|
Université Alioune Diop de Bambey
UFR:ECONOMIE MANAGEMENT ET INGENIERIE
JURIDIQUE (ECOMIJ)
MOHAMED FAYE
LICENCE 3 Commerce électronique et Cyber
sécurité/ INGENIERIE JURIDIQUE
MEMOIRE DE FIN DE CYCLE : SOUS LA DIRECTION DE
Me
ROKHAYA SARR BARRY
PROFESSEURE A L'UADB ET AVOCATE AU BARREAU DE
PARIS
L'ENCADREMENT JURIDIQUE DE LA PROSPECTION DIRECTE DANS
LES TRANSACTIONS ELECTRONIQUES.
Octobre 2018
1
DEDICACE
À Cheikhouna Ahmadou Bamba et Serigne
Mountakha Bassirou Mbacké
À ma grand-mère Adja Sanou Diongue
(que la terre lui soit légère).
Octobre 2018
2
Octobre 2018
REMERCIEMENTS
Sans la collaboration et le soutien de plusieurs personnes, ce
mémoire aurait été difficile à rédiger et
à terminer. C'est avec toute ma gratitude que je tiens à
remercier tous ceux qui m'ont aidé à mener à bien le
travail de ce mémoire.
Mes premières pensées sont pour mon encadreur
Maître Rokhaya Sarr BARRY, avocate au Barreau de Paris et professeure
à l'Université Alioune Diop de Bambey (UADB) pour la richesse de
ses enseignements, ses conseils avisés et déterminants tout au
long de la rédaction, sa confiance et les réflexions
nécessaires me permettant de produire un travail de qualité. Elle
m'a gratifié de sa disponibilité et son engagement à
rendre ce mémoire acceptable, sinon appréciable. Nos discussions
et échanges ont fourni plusieurs réponses à mes questions
et autres interrogations dans le cadre de cette recherche.
Un merci spécial aussi au Professeur Serigne Ahmadou
Gaye, pour son soutien, son sens de comprendre l'autre, sa courtoisie, sa
sympathie et pour avoir donné un nouvel élan à mes
études.
Je remercie ma mère, Suzanne Diop, pour son engagement
et sa dévotion quant à mon succès. Je lui suis gré
de m'avoir donné le goût du travail, du courage et de la
persévérance. Mes sincères remerciements à
l'endroit de tous les autres membres de ma famille.
Je tiens à remercier particulièrement mon
grand-frère, El hadji Babacar Faye, pour son aide, son soutien, sa
patience continus tout au long de mon cursus scolaire et universitaire.
Je n'oublierai jamais mon cousin et tuteur, Mamadou Diouf dit
« KAW », pour son soutien moral, sa disponibilité, son
accompagnement et sa gentillesse. Sans son aide considérable et sa
détermination, il n'eut point ce mémoire. L'aboutissement de
celui-ci est tout à son crédit. Je lui dis un grand merci et lui
souhaite un achèvement total de ses projets.
Finalement je ne saurais terminer ces remerciements sans dire
un mot à l'endroit d'Aliou Diouf qui m'a beaucoup aidé pour
l'appréhension de la technique juridique. Je remercie aussi la famille
Diop notamment Assane.
3
L'ENCADREMENT JURIDIQUE DE LA PROSPECTION DIRECTE DANS
LES TRANSACTIONS ELECTRONIQUES.
Octobre 2018
4
Octobre 2018
RESUME
L'encadrement de la prospection directe dans les transactions
électroniques est une réflexion épistémologique sur
les problématiques juridiques que pose la publicité ciblée
dans le commerce électronique. Plus précisément, cette
réflexion est une prospective sur le régime juridique de la
prospection directe. Les technologies de l'information posent au
Sénégal comme elles l'ont fait ailleurs en Afrique et en Europe,
des défis au droit. Plusieurs initiatives nationales et
régionales ont vu le jour au cours de ces dernières années
pour relever ces défis. Prenant appui sur la théorie de la
circulation des modèles juridiques, ce mémoire tente de cerner
les contours de la législation sur la prospection directe pour faciliter
la compréhension aisée de cette sorte de publicité
nouvelle et technique.
S'il est vrai que le marketing direct a beaucoup
apporté aux professionnels du e-commerce, tous n'en font pas bon usage.
En témoignent les spam, ou pourriels, ou l'envoi d'email publicitaire
à des adresses collectées à l'insu de leurs
propriétaires. C'est à cet effet que le législateur a
défini un régime d'encadrement de la prospection directe dans les
transactions électroniques permettant même d'engager la
responsabilité des auteurs d'abus de la pratique, dans le but d'assurer
la protection des consommateurs notamment leurs données personnelles.
Cette démarche a permis de jauger l'ampleur du phénomène,
qui non seulement importune les internautes mais, en plus,
décrédibilise la sécurité des transactions
électroniques et du web comme outil de marketing direct.
Cette approche a pour objectif de permettre à son
lecteur d'avoir une meilleure compréhension de la prospection directe
sous ses aspects pratiques et théoriques à travers les
règles de droit applicables en la matière.
5
Mots-clés : Droit, transactions
électroniques, prospection directe
Octobre 2018
ABREVIATIONS ET SIGLES
A.A.I Autorité Administrative
indépendante
AL. Alinéa
Art. Article
B to B Business to Business
B to C Business to Consumer
C. conso. Code de consommation
C. pén. Code pénal
CDP Commission des données personnelles
CE Conseil d'Etat
CNIL Commission Nationale Informatique et
Libertés
CNUCED Conférence des Nations Unies sur le
Commerce et le Développement
CPCE Code des Postes et des
Communications Electroniques
Ed. Edition
FA Fournisseur d'Accès
LCEN Loi pour la Confiance de l'Economie
Numérique
LIFL Loi Informatique Fichiers et Libertés
MMS Multimedia Messaging Service
Parag. Paragraphe
PDCP Protection des Données à
Caractère
Personnel
6
Octobre 2018
RGPD Règlement Général sur la
Protection
des Données
SMS Short Message Service
TGI Tribunal de Grande Instance
UE Union Européenne
UEMOA Union Economique et Monétaire Ouest
7
Africain
Octobre 2018
INTRODUCTION GENERALE
Le XXIème siècle est sans doute celui
des nouvelles technologies de l'information1 : le multimédia
a pris son essor. Ce nouvel espace de communication sans frontières a
d'abord suscité l'enthousiasme et confirmé l'évolution
significative de l'humain dans l'art de communiquer. L'enthousiasme et
l'émerveillement passés, on a vite pris conscience des
opportunités que pouvaient offrir ces technologies.
Tous ces éléments ne pouvaient que favoriser le
développement du commerce en ligne. Tout au long de ces dernières
décennies les revues scientifiques et les médias n'ont
cessé de vanter ses bienfaits. Nombreux sont les rapports et
études qui ont montré l'impact significatif du commerce
électronique sur le développement des Etats. En effet, le rapport
2015 de la CNUCED sur l'économie de l'information mettait ainsi en
exergue cette réalité2.
Si l'impact du commerce électronique sur les
performances économiques des pays qui l'ont adopté est
indéniable, ses principaux atouts qui font son essence et favorisent la
dématérialisation des transactions, présentent des
difficultés juridiques de taille. Ce sont sur ces difficultés que
se penchent les présents travaux en prenant pour domaine
d'expérimentation la prospection directe. La pratique de la
publicité ciblée en effet, pose en Afrique, comme il l'a fait
ailleurs, des défis au droit. Si les législateurs occidentaux ont
essayé d'y apporter, vaille que vaille, des réponses plus ou
moins adaptées, leurs homologues africains peinent à
définir des cadres juridiques rigoureux valables et susceptibles de
permettre de tirer pleinement des avantages de la publicité en ligne.
Seulement, « L'Afrique a ses spécificités à la
fois culturelles et économiques3 » qui ne peuvent
être ignorées. Une réglementation de la prospection directe
peut-elle vraiment prospérer confrontée aux
réalités sociales africaines ?
1 Par technologie de l'information il faut entendre «
l'ensemble des matériels, logiciels et services utilisés pour la
collecte, le traitement et la transmission de l'information »,
www.granddictionnaire.com.
Au sens de l'article 431-7 parag.7 du Code pénal
sénégalais issu de la loi n°2016-29 du 08 novembre 2016 sur
la cybercriminalité, les technologies de l'information et de la
communication (TIC) sont : « Les technologies employées pour
recueillir, stocker, utiliser et envoyer des informations ainsi que celles qui
impliquent l'utilisation des ordinateurs ou de tout système de
communication y compris de télécommunication ».
2 CNUCED, Rapport 2015 sur l'économie de
l'information, Libérer le potentiel du commerce électronique.
3 BRUNET (Patrick), TIEMTOIRE (Oumarou), VETTRAINO
(Marie-Claude), Les enjeux éthiques d'internet en Afrique de
l'Ouest. Vers un modèle éthique d'intégration, Paris,
L'Harmattan, 2002, p. 13.
8
Octobre 2018
L'économie numérique et la croissance de
nombreuses entreprises reposent principalement sur le marketing et la
publicité ciblée en ligne considérée comme le
« carburant de l'économie numérique4
». Cependant, la publicité ciblée en ligne, qui ces
dernières années a connu un essor prodigieux, pose de
sérieuses interrogations. Les fournisseurs de réseaux
publicitaires possèdent aujourd'hui les moyens techniques pour tracer
les internautes sur différents sites dans le temps, dans le but de les
profiler et in fine offrir aux annonceurs les moyens d'une publicité
ciblée. Si la publicité en ligne comporte des avantages
incontestables aussi bien pour le consommateur que pour le professionnel, les
techniques employées sont accusées d'être intrusives, de ne
pas protéger la vie privée et les données personnelles des
internautes. Dés lors, si la publicité ciblée utilise
majoritairement un système de traçage, son potentiel en termes de
dérives est grand, et c'est la raison pour laquelle elle devrait
s'opérer dans le respect de la protection légale des
données personnelles.
Afin de préserver la vie privée des particuliers
face au développement du commerce en ligne, et sous l'influence du droit
européen, les législateurs français et
sénégalais ont entrepris les démarches pour encadrer la
publicité par voie électronique, c'est-à-dire celle
réalisée via Internet par courriels ou par
téléphone, notamment au moyen de messages SMS ou MMS, voire des
serveurs vocaux. C'est que la protection des personnes, acteurs incontournables
du commerce électronique, est un gage de l'essor de cette
activité. En effet, la protection des droits des personnes et la
sécurisation des transactions sont de nature à susciter
l'adhésion et la confiance dans le commerce électronique. C'est
ainsi que dans les textes de lois régissant la publicité en
ligne, pour éviter les messages commerciaux déguisés ou
clandestins, chaque publicité diffusée par un service de
communication au public en ligne doit être clairement identifiable, tout
comme l'annonceur pour le compte duquel elle est réalisée.
