Citation : Caprioli & Associés, Données personnelles, www.caprioli-avocats.com Première publication: février 2005 Loi du 6 août 2004. Commerce à distance sur l'Internet et protection des données à caractère personnel Eric A. CAPRIOLI (Avocat à la Cour de Paris) www. caprioli-avocats.com contact@caprioli-avocats.com
Plan I/ PUBLICITE EN LIGNE ET PROSPECTION DIRECTE A) La publicité en ligne : conditions d'accès et d'identification B) La prospection directe : principe du consentement préalable et exceptions II/ LES FICHIERS DES ENTREPRISES ET LA CONSTITUTION DE " LISTES NOIRES " A) Les principes posés par la loi nouvelle B) Les préconisations de la CNIL III/ LES DONNEES PERSONNELLES COLLECTEES ET CONSERVEES PAR LE PRESTATAIRE DE SERVICES DE CERTIFICATION ELECTRONIQUE (PSCE) A) Le traitement des données à caractère personnel par un PSCE B) L'opposition entre l'utilisation de l'activité de certification électronique et les exigences de la CNIL Notes
L'enregistrement et l'utilisation des données personnelles sont au coeur même de différentes activités. Ainsi, elles contribuent directement à la prospection directe en ligne, à l'élaboration de divers fichiers commerciaux et parfois des listes noires relatives aux incidents de paiement et autres comportements répréhensibles ainsi qu'à l'activité de certains prestataires de services de confiance comme les prestataires de services de certification électronique. 1 - Le commerce à distance est né avec la vente par correspondance au XIXe siècle. Il s'est considérablement développé avec les échanges marchands sur l'Internet [1]. Sur les réseaux numériques, les personnes laissent de nombreuses traces numériques lors de leurs passages et autres communications électroniques [2]. Ces données collectées sur les sites Internet alimentent les fichiers des personnes physiques ou morales (entreprises,...) pour des usages marketing et commercial, ou de traitement du risque (fichiers dits d'exclusion). Une fois constitués, ces fichiers peuvent être non seulement utilisés par l'auteur du traitement mais ce dernier peut aussi les céder, les louer ou les mettre à disposition à titre gratuit transformant ainsi les données recueillies en une véritable valeur économique. La prospection commerciale et les services clients (par exemple : fidélisation, facturation en ligne...) tirent de grands bénéfices de ces données qualifiées en fonction d'un profil d'individu [3]. Or, certaines d'entre elles sont susceptibles de constituer des données à caractère personnel si elles sont assimilables à une " information relative à une personne physique ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres "[4]. L'environnement juridique propre au commerce à distance par voie électronique et à la protection des données personnelles se fonde sur trois ensembles de textes : le droit de la consommation, le droit du commerce électronique et le droit des données à caractère personnel. Les dispositions des deux premiers nous serviront à mieux circonscrire le domaine d'application de l'étude. Aujourd'hui, la vente à distance, c'est-à-dire " toute vente d'un bien ou toute fourniture d'une prestation de service conclue, sans la présence physique simultanée des parties, entre un consommateur et un professionnel qui, pour la conclusion de ce contrat, utilisent exclusivement une ou plusieurs techniques de communication à distance " [5] représente une part importante de l'activité économique des sociétés occidentales. Les techniques de communication à distance sont nombreuses : téléphone, télécopie, service de messagerie Internet, télévision. Peu importe la nature juridique du contrat, et sous réserve de certaines exceptions, les règles protectrices du Code de la consommation s'appliquent dès le moment où un consommateur entre en relation contractuelle avec un professionnel [6]. Deux directives communautaires sont intervenues pour réglementer la protection des consommateurs en matière de contrats à distance (20 mai 1997) [7] et la commercialisation à distance des services financiers auprès des consommateurs (23 septembre 2002) [8]. Une ordonnance du 23 août 2001 a assuré la transposition de la première et un projet d'ordonnance est en cours de préparation pour les services financiers [9]. À côté de ce premier corps de règles s'ajoute une série de directives européennes portant notamment sur les signatures électroniques [10], le commerce électronique [11] et la facture électronique [12] apportant un cadre pour ces activités de commerce électronique. Ici encore, les dispositions communautaires ont été transposées en droit interne dans le cadre de plusieurs lois et règlements. Désormais, le droit français possède une définition du commerce électronique, introduite à l'article 14 de la Loi pour la confiance dans l'économie numérique (LCEN) : " l'activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou de services ". Cette formulation est très large et doit être mise en parallèle avec le Code de la consommation. L'enregistrement et l'utilisation des données personnelles sont au coeur même de différentes activités. Ainsi, elles contribuent directement à la prospection directe en ligne (I), à l'élaboration de divers fichiers commerciaux et parfois des listes noires relatives aux incidents de paiement et autres comportements répréhensibles (II) ainsi qu'à l'activité de certains prestataires de services de confiance comme les prestataires de services de certification électronique (III). I. PUBLICITÉ EN LIGNE ET PROSPECTION