|
|
 |
| |
DONNEES PERSONNELLES
Citation : Caprioli & Associés, Données personnelles,
www.caprioli-avocats.com
Première publication: février 2005
Loi du 6 août 2004. Commerce à distance sur
l'Internet et protection des données à caractère
personnel
Eric A. CAPRIOLI (Avocat à la Cour de Paris)
www. caprioli-avocats.com
contact@caprioli-avocats.com
Plan
I/ PUBLICITE EN LIGNE ET PROSPECTION DIRECTE
A) La publicité
en ligne : conditions d'accès et d'identification
B) La prospection
directe : principe du consentement préalable et exceptions
II/ LES FICHIERS DES ENTREPRISES ET LA CONSTITUTION DE " LISTES NOIRES "
A) Les principes
posés par la loi nouvelle
B) Les préconisations
de la CNIL
III/ LES DONNEES PERSONNELLES COLLECTEES ET CONSERVEES PAR LE PRESTATAIRE DE SERVICES DE CERTIFICATION ELECTRONIQUE (PSCE)
A) Le traitement
des données à caractère personnel par un
PSCE
B) L'opposition
entre l'utilisation de l'activité de certification électronique
et les exigences de la CNIL
Notes
L'enregistrement et l'utilisation des données personnelles sont
au coeur même de différentes activités. Ainsi, elles contribuent
directement à la prospection directe en ligne, à l'élaboration
de divers fichiers commerciaux et parfois des listes noires
relatives aux incidents de paiement et autres comportements
répréhensibles ainsi qu'à l'activité de certains prestataires
de services de confiance comme les prestataires de services
de certification électronique.
1 - Le commerce à distance est né avec la vente par correspondance
au XIXe siècle. Il s'est considérablement développé avec les
échanges marchands sur l'Internet [1]. Sur les réseaux numériques,
les personnes laissent de nombreuses traces numériques lors
de leurs passages et autres communications électroniques [2].
Ces données collectées sur les sites Internet alimentent les
fichiers des personnes physiques ou morales (entreprises,...)
pour des usages marketing et commercial, ou de traitement du
risque (fichiers dits d'exclusion). Une fois constitués, ces
fichiers peuvent être non seulement utilisés par l'auteur du
traitement mais ce dernier peut aussi les céder, les louer ou
les mettre à disposition à titre gratuit transformant ainsi
les données recueillies en une véritable valeur économique.
La prospection commerciale et les services clients (par exemple
: fidélisation, facturation en ligne...) tirent de grands bénéfices
de ces données qualifiées en fonction d'un profil d'individu
[3]. Or, certaines d'entre elles sont susceptibles de constituer
des données à caractère personnel si elles sont assimilables
à une " information relative à une personne physique ou qui
peut être identifiée, directement ou indirectement, par référence
à un numéro d'identification ou à un ou plusieurs éléments qui
lui sont propres "[4].
L'environnement juridique propre au commerce à distance par
voie électronique et à la protection des données personnelles
se fonde sur trois ensembles de textes : le droit de la consommation,
le droit du commerce électronique et le droit des données à
caractère personnel. Les dispositions des deux premiers nous
serviront à mieux circonscrire le domaine d'application de l'étude.
Aujourd'hui, la vente à distance, c'est-à-dire " toute vente
d'un bien ou toute fourniture d'une prestation de service conclue,
sans la présence physique simultanée des parties, entre un consommateur
et un professionnel qui, pour la conclusion de ce contrat, utilisent
exclusivement une ou plusieurs techniques de communication à
distance " [5] représente une part importante de l'activité
économique des sociétés occidentales. Les techniques de communication
à distance sont nombreuses : téléphone, télécopie, service de
messagerie Internet, télévision. Peu importe la nature juridique
du contrat, et sous réserve de certaines exceptions, les règles
protectrices du Code de la consommation s'appliquent dès le
moment où un consommateur entre en relation contractuelle avec
un professionnel [6]. Deux directives communautaires sont intervenues
pour réglementer la protection des consommateurs en matière
de contrats à distance (20 mai 1997) [7] et la commercialisation
à distance des services financiers auprès des consommateurs
(23 septembre 2002) [8]. Une ordonnance du 23 août 2001 a assuré
la transposition de la première et un projet d'ordonnance est
en cours de préparation pour les services financiers [9].
À côté de ce premier corps de règles s'ajoute une série de directives
européennes portant notamment sur les signatures électroniques
[10], le commerce électronique [11] et la facture électronique
[12] apportant un cadre pour ces activités de commerce électronique.
Ici encore, les dispositions communautaires ont été transposées
en droit interne dans le cadre de plusieurs lois et règlements.
Désormais, le droit français possède une définition du commerce
électronique, introduite à l'article 14 de la Loi pour la confiance
dans l'économie numérique (LCEN) : " l'activité économique
par laquelle une personne propose ou assure à distance et par
voie électronique la fourniture de biens ou de services
". Cette formulation est très large et doit être mise en parallèle
avec le Code de la consommation.
L'enregistrement et l'utilisation des données personnelles sont
au coeur même de différentes activités. Ainsi, elles contribuent
directement à la prospection directe en ligne (I), à l'élaboration
de divers fichiers commerciaux et parfois des listes noires
relatives aux incidents de paiement et autres comportements
répréhensibles (II) ainsi qu'à l'activité de certains prestataires
de services de confiance comme les prestataires de services
de certification électronique (III).
I. PUBLICITÉ EN LIGNE ET PROSPECTION
DIRECTE
2 - L'utilisation de fichiers constitués à partir des données
collectées auprès des internautes a permis aux annonceurs et
aux publicitaires d'optimiser à moindre coût les techniques
de profiling et de ciblage et de développer le marketing one
to one ainsi que la publicité qualifiée [13]. Les messages
publicitaires ont envahi l'Internet et particulièrement les
courriers électroniques, allant même jusqu'à saturer les réseaux.