Depuis l'avènement de l'Internet, le commerce
électronique, qui regroupe donc l'ensemble des activités
commerciales effectuées sur les réseaux de communication
électronique, connaît un fort développement. Les offres se
sont considérablement développées sous des formes
variées. Les entreprises se livrent dés lors à une
véritable prospection directe. Le Code de consommation français
définit la prospection directe comme l'envoi de tout message
destiné à promouvoir, directement ou indirectement, des
4 Par le Groupe de travail Article 29 sur la
protection des données ou G29 qui est un organe consultatif
européen indépendant sur la protection des données et de
la vie privée. Son organisation et ses missions sont définies par
les articles 29 et 30 de la Directive 95/66/CE.
9
Octobre 2018
biens, des services ou l'image d'une personne vendant des
biens ou fournissant des services. C'est donc à la lumière de
cette définition du droit français, reprise substantiellement par
la loi n° 2008-08 sur les transactions électroniques5
que nous essayerons de comprendre et cerner l'esprit du législateur
lorsqu'il appréhende le concept étudié : la prospection
directe6. Autrement désigné marketing direct, c'est
donc une démarche qui se caractérise par une approche du client
sans intermédiaire, personnalisée et à distance. Cette
démarche doit permettre d'obtenir un résultat rapide mesurable.
Centrée sur l'instauration d'une relation de confiance et d'une
interactivité entre le consommateur et le vendeur, la prospection
directe dépasse largement le cadre de la proposition commerciale pour
devenir un service personnalisé dont l'objectif est de transformer des
prospects en clients. La notion de prospection directe est donc
généralement entendue au sens large. Le contenu de la
définition de ce concept peut donc être variable. Il est
tributaire des objectifs que poursuit l'auteur de la définition.
La téléphonie mobile n'est plus seulement un
moyen de communication7. Des spécialistes en droit des
nouvelles technologies de l'information considèrent cet appareil comme
un véritable vecteur de nouvelles formes de publicité
électronique, et particulièrement de la prospection directe,
formant par là une nouvelle économie. Néanmoins, il est
d'une nécessité impérieuse de connaître le
fonctionnement de la publicité en ligne et du profilage qui en
résulte pour savoir dans quelle mesure la pratique de la prospection
directe est-elle encadrée dans les législations sur la protection
des données personnelles et sur les transactions électroniques.
Dans cette optique, il importe de rechercher le régime juridique du
marketing direct. Cette recherche peut s'avérer difficile puisque les
données recueillies sont disparates et les moyens techniques,
variés.
Les réflexions sur l'encadrement de la prospection
directe dans les transactions électroniques ont déjà fait
en Europe, l'objet de longues et riches études. En revanche, en Afrique,
des études concernant ce domaine particulier du droit sont encore rares.
Un
5 Loi n°2008-08 du 25 janvier 2008 sur les
transactions électroniques, Journal officiel de la
République du Sénégal, n°6404, 2008
6 Elle est définie dans la loi 2008-08 du 25
janvier 2008 sur les transactions électroniques, en son article 2-4
comme « Toute sollicitation effectuée au moyen de l'envoi de
message, quel qu'en soit le support ou la nature notamment commerciale,
politique ou caritative, destinée à promouvoir, directement ou
indirectement, des biens, des services ou l'image d'une personne vendant des
biens ou fournissant des services »
7 Il est désormais possible de contracter
par le biais des « Short Message Service »(SMS) ou des
« Multimedia Messaging Service »(MMS) que cette technologie
permet de transmettre. Ainsi par exemple en France en 2002, grâce
à l'offre SMS+ mise en place par les principaux opérateurs des
télécommunications, les éditeurs pouvaient proposer des
contenus et services à tout détenteur d'un
téléphone portable.
10
Octobre 2018
sommaire des législations encadrant la prospection
directe dans l'espace UEMOA amène rapidement à conclure qu'elles
s'adaptent mal aux réalités techniques du marketing direct. A ces
imperfections, vient s'ajouter la problématique de l'efficacité
de l'encadrement de cette pratique dans nos pays. Ce qui est
préjudiciable à l'oeuvre de la protection des données des
prospects. Mais notre approche, toute prétention exclue, se veut
pragmatique : l'objectif est d'exposer notre vision sur la façon dont la
prospection directe est réglementée au Sénégal et
en France. Ainsi écarterons nous pour commencer toutes ces
théories suscitées de vide juridique et d'efficacité de
l'encadrement du marketing qui ont nourri nos premières
réflexions sur la législation en la matière en Afrique (de
l'Ouest) pour ensuite montrer les dispositions législatives et les
décisions réglementaires visant à encadrer la prospection
directe, protéger les données des consommateurs et des
éventuelles sanctions pouvant être prononcées contre les
cybermarchands ne respectant pas ces règles.
Eu égard de la complexité technique de la
prospection directe, comment les législations sur la protection des
données personnelles, en général, et sur le commerce
électronique, en particulier, parviennent-elles à assurer
efficacement le traitement adéquat des informations collectées ?
En outre quelles sont les règles juridiques applicables au marketing
direct ? A quelles sanctions s'exposent les auteurs de prospection interdite
?
Les questions de prospection occupent, très souvent,
l'actualité et suscitent de vives polémiques, car son application
touche à des valeurs protégées, notamment les
données personnelles. Les autorités de contrôle et de
protection des données personnelles sont constamment sollicitées
pour des atteintes à l'encontre des données se traduisant parfois
par le prononcé des sanctions contre les cybermarchands. D'ailleurs ces
derniers temps, nombreux sont les plaintes et signalements relatifs à la
prospection directe reçus par la Commission des Données
Personnelles (CDP). Au-delà de la réception de messages d'offres
promotionnelles, les plaignants précisent que les désinscriptions
à des de prospection services sont inefficaces. Mais malgré les
rappels de l'institution8, celle-ci continue de constater les
mêmes manquements.
Dans un autre registre, des évolutions
considérables sont intervenues récemment en droit français
sous l'influence du droit communautaire européen avec l'entrée en
vigueur
8 Délibération n°2014-20 du 30
mai 2014, par laquelle la CDP a tenu à rappeler l'obligation de
respecter scrupuleusement les règles sur la prospection directe.
11
Octobre 2018
du nouveau Règlement Général sur la
Protection des Données9, le 25 mai 2018. Ce RGPD est la
directive européenne qui réglemente le traitement et l'analyse
des données personnelles des individus présents sur le territoire
de l'Union Européenne et s'applique aussi aux entreprises
européennes et étrangères y compris celles
sénégalaises qui traitent des données personnelles des
citoyens européens. En effet, la déclaration de la CDP de
s'investir pour aider à la mise en conformité des entreprises
sénégalaises au RGPD10 corrobore la dimension
extraterritoriale de ce nouveau règlement. Le règlement
bouleverse complètement les techniques de prospection directe. Son but
est d'harmoniser la protection des citoyens concernant l'utilisation de leurs
informations personnelles par les organisations. Respecter ce règlement
est donc vital pour toute organisation de traitement de données. Chaque
manquement, qu'il y ait eu ou non dommage, expose à de lourdes
sanctions.
De même, si le RGPD poursuit un impératif de
protection des données plus rigoureux que la législation actuelle
dans la zone de l'UE, le Règlement ePrivacy11 qui a vocation
à compléter les dispositions du régime commun mis en place
par le RGPD en matière de télécommunications, a la
même portée juridique que ce dernier et devrait s'appliquer
dès lors que les données concernent un utilisateur présent
dans l'Union.
Ce Règlement constitue une « lex specialis
» par rapport au RGPD, qu'elle précisera et complétera
en ce qui concerne les données de communications électroniques
qui peuvent être considérées comme des données
à caractère personnel. Ainsi, toutes les matières
relatives au traitement de ces données, qui ne sont pas
spécifiquement couvertes par le Règlement, le sont par le
Règlement ePrivacy. L'harmonisation avec le RGPD entraînera
l'abrogation de certaines législations comme la LCEN. Malgré
tout, le Règlement ePrivacy n'est pas à ce jour finalisé
et par conséquent n'est pas encore applicable.
9 Règlement (UE) 2016/679 du Parlement
européen et du Conseil du 27 avril 2016, relatif à la
protection des personnes physiques à l'égard du traitement des
données à caractère personnel et à la libre
circulation de ces données et abrogeant la Directive 95/46/CE
(règlement général sur la protection des
données)
10 CDP, mardi 29 mai 2018, communiqué de
presse : entrée en vigueur du nouveau Règlement Européen
sur les Données Personnelles. Selon ce communiqué, la
portée extraterritoriale du RGPD entraîne son applicabilité
à toutes les entreprises installées au Sénégal, et
traitant des données personnelles de citoyens européens. A cet
égard, la Commission de Protection des Données Personnelles (CDP)
tient à rassure les responsables de traitement et les sous-traitants
concernés par le RGPD que toutes les dispositions sont prises, pour les
aider à se conformer à ce nouveau référentiel
contraignant.
11 La Commission Européenne a
présenté le 10 janvier 2017 une proposition de règlement
concernant le respect de la vie privée et la protection des
données à caractère personnel dans les communications
électroniques.
12
Dès lors, cette situation résulte l'obligation
des annonceurs français de continuer à se conformer aux
législations existantes en ce sens qu'elles restent applicables
jusqu'à ce jour, et seront considérées au minimum,
notamment par la CNIL comme de bonnes pratiques, si elles ne sont pas reprises
par le Règlement ePrivacy à venir. C'est aussi le cas pour les
dispenses normes simplifiées et autorisations uniques de la CNIL qui
envisage de les transformer en «référentiels»
pour guider les professionnels du e-commerce dans leur démarche de
conformité.
Les annonceurs respecteront-ils, à la lettre, les
dispositions législatives et communautaires encadrant la prospection
directe dans les transactions électroniques ? Toutes ces interrogations
méritent des réflexions approfondies sur lesquelles des juristes
ne manqueront certainement pas de se pencher pour promouvoir l'évolution
du droit du commerce électronique et de la protection des
données.