DIRECTE 2 - L'utilisation de fichiers constitués à partir des données collectées auprès des internautes a permis aux annonceurs et aux publicitaires d'optimiser à moindre coût les techniques de profiling et de ciblage et de développer le marketing one to one ainsi que la publicité qualifiée [13]. Les messages publicitaires ont envahi l'Internet et particulièrement les courriers électroniques, allant même jusqu'à saturer les réseaux. Les mesures techniques ou juridiques mises en oeuvre pour pallier ce phénomène se sont avérées largement insuffisantes. C'est dans ce contexte lacunaire qu'est intervenue la LCEN [14], avec notamment pour objectif de lutter contre les envois massifs de messages publicitaires non sollicités par leurs destinataires (phénomène de spamming) [15]. Le nouveau cadre juridique posé par la loi précise les conditions d'accès et d'identification de la publicité en ligne (A). Pour la prospection directe par voie électronique, l'innovation majeure de la loi réside dans la consécration du principe du consentement préalable (opt-in) des personnes physiques, les exceptions prévues étant limitées (B). Force est de constater que ces dispositions auront un impact certain en ce qui concerne l'enregistrement et l'utilisation des données collectées. A) La publicité en ligne : conditions d'accès et d'identification [16] 3 - Notons au préalable que la LCEN vise la publicité sans toutefois la définir. L'absence de définition juridique claire et unique [17] impose de continuer à se référer à la jurisprudence qui a présenté la publicité comme " tout moyen d'information destiné à permettre à un client de se faire une opinion sur les résultats qui peuvent être attendus du bien ou du service qui lui est proposé " [18], " ainsi que les caractéristiques des biens ou services proposés " [19]. L'article 20 de la LCEN vise " Toute publicité sous quelque forme que ce soit, accessible par un service de communication au public en ligne ". La notion de communication au public en ligne telle qu'elle est présentée à l'article 1-IV de la loi repose sur les critères de demande individuelle et de réciprocité des échanges. Partant, le champ d'application de l'article 20 est large comprenant les services de l'Internet et les courriers électroniques dont les Short-Message-System (SMS) et les Multimedia-Media-Server (MMS). Par ailleurs, l'autonomie des services de communication en ligne par rapport aux services de communication audiovisuelle est posée et procède de la distinction qui est opérée entre les deux médias. Aux termes de l'article 20, la publicité en ligne, qu'elle soit sous forme de texte, son ou image, " doit pouvoir être clairement identifiée comme telle " et l'obligation d'identification est étendue à " la personne physique ou morale pour le compte de laquelle elle est réalisée ". L'article 21 précise que, pour les courriers électroniques, les communications publicitaires doivent pouvoir être reconnues dès leur réception par le destinataire, " ou en cas d'impossibilité technique, dans le corps du message ". L'identification de l'émetteur est obligatoire, directement ou en utilisant un lien hypertexte. Sont également concernés par ces dispositions les offres promotionnelles et les concours ou jeux promotionnels. Tout manquement à ces obligations est assorti de sanctions et renvoie aux peines prévues à l'article L. 213-1 du Code de la consommation pour le délit de publicité trompeuse, soit deux ans d'emprisonnement et/ou 37 500 euros d'amende. B) La prospection directe : principe du consentement préalable et exceptions 4 - L'article 22 qui transpose l'article 13 de la directive du 12 juillet 2002 dite " vie privée et communications électroniques " définit la prospection directe comme l'" envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services ". Son champ d'application est plus large que l'article 20 relatif à la publicité en ligne. En effet, il vise tous les messages de nature commerciale adressés à des fins de prospection à des personnes physiques quelle que soit la technique de communication utilisée : systèmes automatisés d'appel, télécopieurs ou courriers électroniques. Pour les entreprises, seules les adresses mél contenant le nom des employés entrent dans le champ d'application de l'article 22, étant précisé qu'à l'instar de la jurisprudence, la CNIL a considéré qu'une adresse électronique dès lors qu'elle contient l'identité d'une personne physique constitue une donnée personnelle. En revanche, les coordonnées impersonnelles de type sav@entreprise.com ou contact@entreprise.com ne requièrent pas l'obtention du consentement préalable des représentants des entreprises concernées par l'envoi de prospections commerciales. Les personnes morales conservent toutefois un droit d'opposition (régime de l'opt-out) qui est maintenu " dans tous les cas " [20]. Le consentement préalable du destinataire entendu comme " toute manifestation de volonté " doit être libre c'est-à-dire exprimé par la personne destinataire du message elle-même. D'un point de vue pratique, les cases pré-cochées sont à éviter. En outre, il doit être spécifique : il ne vaut qu'à l'égard du prestataire et pour les finalités déterminées. En conséquence, l'accord préalable de la personne est requis dès la première prospection (dont les modalités de mise en oeuvre restent à définir par les entreprises émettrices/annonceurs) et pour chaque nouvelle sollicitation. Enfin, le consentement préalable doit être informé. L'information doit porter sur les