Les mesures techniques ou juridiques mises en oeuvre pour pallier
ce phénomène se sont avérées largement insuffisantes. C'est
dans ce contexte lacunaire qu'est intervenue la LCEN [14],
avec notamment pour objectif de lutter contre les envois massifs
de messages publicitaires non sollicités par leurs destinataires
(phénomène de spamming) [15].
Le nouveau cadre juridique posé par la loi précise les conditions
d'accès et d'identification de la publicité en ligne (A). Pour
la prospection directe par voie électronique, l'innovation majeure
de la loi réside dans la consécration du principe du consentement
préalable (opt-in) des personnes physiques, les exceptions prévues
étant limitées (B).
Force est de constater que ces dispositions auront un impact
certain en ce qui concerne l'enregistrement et l'utilisation
des données collectées.
A) La publicité en ligne : conditions d'accès
et d'identification [16]
3 - Notons au préalable que la LCEN vise la publicité sans toutefois
la définir. L'absence de définition juridique claire et unique
[17] impose de continuer à se référer à la jurisprudence qui
a présenté la publicité comme " tout moyen d'information
destiné à permettre à un client de se faire une opinion sur
les résultats qui peuvent être attendus du bien ou du service
qui lui est proposé " [18], " ainsi que les caractéristiques
des biens ou services proposés " [19].
L'article 20 de la LCEN vise " Toute publicité sous quelque
forme que ce soit, accessible par un service de communication
au public en ligne ". La notion de communication au public
en ligne telle qu'elle est présentée à l'article 1-IV de la
loi repose sur les critères de demande individuelle et de réciprocité
des échanges. Partant, le champ d'application de l'article 20
est large comprenant les services de l'Internet et les courriers
électroniques dont les Short-Message-System (SMS) et les Multimedia-Media-Server
(MMS). Par ailleurs, l'autonomie des services de communication
en ligne par rapport aux services de communication audiovisuelle
est posée et procède de la distinction qui est opérée entre
les deux médias.
Aux termes de l'article 20, la publicité en ligne, qu'elle soit
sous forme de texte, son ou image, " doit pouvoir être clairement
identifiée comme telle " et l'obligation d'identification
est étendue à " la personne physique ou morale pour le compte
de laquelle elle est réalisée ".
L'article 21 précise que, pour les courriers électroniques,
les communications publicitaires doivent pouvoir être reconnues
dès leur réception par le destinataire, " ou en cas d'impossibilité
technique, dans le corps du message ". L'identification
de l'émetteur est obligatoire, directement ou en utilisant un
lien hypertexte. Sont également concernés par ces dispositions
les offres promotionnelles et les concours ou jeux promotionnels.
Tout manquement à ces obligations est assorti de sanctions et
renvoie aux peines prévues à l'article L. 213-1 du Code de la
consommation pour le délit de publicité trompeuse, soit deux
ans d'emprisonnement et/ou 37 500 euros d'amende.
B) La prospection directe : principe du consentement préalable et exceptions
4 - L'article 22 qui transpose l'article 13 de la directive
du 12 juillet 2002 dite " vie privée et communications électroniques
" définit la prospection directe comme l'" envoi de tout
message destiné à promouvoir, directement ou indirectement,
des biens, des services ou l'image d'une personne vendant des
biens ou fournissant des services ". Son champ d'application
est plus large que l'article 20 relatif à la publicité en ligne.
En effet, il vise tous les messages de nature commerciale adressés
à des fins de prospection à des personnes physiques quelle que
soit la technique de communication utilisée : systèmes automatisés
d'appel, télécopieurs ou courriers électroniques. Pour les entreprises,
seules les adresses mél contenant le nom des employés entrent
dans le champ d'application de l'article 22, étant précisé qu'à
l'instar de la jurisprudence, la CNIL a considéré qu'une adresse
électronique dès lors qu'elle contient l'identité d'une personne
physique constitue une donnée personnelle. En revanche, les
coordonnées impersonnelles de type sav@entreprise.com ou contact@entreprise.com
ne requièrent pas l'obtention du consentement préalable des
représentants des entreprises concernées par l'envoi de prospections
commerciales. Les personnes morales conservent toutefois un
droit d'opposition (régime de l'opt-out) qui est maintenu "
dans tous les cas " [20].
Le consentement préalable du destinataire entendu comme " toute
manifestation de volonté " doit être libre c'est-à-dire exprimé
par la personne destinataire du message elle-même. D'un point
de vue pratique, les cases pré-cochées sont à éviter. En outre,
il doit être spécifique : il ne vaut qu'à l'égard du prestataire
et pour les finalités déterminées. En conséquence, l'accord
préalable de la personne est requis dès la première prospection
(dont les modalités de mise en oeuvre restent à définir par
les entreprises émettrices/annonceurs) et pour chaque nouvelle
sollicitation.
Enfin, le consentement préalable doit être informé. L'information
doit porter sur les finalités du traitement, c'est-à-dire qu'il
doit être clair que la collecte est effectuée à des fins de
marketing direct. En outre, la personne concernée doit savoir
si les données recueillies sont susceptibles d'être transmises
ou cédées à des tiers à des fins commerciales, ce qui se traduira
par l'existence d'une autre case à cocher autorisant la cession
à coté de celle prévue pour le consentement.
Si les données recueillies sont destinées à être transférées
dans un État hors de la Communauté européenne, une mention indicative
doit être portée sur la déclaration du traitement effectuée
auprès de la CNIL [21].
Le principe du consentement préalable à toute prospection directe
est clairement affirmé et comporte en réalité une seule dérogation.