Ce mémoire tente autant que possible d'être
exhaustif pour cerner l'ensemble des règles relatives à la
pratique de la prospection directe. Il a choisi cette démarche
pragmatique pour mieux appréhender la matière
réputée ésotérique afin de la rendre plus
compréhensible. Cette approche, outre son originalité et sa
simplicité, devra permettre une compréhension aisée de
l'encadrement de la prospection directe dans les transactions
électroniques. Il convient alors d'analyser d'abord, le régime
juridique applicable à la prospection directe dans les transactions
électroniques (1ère partie) et la
responsabilité dans la pratique de la prospection directe dans les
transactions électroniques (2ème partie).
Octobre 2018
13
14
Octobre 2018
Octobre 2018
PREMIERE PARTIE: LE REGIME JURIDIQUE APPLICABLE A LA
PROSPECTION DIRECTE DANS LES TRANSACTIONS
ELECTRONIQUES
Conscientes de l'impact non négligeable de la
prospection directe sur les données personnelles des individus, les
autorités sénégalaises, à l'instar de leurs
homologues français, ont entrepris, ces dernières années
des démarches pour lui conférer un cadre juridique. Dans cette
première partie, nous ferons d'abord état des principes
applicables à la prospection directe dans les transactions
électroniques (Chapitre I) pour ensuite montrer les exigences
légales en matière de prospection directe (Chapitre II).
Chapitre I : Les principes applicables à la
prospection directe dans les transactions électroniques
Un examen sommaire des textes applicables à la
prospection directe au Sénégal comme en France laisse rapidement
entrevoir un ensemble de conditions régissant cette pratique (Section I)
et des efforts considérables de protection du prospect (Section II).
Section I: Les conditions de la prospection directe
Il est généralement consacré dans les
législations sur la prospection directe, le principe de l'opt-in
(Paragraphe I) ; comme il est aussi admis certaines exceptions audit principe
(Paragraphe II).
Paragraphe I : La consécration de l'opt-in
En matière de marketing direct, il y'a deux
systèmes qui s'opposent : celui de l'opt-in et celui de
l'opt-out12.
Le principe de l'opt-in pose un principe d'interdiction de la
prospection directe. Ce système qui ne signifie rien d'autre qu'
«opter pour», exige que le consentement préalable du
destinataire soit recueilli avant tout envoi de message de la part de
l'annonceur. Selon l'article L.33-4-1de la loi sur l'économie
numérique13 qui prévoit le principe de l'opt-in, la
prospection directe est interdite si la personne concernée14
n'a pas d'emblée consenti à la réception des SMS
promotionnels. Ce système avait été
préconisé par la CNIL française parce que « la
garantie est celle d'une information préalable de la personne
concernée, lors de la collecte initiale de ses données, la
mettant en mesure de s'opposer dès la
12.Le système de l'opt-out pose le principe
de liberté de la prospection directe. Il appartient alors à
chaque individu d'effectuer les démarches nécessaires pour
s'opposer aux messages non sollicités notamment sur une liste
prévue à cet effet.
13 C'est la loi pour la confiance de
l'économie numérique, n°2004-575 du 21 juin 2004,
abrégée sous le sigle LCEN, qui est une loi française sur
le droit de l'Internet, transposant la directive européenne 2000/31/CE
sur le commerce électronique et certaines dispositions de la directive
du 12 juillet 2002 sur la protection de la vie privée dans le secteur
des communications électroniques. La transposition est effective en
France depuis le 21 juin 2004.
14 L'article 4-13 de la loi n° 2008-12 sur la
protection des données à caractère personnel
définit la personne concernée comme : «Toute personne
physique qui fait l'objet d'un traitement des données à
caractère personnel.»
15
Octobre 2018
collecte et en ligne, par l'apposition d'une case à
cocher, à la réception de tout message commercial
»15.
Cette solution protectrice a été
consacrée par le législateur sénégalais à
travers l'article 16 al. 1 de la loi n°2008-08 du 25 janvier 2008 sur les
transactions électroniques qui dispose « Est interdite la
prospection directe par envoi de message d'un automate d'appel, d'un
télécopieur ou d'un courrier électronique utilisant, sous
quelque forme que ce soit, les coordonnées d'une personne physique qui
n'a pas exprimé son consentement préalable à recevoir des
prospections par ce moyen ».
D'ailleurs, le nouveau règlement européen sur la
protection des données impose aux annonceurs de vérifier que
leurs prospects sont intéressés par les communications avant de
leur envoyer des prospections : c'est le principe de l'opt-in. L'accord se
donne le plus souvent par le remplissage d'un formulaire sur le site Internet
des professionnels. Selon cette législation, la proposition faite aux
consommateurs de recevoir des communications n'est ni incluse dans une autre
offre de l'entreprise en question, et n'est pas cochée
automatiquement.
Le RGPD va plus loin en demandant de respecter le principe du
« double opt-in » : au formulaire d'inscription doit
s'ajouter un lien à cliquer, c'est-à-dire un mail de
confirmation.
Cependant la méthode de prospecter imposée par
le principe de l'opt-in, n'est pas absolue. Il existe certaines
dérogations.
Paragraphe II : L'admission de certaines exceptions
La législature sénégalaise autorise la
prospection directe dans deux situations prévues par l'article 16 al 1
de la loi de 2008 sur les transactions électroniques. La première
est celle dans laquelle « les coordonnées du destinataire ont
été recueillies directement auprès de lui, dans le respect
des dispositions de la loi sur la protection des données à
caractère personnel ». Cela signifie que le marketing direct
est autorisé si l'annonceur reçoit directement du destinataire
les coordonnées de ce dernier aux fins de se voir adresser des
messages.
La prospection directe est encore autorisée lorsqu'il
existe des relations d'affaires antérieures entre l'annonceur et le
destinataire qui justifient que les mêmes services ou produits lui soient
proposés à nouveau sans qu'il ne les ait sollicités. Dans
ce cas, le législateur met à la charge de l'annonceur
l'obligation d'offrir au destinataire, de manière expresse et claire, la
possibilité de s'opposer de manière simple à l'utilisation
de ces données à chaque fois qu'il reçoit un message non
sollicité et cela sans frais, hormis ceux de la transmission de son
opposition. Tel est le sens de l'article 16-2 de la loi
précitée16.
15 Rapport CNIL : Le publipostage
électronique et la protection des données personnelles,
adopté le 14 octobre 1999, p.19.
16 L'article 16-3 de la loi sur les transactions
électroniques précise la prospection lorsqu'elle est
autorisée ne peut être licite que si elle indique une adresse
valable à laquelle, le destinataire pourra adresser une demande tendant
à faire cesser que ses données soient utilisées aux fins
de prospection et cela sans frais hormis ceux de la transmission de la
demande.
16
Octobre 2018
En droit français aussi des exceptions existent
à la possibilité d'adresser un message publicitaire par courrier
électronique. Elles sont prévues à l'article 22 al 4 de la
LCEN.
Si l'on poursuit la position de la CNIL, la première
dérogation concernerait les personnes morales qui pourraient donc
être contactées sans consentement préalable. La
deuxième dérogation est celle prévue par la loi lorsque
trois (3) conditions sont réunies :
- les coordonnées du destinataire, auxquelles ce
message va être adressé, doivent être recueillies
directement auprès de lui, sachant que, bien évidemment, il
convient que les dispositions relatives à la loi informatique, fichiers
et libertés17(LIFL) aient été
respectées, notamment, l'obligation d'information (art. L.34-5 LIFL)
;
- il est possible d'adresser un message email à une
personne dans le cadre d'une prospection directe qui ne concernerait que des
produits ou services analogues fournis par la même personne physique ou
morale ayant adressée le message ;
- il convient d'offrir la possibilité aux destinataires
de s'opposer, de manière expresse, simple et sans frais, à
l'utilisation de leurs coordonnées. Ces règles doivent, par
ailleurs, être rappelées chaque fois qu'un nouveau courrier de
prospection leur est adressé. Le projet de Règlement e-Privacy,
reprend la même exception au 2ème alinéa de
l'article 16, en ce qui concerne les services analogues pour lesquels le
consentement n'est pas requis : « Si le client se voit donner
clairement et expressément la faculté de s'opposer, sans frais et
de manière simple, à une telle exploitation ».
En somme, les messages doivent être en conformité
avec l'ensemble du dispositif législatif et réglementaire. Si
pour certains l'opt-in est une contrainte, pour les juristes du marketing cela
fait partie de l'éthique de la pratique qu'ils ne cessent de
développer afin de définir un régime de protection
adéquat du prospect.
Section II : La protection du prospect
En accordant une place prépondérante au
consommateur en matière de prospection directe, le législateur
manifeste une volonté affirmée de privilégier la
protection des données personnelles. Au nombre des dispositions qui
consacrent cette protection, figure le principe sacro-saint du consentement de
la personne concernée (Paragraphe I). En outre, il prévoit aussi
d'autres droits reconnus au prospect (Paragraphe II).
Paragraphe I : Le principe du consentement de la personne
concernée
En application de l'article 47 de la loi n°2008-12 sur la
Protection des Données à Caractère Personnel (PDCP) et de
l'article 17 de la loi n°2008-08 sur les transactions
électroniques, toute opération de prospection directe, quel qu'en
soit l'objet et sous quelque forme que ce soit, notamment par SMS, par courrier
électronique ou par
17Loi n°78-17 du 06 janvier 1978
relative à l'informatique, aux fichiers et aux libertés
modifiée par la loi n°2018-493 du 20 juin 2018 devant
permettre d'exercer certaines des « marges de manoeuvre nationales »
autorisées par le RGPD et transposer en droit français la
Directive « police-justice ».
17
Octobre 2018
téléphone, sans le consentement18
préalable, libre et éclairé de la personne
concernée est interdite19.
En France, ce principe fondamental, le
consentement20 de la personne concernée, régit toute
campagne de marketing direct. En effet, pour avoir le droit de contacter une
personne dans le cadre d'opération de prospection directe, l'annonceur
doit avoir obtenu l'approbation expresse de l'individu concerné,
à recevoir des messages publicitaires. Cette condition n'est pas une
option, il s'agit d'une obligation dans la loi. Aux termes de l'article 22
LCEN, modifiant les articles L.33-4-1 du code des postes et communications et
L.12020-5 du code de consommation (C. conso), le marketing direct au moyen d'un
télécopieur, d'un automate d'appel et d'un courrier
électronique, de toute personne physique n'ayant pas consenti, est
prohibé. Avant la mise en place d'un fichier de prospection, il est du
devoir du professionnel d'obtenir le consentement préalable. Sans accord
expressément mentionné, le responsable de traitement s'expose
à une sanction pouvant s'élever à 300 000 euros d'amende
et cinq (5) ans d'emprisonnement.