finalités du traitement, c'est-à-dire qu'il doit être clair que la collecte est effectuée à des fins de marketing direct. En outre, la personne concernée doit savoir si les données recueillies sont susceptibles d'être transmises ou cédées à des tiers à des fins commerciales, ce qui se traduira par l'existence d'une autre case à cocher autorisant la cession à coté de celle prévue pour le consentement. Si les données recueillies sont destinées à être transférées dans un État hors de la Communauté européenne, une mention indicative doit être portée sur la déclaration du traitement effectuée auprès de la CNIL [21]. Le principe du consentement préalable à toute prospection directe est clairement affirmé et comporte en réalité une seule dérogation. En effet, la seconde exception prévue par l'article 22 ne saurait perdurer au-delà de la période transitoire dont l'échéance a été fixée au 22 décembre 2004. Il n'est pas nécessaire d'obtenir le consentement préalable du prospect lorsque : - les données à caractère personnel ont été collectées de façon loyale directement auprès de l'intéressé ; - la prospection directe porte sur des " produits et services analogues " qui sont fournis par la même personne physique ou morale que celle qui a recueilli les données lors d'une opération commerciale antérieure ; - la personne concernée est informée de l'existence d'un droit d'opposition à l'utilisation des données collectées pour de nouvelles sollicitations. Les quatre conditions énoncées doivent se cumuler au risque à défaut de rendre la prospection illicite. La lettre de l'article soulève toutefois quelques remarques. D'une part, en l'absence de précision relative au terme " analogue ", il semblerait que soient à considérer comme tels les produits ou services " qui répondent aux attentes raisonnables des clients ". De plus, ces produits ou services analogues doivent être fournis par la même personne ce qui exclut a priori les filiales ou partenaires qui sont à considérer comme des tiers. Enfin, le droit d'opposition reconnu à la personne concernée par la prospection directe doit pouvoir être exercé de manière simple et sans frais, hormis ceux liés à la transmission du refus. Ainsi, l'article 38 de la loi prévoit un droit d'opposition à toute personne physique, " à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur ". D'autre part, l'article 22-III définit un régime transitoire de six mois, applicable aux données recueillies avant la publication de la loi, soit au plus tard le 22 décembre 2004. Aux termes de ce régime transitoire, les annonceurs sont tenus de régulariser les bases de données collectées avant la loi. Pour ce faire, ils peuvent solliciter les personnes qui font partie de leurs fichiers afin de leur demander leur consentement. Il semble qu'ils ne puissent solliciter ce consentement qu'à une seule et unique reprise. Partant, pour les bases de données " clients " mises à la disposition de tiers, elles doivent faire également l'objet d'une régularisation du consentement. La prospection directe par voie électronique dispose désormais d'un régime juridique propre et pour le moins strict d'autant que les sanctions prévues par l'article R. 10-1 du Code des postes et communications électroniques [22] semblent trouver à s'appliquer et que les sanctions pénales réprimant les manquements à l'article 22 de la LCEN devraient être précisées par décret. En toute hypothèse, la CNIL est chargée de veiller au respect des dispositions énoncées et elle est habilitée à recevoir les plaintes relatives aux infractions. Aussi, les entreprises qui prospectent leur clientèle via l'Internet doivent se mettre au diapason de ces nouvelles dispositions législatives et adopter une grande vigilance en ce qui concerne le recueil et l'utilisation des données collectées auprès de leurs clients ou des internautes prospects. II. - LES FICHIERS DES ENTREPRISES ET LA CONSTITUTION DE " LISTES NOIRES " 5 - La réforme opérée par la loi du 6 août 2004 modifiant la loi du 6 janvier 1978 [23] instaure un régime unifié de déclaration des traitements de données pour le secteur privé (entreprises et professionnels) et le secteur public. Pour les données courantes, le principe de déclaration des traitements auprès de la CNIL est maintenu mais la loi prévoit toutefois trois cas d'exonération. Pour les données sensibles, leur traitement reste interdit hormis les hypothèses où la loi impose l'autorisation préalable de l'autorité compétente pour leur mise en oeuvre [24]. Parmi les traitements qui sont soumis à l'autorisation préalable de la CNIL, la loi vise les fichiers dits d'exclusion ou " listes noires " qui répertorient tant des informations relatives aux incidents de paiement que des comportements pénalement répréhensibles ou encore des " anomalies " ou " incohérences ". Il s'agira de dégager les principes posés par la nouvelle loi (A). Dans différents rapports [25], la CNIL a souligné les risques d'exclusion sociale voire de marginalisation liés au développement et à la mutualisation de ces fichiers et ses recommandations en la matière devront faire l'objet d'une grande attention de la part des entreprises à l'origine de ce type de traitements compte tenu des nouvelles dispositions légales (B). A) Les principes posés par la loi nouvelle 6 - En principe, tous les traitements automatisés de données doivent faire l'objet d'une déclaration préalable auprès de la CNIL : déclaration normale ou déclaration simplifiée pour les traitements les plus courants qui ne