L’exploitation publicitaire des messages électroniques : nécessité de l’accord annuel de l’utilisateur

Les traitements automatisés d’analyse des messages échangés via des services de messagerie électronique en vue de leur exploitation à des fins publicitaires par les fournisseurs nécessitent le consentement de leurs utilisateurs, qui doit désormais être recueilli tous les ans.

Ce qu’il faut retenir : Les traitements automatisés d’analyse des messages échangés via des services de messagerie électronique en vue de leur exploitation à des fins publicitaires par les fournisseurs nécessitent le consentement de leurs utilisateurs, qui doit désormais être recueilli tous les ans.
 

Pour approfondir : Par décret du 28 mars 2017, le Gouvernement a fixé à un an la fréquence à laquelle les fournisseurs de services de messagerie électronique devront recueillir le consentement de leurs utilisateurs pour exploiter le contenu des messages « à des fins publicitaires, statistiques ou d’amélioration du service ».

L’adoption de ce décret donne l’occasion :

• de revenir sur une pratique méconnue du grand public et pourtant très répandue : l’analyse et l’exploitation de leurs contenus à des fins publicitaires ; et
• de répondre à une question que se posent peut-être certains lecteurs: nos courriels sont-ils encore protégés par le secret des correspondances ?

1. L’exploitation publicitaire du contenu des courriels

Mis en place dès l’apparition des premiers services de messagerie « gratuits », le traitement automatisé effectué aux fins d’analyser le contenu des messages a été au cœur du modèle économique des fournisseurs de ce type de service : tirant leurs revenus de la commercialisation des informations issues de cette analyse (permettant ensuite à ces derniers d’adresser, sous diverses formes, de la publicité ciblée aux utilisateurs de ces messageries), les fournisseurs de ces messageries peuvent ainsi continuer d’afficher la « gratuité » de leurs services, tout en réalisant les profits indispensables à la pérennité de leur activité.

L’exploitation publicitaire du contenu des messageries soulève néanmoins une question : les correspondances qui sont échangées sont-elles toujours secrètes ?

Et peut-on toujours parler de gratuité si (pour filer la métaphore avec les correspondances postales), au lieu de payer le « prix du timbre », l’usager « paye » sa messagerie électronique « en nature », en donnant à l’opérateur accès à la mine d’informations contenue dans ses messages ? Gratuité contre vie privée : les utilisateurs sont-ils bien conscients de ce qu’ils troquent ? Cela est d’autant plus vrai que, jusqu’en octobre 2016, l’article L. 32-3 du Code des postes et communications électroniques (« CPCE« ) soumettait à une obligation de secret uniquement les opérateurs de communication électronique : certains exploitants de services de communication électronique (de services de téléphonie sur IP, de réseaux sociaux ou de réseaux de messagerie en ligne, par exemple) estimaient ne pas y être soumis.

2. L’encadrement légal introduit par la loi du 7 octobre 2016 « pour une République numérique »

Afin de renforcer la protection du secret des correspondances échangées en ligne, le législateur est venu remanier entièrement l’article L. 32-3 du CPCE, qui prévoit désormais, en substance, que :

• Par principe, non seulement les opérateurs de communication électronique, mais aussi les éditeurs et les hébergeurs de service de communication au public en ligne (les « Fournisseurs« ) doivent respecter le secret des correspondances échangées par les utilisateurs de leurs services ; ce secret, qui couvre le contenu de la correspondance, s’étend aux documents joints ainsi qu’à l’identité des correspondants et à l’intitulé du message ;
   
• Par dérogation, ces Fournisseurs peuvent réaliser des traitements automatisés d’analyse des messages échangés via leur service :
   
• d’une part à des fins d’affichage, de tri et d’acheminement des correspondances ainsi que de détection des contenus non sollicités ou des programmes malveillants (« Traitements Techniques« ) ;
   
• d’autre part (mais c’est dans ce cas uniquement « avec le consentement exprès de l’utilisateur », lequel doit être recueilli « à une périodicité fixée par voie réglementaire ») à des fins publicitaires, statistiques et d’amélioration du service (« Traitements Commerciaux« ).

3. L’apport du décret du 28 mars 2017

Le décret du 28 mars 2017 fixe la périodicité de recueil du consentement pour les Traitements Commerciaux :

• à un an pour ceux mis en place à l’avenir ;
• avant le 30 septembre 2017, pour les ceux déjà mis en place avant la date d’entrée en vigueur du décret (le décret précise que « le premier consentement de l’utilisateur est recueilli dans les six mois » suivant l’entrée en vigueur du décret.   

4. Des traitements soumis à la réglementation générale en matière de protection des données personnelles

Les traitements réalisés par les Fournisseurs de services de messagerie restent soumis à la loi informatique et libertés du 6 janvier 1978 et, dorénavant, au Règlement Communautaire 2016/679, entré en vigueur le 25 mai 2016 (dont les sanctions seront applicables à compter du 25 mai 2018).

Ces deux textes, d’application générale, exigent déjà le recueil du consentement des personnes concernées, sauf dans certains cas dont aucun ne semble caractérisé ici de manière évidente.

On peut en effet se demander si, pour les Traitements Techniques du contenu des boîtes de messagerie, le consentement de la personne ne devrait pas être également recueilli, sauf à considérer que ces traitements sont « nécessaires à l’exécution du contrat » [c’est à dire, en pratique, des Conditions Générales d’Utilisation (« CGU »)] que l’utilisateur a accepté en ouvrant une messagerie gratuite.

Ceci à la condition que ces CGU précisent clairement l’existence de ces Traitements Techniques.

La jurisprudence, ou la CNIL, auront peut-être à répondre à cette question.
 

A rapprocher : Règlement Communautaire 2016/679, entré en vigueur le 25 mai 2016