Les news RGPD & cyber

Le règlement E-Privacy et les délibérations de la CNIL

Si vous êtes une société qui exerce la prospection commerciale ou utilise des traceurs, prenez quelques minutes pour lire cet article. Vous y apprendrez les sanctions et leurs motifs posés par la CNIL envers une société qui plaçait des cookies sur les terminaux des internautes et deux entreprises qui effectuaient de la prospection commerciale. De plus, vous y apprendrez à faire la différence entre une prospection commerciale auprès d’un professionnel et celle effectuée envers un particulier. Et, cela vous apportera plus d’éclaircissement sur la manière de favoriser le respect du consentement de l’internaute.

Le contenu du règlement

En janvier 2017, la Commission Européenne a présenté le Règlement E-Privacy. Celui-ci devrait s’appliquer à toutes les entreprises de services numériques dans le but d’assurer une meilleure protection des données personnelles, la confidentialité des communications et le respect de la vie privée. Aussi, ce règlement s’appliquera aux entreprises d’édition d’applications ou de logiciels.

Le texte encadre l’utilisation des cookies. La question mise en avant est celle du consentement de l’internaute avant le dépôt des cookies et de tout autre traceur. Le but serait de faciliter l’acception comme le refus de dépôt de cookies sur le terminal de l’internaute. Ainsi, l’objectif principal est de donner la possibilité aux personnes d’être informées des collectes de données et de la finalité de l’utilisation de ces dernières. Enfin, ce règlement vise à remplacer la directive E-Privacy de 2002 qui a été actualisée en 2009¹. A ce jour, le règlement n’est pas encore finalisé.

Les délibérations de la CNIL

En novembre et décembre 2020, la CNIL en formation restreinte a sanctionné dans ses délibérations 3 sociétés pour le motif de manquement relatif à l’information et au consentement préalable des internautes lors du dépôt et à la lecture de cookies. Par ces délibérations, la CNIL rappelle les principes et les limites relatifs à l’utilisation de données collectées par le biais de cookies et d’autres traceurs. Ces délibérations concernaient des sociétés dont l’activité se fonde sur la mise en place de cookies sur les terminaux des internautes à des fins publicitaires ou de prospection commerciale.

Il en ressort que la CNIL condamne certaines pratiques et rappelle certaines règles dont :

La nécessité de recueillir le consentement

La CNIL rappelle certains principes en lien avec le consentement. Tout d’abord, l’organisme rappelle que le consentement n’est pas supposé avoir été accordé lorsque l’internaute navigue sur le site. De plus, l’internaute doit consentir au dépôt de cookies ou de tous autres traceurs. Ce consentement doit être clair. Dans l’hypothèse où l’internaute n’y consent pas, l’entreprise de service numérique ne déposera que les traceurs essentiels au fonctionnement du service de son outil numérique.

Avant de donner son consentement à la mise en place de traceurs sur son terminal, l’internaute doit être informé des finalités des traceurs et des conséquences qui s’attachent à l’acceptation ou au refus de ces traceurs. Enfin, en qualité d’internaute, ce dernier doit connaître l’identité de toutes les entités qui utilisent les cookies et traceurs qui sont soumis à son consentement.

Faciliter le refus de dépôt des traceurs

L’internaute qui consent au dépôt de cookies doit avoir la possibilité de refuser ce dépôt à tout moment. De plus, le service numérique doit lui faciliter cette action.

La prospection commerciale

Dans ses délibérations du mois de décembre 2020, la CNIL énonce les principes relatifs au marketing digital. L’entreprise qui effectue une prospection commerciale doit obtenir le consentement d’une personne avant de diffuser son message commercial. Ainsi, la CNIL pose ce principe dans sa délibération à l’encontre de la société Perfoméclic. Celle-ci a pour activité la prospection commerciale par courrier électronique. Et l’autorité indépendante (la CNIL) énonce que les règles du RGPD s’appliquent aux e-mails de prospection à destination tant des professionnels que des particuliers.

Elle ajoute que ces règles relatives à la prospection de courrier électronique dépendent de la directive E-Privacy ; règles que l’on retrouve à l’Article L34-5 du Code des Postes et des Communications électroniques. Enfin, la CNIL rappelle qu’il appartient à la société prospectrice d’apporter la preuve du recueil de consentement avant l’envoi d’un message commercial.

Dans sa seconde affaire, l’autorité indépendante énonce une règle qui permet de dissocier les conditions d’application de la prospection commerciale entre les professionnels ou envers les particuliers. Il s’agit de l’existence d’un lien direct avec l’activité professionnelle des prospects pour justifier d’un intérêt légitime et dispenser d’un consentement. Ainsi, lorsque la prospection se fait d’un professionnel à un particulier, le principe est le recueil du consentement du particulier pour lui envoyer le message commercial.

A ce principe déroge deux exceptions. La première exception suppose que le particulier est déjà client de l’entreprise en question. Et la seconde exception concerne la prospection non commerciale d’une entité. Enfin, lorsque le marketing digital est mis en place de professionnel à professionnel, alors la personne doit être informée au préalable que son adresse électronique sera utilisée à des fins commerciales et qu’elle dispose d’un droit d’opposition à son utilisation.

---

¹ Directive E-Privacy de (2002/58/CE) devenue directive Cookie (2009/136/CE)
Illustration par freepik