sont pas susceptibles de porter atteinte aux libertés fondamentales et à la vie privée des personnes concernées. Trois cas d'exonération de déclaration ont été prévus : 1° les traitements dont le seul objet est la tenue d'un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ; 2° les traitements de données sensibles mis en oeuvre par une association/organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical pour les seules données correspondant à l'objet de l'association/l'organisme sous réserve qu'ils ne concernent que les membres de cette association/cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité qu'ils ne portent que sur des données non communiquées à des tiers, sauf consentement exprès des personnes concernées ; 3° les traitements pour lesquels un " correspondant à la protection des données " a été désigné (sauf si traitements soumis à autorisation et sauf en cas de transfert des données à destination d'un État non membre de la Communauté européenne) [26]. Le correspondant peut être un membre du personnel de l'organisme ou un intervenant externe, l'externalisation de la fonction n'étant pas prohibée par la loi. Aux termes de l'article 22, il est chargé de la tenue de la liste des traitements mis en oeuvre par l'organisme et il devra assurer d'une manière indépendante le respect des obligations prévues par la loi " informatique et libertés " modifiée. Certes, la mission du correspondant est actuellement définie dans ses grandes lignes et devra être précisée par décret. Pour les traitements soumis à autorisation préalable, l'article 25 de la loi prévoit que la CNIL est compétente pour : 1° Les traitements de données sensibles réalisés par l'INSEE ou un service de statistiques ministériel après avis du Conseil national des informations statistiques ou appelés à faire l'objet à bref délai d'un procédé d'anonymisation reconnu conforme à la loi par la CNIL, ou justifiés par l'intérêt public ; 2° les traitements automatisés portant sur des données génétiques (sauf ceux mis en oeuvre par des médecins ou des biologistes qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l'administration de soins ou de traitements) ; 3° les traitements portant sur des données relatives aux infractions, condamnations ou mesures de sûreté (sauf si mis en oeuvre par les auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées) ; 4° les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire ; 5° les traitements automatisés ayant pour objet l'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents, l'interconnexion de fichiers relevant d'autres personnes et dont les finalités principales sont différentes ; 6° les traitements portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques et ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d'inscription à celui-ci des personnes ; 7° les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes ; 8° les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes. 7 - Les " listes noires " ou fichiers dits d'exclusion ne peuvent être mis en oeuvre qu'après autorisation de la CNIL selon l'article 25-I-4° qui prend en compte la diversité des finalités et des contenus de ces fichiers. Sont ainsi concernés : - les fichiers d'alerte établis pour les personnes à risques ; - les fichiers qui recensent les personnes indésirables - auteurs d'impayés, fraudeurs, personnes ayant fourni des informations présentant des anomalies ou incohérences telles que fausse fiche de salaire, déclaration de revenus erronée ; - les fichiers qui enregistrent l'ensemble des crédits souscrits par une personne ainsi que les défauts de paiement associés ; - les fichiers centraux détenus par les organismes centralisateurs ou par des grandes entreprises ; - les fichiers mutualisés qui procèdent du regroupement de fichiers d'initiative privée. Par ailleurs, toute modification substantielle d'un fichier en fichier d'exclusion est également soumise à l'autorisation préalable de la CNIL. Par exemple, dans le cadre de la vente à distance par voie électronique, la collecte du numéro de carte bancaire à des fins de règlement des transactions réalisées devra faire l'objet d'une déclaration auprès de la CNIL. En revanche, en cas d'incident de paiement certain, l'inscription du numéro de carte bancaire du " mauvais payeur " dans un fichier automatisé devra être soumis à l'autorisation préalable de la CNIL. Un jugement du Tribunal de police de Paris du 4 décembre 2003 [27] vient préciser certains éléments quant au rôle des organismes chargés de la gestion des listes de mauvais payeurs. En effet, ceux-ci ne sont pas directement responsables des données qu'ils détiennent. Un abonné avait appris au cours d'un conflit l'opposant à la société Orange son inscription sur l'une de ces listes " noires " gérées par le GIE Préventel, groupement créé par les grands opérateurs de téléphonie mobile. Il a alors décidé de porter plainte contre Préventel. Les chefs d'accusation étaient les suivants : recueil sans information préalable d'informations nominatives et opposition à l'exercice du droit d'accès et de rectification de ces données. Pour le juge, le rôle des organismes gérant des listes noires se limite à la centralisation des informations. Les actions devaient donc être dirigées à l'encontre des opérateurs, seuls responsables de l'utilisation des données nominatives de leurs clients. Parallèlement et de manière spécifique, l'interdiction qui était posée par l'article 30 de la loi de 1978 visant les traitements automatisés relatifs aux infractions, condamnations ou mesures de sûreté est désormais partiellement levée. En effet, en vertu de l'article 9-4° de la loi du 6 août 2004, sous réserve d'obtenir l'autorisation préalable de la CNIL, les sociétés de gestion des droits d'auteur et les associations professionnelles peuvent créer ce type de traitements constitutifs de " listes noires ", afin de lutter contre le piratage et la contrefaçon [28]. 