Le RGPD de mai 2018 renforce les conditions de validité
du consentement de la personne concernée. En effet, le
considérant 32 précise que celui-ci doit être donné
« par un acte positif clair par lequel la personne concernée
manifeste de façon libre, spécifique, éclairée et
univoque son accord au traitement des données à caractère
personnel ». Concrètement, le consentement pourra ainsi
s'exprimer au moyen d'une case à cocher (les cases
pré-cochées étant à proscrire) et devra être
spécifique. Le responsable de traitement doit être en mesure de
démontrer que la personne concernée a donné son accord. En
outre, l'annonceur devra pouvoir justifier que le consentement exprimé
était éclairé21.
Un an auparavant, le projet de Règlement e-Privacy
présenté par la Commission Européenne, reprenait en son
article 16 le même principe de consentement préalable à la
prospection directe. En effet, l'article 16 parag 1 dispose que « 1.
L'utilisation par des personnes physiques ou morales de services de
communications électroniques, notamment les systèmes
automatisés d'appel, les systèmes de communication, les
systèmes semi-automatisés qui relient la personne appelée
à une personne physique, les télécopies, les courriels ou
l'utilisation autre de services de communications électroniques pour
la
18 Le consentement de la personne concernée
signifie « Toute manifestation de volonté expresse, non
équivoque, libre, spécifique et informée par laquelle la
personne concernée ou son représentant légal, judiciaire
ou conventionnel, accepte que ses données à caractère
personnel fassent l'objet d'un traitement manuel ou électronique »
(Article 4-4 de la loi n°2008-12 sur la PDCP)
19 En droit sénégalais, la
prospection directe ainsi prohibée se traduit entre autres par les cas
de figures suivants :
-en cas de collecte directe des données personnelles,
les personnes concernées doivent consentir expressément à
recevoir des messages à des fins de prospection ;
-en cas de collecte indirecte des données personnelles,
le responsable de traitement doit déclarer la base ou le fichier
à la CDP avant d'adresser des messages aux personnes concernées
afin de requérir leur consentement. La réponse à ce
message est gratuite et en l'absence de réponse, les données
devront être supprimées automatiquement.
20 Ici différents niveaux d'approbation sont
considérés pour recevoir des prospections directes : le
consentement « actif » (opt-in ou double opt-in) et le
consentement « passif » (opt-out).
21 Cela signifie, conformément à
l'article 13 RGPD que le prospect a été informé des
conditions du traitement mis en oeuvre.
18
Octobre 2018
présentation ou l'envoi de communication de
prospection directe aux utilisateurs, n'est autorisée que pour les
utilisateurs ayant donnés leur consentement préalable
».
Ainsi, toute prospection, quelle qu'en soit la forme,
effectuée par un organisme à but non lucratif22 pour
servir ses objectifs, constitue une prospection directe au regard des
dispositions du projet de Règlement ePrivacy et nécessite le
recueil du consentement préalable de la personne concernée.
A l'expression de ce consentement, s'ajoute d'autres droits
reconnus à la personne concernée.
Paragraphe II : Les droits reconnus au prospect.
Il sera question, dans cette partie de traiter du droit
à l'information (A), du droit d'opposition (B), du droit d'accès
(C) du prospect, ainsi qu'au désabonnement aux services de prospection
(D)
A. Le droit à l'information du prospect.
En application des articles 58 et 59 PDCP de 2008, lorsque les
données traitées notamment à des fins de prospection
directe, sont collectées directement auprès de la personne
concernée, soit par l'intermédiaire d'un tiers, celle-ci doit
être informée de la finalité, des catégories de
données concernées, des destinataires en vue de pouvoir demander
à ne plus figurer sur le fichier. Par ailleurs, l'article 68 de la
même loi prévoit un droit à l'information dans le cadre de
la communication des données à des tiers pour des
finalités de prospection. En clair, cette disposition octroie au
prospect le droit d'être informé avant que les données le
concernant ne soient, pour la première fois communiquées à
des tiers ou utilisées pour le compte de tiers à des fins de
prospection.
En droit français, l'article 6 de la
délibération de la CNIL du 21 juillet 201623dispose
qu' « au moment de la collecte des données, la personne
concernée est informée de l'identité du responsable de
traitement, des finalités du traitement, du caractère obligatoire
ou facultatif des réponses à apporter, des conséquences
éventuelles, à leur égard, d'un défaut de
réponse, des destinataires des données, de l'existence des
modalités d'exercice ses droits d'accès, de rectification et
d'opposition au traitement de ses données ». Cette
délibération précise aussi que les modalités
d'information sont prévues par l'article 32.III du Code des Postes et
des Communications Electroniques (CPCE), lorsque les données n'ont pas
été recueillies directement auprès des personnes
concernées. Elle prévoit aussi la possibilité de s'opposer
à la prospection.
Le RGPD impose une information concise, transparente,
compréhensible et aisément accessible des personnes
concernées. Ce droit à l'information est défini aux
22 La prospection directe effectuée par un
organisme à but non lucratif est aussi prévue au
considérant 32 RGPD : « (...) Il devrait en être de
même pour les messages envoyés par d'autres organisations à
but non lucratif pour servir les objectifs de l'organisation ».
23 Délibération n°2016-264 du 21
juillet 2016 portant modification d'une norme simplifiée concernant les
traitements automatisés de données à caractère
personnel relatifs à la gestion de clients et prospects.
19
Octobre 2018
articles 12, 13 et 1424 du règlement.
Désormais, l'obligation doit être plus complète et plus
précise. Le responsable de traitement doit être en mesure de
démontrer que la personne concernée a donné son
consentement. Il devrait être en mesure de démontrer que le
consentement exprimé était éclairé,
c'est-à-dire que la personne a été informée des
conditions du traitement mis en oeuvre conformément à l'article
13 du RGPD qui renforce le contenu de l'obligation d'information.
A la nécessité de fournir l'information à
la personne concernée, est corrélé le droit de s'opposer
à la prospection directe.
B. Le droit d'opposition du prospect.
Les articles 68 de la loi sur les données personnelles
et 61 de son décret d'application du 30 juin 2008 disposent que la
personne faisant l'objet de prospection a le droit de se faire offrir
expressément, sur le même support la possibilité de
s'opposer gratuitement et sans aucune justification, d'une part, à la
réception de sollicitations et d'autre part, à la communication
de ses données à des tiers aux fins de prospection directe. Cette
opposition dont la procédure doit être indiquée de
manière claire dans le message objet de la prospection, a un effet
immédiat dès que la demande est formulée25.
Aux termes de l'article 96 du décret n°2005-1309
du 20 octobre 2005 modifié pris pour l'application de la loi
n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers
et aux libertés, la possibilité est donnée aux citoyens
français de s'opposer de manière simple et dénuée
d'ambiguïté, au moment de la collecte de ses données
26. Ainsi les consommateurs qui ne souhaitent pas faire l'objet de
prospection commerciale par voie téléphonique peuvent s'inscrire
gratuitement à la liste d'opposition au démarchage
téléphonique prévue par les articles L.223-1 et suivants
du code de consommation français. Ils peuvent aussi s'opposer, sans
frais, à ce que leurs données soient utilisées à
des fins de prospection, notamment commerciale, par le responsable de
traitement actuel ou ultérieur. Cette opposition peut intervenir
à tout moment et n'a pas à être motivée.
Plus récemment, le règlement de l'UE sur la
protection des données à caractère personnel
communément appelé RGPD, a adopté une position stricte
quant au droit d'opposition du consommateur. En effet, en matière de
marketing direct, « Lorsque la personne concernée s'oppose au
traitement à des fins de prospection, les données à
caractère personnel ne sont plus traitées à ces fins»
(art. 21 RGPD).
A coté du droit d'opposition, le consommateur dispose
aussi du droit d'accès.
24 L'article 12 s'intéresse à la
transparence des informations et des communications et modalités de
l'exercice des droits de la personne concernée.
L'article 13 s'intéresse aux informations à
fournir des données personnelles sont collectées auprès de
la personne concernée.
L'article 14 s'intéresse aux informations à
fournir lorsque les données personnelles n'ont pas été
collectées auprès de la personne concernée.
25 Le droit d'opposition s'applique aussi aux
informations mises à la disposition du public par les opérateurs
de télécommunications.
26 On retrouve aussi ce droit d'opposition dans le
décret n°2015-556 du 19 mai 2015 modifié relatif à la
liste d'opposition au démarchage téléphonique.
20
Octobre 2018
C. Le droit à l'accès du prospect.
En France, conformément à l'article 39 du CPCE,
toute personne peut demander au responsable de traitements la communication,
sous une forme accessible, des données à caractère
personnel la concernant ainsi que toute information quant à l'origine de
celles-ci.
Pour ce qui est du RGPD européen de mai 2018, ce droit
reconnu au prospect fait l'objet des dispositions de l'article 15 parag.1 dudit
règlement. Selon ce texte : « La personne concernée a le
droit d'obtenir du responsable du traitement la confirmation que des
données à caractère personnel la concernant sont ou ne
sont pas traitées et, lorsqu'elles le sont, l'accès auxdites
données à caractère personnel (...) »
Le droit d'accès au Sénégal est
prévu à l'article 62 de la loi sur la PDCP. Selon ce texte, les
personnes concernées ont accès à leurs données
traitées à des fins de prospection directe.
Mais qu'en est-il de la désinscription aux services de
prospection ?
D. Le droit au désabonnement.
Une autre disposition légale oblige les annonceurs
à permettre (et à faciliter) une solution de désabonnement
permettant aux personnes ne souhaitant plus recevoir de messages publicitaires
provenant de la liste de diffusion, de sortir du fichier (LIFL et LCEN).
Concernant l'e-mailing, le désabonnement doit
apparaître à travers la mise en place d'un lien de
désinscription.
En ce qui concerne le mailing SMS, le désabonnement est
pris en charge par ce que l'on appelle le SMS « STOP ». Les
personnes souhaitant se désabonner ont la possibilité de
répondre au SMS publicitaire par « STOP ».