En effet, la seconde exception prévue par l'article 22 ne saurait
perdurer au-delà de la période transitoire dont l'échéance a
été fixée au 22 décembre 2004.
Il n'est pas nécessaire d'obtenir le consentement préalable
du prospect lorsque :
- les données à caractère personnel ont été
collectées de façon loyale directement auprès de l'intéressé
;
- la prospection directe porte sur des "
produits et services analogues " qui sont fournis par
la même personne physique ou morale que celle qui a recueilli
les données lors d'une opération commerciale antérieure ;
- la personne concernée est informée de l'existence
d'un droit d'opposition à l'utilisation des données collectées
pour de nouvelles sollicitations.
Les quatre conditions énoncées doivent se cumuler au risque
à défaut de rendre la prospection illicite. La lettre de l'article
soulève toutefois quelques remarques. D'une part, en l'absence
de précision relative au terme " analogue ", il semblerait que
soient à considérer comme tels les produits ou services "
qui répondent aux attentes raisonnables des clients ".
De plus, ces produits ou services analogues doivent être fournis
par la même personne ce qui exclut a priori les filiales ou
partenaires qui sont à considérer comme des tiers. Enfin, le
droit d'opposition reconnu à la personne concernée par la prospection
directe doit pouvoir être exercé de manière simple et sans frais,
hormis ceux liés à la transmission du refus.
Ainsi, l'article 38 de la loi prévoit un droit d'opposition
à toute personne physique, " à ce que les données la concernant
soient utilisées à des fins de prospection, notamment commerciale,
par le responsable actuel du traitement ou celui d'un traitement
ultérieur ". D'autre part, l'article 22-III définit un régime
transitoire de six mois, applicable aux données recueillies
avant la publication de la loi, soit au plus tard le 22 décembre
2004. Aux termes de ce régime transitoire, les annonceurs sont
tenus de régulariser les bases de données collectées avant la
loi. Pour ce faire, ils peuvent solliciter les personnes qui
font partie de leurs fichiers afin de leur demander leur consentement.
Il semble qu'ils ne puissent solliciter ce consentement qu'à
une seule et unique reprise. Partant, pour les bases de données
" clients " mises à la disposition de tiers, elles doivent faire
également l'objet d'une régularisation du consentement.
La prospection directe par voie électronique dispose désormais
d'un régime juridique propre et pour le moins strict d'autant
que les sanctions prévues par l'article R. 10-1 du Code des
postes et communications électroniques [22] semblent trouver
à s'appliquer et que les sanctions pénales réprimant les manquements
à l'article 22 de la LCEN devraient être précisées par décret.
En toute hypothèse, la CNIL est chargée de veiller au respect
des dispositions énoncées et elle est habilitée à recevoir les
plaintes relatives aux infractions. Aussi, les entreprises qui
prospectent leur clientèle via l'Internet doivent se mettre
au diapason de ces nouvelles dispositions législatives et adopter
une grande vigilance en ce qui concerne le recueil et l'utilisation
des données collectées auprès de leurs clients ou des internautes
prospects.
II. - LES FICHIERS DES ENTREPRISES ET LA CONSTITUTION DE " LISTES NOIRES "
5 - La réforme opérée par la loi du 6 août 2004 modifiant la
loi du 6 janvier 1978 [23] instaure un régime unifié de déclaration
des traitements de données pour le secteur privé (entreprises
et professionnels) et le secteur public. Pour les données courantes,
le principe de déclaration des traitements auprès de la CNIL
est maintenu mais la loi prévoit toutefois trois cas d'exonération.
Pour les données sensibles, leur traitement reste interdit hormis
les hypothèses où la loi impose l'autorisation préalable de
l'autorité compétente pour leur mise en oeuvre [24]. Parmi les
traitements qui sont soumis à l'autorisation préalable de la
CNIL, la loi vise les fichiers dits d'exclusion ou " listes
noires " qui répertorient tant des informations relatives aux
incidents de paiement que des comportements pénalement répréhensibles
ou encore des " anomalies " ou " incohérences ". Il s'agira
de dégager les principes posés par la nouvelle loi (A).
Dans différents rapports [25], la CNIL a souligné les risques
d'exclusion sociale voire de marginalisation liés au développement
et à la mutualisation de ces fichiers et ses recommandations
en la matière devront faire l'objet d'une grande attention de
la part des entreprises à l'origine de ce type de traitements
compte tenu des nouvelles dispositions légales (B).
A) Les principes posés par la loi nouvelle
6 - En principe, tous les traitements automatisés de données
doivent faire l'objet d'une déclaration préalable auprès de
la CNIL : déclaration normale ou déclaration simplifiée pour
les traitements les plus courants qui ne sont pas susceptibles
de porter atteinte aux libertés fondamentales et à la vie privée
des personnes concernées. Trois cas d'exonération de déclaration
ont été prévus :
1° les traitements dont le seul objet est la tenue d'un registre
qui, en vertu de dispositions législatives ou réglementaires,
est destiné exclusivement à l'information du public et est ouvert
à la consultation de celui-ci ou de toute personne justifiant
d'un intérêt légitime ;
2° les traitements de données sensibles mis en oeuvre par une
association/organisme à but non lucratif et à caractère religieux,
philosophique, politique ou syndical pour les seules données
correspondant à l'objet de l'association/l'organisme sous réserve
qu'ils ne concernent que les membres de cette association/cet
organisme et, le cas échéant, les personnes qui entretiennent
avec celui-ci des contacts réguliers dans le cadre de son activité
qu'ils ne portent que sur des données non communiquées à des
tiers, sauf consentement exprès des personnes concernées ;
3° les traitements pour lesquels un " correspondant à la
protection des données " a été désigné (sauf si traitements
soumis à autorisation et sauf en cas de transfert des données
à destination d'un État non membre de la Communauté européenne)
[26].