8 - L'information des personnes susceptibles d'être inscrites sur une " liste noire " doit également obéir aux principes posés par la loi nouvelle. Ainsi, lors de la collecte des données, le destinataire chargé de mutualiser les informations à caractère personnel doit être indiqué à la personne concernée par le traitement. De plus, l'inscription sur un fichier dit " d'exclusion " doit être notifiée au préalable à l'intéressé ainsi que le délai de régularisation qui est accordé. Enfin, l'avis d'inscription doit être également notifié et il doit contenir les informations relatives aux droits que détient la personne fichée (droit d'opposition, de régularisation et de suppression des données lorsque la situation est régularisée). B) Les préconisations de la CNIL 9 - Pour la CNIL, la transparence des fichiers dits " d'exclusion " est nécessaire et repose essentiellement sur l'information des personnes concernées eu égard aux finalités et aux destinataires desdits traitements. La CNIL veille au respect du principe de sectorisation, c'est-à-dire que la mise en oeuvre et l'accès à ces fichiers doivent être limités à un secteur d'activité et aux seuls professionnels du secteur. Il s'agit de la stricte application du principe de proportionnalité en vertu duquel les données doivent être " pertinentes, adéquates et non excessives " par rapport aux finalités pour lesquelles elles sont enregistrées. En outre, les motifs d'inscription doivent être strictement définis au préalable. En matière d'impayés, la créance doit être certaine et la gestion des contestations doit être assurée. De même, pour les informations relatives à des manquements contractuels, l'inscription doit reposer sur des critères objectifs et vérifiables, opposables à la personne concernée. Le responsable du traitement doit veiller au respect des conditions d'inscription et procéder à l'examen des contestations. L'organisme centralisateur doit définir au préalable un seuil d'inscription en fonction du niveau de gravité du manquement ou d'un montant prédéterminé. La CNIL préconise que la durée de conservation des données soit fixée au préalable et proportionnée aux motifs de l'inscription. Dans cette optique, elle engage les responsables de traitements à mettre en oeuvre des procédures de mises à jour régulières et veiller à la suppression des données erronées ou dont l'actualisation ne peut être assurée. S'agissant de la sécurité et de la confidentialité des données, la CNIL recommande une gestion rigoureuse des habilitations et des contrôles d'accès des employés chargés de la gestion des fichiers, à charge pour les responsables des fichiers de définir une politique de journalisation et de gestion des mots de passe (chiffrement des données). Par ailleurs, seule l'inscription des personnes identifiées avec certitude doit être possible : doivent être collectés avec les Nom/Prénoms, les dates et lieu de naissance (pour éviter les risques d'homonymie). III. - LES DONNÉES PERSONNELLES COLLECTÉES ET CONSERVÉES PAR LE PRESTATAIRE DE SERVICES DE CERTIFICATION ÉLECTRONIQUE (PSCE) 10 - L'activité des différents prestataires de l'Internet est directement ou indirectement liée à la collecte et à l'utilisation de données à caractère personnel. Il peut s'agir de prestataires techniques comme les fournisseurs d'accès ou d'hébergement ou de prestataires de services de confiance. Parmi les prestataires de services de confiance, on peut citer les PSCE [29] pour les signatures électroniques [30], les tiers horodateurs [31] ou les tiers archiveurs [32]. Par exemple, les tiers horodateurs et les tiers archiveurs conservent les données à caractère personnel de leurs clients ou des personnes ayant les droits d'accès aux données archivées [33]. Tous ces intermédiaires participent au commerce à distance en ligne. Ce lien s'explique tant d'un point de vue commercial (la création d'une base de données des clients) que juridique (l'imputabilité d'un acte ou d'une action sur les réseaux). Dans certains cas, l'identification de la personne est l'objet même du service comme pour la délivrance de certificat électronique (A). De ce fait, certaines exigences particulières au domaine de la certification électronique sont susceptibles d'être en conflit avec les prescriptions légales de la loi Informatique et libertés. Cette opposition entre deux corps de règles a donné lieu à une prise de position de la CNIL à ce sujet (B). A) Le traitement des données à caractère personnel par un PSCE 11 - L'article 8-2 de la directive " Signature électronique " [34] prévoit : " Les États membres veillent à ce qu'un prestataire de service de certification qui délivre des certificats à l'intention du public ne puisse recueillir des données personnelles que directement auprès de la personne concernée ou avec le consentement explicite de celle-ci et uniquement dans la mesure où cela est nécessaire à la délivrance et à la conservation du certificat. Les données ne peuvent être recueillies ni traitées à d'autres fins sans le consentement explicite de la personne intéressée " [35]. Le Prestataire de