L'annonceur se doit de prendre en charge ces services de désabonnement
et d'effacer la personne en question du fichier utilisé. Par
conséquent, dans le cadre d'opération marketing, la gestion des
« STOP » ne doit pas être considérée
comme optionnelle, il s'agit d'une obligation légale.
Pour ce qui est du droit de désabonnement au
Sénégal, dans la loi sur les transactions électroniques,
l'autorité législative a consacré le droit de
désabonnement à l'article 16 en ces termes : « Dans tous
les cas, il est interdit d'émettre, à des fins de
prospection directe, des messages au moyen d'automates d'appel,
télécopieurs et courriers électroniques, sans indiquer de
coordonnées valables auxquelles le destinataire puisse utilement
transmettre une demande tendant à obtenir que ces communications cessent
sans autres frais que ceux liés à la transmission de celle-ci
» (art. 16 parag. 2al.2).
Tout de même, il reste manifeste qu'en pratique dans les
transactions électroniques, les prospections doivent être
effectuées dans le respect des règles relatives à la vie
privée et à la garantie des données personnelles qui
impliquent pour le prospect la possibilité de se désabonner aux
services de messages non sollicités.
21
Octobre 2018
A titre illustratif, c'est cette démarche qui semble
ressortir de la volonté de la CDP dans une décision rendue en
201527. Au mois de juin 2014, des détenteurs de
numéros Expresso Sénégal se plaignent au niveau de la CDP
de la réception (payante) de plusieurs SMS non sollicités
à connotation religieuse et publicitaire via le numéro 22500 et
l'impossibilité de se désabonner. La CDP a alors rappelé
à Expresso les conditions en matière de prospection en
prononçant à l'encontre de l'opérateur une mise en
demeure.
Au terme de cette partie nous retiendrons que la chose
prépondérante à la pratique de la prospection directe est
de n'envoyer des messages qu'à une cible qui a préalablement
consenti à recevoir les informations (opt-in). Il faudra ensuite mener
une opération de collecte et traitement des données personnelles
en adéquation avec les droits conférés aux personnes
concernées.
Mais tandis que certaines dispositions tentent clairement de
définir un cadre juridique de la prospection directe apte à
protéger les profanes, particulièrement leurs données
personnelles, d'autres exigent au professionnel le respect strict d'obligations
légales en matière de marketing direct.
Chapitre II : Les exigences légales en
matière de prospection directe dans les transactions
électroniques.
L'utilisation de la publicité ciblée grâce
à des techniques innovantes et intrusives soulève bien
évidemment des inquiétudes quant à l'exploitation des
données personnelles. Il est reproché à cette forme de
publicité d'opérer à partir des informations
collectées des discriminations commerciales. Au surplus, les techniques
de profilage et de collecte des données sont généralement
peu transparentes: il est difficile de mesurer l'ampleur des données
collectées et la finalité de leur traitement encore moins la
durée de leur conservation. Par ailleurs, alors qu'il devient de plus en
plus difficile de pallier aux problématiques juridiques soulevées
spécifiquement par la prospection directe, le consommateur devrait se
réjouir des efforts législatifs se traduisant, à l'endroit
des annonceurs, par le respect d'obligations tenant à la collecte des
données à caractère personnel (Section I) et des
obligations de l'annonceur (Section II) lui-même.
Section I : Les obligations tenant à la collecte
des données personnelles.
« Tout traitement de données à
caractère personnel devrait être licite et loyal ». Tel
est la mise à garde du considérant 38 du RGPD. Il s'ajoute
à ces obligations, celle de la transparence (Paragraphe I) qui figure au
considérant 58 du même règlement. En outre le choix et le
respect d'une finalité28 et d'une durée (Paragraphe
II) et le créneau horaire d'envoi des SMS (Paragraphe III) sont aussi
consacrés.
27 Délibération n°2015-00123/CDP
du 31 juillet 2015 de la Commission de Protection des Données
Personnelles portant avertissement à l'encontre de la
société DIGITAL VIRGO, pour manquement aux conditions
légales de prospection directe.
28 Selon le considérant 50 : «
(...) Afin d'établir si les finalités d'un traitement
ultérieur sont compatibles avec celles pour lesquelles les
données à caractère personnel ont été
collectées initialement, le responsable du
22
Octobre 2018
Paragraphe I : Transparence, licéité et
loyauté de la collecte.
A. La transparence.
L'obligation de transparence n'apparaît pas de
manière explicite dans les dispositions de la loi
sénégalaise sur les transactions électroniques de 2008
relatives à la publicité par voie électronique. Mais on
peut retenir à la lumière de l'article 15 de cette même loi
que « Les conditions auxquelles sont soumises la possibilité de
bénéficier d'offres promotionnelles ainsi que celles de
participer à des concours ou à des jeux promotionnels, lorsque
ces offres, concours ou jeux sont proposés par voie électronique,
doivent être clairement précisées et aisément
accessibles ». Elle concerne les conditions à remplir pour
avoir la possibilité de bénéficier d'offres
promotionnelles, de participer à des concours ou à des jeux
promotionnels29. L'obligation de transparence est donc un gage
offert au destinataire de la prospection directe de pouvoir accéder
facilement aux conditions à remplir.
Le droit français confère une importance notoire
à l'obligation de transparence en matière de prospection directe.
La loi Chatel du 3 janvier 200830 renforce davantage les droits du
cyberconsommateur dans le commerce électronique. Selon ce texte le
cybermarchand doit préciser dans son offre quels sont les services
concernés, la zone géographique, la durée de l'offre et la
disponibilité du bien ou du service au moment de la commande. Toute
offre de contrat électronique proposée par un professionnel doit
respecter différentes étapes. L'obligation légale
d'afficher les conditions contractuelles renforce la transparence de l'offre et
permet d'être complètement informé avant de s'engager.
Au sens du RGPD, l'obligation de transparence consiste
à limiter le nombre d'informations collectées, et ce, dés
la conception des bases de données. C'est le fameux « Privacy
by Design » (confidentialité dés la conception) ou
principe de minimisation. Ainsi l'article 12 parag. 1 RGPD dispose que : «
Le responsable de traitement prend des mesures appropriées pour
fournir toute information visée aux articles 13 et 14 ainsi que pour
procéder à toute communication au titre des articles 15 à
22 et de l'article 34 en ce qui concerne le traitement à la personne
concernée d'une façon concise, transparente,
compréhensible et aisément accessible, en des termes clairs et
simples, en particulier pour toute information destinée
spécifiquement à un enfant... ».
Tout cela rappelle qu'afin d'assurer la protection des
données collectées, les acteurs devront mettre en place des
mesures et être capables de démontrer le caractère licite
et loyal de la collecte.
traitement, après avoir respecté toutes les
exigences liées à la licéité du traitement initial,
devrait tenir compte, entre autres, de tout lien entre ces finalités et
les finalités du traitement ultérieur prévu ; (...)
».
29 Cette exigence bien que paraissant
superfétatoire, est particulièrement pertinente. La raison est
que les auteurs des offres, concours ou jeux tentent souvent de dissimuler les
conditions à remplir pour pouvoir espérer en
bénéficier. Le procédé le plus courant est
l'utilisation de liens hypertextes qui est une technique consistant à
insérer les conditions dans une autre page distincte de celle contenant
la prospection mais reliée a celle-ci par un lien hypertexte souvent
dissimulé à des endroits improbables.
30 Loi pour le développement de la concurrence
au service des consommateurs.
23
Octobre 2018
B. La licéité et la loyauté.
Au Sénégal, tout responsable de traitement doit
s'assurer que les données collectées aux fins de prospection
directe sont licites et loyales au sens de l'article 34 PDCP qui dispose :
« La collecte, l'enregistrement, le traitement, le stockage et la
transmission des données à caractère personnel doivent de
faire de manière licite, loyale et non frauduleuse ».
L'obligation de loyauté rappelle plusieurs exigences
rappelées dans le décret n°2008-718, relatif au commerce
électronique. Cette obligation proscrit le mensonge. L'article 27 du
décret précité prévoit que la dignité
humaine ne saurait en aucun cas être ignorée par la
publicité faite par voie électronique et celle-ci doit être
conforme à l'obligation de décence. Les alinéas 2 et 3 de
cet article précisent que la prospection ne doit pas exploiter le manque
d'expérience de son destinataire en l'induisant en erreur aussi bien sur
le contenu de la publicité que sur l'identité de la personne pour
qui elle est faite ou en l'incitant à cliquer obligatoirement sur un
message publicitaire.
L'obligation de loyauté implique donc que toute offre
en ligne doit pouvoir être identifiée clairement comme telle. Il
s'agit de permettre l'identification du partenaire et des produits. Les
caractéristiques qualitatives et quantitatives de l'offre doivent
être décrites précisément et sans équivoque ;
le descriptif doit donc être suffisamment clair et précis. Telle
semble être la position du législateur français
inspiré par le droit communautaire européen. En effet, une
directive de l'UE de mai 2005 pose le principe de l'interdiction
générale des pratiques commerciales déloyales, y compris
électroniques. Une autre directive de décembre 2006 renforce la
protection des consommateurs en listant les pratiques commerciales agressives :
harcèlement, incitations adressées aux enfants.
En outre, le droit communautaire de l'UE prévoit que
les données personnelles fournies par les internautes qui
répondent à des offres électroniques, doivent être
traitées loyalement et légalement, être pertinentes et non
excessives par rapport à l'usage auquel elles sont
destinées31. Ce faisant, le RGPD, en son article 5 parag. 1-a
prévoit que le traitement des données personnelles doit
s'opérer de manière licite, loyale au regard de la personne
concernée.
Par-dessus ces obligations relatives à la transparence,
à la licéité et à la loyauté de la collecte,
toute offre de contrat électronique proposée par un annonceur
doit respecter une finalité déterminée et une durée
de la collecte, même pour les cas de prospection.
Paragraphe II : Le choix et le respect d'une
finalité et d'une durée légale de la conservation.
A. La finalité de la collecte.
31 Article 5 parag.1 du RGPD « Les
données à caractère personnel doivent être : c)
adéquates, pertinentes et limitées à ce qui est
nécessaire au regard des finalités pour lesquelles elles sont
traitées (minimisation des données) ; ».
24
Octobre 2018
Dans législation sénégalaise sur la PDCP,
l'obligation de collecter les données à une finalité
précise trouve son siège à l'article 3532 de la
loi n°2008-12. En substance, cette disposition déclare que les
données doivent être collectées pour des finalités
déterminées, explicites et légitimes et ne pouvant faire
l'objet de traitement ultérieur incompatible avec ces finalités
initialement déclarées. Ainsi la possibilité de faire de
la prospection directe doit avoir été prévue lors de la
déclaration auprès de la CDP. A défaut il convient de
procéder devant la Commission à une déclaration
modificative et de porter à la connaissance des personnes
concernées toute utilisation non conforme à la finalité
d'origine.