Le correspondant peut être un membre du personnel de l'organisme
ou un intervenant externe, l'externalisation de la fonction
n'étant pas prohibée par la loi. Aux termes de l'article 22,
il est chargé de la tenue de la liste des traitements mis en
oeuvre par l'organisme et il devra assurer d'une manière indépendante
le respect des obligations prévues par la loi " informatique
et libertés " modifiée. Certes, la mission du correspondant
est actuellement définie dans ses grandes lignes et devra être
précisée par décret.
Pour les traitements soumis à autorisation préalable, l'article
25 de la loi prévoit que la CNIL est compétente pour :
1° Les traitements de données sensibles réalisés par l'INSEE
ou un service de statistiques ministériel après avis du Conseil
national des informations statistiques ou appelés à faire l'objet
à bref délai d'un procédé d'anonymisation reconnu conforme à
la loi par la CNIL, ou justifiés par l'intérêt public ;
2° les traitements automatisés portant sur des données génétiques
(sauf ceux mis en oeuvre par des médecins ou des biologistes
qui sont nécessaires aux fins de la médecine préventive, des
diagnostics médicaux ou de l'administration de soins ou de traitements)
;
3° les traitements portant sur des données relatives aux infractions,
condamnations ou mesures de sûreté (sauf si mis en oeuvre par
les auxiliaires de justice pour les besoins de leurs missions
de défense des personnes concernées) ;
4° les traitements automatisés susceptibles, du fait de leur
nature, de leur portée ou de leurs finalités, d'exclure des
personnes du bénéfice d'un droit, d'une prestation ou d'un contrat
en l'absence de toute disposition législative ou réglementaire
;
5° les traitements automatisés ayant pour objet l'interconnexion
de fichiers relevant d'une ou de plusieurs personnes morales
gérant un service public et dont les finalités correspondent
à des intérêts publics différents, l'interconnexion de fichiers
relevant d'autres personnes et dont les finalités principales
sont différentes ;
6° les traitements portant sur des données parmi lesquelles
figure le numéro d'inscription des personnes au répertoire national
d'identification des personnes physiques et ceux qui requièrent
une consultation de ce répertoire sans inclure le numéro d'inscription
à celui-ci des personnes ;
7° les traitements automatisés de données comportant des appréciations
sur les difficultés sociales des personnes ;
8° les traitements automatisés comportant des données biométriques
nécessaires au contrôle de l'identité des personnes.
7 - Les " listes noires " ou fichiers dits d'exclusion
ne peuvent être mis en oeuvre qu'après autorisation de la CNIL
selon l'article 25-I-4° qui prend en compte la diversité des
finalités et des contenus de ces fichiers. Sont ainsi concernés
:
- les fichiers d'alerte établis pour les
personnes à risques ;
- les fichiers qui recensent les personnes
indésirables
- auteurs d'impayés, fraudeurs, personnes
ayant fourni des informations présentant des anomalies ou incohérences
telles que fausse fiche de salaire, déclaration de revenus erronée
;
- les fichiers qui enregistrent l'ensemble
des crédits souscrits par une personne ainsi que les défauts
de paiement associés ;
- les fichiers centraux détenus par les organismes
centralisateurs ou par des grandes entreprises ;
- les fichiers mutualisés qui procèdent du
regroupement de fichiers d'initiative privée.
Par ailleurs, toute modification substantielle d'un fichier
en fichier d'exclusion est également soumise à l'autorisation
préalable de la CNIL. Par exemple, dans le cadre de la vente
à distance par voie électronique, la collecte du numéro de carte
bancaire à des fins de règlement des transactions réalisées
devra faire l'objet d'une déclaration auprès de la CNIL. En
revanche, en cas d'incident de paiement certain, l'inscription
du numéro de carte bancaire du " mauvais payeur " dans un fichier
automatisé devra être soumis à l'autorisation préalable de la
CNIL.
Un jugement du Tribunal de police de Paris du 4 décembre 2003
[27] vient préciser certains éléments quant au rôle des organismes
chargés de la gestion des listes de mauvais payeurs. En effet,
ceux-ci ne sont pas directement responsables des données qu'ils
détiennent. Un abonné avait appris au cours d'un conflit l'opposant
à la société Orange son inscription sur l'une de ces listes
" noires " gérées par le GIE Préventel, groupement créé par
les grands opérateurs de téléphonie mobile. Il a alors décidé
de porter plainte contre Préventel. Les chefs d'accusation étaient
les suivants : recueil sans information préalable d'informations
nominatives et opposition à l'exercice du droit d'accès et de
rectification de ces données. Pour le juge, le rôle des organismes
gérant des listes noires se limite à la centralisation des informations.
Les actions devaient donc être dirigées à l'encontre des opérateurs,
seuls responsables de l'utilisation des données nominatives
de leurs clients.
Parallèlement et de manière spécifique, l'interdiction qui était
posée par l'article 30 de la loi de 1978 visant les traitements
automatisés relatifs aux infractions, condamnations ou mesures
de sûreté est désormais partiellement levée. En effet, en vertu
de l'article 9-4° de la loi du 6 août 2004, sous réserve d'obtenir
l'autorisation préalable de la CNIL, les sociétés de gestion
des droits d'auteur et les associations professionnelles peuvent
créer ce type de traitements constitutifs de " listes noires
", afin de lutter contre le piratage et la contrefaçon [28].
8 - L'information des personnes susceptibles d'être inscrites
sur une " liste noire " doit également obéir aux principes
posés par la loi nouvelle. Ainsi, lors de la collecte des données,
le destinataire chargé de mutualiser les informations à caractère
personnel doit être indiqué à la personne concernée par le traitement.