services de certification électronique doit être en mesure de vérifier de manière certaine et non équivoque l'identité du demandeur ; la procédure d'enregistrement du certificat en dépend ainsi que toute la sécurité juridique en terme de preuve et de validité des processus contractuels qui en découlent ! Afin d'établir un certificat, le PSCE est amené à collecter diverses informations directement liées à la personne de son titulaire. Le nouvel article 33 de la loi Informatique et Libertés énonce que " sauf consentement exprès de la personne concernée, les données à caractère personnel recueillies par les prestataires de services de certification électronique pour les besoins de la délivrance et de la conservation des certificats liés aux signatures électroniques doivent l'être directement auprès de la personne concernée et ne peuvent être traitées que pour les fins en vue desquelles elles ont été recueillies ". On peut déduire de cette disposition que si le PSCE souhaite établir un certificat d'identification à partir d'une base de données personnelles confiée par une entreprise concernant ses salariés ou ses clients, il devra recueillir le consentement exprès de chacune des personnes de cette base. Si l'enregistrement s'est opéré via un mandataire de certification dûment habilité par l'entreprise ou l'organisation, ce dernier devra s'assurer du consentement écrit dans le mandat de chacune des personnes physiques qui demande un certificat. Ceci explique la mention de la collecte " directement auprès de la personne concernée ". Cet article ne fait que transposer l'article 8-2 de la directive européenne, et ce, alors même qu'il peut apparaître comme surabondant avec les dispositions générales de l'article 7 de la loi Informatique et Libertés qui dispose : " Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes : [...] 4° L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ". De ce fait, les entreprises qui souhaitent faire émettre des certificats pour le compte de leurs salariés ou de leurs clients devront prévoir une autorisation expresse dans le cadre de leur contrat (par exemple : mandat) ou un avenant pour l'utilisation des données collectées en vue de la délivrance d'un certificat électronique. B) L'opposition entre l'utilisation de l'activité de certification électronique et les exigences de la CNIL 12 - La possibilité de rectifier ou d'effacer les données à caractère personnel concernant la personne physique au regard de l'article 40 de la loi Informatique et Libertés pourrait empêcher le PSCE de répondre à son obligation réglementaire de conservation des données. Ainsi, l'article 6-II du décret n° 2001-272 du 30 mars 2001 dispose que le PSCE fiable doit : " k) Conserver, éventuellement sous forme électronique, toutes les informations relatives au certificat électronique qui pourraient s'avérer nécessaires pour faire la preuve en justice de la certification électronique " [36]. Les données utilisées au moment de la certification d'identité sont, entre autres, l'objet de cette conservation. Cette obligation de conservation des données d'origine devrait primer sur les deux droits reconnus à chaque internaute par l'article 40 de la loi Informatique et Libertés, à savoir les droits de rectification et d'effacement des données le concernant si les données sont devenues inexactes, incomplètes, équivoques ou périmées. La personne pourra également demander à ce que ses données soient verrouillées. Concernant le droit de rectification, le PSCE doit conserver les données en l'état car ce sont les données valables au moment de la certification d'identité (de l'enregistrement ou du renouvellement) qui devront, le cas échéant, être apportées en justice. Si un titulaire pouvait modifier les données après la commission d'une infraction ou de la souscription d'obligations, alors le PSCE constituerait un " vrai faux certificat " susceptible d'engager sa responsabilité pénale. De plus, les données personnelles des titulaires de certificats ne pourront être effacées qu'au terme de la période du traitement, à savoir le terme du délai de conservation de ces données figurant sur le certificat d'identification permettant d'apporter une preuve sous forme électronique devant le juge [37]. Les délais des prescriptions civiles et pénales étant ce qu'ils sont, la conservation de ces données risque de durer plusieurs décennies. Ainsi, le droit d'effacement des données est subordonné à cette exigence probatoire comme l'énonce la CNIL [38]. Le droit à l'oubli ne peut donc être mis en oeuvre au bénéfice du titulaire du certificat, eu égard à ces exigences, à tout le moins pendant une durée certainement longue. ' Mots-Clés : Données personnelles - Loi n° 2004-801 du 6 août 2004 - CNIL - Commerce électronique Données personnelles - Internet - Prospection directe -Publicité en ligne Données personnelles - Internet - Prestataire de services de certification électronique Internet - Commerce électronique - Données personnelles -Loi n° 2004-801 du 6 août 2004 Textes : Loi n° 2004-801, 6 août 2004