En France, la collecte de données personnelles doit
obligatoirement avoir un objectif déterminé et légitime,
défini dans la déclaration préalable, et par la suite les
données ne pourront être utilisées que dans ce cadre. De
plus, tout changement de finalité de traitement doit être sans
délai, porté à la connaissance de la CNIL.
Le détournement de finalité peut aussi consister
en une communication non autorisée à un tiers. En effet,
l'article 226-22 du Code pénal français réprime la
divulgation de données personnelles par la personne les ayant
recueillies à un tiers qui n'a pas la qualité de les
recevoir33.
Dans le RGPD, le principe de finalité est un fondement
crucial. Selon l'article 5 parag.1-b, le traitement des données à
caractère personnel ne peut se faire qu'après que des
finalités ont été définies explicitement au
préalable. En principe, il est interdit de traiter ultérieurement
les données obtenues pour une autre finalité qui n'était
pas prévue initialement (mais il existe des exceptions34).
Ce principe a aussi des conséquences pour le délai
de conservation des données. B. La durée légale de
conservation des données
Il ressort des termes de l'article 35 de la loi 2008-12
portant PDCP, sur la durée de la conservation des données
à caractère personnel, qu'elles doivent être
conservées pendant une durée qui n'excède pas la
période nécessaire aux finalités pour lesquelles elles ont
été collectées. Au-delà de cette période
requise, les données ne peuvent faire l'objet d'une conservation qu'en
vue de répondre spécifiquement à un traitement à
des fins historiques, statistiques, de recherches en vertu des dispositions
légales.
Pour le respect de cette exigence, le législateur
français impose la règle selon laquelle les données
personnelles ne peuvent être conservées plus longtemps que le
temps nécessaire à la réalisation des finalités
envisagées. Dés que ces finalités sont accomplies ou
disparaissent, le responsable de traitement doit effacer les données. En
effet, à défaut d'une
32 Art. 35 al 1 et 2 « Les données
doivent être collectées pour des finalités
déterminées, explicites et légitimes et ne peuvent pas
être traitées ultérieurement de manière incompatible
avec ces finalités.
Elles doivent être adéquates, pertinentes et
non excessive au regard des finalités pour lesquelles elles sont
collectées ultérieurement. »
33 Ce texte prévoit une peine d'emprisonnement
de cinq (5) ans et de 300000 euros d'amende.
34 Au sens du RGPD trois (3) possibilités se
présentent si vous souhaitez traiter des données personnelles
pour une finalité qui diverge de celle pour laquelle vous avez
initialement traité ces données : il faut soit un consentement
distinct, soit une obligation légale, soit pour la
comptabilité.
25
Octobre 2018
finalité, la nécessité de conserver et de
traiter les données disparaît. Dés lors il doit être
défini un délai de conservation maximal pour toutes les
données à caractère personnel. Tel est l'esprit de
l'article 5 parag.1-e du RGDP qui rajoute cependant que « Les
données à caractère personnel peuvent être
conservées pour des durées plus longues dans la mesure où
elles seront traitées exclusivement à des fins archivistiques
dans l'intérêt public, à des fins de recherche scientifique
ou historique ou à des fins statistiques(...) ».
Paragraphe III : Le créneau horaire d'envoi des
SMS
La CDP, à travers, une délibération de
201435, recommande en matière de prospection directe, la mise
en place d'un Code de conduite36 portant sur les heures d'envoi des
messages, idéalement entre 9h et 19h, notamment des SMS.
Par ailleurs, en France si la LIFL et la LCEN fixent un cadre
légal précis, les opérateurs et acteurs de cette
économie s'imposent un code de bonne conduite lors de la
réalisation d'opérations de prospection par SMS. En
théorie, tout envoi de SMS commercial entre 20h30 et 8h en semaine, le
samedi avant 10h et après 18h et toute la journée le dimanche et
les jours fériés, est formellement interdit.
Tout compte fait, la protection des données
personnelles constitue aujourd'hui un sujet important dans le domaine de la
publicité ciblée. En effet, avec l'évolution des pratiques
commerciales, les enjeux liés à la protection des données
personnelles des consommateurs sont devenus incontestables. Ainsi, du fait de
l'accroissement des échanges entre professionnels et consommateurs, la
collecte et l'exploitation de données personnelles par les
professionnels, obéissent à des obligations légales de ces
derniers.
Section II : Les obligations de l'annonceur de la
prospection directe
Si d'une manière générale, l'utilisation
des données personnelles des consommateurs contribue au progrès
économique, elle peut amener les entreprises à s'interroger sur
les modalités de cette utilisation au regard des règles de
déclaration (Paragraphe I) et d'identification (Paragraphe II) de
l'annonceur de la prospection directe.
Paragraphe I : L'obligation de déclaration de
l'annonceur.
Tout traitement de données personnelles doit être
déclaré préalablement à l'autorité de
chargée de veiller à la protection de ces données à
l'occurrence la CDP au Sénégal et la CNIL française.
Devant la CDP, le principe est celui de la déclaration
normale préalable avant toute opération de prospection qui
suppose un traitement d'informations personnelles. Ces opérations
doivent être déclarées devant l'autorité
compétente avant leur mise en oeuvre.
35 Délibération n°2014-20/CDP du 30
mai 2014 portant sur les conditions de la prospection directe.
36 Article 4-1 de la loi n°2008-12 sur la PDCP
« Code de conduite : tout projet de règles, notamment les
chartes d'utilisation, élaboré par le responsable de traitement,
en conformité avec la présente loi, afin d'instaurer un usage
correct des ressources informatiques, de l'Internet et des communications
électroniques de la structure concernée et homologuée par
la Commission des Données Personnelles ».
26
Octobre 2018
Cette obligation découle de l'article 18 de la loi
sénégalaise sur la PDCP qui exige qu' « en dehors des
cas prévus aux articles 17, 20 et 21 de la présente
loi37, les traitements de données à caractère
personnel font l'objet d'une déclaration auprès de la Commission
des Données Personnelles ».
Dans la pratique, le régime de déclaration est
appliqué aux traitements contenant des informations sur des personnes
physiques réalisés à partir de fichiers ou bases de
données de clients. Ainsi, dans sa délibération
n°2014-016 du 30 avril 2014 mettant en demeure TIGO SENEGAL pour non
déclaration de fichiers, base de données et systèmes
contenant des informations normatives et pratiques de prospection directe non
conforme à la législation, le Comité de sanction de la
CDP, en application des articles 29.2 et 31 de la loi 2008-12
précitée, 71 du décret n°2008-721 du 30 juin
200838et 25 du Règlement Intérieur de la Commission,
décide de mettre en demeure TIGO SENEGAL sous un délai de quinze
(15) jours.
D'ailleurs, dans sa délibération
n°2014-20/CDP du 30 mai 2014 portant sur les conditions de la prospection
directe citée plus haut, la CDP, invite tout responsable de traitement
à exiger et de s'assurer de ses partenaires, l'accomplissement des
formalités déclaratives préalables devant la Commission
avant toute opération de marketing direct.
Auparavant, en droit français la déclaration
était une formalité obligatoire pour constituer un fichier
prospects qui répondait à la définition des traitements de
données personnelles visée par la LIFL. A ce titre, la mise en
oeuvre d'un tel fichier doit faire l'objet de formalités
déclaratives auprès de la CNIL. La LIFL prévoit un
régime de déclaration pour les traitements, y compris la
prospection directe, qui, compte tenu des données que contiennent ces
traitements, sont considérés comme susceptibles de porter une
plus grande atteinte à la vie privées et aux libertés des
personnes.
Mais depuis l'entrée en vigueur du RGPD, en France,
cette obligation est atténuée. Dés lors, les fichiers
relatifs à la gestion des clients et des prospects, qu'ils soient ou non
constitués à partir d'un site Internet, n'ont plus à
être déclarés. Pour se conformer aux règles de
protection des données personnelles, il suffit d'informer les
consommateurs des conditions dans lesquelles les données seront
traitées et de leurs droits, de ne collecter et traiter que les
informations nécessaires à la prospection ou à la relation
commerciale, de prévoir des mesures adaptées aux risques, de
limiter la durée de conservation des données entre autres.
Si le cadre législatif et réglementaire
décrit semble donner de la valeur à l'obligation de
déclaration (cependant de moins en moins en droit communautaire de
37 L'article 17 dispense de l'obligation de
déclaration pour certains types de traitements, notamment, ceux ayant
pour but la tenue d'un registre. L'article 20, quant à lui, soumet
à un régime d'autorisation par la CDP par exemple les traitements
des données à caractère personnel portant sur des
données génétiques et sur la recherche dans le domaine de
la santé. Enfin, l'article 21 prévoit un régime
d'autorisation réglementaire pris après avis motivé de la
CDP pour certains traitements comme ceux automatisés d'informations
normatives opérés pour le compte de l'Etat.
38 Décret portant application de la loi
n°2008-12 du 25 janvier 2008 sur la protection des données à
caractère personnel.
27
Octobre 2018
l'UE), les annonceurs doivent aussi tenir compte, dans le
domaine de la prospection directe, de leur devoir d'identification.
Paragraphe II : L'obligation d'identification de
l'annonceur.
Le contenu de cette obligation doit être
recherché dans la formulation de l'article 13 de la loi sur les
transactions électroniques au Sénégal. En effet, il
ressort des dispositions de cet article que « toute publicité,
sous quelque forme que ce soit, accessible par un service de communication au
public en ligne, doit pouvoir être identifiée clairement comme
telle. Elle doit rendre clairement identifiable la personne physique ou morale
pour le compte de laquelle elle est réalisée ».
Il ressort de ces termes que l'obligation d'identification en
matière de prospection directe concerne à la fois la prospection
elle-même et le prospect. S'agissant de la publicité en
général, l'exigence d'identification figurait déjà
dans la loi 83-20 du 28 janvier 1983 relative à la
publicité39, tout support confondu. Elle doit être
présentée de façon à ce que même un non
professionnel puisse facilement la l'identifier comme telle et la distinguer
des autres messages.