De plus, l'inscription sur un fichier dit " d'exclusion " doit
être notifiée au préalable à l'intéressé ainsi que le délai
de régularisation qui est accordé. Enfin, l'avis d'inscription
doit être également notifié et il doit contenir les informations
relatives aux droits que détient la personne fichée (droit d'opposition,
de régularisation et de suppression des données lorsque la situation
est régularisée).
B) Les préconisations de la CNIL
9 - Pour la CNIL, la transparence des fichiers dits " d'exclusion
" est nécessaire et repose essentiellement sur l'information
des personnes concernées eu égard aux finalités et aux destinataires
desdits traitements.
La CNIL veille au respect du principe de sectorisation, c'est-à-dire
que la mise en oeuvre et l'accès à ces fichiers doivent être
limités à un secteur d'activité et aux seuls professionnels
du secteur. Il s'agit de la stricte application du principe
de proportionnalité en vertu duquel les données doivent être
" pertinentes, adéquates et non excessives " par rapport aux
finalités pour lesquelles elles sont enregistrées.
En outre, les motifs d'inscription doivent être strictement
définis au préalable. En matière d'impayés, la créance doit
être certaine et la gestion des contestations doit être assurée.
De même, pour les informations relatives à des manquements contractuels,
l'inscription doit reposer sur des critères objectifs et vérifiables,
opposables à la personne concernée. Le responsable du traitement
doit veiller au respect des conditions d'inscription et procéder
à l'examen des contestations. L'organisme centralisateur doit
définir au préalable un seuil d'inscription en fonction du niveau
de gravité du manquement ou d'un montant prédéterminé.
La CNIL préconise que la durée de conservation des données soit
fixée au préalable et proportionnée aux motifs de l'inscription.
Dans cette optique, elle engage les responsables de traitements
à mettre en oeuvre des procédures de mises à jour régulières
et veiller à la suppression des données erronées ou dont l'actualisation
ne peut être assurée.
S'agissant de la sécurité et de la confidentialité des données,
la CNIL recommande une gestion rigoureuse des habilitations
et des contrôles d'accès des employés chargés de la gestion
des fichiers, à charge pour les responsables des fichiers de
définir une politique de journalisation et de gestion des mots
de passe (chiffrement des données). Par ailleurs, seule l'inscription
des personnes identifiées avec certitude doit être possible
: doivent être collectés avec les Nom/Prénoms, les dates et
lieu de naissance (pour éviter les risques d'homonymie).
III. - LES DONNÉES PERSONNELLES COLLECTÉES ET CONSERVÉES PAR
LE PRESTATAIRE DE SERVICES DE CERTIFICATION ÉLECTRONIQUE (PSCE)
10 - L'activité des différents prestataires de l'Internet est
directement ou indirectement liée à la collecte et à l'utilisation
de données à caractère personnel. Il peut s'agir de prestataires
techniques comme les fournisseurs d'accès ou d'hébergement ou
de prestataires de services de confiance. Parmi les prestataires
de services de confiance, on peut citer les PSCE [29] pour les
signatures électroniques [30], les tiers horodateurs [31] ou
les tiers archiveurs [32]. Par exemple, les tiers horodateurs
et les tiers archiveurs conservent les données à caractère personnel
de leurs clients ou des personnes ayant les droits d'accès aux
données archivées [33]. Tous ces intermédiaires participent
au commerce à distance en ligne. Ce lien s'explique tant d'un
point de vue commercial (la création d'une base de données des
clients) que juridique (l'imputabilité d'un acte ou d'une action
sur les réseaux). Dans certains cas, l'identification de la
personne est l'objet même du service comme pour la délivrance
de certificat électronique (A).
De ce fait, certaines exigences particulières au domaine de
la certification électronique sont susceptibles d'être en conflit
avec les prescriptions légales de la loi Informatique et libertés.
Cette opposition entre deux corps de règles a donné lieu à une
prise de position de la CNIL à ce sujet (B).
A) Le traitement des données à caractère personnel par un PSCE
11 - L'article 8-2 de la directive " Signature électronique
" [34] prévoit : " Les États membres veillent à ce qu'un prestataire
de service de certification qui délivre des certificats à l'intention
du public ne puisse recueillir des données personnelles que
directement auprès de la personne concernée ou avec le consentement
explicite de celle-ci et uniquement dans la mesure où cela est
nécessaire à la délivrance et à la conservation du certificat.
Les données ne peuvent être recueillies ni traitées à d'autres
fins sans le consentement explicite de la personne intéressée
" [35].
Le Prestataire de services de certification électronique doit
être en mesure de vérifier de manière certaine et non équivoque
l'identité du demandeur ; la procédure d'enregistrement du certificat
en dépend ainsi que toute la sécurité juridique en terme de
preuve et de validité des processus contractuels qui en découlent
! Afin d'établir un certificat, le PSCE est amené à collecter
diverses informations directement liées à la personne de son
titulaire. Le nouvel article 33 de la loi Informatique et Libertés
énonce que " sauf consentement exprès de la personne concernée,
les données à caractère personnel recueillies par les prestataires
de services de certification électronique pour les besoins de
la délivrance et de la conservation des certificats liés aux
signatures électroniques doivent l'être directement auprès de
la personne concernée et ne peuvent être traitées que pour les
fins en vue desquelles elles ont été recueillies ". On peut
déduire de cette disposition que si le PSCE souhaite établir
un certificat d'identification à partir d'une base de données
personnelles confiée par une entreprise concernant ses salariés
ou ses clients, il devra recueillir le consentement exprès de
chacune des personnes de cette base. Si l'enregistrement s'est
opéré via un mandataire de certification dûment habilité par
l'entreprise ou l'organisation, ce dernier devra s'assurer du
consentement écrit dans le mandat de chacune des personnes physiques
qui demande un certificat. Ceci explique la mention de la collecte
" directement auprès de la personne concernée ". Cet article
ne fait que transposer l'article 8-2 de la directive européenne,
et ce, alors même qu'il peut apparaître comme surabondant avec
les dispositions générales de l'article 7 de la loi Informatique
et Libertés qui dispose : " Un traitement de données à caractère
personnel doit avoir reçu le consentement de la personne concernée
ou satisfaire à l'une des conditions suivantes : [...]
