L’exploitation publicitaire des messages électroniques : nécessité de l’accord annuel de l’utilisateur

Décret n°2017-428 du 28 mars 2017

Les traitements automatisés d’analyse des messages échangés via des services de messagerie électronique en vue de leur exploitation à des fins publicitaires par les fournisseurs nécessitent le consentement de leurs utilisateurs, qui doit désormais être recueilli tous les ans.

Ce qu’il faut retenir : Les traitements automatisés d’analyse des messages échangés via des services de messagerie électronique en vue de leur exploitation à des fins publicitaires par les fournisseurs nécessitent le consentement de leurs utilisateurs, qui doit désormais être recueilli tous les ans.
 

Pour approfondir : Par décret du 28 mars 2017, le Gouvernement a fixé à un an la fréquence à laquelle les fournisseurs de services de messagerie électronique devront recueillir le consentement de leurs utilisateurs pour exploiter le contenu des messages « à des fins publicitaires, statistiques ou d’amélioration du service ».

L’adoption de ce décret donne l’occasion :

  • de revenir sur une pratique méconnue du grand public et pourtant très répandue : l’analyse et l’exploitation de leurs contenus à des fins publicitaires ; et
  • de répondre à une question que se posent peut-être certains lecteurs: nos courriels sont-ils encore protégés par le secret des correspondances ?


1. L’exploitation publicitaire du contenu des courriels

Mis en place dès l’apparition des premiers services de messagerie « gratuits », le traitement automatisé effectué aux fins d’analyser le contenu des messages a été au cœur du modèle économique des fournisseurs de ce type de service : tirant leurs revenus de la commercialisation des informations issues de cette analyse (permettant ensuite à ces derniers d’adresser, sous diverses formes, de la publicité ciblée aux utilisateurs de ces messageries), les fournisseurs de ces messageries peuvent ainsi continuer d’afficher la « gratuité » de leurs services, tout en réalisant les profits indispensables à la pérennité de leur activité.

L’exploitation publicitaire du contenu des messageries soulève néanmoins une question : les correspondances qui sont échangées sont-elles toujours secrètes ?

Et peut-on toujours parler de gratuité si (pour filer la métaphore avec les correspondances postales), au lieu de payer le « prix du timbre », l’usager « paye » sa messagerie électronique « en nature », en donnant à l’opérateur accès à la mine d’informations contenue dans ses messages ? Gratuité contre vie privée : les utilisateurs sont-ils bien conscients de ce qu’ils troquent ? Cela est d’autant plus vrai que, jusqu’en octobre 2016, l’article L. 32-3 du Code des postes et communications électroniques (« CPCE« ) soumettait à une obligation de secret uniquement les opérateurs de communication électronique : certains exploitants de services de communication électronique (de services de téléphonie sur IP, de réseaux sociaux ou de réseaux de messagerie en ligne, par exemple) estimaient ne pas y être soumis.

 

2. L’encadrement légal introduit par la loi du 7 octobre 2016 « pour une République numérique »

Afin de renforcer la protection du secret des correspondances échangées en ligne, le législateur est venu remanier entièrement l’article L. 32-3 du CPCE, qui prévoit désormais, en substance, que :

  • Par principe, non seulement les opérateurs de communication électronique, mais aussi les éditeurs et les hébergeurs de service de communication au public en ligne (les « Fournisseurs« ) doivent respecter le secret des correspondances échangées par les utilisateurs de leurs services ; ce secret, qui couvre le contenu de la correspondance, s’étend aux documents joints ainsi qu’à l’identité des correspondants et à l’intitulé du message ;
     
  • Par dérogation, ces Fournisseurs peuvent réaliser des traitements automatisés d’analyse des messages échangés via leur service :
     
    • d’une part à des fins d’affichage, de tri et d’acheminement des correspondances ainsi que de détection des contenus non sollicités ou des programmes malveillants (« Traitements Techniques« ) ;
       
    • d’autre part (mais c’est dans ce cas uniquement « avec le consentement exprès de l’utilisateur », lequel doit être recueilli « à une périodicité fixée par voie réglementaire ») à des fins publicitaires, statistiques et d’amélioration du service (« Traitements Commerciaux« ).


3. L’apport du décret du 28 mars 2017

Le décret du 28 mars 2017 fixe la périodicité de recueil du consentement pour les Traitements Commerciaux :

  • à un an pour ceux mis en place à l’avenir ;
  • avant le 30 septembre 2017, pour les ceux déjà mis en place avant la date d’entrée en vigueur du décret (le décret précise que « le premier consentement de l’utilisateur est recueilli dans les six mois » suivant l’entrée en vigueur du décret.   


4. Des traitements soumis à la réglementation générale en matière de protection des données personnelles

Les traitements réalisés par les Fournisseurs de services de messagerie restent soumis à la loi informatique et libertés du 6 janvier 1978 et, dorénavant, au Règlement Communautaire 2016/679, entré en vigueur le 25 mai 2016 (dont les sanctions seront applicables à compter du 25 mai 2018).

Ces deux textes, d’application générale, exigent déjà le recueil du consentement des personnes concernées, sauf dans certains cas dont aucun ne semble caractérisé ici de manière évidente.

On peut en effet se demander si, pour les Traitements Techniques du contenu des boîtes de messagerie, le consentement de la personne ne devrait pas être également recueilli, sauf à considérer que ces traitements sont « nécessaires à l’exécution du contrat » [c’est à dire, en pratique, des Conditions Générales d’Utilisation (« CGU »)] que l’utilisateur a accepté en ouvrant une messagerie gratuite.

Ceci à la condition que ces CGU précisent clairement l’existence de ces Traitements Techniques.

La jurisprudence, ou la CNIL, auront peut-être à répondre à cette question.
 

A rapprocher : Règlement Communautaire 2016/679, entré en vigueur le 25 mai 2016

Sommaire

Autres articles

some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Blocage de sites proposant des produits contrefaisants
En cas d’atteinte à une marque, le titulaire de celle-ci peut solliciter des mesures de blocage d’accès à des sites internet auprès des FAI sur le fondement de l’article 6-I-8 de la LCEN.