Notes 1. Ne seront traités dans le présent article que les services de l'Internet. 2. La notion de communication électronique est centrale puisqu'elle regroupe " les émissions, transmissions ou réceptions de signes, de signaux, d'écrits, d'images ou de sons, par voie électromagnétique " comme l'énonce l'article 1-II de la loi n° 2004-575 pour la confiance dans l'économie numérique (LCEN) du 21 juin 2004 (JO 22 juin 2004, p.11168 et s). 3. Sur ces questions relatives aux constitutions et utilisations de fichiers d'entreprises, V. CNIL, La 23 e conférence internationale des commissaires à la protection des données, " Vie privée - Droit de l'homme " : Paris, 24-26 sept. 2001 ; Doc. fr. 2002, spécialement § " Les technologies pour la protection de la vie privée ", p. 407 et s ; " Mouvements d'entreprises, personnalisation des services ", p. 472 et s ; " Entreprises et protection des données personnelles : quelles initiatives et quelle organisation pour assurer la confiance ? ", p. 491 et s. 4. V. L. informatique, Fichiers et libertés, modifiée, art. 2, al. 2. - S'agissant de la loi du 6 janvier 1978 avant la réforme du 6 août 2004, V. J. Frayssinet, Informatique, Fichiers et liberté : Paris, Litec, 1992, préface Jacques Fauvet. 5. V. C. consom., art. L. 121-16. - J. Huet, Libres propos sur la protection des consommateurs dans le commerce électronique in Liber amicorum Jean Calais-Auloy, Études de droit de la consommation : Dalloz, 2004, p. 507 et s. 6. J. Calais-Auloy et F. Steinmetz, Droit de la consommation : Dalloz, 6 e éd. 2003, n° 97 et s. 7. PE et Cons. UE, dir. n° 97/7/CE, 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance : JOCE n° L. 144, 4 juin 1997 p. 19 et s. - V. J. Gatsi, La protection des consommateurs en matière de contrats à distance dans la directive du 20 mai 1997 : D. affaires 1997, p. 1378 ; RTD civ. 1997, p. 1015, obs. J. Raynard. - M. Trochu, Protection des consommateurs en matière de contrats à distance : directive n° 97-7 CE du 20 mai 1997 : D. 1999, chron. p. 179. - J. Passa, Commerce électronique et protection du consommateur : D. 2002, chron. p. 555-564 et s. - A. Lucas, J. Devèze, J. Frayssinet, Droit de l'informatique et de l'Internet : PUF, 2001, p. 71 et s. 8. PE et Cons. UE, dir. n° 2002/65/CE, 23 sept. 2002 concernant la commercialisation à distance de services financiers auprès des consommateurs : JOCE n° L. 271, 9 oct. 2002, p. 16 et s. 9. Disponible à l'adresse : http://www.droit-technologie.org/3_1.asp ?legislation_id=205. 10. PE et Cons. UE, dir. n° 1999/93/CE, 13 déc. 1999 sur un cadre communautaire pour les signatures électroniques : JOCE n° L. 13, 19 janv. 2000, p. 12 et s. 11. PE et Cons. UE, dir. n° 2000/31/CE, 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur (" directive sur le commerce électronique ") : JOCE n° L. 178, 17 juill. 2000, p. 1 et s. 12. Cons. UE, dir. n° 2001/115/CE, 20 déc. 2001 modifiant la directive n° 77/388/CEE en vue de simplifier, moderniser et harmoniser les conditions imposées à la facturation en matière de taxe sur la valeur ajoutée : JOCE n° L. 15, 17 janv. 2002, p. 24 et s. - V. É. Caprioli et X. Le Cerf, Cadre juridique et fonctionnement de la facture électronique : Journ. sociétés, sept. 2004. 13. P. Lemoine, Commerce électronique, marketing et liberté in La protection de la vie privée dans la société de l'information, Tome 2, sous la direction de Pierre Tabatoni : Paris, PUF, 2000, p.9 et s. 14. Pour de plus amples développements concernant les différentes problématiques de la LCEN, le lecteur pourra se référer à l'ouvrage E. A. Caprioli (ss dir.), Cabinet Caprioli & Associés : LGDJ, janv. 2005. 15. V. V. Varet, Le cadre juridique du spam : état des lieux : Comm. com. électr. 2002, chron. 21. - V. également sur le site de la CNIL : www.cnil.fr, le dossier " spam " 16. J.-M. Coblence, Le statut de la publicité dans la loi pour la confiance dans l'économie numérique : Comm. com. élect. 2004, étude 25. 17. Définitions de la publicité - V. en droit communautaire : Cons. UE, dir. n° 84/450/CEE, 10 sept. 1984 relative au rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de publicité trompeuse : JOCE n° L. 250, 19 sept. 1984, p. 17 et s. - Cons. UE, dir. n° 2000/31/CE, 8 juin 2000 dite " commerce électronique ", préc. - PE et Cons. UE, dir. n° 2002/58/CE, 12 juill. 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques : JOUE 31 juill. 2002, p. 42 et s. - V. en droit interne : C. consom., art. L. 121-1 et s. - D. n° 92-280, 27 mars 1992 pour l'application de l'article 27 de la loi du 30 septembre 1986 relative à la liberté de communication et fixant les principes généraux concernant le régime applicable à la publicité et au parrainage, art. 2 : JO 28 mars 1992. 18. Cass. crim., 12 nov. 1986 : Bull. crim. 1986, n° 335. 19. Cass. crim., 14 oct. 1998 : Bull. crim. 1998, n° 262. 20. LCEN, art. 22-5. 21. L. n° 2004-801, 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, art. 30 : JO 7 août 2004, p. 14063 et s. 22. L'amende prévue se situe entre 450 et 750 euros par message non sollicité envoyé. 23. M.-A. Ledieu, Les fichiers des entreprises après la réforme du 6 août 2004 de la loi informatique et libertés : Comm. comm. électr. 2004, étude 33. - S. Vulliet-Tavernier, Après la loi du 6 août 2004 : nouvelle loi " informatique et libertés ", nouvelle CNIL ? : Dr. soc. 2004, p. 1055 et s. 24. Selon l'atteinte susceptible d'être portée au respect de la vie privée les traitements automatisés des données dites sensibles requièrent l'autorisation préalable de la CNIL (art. 25) ou quand ils sont mis en oeuvre pour le compte de l'État ces traitements sont soumis à l'autorisation préalable du ou des ministres compétents (art. 26) ou du Conseil d'État (art. 27). 