4° L'exécution, soit d'un contrat auquel la personne concernée
est partie, soit de mesures précontractuelles prises à la demande
de celle-ci ". De ce fait, les entreprises qui souhaitent
faire émettre des certificats pour le compte de leurs salariés
ou de leurs clients devront prévoir une autorisation expresse
dans le cadre de leur contrat (par exemple : mandat) ou un avenant
pour l'utilisation des données collectées en vue de la délivrance
d'un certificat électronique.
B) L'opposition entre l'utilisation de l'activité de certification
électronique et les exigences de la CNIL
12 - La possibilité de rectifier ou d'effacer les données à
caractère personnel concernant la personne physique au regard
de l'article 40 de la loi Informatique et Libertés pourrait
empêcher le PSCE de répondre à son obligation réglementaire
de conservation des données. Ainsi, l'article 6-II du décret
n° 2001-272 du 30 mars 2001 dispose que le PSCE fiable doit
: " k) Conserver, éventuellement sous forme électronique,
toutes les informations relatives au certificat électronique
qui pourraient s'avérer nécessaires pour faire la preuve en
justice de la certification électronique " [36]. Les données
utilisées au moment de la certification d'identité sont, entre
autres, l'objet de cette conservation. Cette obligation de conservation
des données d'origine devrait primer sur les deux droits reconnus
à chaque internaute par l'article 40 de la loi Informatique
et Libertés, à savoir les droits de rectification et d'effacement
des données le concernant si les données sont devenues inexactes,
incomplètes, équivoques ou périmées. La personne pourra également
demander à ce que ses données soient verrouillées.
Concernant le droit de rectification, le PSCE doit conserver
les données en l'état car ce sont les données valables au moment
de la certification d'identité (de l'enregistrement ou du renouvellement)
qui devront, le cas échéant, être apportées en justice. Si un
titulaire pouvait modifier les données après la commission d'une
infraction ou de la souscription d'obligations, alors le PSCE
constituerait un " vrai faux certificat " susceptible d'engager
sa responsabilité pénale.
De plus, les données personnelles des titulaires de certificats
ne pourront être effacées qu'au terme de la période du traitement,
à savoir le terme du délai de conservation de ces données figurant
sur le certificat d'identification permettant d'apporter une
preuve sous forme électronique devant le juge [37]. Les délais
des prescriptions civiles et pénales étant ce qu'ils sont, la
conservation de ces données risque de durer plusieurs décennies.
Ainsi, le droit d'effacement des données est subordonné à cette
exigence probatoire comme l'énonce la CNIL [38]. Le droit à
l'oubli ne peut donc être mis en oeuvre au bénéfice du titulaire
du certificat, eu égard à ces exigences, à tout le moins pendant
une durée certainement longue. '
Mots-Clés : Données personnelles - Loi n° 2004-801 du 6 août
2004 - CNIL - Commerce électronique
Données personnelles - Internet - Prospection directe -Publicité
en ligne
Données personnelles - Internet - Prestataire de services de
certification électronique Internet - Commerce électronique
- Données personnelles -Loi n° 2004-801 du 6 août 2004
Textes : Loi n° 2004-801, 6 août 2004
Notes
1. Ne seront traités dans
le présent article que les services de l'Internet.
2. La notion de communication électronique est centrale puisqu'elle
regroupe " les émissions, transmissions ou réceptions de signes,
de signaux, d'écrits, d'images ou de sons, par voie électromagnétique
" comme l'énonce l'article 1-II de la loi n° 2004-575 pour la
confiance dans l'économie numérique (LCEN) du 21 juin 2004 (JO
22 juin 2004, p.11168 et s).
3. Sur ces questions relatives aux constitutions et utilisations
de fichiers d'entreprises, V. CNIL, La 23 e conférence internationale
des commissaires à la protection des données, " Vie privée -
Droit de l'homme " : Paris, 24-26 sept. 2001 ; Doc. fr. 2002,
spécialement § " Les technologies pour la protection de la vie
privée ", p. 407 et s ; " Mouvements d'entreprises, personnalisation
des services ", p. 472 et s ; " Entreprises et protection des
données personnelles : quelles initiatives et quelle organisation
pour assurer la confiance ? ", p. 491 et s.
4. V. L. informatique, Fichiers et libertés, modifiée, art.
2, al. 2. - S'agissant de la loi du 6 janvier 1978 avant la
réforme du 6 août 2004, V. J. Frayssinet, Informatique, Fichiers
et liberté : Paris, Litec, 1992, préface Jacques Fauvet.
5. V. C. consom., art. L. 121-16. - J. Huet, Libres propos sur
la protection des consommateurs dans le commerce électronique
in Liber amicorum Jean Calais-Auloy, Études de droit de la consommation
: Dalloz, 2004, p. 507 et s.
6. J. Calais-Auloy et F. Steinmetz, Droit de la consommation
: Dalloz, 6 e éd. 2003, n° 97 et s.