Cette obligation reste de mise en matière de
prospection directe. Le législateur sénégalais n'a pas
manqué de mentionner le moment pendant lequel l'identification doit
être faite. En effet l'article 26 al. 2 du décret relatif au
commerce électronique déclare qu'elle est effective dés la
réception du message par le destinataire et lorsqu'elle est
effectuée par courrier électronique, l'identification doit
être faite de manière claire et non équivoque sur l'objet
du courrier dés leur réception par leur destinataire.
Il ne suffit pas que la prospection soit identifiée
comme telle pour satisfaire aux dispositions de l'article 13
précité. Encore faudrait-il que le bénéficiaire de
publicité ciblée puisse être identifiable qu'elle soit une
personne morale ou physique. C'est donc dire que tout marketing direct anonyme
est proscrit par le législateur40. En effet, elle permet de
pouvoir repousser les barrières de l'anonymat dans le cyberespace en ce
sens qu'elle permet d'identifier la personne responsable en cas d'infraction et
d'avoir un interlocuteur en cas de réclamation.
Cette obligation est aussi prévue en droit
français. Ainsi, afin d'éviter les messages commerciaux
déguisés ou clandestins, chaque prospection envoyée par un
service de communication au public en ligne doit être clairement
identifiable, tout comme l'annonceur pour le compte duquel elle est
réalisée (art. 20 de la LCEN).
Par ailleurs, les offres promotionnelles telles que les
rabais, primes, cadeaux ou jeux concours, adressées par courrier
électronique, doivent pouvoir identifiés dés leur
réception par le destinataire. En conséquence, et sauf
impossibilité technique, le
39 L'article 11 de la loi de 1983 précisait
que « La publicité doit pouvoir être clairement
distinguée comme telle, quels que soient la forme et le support
utilisé. Lorsqu'elle est diffusée dans les médias qui
comportent également des messages rédactionnels, la
publicité doit être présentée de telle sorte que le
consommateur puisse la distinguer facilement de ces messages »
40 L'article 16 parag.2 al.3 de la loi
n°2008-08 sur les transactions électroniques dispose en ce sens qu'
« Il est également interdit de dissimuler l'identité de
la personne pour le compte de laquelle la communication est émise et de
mentionner un objet sans rapport avec la prestation ou le service
proposé. ».
28
Octobre 2018
destinataire doit être en mesure d'identifier la
prospection sans ouvrir le courrier électronique.
Les conditions auxquelles sont soumises les offres
promotionnelles doivent également être également clairement
précisées et aisément accessibles (art. 21 LCEN). Enfin
bien vérifier que les dispositions relatives aux prospections directes
en ligne soient insérées dans le Code de la consommation
(articles L. 121-15 à L. 121-15-3), les obligations d'informations qui
en découlent, s'appliquent à toutes les prospections, que
celles-ci soient B to B ou B to C
La décision de créer un fichier de prospection
doit être auprès de la CNIL. Dans le cas d'un fichier prospects ou
clients, une déclaration simplifiée suffisait (norme
n°4841). En fonction de la décision du jury, la CNIL
délivrait un avis ou une autorisation. Depuis 2010, il était
possible d'effectuer cette démarche en ligne en se connectant sur le
site de la CNIL. Les délais de traitement étaient beaucoup plus
rapides.
Le nouveau RGPD apporte un nouvel élan, une nouvelle
réglementation s'agissant de l'obligation d'identification. Suite
à l'entrée en application du RGPD, les normes simplifiées
adoptées par la CNIL n'ont plus de valeur juridique depuis le 25 mai
2018. Ainsi, seules certaines formalités préalables subsistent,
mais le RGPD supprime les obligations d'identification de fichiers
auprès de la CNIL. Elles seront tout de même
considérées par la CNIL comme des règles de bonnes
pratiques.
En définitive, après cet inventaire des sources
et obligations concernant la prospection directe dans le commerce
électronique et des règles constituant son contenu, inventaire
qui a permis de dégager une véritable réglementation de
cette publicité, il paraît important et possible, en guise de
conclusion, de s'attacher à l'idée selon laquelle les
règles qui y sont énoncées offrent apparemment des
solutions, y compris dans un environnement électronique. Ces
règles d'origine nationale ou communautaire, légale ou
règlementaire se traduisent par l'adoption d'un véritable arsenal
juridique, qui, d'une part, consacre des principes généraux de
pratique de la prospection directe (principe de l'opt-in et le consentement de
la personne concernée), ce, afin de garantir au mieux une protection des
consommateurs à qui, une armada de droits sont reconnus ; et d'autre
part, exige le respect de certaines obligations légales encadrant la
collecte des données (transparence, loyauté etc.) et des
obligations auxquelles sont soumis tous les annonceurs (identification,
déclaration).
En tout état de cause, l'intérêt de cette
recherche du régime juridique de la prospection directe dans les
transactions électroniques, est de préparer la discussion
abordée en seconde partie, celles des sanctions envisageables en cas de
non-respect par l'annonceur des conditions légales de prospection.
Autrement dit, notre approche de la deuxième partie de ce mémoire
s'articulera autour de la responsabilité dans la pratique de la
prospection directe.
41 La norme simplifiée NS-O48 concerne les
traitements automatisés de données à caractère
personnel relatifs à la gestion de clients et de prospects. Elle inclut
notamment les traitements de donnés personnelles ayant pour
finalités la gestion des clients, la prospection, les opérations
de fidélisation l'élaboration de statistiques commerciales...
29
Octobre 2018
DEUXIEME PARTIE : LA RESPONSABILITE DANS LA PRATIQUE
DE LA PROSPECTION DIRECTE.
D'une manière générale, la technique
législative visant à assortir de sanctions pénales les
obligations publicitaires mises à la charge du professionnel au profit
du consommateur est devenue d'une utilisation courante dans le commerce
électronique et du droit de la consommation. L'idée qui sous-tend
ce mouvement législatif est que, la publicité par voie
électronique, en particulier, la prospection directe, est
considérée comme souvent intrusive et attentatoire aux
données personnelles des prospects. De ce fait, le législateur,
dans l'optique de préserver l'intégrité des informations
personnelles des profanes, s'est vite résolu à consacrer
l'interdiction de quelques cas de prospection directe (Chapitre I) avant
d'édicter des sanctions applicables en cas de contentieux dans le cadre
de la prospection directe (Chapitre II).
Chapitre I : La consécration légale de
quelques cas de prospection directe interdite.
Dans la première partie de cette étude, il sera
principalement pris en compte la notion de prospection directe interdite
(Section I), pour ensuite dans un second temps, exposer les typologies de
prospection directe interdites (Section II).
Section I : Notion de prospection directe
interdite.
Le traitement des données personnelles dans le cadre de
la prospection directe est soumis à l'ensemble des dispositions de la
loi sur la protection des données. Cette catégorie d'encadrement
qui a vocation à réprimer certaines pratiques du marketing, pose
le principe d'interdiction des messages non sollicités (Paragraphe I),
celui de l'absence de consentement du prospect (Paragraphe II) et entend aussi
interdire certains types de profilage (Paragraphe III).
Paragraphe I : Le principe d'interdiction des messages non
sollicités.
Le législateur pose le principe général
d'interdiction de la prospection directe en ligne non autorisée. Ces
messages vont avoir pour conséquences d'engorger le réseau,
d'augmenter les délais de connexion lors de la réception des
messages et donc les frais supportés par les fournisseurs
d'accès42(FA) forcés de mettre en place un filtrage
adapté. Ceux-ci se retrouvent dans l'obligation de répercuter les
coûts sur les offres d'abonnement.
Ainsi, selon une étude commandée par la
Commission européenne, les abonnés à Internet paieraient
à leur insu, un montant estimé à 10 milliards d'euros par
an en frais de connexion, cela uniquement pour recevoir des messages non
sollicités. On comprend donc la nécessité d'une
interdiction des messages non sollicités ou spam.
42 Selon l'article 3 parag. 1 de
la loi de 2008 sur le commerce électronique, les FA sont les personnes
dont l'activité est d'offrir au public par le biais des technologies de
l'information et de la communication...
30
Octobre 2018
Le publipostage électronique peut s'effectuer à
l'égard des prospects grâce à des listes d'e-mails fournies
par un tiers ou collectés dans les espaces publics de l'internet. Seule
cette dernière hypothèse pose réellement
problème.
Dans le premier cas, la collecte est directe puisque le
fichier d'adresse est constitué à partir des mails des
internautes avec lesquels le prospecteur s'est trouvé en lien direct.
Les règles de protection des données personnelles autorisent
alors l'envoi de courriers électroniques de prospection à
condition de respecter le droit de chaque prospect de s'opposer à en
recevoir. Ceci suppose que le consommateur ait été informé
et mis en mesure d'exercer son droit d'opposition lors de la collecte initiale
de ses données personnelles.
La dernière hypothèse suppose que l'e-mail de
l'internaute ait été capturé dans un espace public (forums
de discussion, listes de diffusion...) sans que celui-ci ou le responsable n'en
ait eu connaissance. Cette collecte déloyale rendrait illicite toutes
les opérations de traitement ultérieures.
Précisons que l'encadrement de la prospection directe
est envisagée à travers l'opt-in et l'opt-out. Justement c'est
sur la base du principe de l'opt-in qui oblige les prospecteurs à
obtenir le consentement préalable des prospects avant tout envoi de
courrier électronique, que tient le principe d'interdiction des messages
non sollicités.
Rappelons que les principales législations
adoptées en Europe, forcément avec l'entrée en vigueur du
RGPD, et le droit sénégalais, ont consacré la technique de
l'opt-in afin d'accorder une protection au consommateur.
Paragraphe II : Le principe de l'interdiction de la
prospection directe non-consentie.
En règles générales, la prospection
directe effectuée sans le consentement de la personne concernée
est interdite par les législations. La prospection directe ainsi
prohibée se présente sous plusieurs aspects.
A ce titre, il peut s'agir qu'à l'instant de la
collecte directe des données personnelles, les personnes
concernées n'ont pas manifesté expressément leur
consentement à recevoir des messages aux fins de prospection.
Aussi, il peut s'agir, en cas de collecte indirecte des
données personnelles, le responsable de traitement n'a pas
déclaré la base ou le fichier43 à
l'autorité compétente avant d'adresser un message aux personnes
prospectées afin de requérir leur consentement. Dans ce cas, la
réponse à ce message est gratuite et en l'absence de
réponse, les données devront être supprimées
automatiquement.
