc être étirée pour autoriser une exploitation des mails à des fins cette fois publicitaires.
S’agissant du consentement dit « exprès », il est tout autant interdit de le déduire à partir du silence ou de l’inaction de l’internaute. « Par exemple, le consentement ne peut être considéré comme exprès s’il est exprimé par une case précochée ». Dans la même veine, le recueil ne peut être automatique et implicite un an plus tard. Il faudra donc qu'une nouvelle notification régénère la première passe. La CNIL recommande chaudement d’ailleurs à l’exploitant d’opter pour une sorte de préavis. Un « délai de prévenance » qui amorcera le nouveau recueil dans les meilleures conditions.
Un refus d’exploitation ne pourra priver d’accès au service
Fait important : le consentement, qu'il soit initial ou consécutif, ne peut être « contraint ». De cette qualité, la CNIL dézingue la possibilité d'une sorte chantage. L’internaute qui refuse l’exploitation ne peut donc se voir refuser l’accès au service.
En anticipant le règlement européen sur les données personnelles, elle rappelle aussi que l’utilisateur pourra dès 2018 retirer son accord à tout moment. Et ce retrait ne pourra se traduire que par l’arrêt du traitement, sûrement pas l’interruption du service.
Commentaires (11)
Est-ce que Gmail sera concerné ?
La question que je me pose, c’est s’ils sont en Irlande ou aux USA, comment on saura faire appliquer la loi là-bas… :/
Autre question : lorsque l’on est sensible à sa vie privée, pourquoi utiliser Gmail ?
Le but de la CNIL n’est pas forcément de protéger ceux qui sont sensibles à leur vie privée et font déjà “ce qu’il faut “, mais plus les gens qui n’y connaissent pas grand chose et ont quand même besoin qu’on protège leur vie privée.
Enfin, c’est comme ça que je le vois…
C’est un choix de chacun; tu fera plus pour la vie privée en contraignant Gmail à être respectueux qu’en convainquant un par un les gens d’en changer.
Et même quand tu n’utilise pas Gmail, tu peux envoyer des mails a des contacts qui l’utilisent.
J’ai un courrier de Mediapost (la filiale de la Poste qui bombarde de la pub à 40 millions de français) où il est explicitement marqué qu’ils envoient de la pub même si on a refusé de cocher la petite case quand on s’inscrit quelque part (la fameuse exploitation des données par les partenaires). Donc le recueil explicite du consentement, ils nous le mettent où je pense
" />
J’ai demandé son avis à la CNIL mais je n’ai pas eu de réponse…
“Fait important : le consentement, qu’il soit initial ou consécutif, ne peut être « contraint ». De cette qualité, la CNIL dézingue la possibilité d’une sorte chantage. L’internaute qui refuse l’exploitation ne peut donc se voir refuser l’accès au service.”
Excellent, je le voyais venir de loin lui !
Je trouve hallucinant le décalage entre les réalités et ce genre de débat. Dans la réalité, l’arsenal technique et juridique permettant aux boites de nous espionner est énorme. Et la CNIL n’a aucun moyen de lutter contre ça. Je trouve ça dommage mais dans une société globale et libérale, c’est devenu inévitable.
Bravo à la CNIL de veiller au grain autant que possible avec leurs moyens :)
tu le dis bien: le souci est au niveau des moyens de la CNIL.
On ne peut que saluer cette initiative de la CNIL ! Pour ma part cela montre encore une fois leur indépendance.