25. Rapp. de la CNIL, Les listes noires. Le fichage des " mauvais payeurs " et des " fraudeurs " au regard de la protection des données personnelles : Paris, Doc. fr. 2003, Coll. Les rapports de la CNIL. - CNIL, 24 e rapp. d'activité 2003, Données personnelles et relations commerciales -II. Les " listes noires " toujours d'actualité : Paris, Doc. fr. 2004, p.182 et s. 26. P. Leclercq, Le contrat international sur les données personnelles in Les deuxièmes journées internationales du droit du commerce électronique : Paris, Litec, Coll. Actualités dr. entreprise, à paraître en 2005. - J. Huet, Clauses contractuelles encadrant les transferts de données personnelles entre les États parties à la Convention 108 du Conseil de l'Europe et des pays tiers : intérêts et faiblesses du procédé : Rapp. Cons. Europe, janv. 2001 ; www.coe.int/ dataprotection ; Comm. com. électr. 2001, chron. 11. 27. Disponible à l'adresse : http://www.legalis.net/jurisprudence-decision.php3 ?id_article= 1021. 28. J. Frayssinet, L'accouplement du droit de la protection des données personnelles avec le droit d'auteur : la naissance d'un avorton, l'article 9-4° de la loi modifiée relative à l'informatique, aux fichiers et aux libertés : Légipresse n° 216, nov. 2004, p. 119 et s. - C. Caron, Aspects de propriété intellectuelle, Analyse d'un saupoudrage discret : Comm. com. électr. 2004, étude 23. 29. Aux termes de l'article 1-12 du décret du 30 mars 2001 (JO 31 mars 2001, p. 5070), le PSCE est " toute personne qui délivre des certificats électroniques ou fournit d'autres services en matière de signature électronique ". 30. J. Huet, Vers une consécration de la preuve et de la signature électroniques : D. 2000, p. 95. - P. Catala, L'introduction du droit de la preuve électronique dans le Code civil par un groupe d'universitaires : JCP G, 1999, I, 182. - Pour la loi votée, V. E. A. Caprioli, Écrit et preuve électroniques dans la loi n° 2000-230 du 13 mars 2000 : Cah. dr. entrep. 2000, n° 2, p. 1 et s ; La loi française sur la preuve et la signature électroniques dans la perspective européenne : JCP G 2000, p. 787 et s. - P.-Y. Gautier et X. Linant de Bellefonds, De l'écrit électronique et des signatures qui s'y attachent : JCP G, 2000, n° 24, p. 1113 et s. - P. Leclercq, le nouveau droit civil et commercial de la preuve et le rôle du juge : Comm. com. électr. 2000, chron. n° 9. - J. Huet, Le Code civil et les contrats électroniques in 1804-2004, Le Code civil, Un passé, un présent, un avenir : Université Panthéon-Assas (Paris II), Paris, Dalloz, 2004, p. 539 et s. 31. On peut les définir comme toute personne qui fournit des prestations de services d'horodatage ou de datation électronique. Ce prestataire est souvent une tierce partie aux échanges de données, un peu à l'image du rôle joué par La Poste dans les échanges de courrier papier en apposant son cachet qui fait foi. Ce tiers prend en charge la gestion de l'environnement technique et de la production de jetons d'horodatage sur des données qui lui sont présentées afin d'attester de l'existence des dites données à la date de la marque de temps. V. le Guide de l'horodatage de la FNTC, sept. 2004 : www.fntc.org. 32. Un tiers archiveur peut être défini comme toute personne en charge de recevoir, de conserver, de restituer, en d'autres termes d'assurer la gestion des documents électroniques et des données qui y sont jointes. V en ce sens, Eric A. Caprioli, Variations sur le thème du droit de l'archivage dans le commerce électronique : Petites affiches 18 et 19 août 1999, p. 4 et s. 33. Les tiers archiveurs peuvent être amenés à conserver des données sociales (bulletins de paye) ou des déclarations fiscales ou sociales, ou encore des contrats sur lesquels figurent par exemple les noms et qualités des signataires. 34. Dir. européenne n° 1999/93/CE, 13 déc. 1999 sur un cadre communautaire pour les signatures électroniques : JOCE n° L. 13, 19 janv. 2000, p. 12. 35. Eric A. Caprioli, La directive européenne n° 1999/93/CE du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques : Gaz. Pal. 29-31 oct. 2000, p. 5 et s. 36. D. n° 2001-272, 30 mars 2001 pris pour l'application de l'article 1316-4 du Code civil et relatif à la signature électronique : JO 31 mars 2001, p. 5070. - V. E. A. Caprioli, Commentaires du décret n° 2001-272 du 30 mars 2001 relatif à la signature électronique, RD bancaire et fin. 2001, n° 105, p. 155. - L. Jacques, Le décret n° 2001-272 du 30 mars 2001 relatif à la signature électronique : JCP G, 2001, ap. rap. p. 1601. 37. Cela correspond " à la réalisation des finalités pour lesquelles [ces données] ont été traitées " comme l'énonce l'article 28 de la loi Informatique et Libertés. 38. Comme le cite textuellement M.-L. Oble-Laffaire, Première position de la CNIL sur le régime de la signature électronique (Expertises nov. 2002, p. 384) : " la durée de conservation de ces données [nominatives] devra être supérieure à la durée de vie du contrat de prestation de certification puisqu'une contestation du contrat peut intervenir à tout moment dans un laps de temps indéfini ". De plus, la CNIL précise que " dans la mesure où ces données seraient également utilisées à des fins commerciales par le prestataire de service, la base dite client obéira à d'autres règles de purges, qui sont celles des règles de conservation des livres et documents comptables (10 ans). La Commission préconise par ailleurs que les anciens clients ne soient pas démarchés au-delà de deux sollicitations restées infructueuses ". Enfin, la CNIL indique que la déclaration effectuée par le Prestataire de services de certification électronique pourra faire référence à une durée de conservation " tant que nécessaire au regard des obligations légales ".