7. PE et Cons. UE, dir. n° 97/7/CE, 20 mai 1997 concernant la
protection des consommateurs en matière de contrats à distance
: JOCE n° L. 144, 4 juin 1997 p. 19 et s. - V. J. Gatsi, La
protection des consommateurs en matière de contrats à distance
dans la directive du 20 mai 1997 : D. affaires 1997, p. 1378
; RTD civ. 1997, p. 1015, obs. J. Raynard. - M. Trochu, Protection
des consommateurs en matière de contrats à distance : directive
n° 97-7 CE du 20 mai 1997 : D. 1999, chron. p. 179. - J. Passa,
Commerce électronique et protection du consommateur : D. 2002,
chron. p. 555-564 et s. - A. Lucas, J. Devèze, J. Frayssinet,
Droit de l'informatique et de l'Internet : PUF, 2001, p. 71
et s.
8. PE et Cons. UE, dir. n° 2002/65/CE, 23 sept. 2002 concernant
la commercialisation à distance de services financiers auprès
des consommateurs : JOCE n° L. 271, 9 oct. 2002, p. 16 et s.
9. Disponible à l'adresse : http://www.droit-technologie.org/3_1.asp
?legislation_id=205.
10. PE et Cons. UE, dir. n° 1999/93/CE, 13 déc. 1999 sur un
cadre communautaire pour les signatures électroniques : JOCE
n° L. 13, 19 janv. 2000, p. 12 et s.
11. PE et Cons. UE, dir. n° 2000/31/CE, 8 juin 2000 relative
à certains aspects juridiques des services de la société de
l'information, et notamment du commerce électronique, dans le
marché intérieur (" directive sur le commerce électronique ")
: JOCE n° L. 178, 17 juill. 2000, p. 1 et s.
12. Cons. UE, dir. n° 2001/115/CE, 20 déc. 2001 modifiant la
directive n° 77/388/CEE en vue de simplifier, moderniser et
harmoniser les conditions imposées à la facturation en matière
de taxe sur la valeur ajoutée : JOCE n° L. 15, 17 janv. 2002,
p. 24 et s. - V. É. Caprioli et X. Le Cerf, Cadre juridique
et fonctionnement de la facture électronique : Journ. sociétés,
sept. 2004.
13. P. Lemoine, Commerce électronique, marketing et liberté
in La protection de la vie privée dans la société de l'information,
Tome 2, sous la direction de Pierre Tabatoni : Paris, PUF, 2000,
p.9 et s.
14. Pour de plus amples développements concernant les différentes
problématiques de la LCEN, le lecteur pourra se référer à l'ouvrage
E. A. Caprioli (ss dir.), Cabinet Caprioli & Associés : LGDJ,
janv. 2005.
15. V. V. Varet, Le cadre juridique du spam : état des lieux
: Comm. com. électr. 2002, chron. 21. - V. également sur le
site de la CNIL : www.cnil.fr, le dossier " spam "
16. J.-M. Coblence, Le statut de la publicité dans la loi pour
la confiance dans l'économie numérique : Comm. com. élect. 2004,
étude 25.
17. Définitions de la publicité - V. en droit communautaire
: Cons. UE, dir. n° 84/450/CEE, 10 sept. 1984 relative au rapprochement
des dispositions législatives, réglementaires et administratives
des États membres en matière de publicité trompeuse : JOCE n°
L. 250, 19 sept. 1984, p. 17 et s. - Cons. UE, dir. n° 2000/31/CE,
8 juin 2000 dite " commerce électronique ", préc. - PE et Cons.
UE, dir. n° 2002/58/CE, 12 juill. 2002 concernant le traitement
des données à caractère personnel et la protection de la vie
privée dans le secteur des communications électroniques : JOUE
31 juill. 2002, p. 42 et s. - V. en droit interne : C. consom.,
art. L. 121-1 et s. - D. n° 92-280, 27 mars 1992 pour l'application
de l'article 27 de la loi du 30 septembre 1986 relative à la
liberté de communication et fixant les principes généraux concernant
le régime applicable à la publicité et au parrainage, art. 2
: JO 28 mars 1992.
18. Cass. crim., 12 nov. 1986 : Bull. crim. 1986, n° 335.
19. Cass. crim., 14 oct. 1998 : Bull. crim. 1998, n° 262.
20. LCEN, art. 22-5.
21. L. n° 2004-801, 6 août 2004 relative à la protection des
personnes physiques à l'égard des traitements de données à caractère
personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative
à l'informatique, aux fichiers et aux libertés, art. 30 : JO
7 août 2004, p. 14063 et s.
22. L'amende prévue se situe entre 450 et 750 euros par message
non sollicité envoyé.
23. M.-A. Ledieu, Les fichiers des entreprises après la réforme
du 6 août 2004 de la loi informatique et libertés : Comm. comm.
électr. 2004, étude 33. - S. Vulliet-Tavernier, Après la loi
du 6 août 2004 : nouvelle loi " informatique et libertés ",
nouvelle CNIL ? : Dr. soc. 2004, p. 1055 et s.
24. Selon l'atteinte susceptible d'être portée au respect de
la vie privée les traitements automatisés des données dites
sensibles requièrent l'autorisation préalable de la CNIL (art.
25) ou quand ils sont mis en oeuvre pour le compte de l'État
ces traitements sont soumis à l'autorisation préalable du ou
des ministres compétents (art. 26) ou du Conseil d'État (art.
27).
25. Rapp. de la CNIL, Les listes noires. Le fichage des " mauvais
payeurs " et des " fraudeurs " au regard de la protection des
données personnelles : Paris, Doc. fr. 2003, Coll. Les rapports
de la CNIL. - CNIL, 24 e rapp. d'activité 2003, Données personnelles
et relations commerciales -II. Les " listes noires " toujours
d'actualité : Paris, Doc. fr. 2004, p.182 et s.
26. P. Leclercq, Le contrat international sur les données personnelles
in Les deuxièmes journées internationales du droit du commerce
électronique : Paris, Litec, Coll. Actualités dr. entreprise,
à paraître en 2005. - J. Huet, Clauses contractuelles encadrant
les transferts de données personnelles entre les États parties
à la Convention 108 du Conseil de l'Europe et des pays tiers
: intérêts et faiblesses du procédé : Rapp. Cons. Europe, janv.
2001 ; www.coe.int/ dataprotection ; Comm. com. électr. 2001,
chron. 11.
27. Disponible à l'adresse : http://www.legalis.net/jurisprudence-decision.php3
?id_article= 1021.
28. J. Frayssinet, L'accouplement du droit de la protection
des données personnelles avec le droit d'auteur : la naissance
d'un avorton, l'article 9-4° de la loi modifiée relative à l'informatique,
aux fichiers et aux libertés : Légipresse n° 216, nov. 2004,
p. 119 et s. - C. Caron, Aspects de propriété intellectuelle,
Analyse d'un saupoudrage discret : Comm. com. électr. 2004,
étude 23.
29. Aux termes de l'article 1-12 du décret du 30 mars 2001 (JO
31 mars 2001, p. 5070), le PSCE est " toute personne qui délivre
des certificats électroniques ou fournit d'autres services en
matière de signature électronique ".
30. J. Huet, Vers une consécration de la preuve et de la signature
électroniques : D. 2000, p. 95. - P. Catala, L'introduction
du droit de la preuve électronique dans le Code civil par un
groupe d'universitaires : JCP G, 1999, I, 182. - Pour la loi
votée, V. E. A. Caprioli, Écrit et preuve électroniques dans
la loi n° 2000-230 du 13 mars 2000 : Cah. dr. entrep. 2000,
n° 2, p. 1 et s ; La loi française sur la preuve et la signature
électroniques dans la perspective européenne : JCP G 2000, p.
787 et s. - P.-Y. Gautier et X. Linant de Bellefonds, De l'écrit
électronique et des signatures qui s'y attachent : JCP G, 2000,
n° 24, p. 1113 et s. - P. Leclercq, le nouveau droit civil et
commercial de la preuve et le rôle du juge : Comm. com. électr.
2000, chron. n° 9. - J. Huet, Le Code civil et les contrats
électroniques in 1804-2004, Le Code civil, Un passé, un présent,
un avenir : Université Panthéon-Assas (Paris II), Paris, Dalloz,
2004, p. 539 et s.
31. On peut les définir comme toute personne qui fournit des
prestations de services d'horodatage ou de datation électronique.
Ce prestataire est souvent une tierce partie aux échanges de
données, un peu à l'image du rôle joué par La Poste dans les
échanges de courrier papier en apposant son cachet qui fait
foi. Ce tiers prend en charge la gestion de l'environnement
technique et de la production de jetons d'horodatage sur des
données qui lui sont présentées afin d'attester de l'existence
des dites données à la date de la marque de temps. V. le Guide
de l'horodatage de la FNTC, sept. 2004 : www.fntc.org.
32. Un tiers archiveur peut être défini comme toute personne
en charge de recevoir, de conserver, de restituer, en d'autres
termes d'assurer la gestion des documents électroniques et des
données qui y sont jointes. V en ce sens, Eric A. Caprioli,
Variations sur le thème du droit de l'archivage dans le commerce
électronique : Petites affiches 18 et 19 août 1999, p. 4 et
s.
33. Les tiers archiveurs peuvent être amenés à conserver des
données sociales (bulletins de paye) ou des déclarations fiscales
ou sociales, ou encore des contrats sur lesquels figurent par
exemple les noms et qualités des signataires.
34. Dir. européenne n° 1999/93/CE, 13 déc. 1999 sur un cadre
communautaire pour les signatures électroniques : JOCE n° L.
13, 19 janv. 2000, p. 12.
35. Eric A. Caprioli, La directive européenne n° 1999/93/CE
du 13 décembre 1999 sur un cadre communautaire pour les signatures
électroniques : Gaz. Pal. 29-31 oct. 2000, p. 5 et s.
36. D. n° 2001-272, 30 mars 2001 pris pour l'application de
l'article 1316-4 du Code civil et relatif à la signature électronique
: JO 31 mars 2001, p. 5070. - V. E. A. Caprioli, Commentaires
du décret n° 2001-272 du 30 mars 2001 relatif à la signature
électronique, RD bancaire et fin. 2001, n° 105, p. 155. - L.
Jacques, Le décret n° 2001-272 du 30 mars 2001 relatif à la
signature électronique : JCP G, 2001, ap. rap. p. 1601.
37. Cela correspond " à la réalisation des finalités pour lesquelles
[ces données] ont été traitées " comme l'énonce l'article 28
de la loi Informatique et Libertés.
38. Comme le cite textuellement M.-L. Oble-Laffaire, Première
position de la CNIL sur le régime de la signature électronique
(Expertises nov. 2002, p. 384) : " la durée de conservation
de ces données [nominatives] devra être supérieure à la durée
de vie du contrat de prestation de certification puisqu'une
contestation du contrat peut intervenir à tout moment dans un
laps de temps indéfini ". De plus, la CNIL précise que " dans
la mesure où ces données seraient également utilisées à des
fins commerciales par le prestataire de service, la base dite
client obéira à d'autres règles de purges, qui sont celles des
règles de conservation des livres et documents comptables (10
ans). La Commission préconise par ailleurs que les anciens clients
ne soient pas démarchés au-delà de deux sollicitations restées
infructueuses ". Enfin, la CNIL indique que la déclaration effectuée
par le Prestataire de services de certification électronique
pourra faire référence à une durée de conservation " tant que
nécessaire au regard des obligations légales ".
|
|