A cela s'ajoute, l'utilisation d'une base de données
détenues par d'autres prestataires, le responsable de traitement ne peut
utiliser que les données des personnes
43 Le fichier est un ensemble de données
à caractère personnel accessibles selon des critères
déterminés, que cet ensemble soit centralisé,
décentralisé ou réparti de manière fonctionnelle ou
géographique. (Art. 4 parag.6 RGPD)
31
Octobre 2018
ayant expressément exprimé leur consentement. A
cet effet, le responsable de traitement doit informer ses partenaires,
notamment les fournisseurs de services à valeur ajoutée, de
l'obligation de respecter la législation avant toute prospection
directe.
Enfin c'est le cas de l'utilisation des bases de
données déjà constituées et pour lesquelles le
consentement les personnes concernées n'était pas
préalablement requis, le responsable de traitement doit déclarer
la base ou le fichier aux autorités avant d'informer les
intéressés par l'envoi d'un message sur les nouvelles
possibilités d'utilisation de leurs données personnelles et de la
faculté de s'y opposer.
Paragraphe III : Le principe d'interdiction de certains cas
de profilage.
Le développement des technologies permet l'analyse des
historiques de navigation, des courriels et autres informations sur les
réseaux sociaux et moteurs de recherche ; dans le but de connaître
l'utilisateur en question. Le mobile de cette analyse est de permettre de
proposer au consommateur des produits correspondants à ses besoins. Les
abus constatés dans la pratique nécessitent d'encadrer le recours
au profilage et de donner la possibilité à l'utilisateur de
reprendre le contrôle sur ces données utilisées aux fins de
ciblage.
Prenant acte de l'ancrage de l'analyse prédictive et de
la prospection directe comme technique classique de l'e-commerce, le RGPD
encadre le recours au profilage par le responsable de traitement.
Le recours au profilage est une évidence en commerce
électronique, en tant que technique de marketing ciblé, tant il
permet à l'annonceur d'augmenter ses ventes de par la proposition de
contenus personnalisés au prospect. Force est de constater les risques
engendrés par le profilage.
Le profilage permet de tracer les internautes dans le temps et
sur différents sites, de créer des profils très
précis, notamment de leurs goûts, de leurs caractéristiques
(âge, sexe), et d'afficher en ligne les publicités qui
reflètent leurs intérêts. Au travers, le big data,
permettant l'accès à une quantité considérable de
données, les entreprises pratiquent en effet une nouvelle sorte de
marketing44.Cette typologie de prospection directe n'est plus
fondée sur la segmentation de la clientèle, mais sur une
caractérisation comportementale45permettant d'affiner, puis
de personnaliser les offres de produits aux consommateurs.
L'annonceur va capter la commande de son client, et pourra
l'analyser, de sorte à conclure que le client est un consommateur de
tels produits. La collecte de ces informations et leur analyse permettra
à l'annonceur de cibler ce client, en lui proposant à l'avenir
des promotions en lien avec ses besoins confortant la vision du RGPD pour ce
qui est du profilage qu'il définit en son article 4 parag.4 comme «
Toute forme de traitement automatisé de donnés consistant
à utiliser ces données pour évaluer certains aspects
personnels relatifs à une personne physique, notamment pour analyser ou
prédire des
44 E. Jouffin et X. Lemarteleur, « Du
psautier de Mayence au zetaoctets-quel environnement juridique pour le big data
? » ; Banque et droit, n°166, p.12.
45 G. Hass, Guide juridique de l'e-commerce et
l'e-marketing, Ed. ENI, coll. Data pro, 2015
32
Octobre 2018
éléments concernant le rendement au travail,
la situation économique, la santé, les préférences
personnelles, les intérêts, la fiabilité, le comportement,
la localisation ou les déplacements de cette personne physique
». La collecte des données est rendue possible par la pose de
cookies46 traceurs sur le terminal de l'utilisateur47.
Ce marketing prédictif est critiqué, tout
d'abord par le consommateur, de par son caractère intrusif et surtout de
par un sentiment de perte de contrôle dans la maîtrise de sa
navigation sur Internet. Le risque du profilage est d'enfermer les individus
dans un «déterminisme numérique»48.
En effet, la pratique représente un danger dans la mesure où elle
influence les choix des consommateurs49.
De plus, le propos a déjà été
avancé, mais ces données censées être non
identifiantes, peuvent, combinées entre elles, aboutir à des
profils très précis de l'individu objet de la mesure. Surtout, le
traitement de données à la base non identifiantes peut
dégénérer en un traitement de données
sensibles50 ; cela sans avoir à respecter les règles
contraignantes du traitement des données dites sensibles.
Le considérant 24 du Règlement propose la
soumission des traitements de données aux règles qu'il
édicte lorsque le traitement est lié à l'observation du
comportement des personnes concernées. Ce suivi de la personne physique
lors de sa navigation sur Internet nécessite un contrôle du
profilage, ce que le RGPD a opéré, obligeant le responsable de
traitement à certaines contraintes dans la mise en oeuvre du
profilage.
Dans le cadre du profilage aux fins de prospection
commerciale, le Considérant 47 du RGPD énonce que le traitement
des données aux fins de prospection peut être
considéré comme répondant à un intérêt
légitime du responsable de traitement. Certains auteurs critiquent le
recours à ce fondement juridique51.
Force est de constater que les risques engendrés par la
pratique du profilage, notamment sur la vie privée des personnes
entraînant un mouvement européen tendant à renforcer les
obligations des entreprises recourant à la pratique. Le Règlement
prend acte de ce renforcement des obligations de l'annonceur en la
matière.
Et à juste titre, en définissant un
régime d'encadrement du profilage, la volonté du
législateur était sans doute d'interdire par la même
occasion, du fait de leur caractère
46 Les cookies sont de petits fichiers
stockés dans la mémoire des ordinateurs, soit informations
déposées ou lues sur le terminal de l'utilisateur par les
responsables d'application, lors de la consultation d'un site Internet et peu
importe le terminal utilisé par l'utilisateur. Les cookies permettent de
conserver une trace des actions de l'utilisateur du terminal et sont un outil
de prédilection du profilage.
47 Ces techniques font l'objet de la
délibération n°2013-378 du 5 décembre 2013/CNIL
portant adoption d'une recommandation relatives aux cookies et aux traceurs.
48 CE, rapport annuel 2014, p. 237 et s.
49 Allant jusqu'à réduire l'exercice
de la liberté d'expression dans certains cas : E. SCARAMOZZINO, «
Le profilage encadré pour favoriser la diversité culturelles
», Juris art etc. 2016, n°36, p.6.
50 Prenant l'exemple de l'annonceur
spécialisé dans la vente agroalimentaire qui, en analysant les
achats d'un client qui n'achète que des aliments hallal, en vient
à des données sur la confession religieuse.
51 Sur l'ambiguïté de la notion et de
son recours : N. METALLINOS, « Les apports du règlement
général relatif à la protection des données
personnelles sur les conditions de licéité des traitements
», Dalloz IP/IT 2016 p. 588.
33
Octobre 2018
attentatoire aux données personnelles et à la
vie privée des consommateurs, quelques autres typologies du marketing
direct.
Section II : Typologies de prospection directe
interdite.
La promotion visée dans le cadre de la prospection
directe poursuit un but uniquement commercial. Elle fait l'objet d'un
encadrement strict, le législateur pose le principe d'interdiction de la
prospection directe effectuée sans le consentement préalable de
la personne concernée et celle portant sur le traitement des
données sensibles52 (Paragraphe II). En outre il faut
distinguer la prospection directe (encadrée) du spamming (Paragraphe I)
qui est interdit.
Paragraphe I : Le spamming.
Le spamming consiste en l'envoi massif de messages de
manière répétée par des moyens de communication
électronique. En clair, « Le spam, courriel indésirable
ou pourriel est une communication électronique non sollicitée, en
premier via le courrier électronique. Il s'agit en général
d'envois en grande quantité effectués à des fins
publicitaires53».
Ciblant principalement les messageries électroniques,
le spam est diffusé de façon massive et automatisée. Nous
recevons quotidiennement de nombreux mails dont nous ne connaissons
nécessairement pas les auteurs. Certains peuvent se
révéler utiles mais d'autres le sont beaucoup moins. En effet,
les mails non sollicités que reçoivent les consommateurs,
remplissent leurs boîtes mails et les obligent à vider leurs
messageries pour faire place aux mails plus importants. Cette situation est
évitable.
La particularité du spamming est la manière dont
les auteurs de ces mails obtiennent les adresses mails des individus. Le
spamming suppose alors la collecte préalable d'adresses mails. Il se
révèle comme étant souvent abusif, ce qui pose de
multiples problèmes aux autorités chargées de la
protection des données. Le seul fait de recevoir des mails publicitaires
sans avoir donné son consentement est assez problématique.
Le spamming ou pollupostage constitue une dérive de la
prospection directe devant permettre aux annonceurs de toucher rapidement et
massivement les consommateurs par le biais de leurs boîtes aux lettres
électroniques54.
52 Au sens de l'article 4 parag. 8 de la loi
n°2008-12 sur la PDCP, le terme données sensibles désigne
« Toutes les données à caractère personnel
relative aux opinions ou activités religieuse, philosophique, politique,
syndicale, à la vie sexuelle ou raciale, à la santé, aux
mesures d'ordre social, aux poursuites, aux sanctions pénales ou
administratives ». C'est aussi le sens de l'article 8 de la LIFL.
Dans le SRGPD, les catégories de données sensibles à
savoir les données génétiques, données
biométriques et données concernant la santé, sont
définies successivement aux paragraphes 13,14 et 15 de l'article 4 dudit
Règlement
53 Source :
fr.wikipédia.org,
consulté le 05 septembre 2018 à 22h 12mn.
54 Cependant, utilisée massivement depuis la
fin des années 90, une telle pratique suppose que les professionnels
aient préalablement collectées les adresses, auxquelles elles
envoient ces courriers non sollicités, conformément aux
dispositions des législations de protection des données en France
(LIFL et directives du 25 octobre 1995, du 20 mai 1997 et du 15 décembre
1997).
34
Octobre 2018
L'adresse électronique constitue une donnée
personnelle au sens des législations sénégalaises et
françaises portant protection des données personnelles. Or, bien
souvent, cette collecte se fait de façon sauvage au moyen de logiciels
aspirateurs d'adresses présentes sur les listes de diffusion ou les
forums de discussion.
La pratique du spamming pose donc deux (2) problèmes au
regard des règles relatives à la protection des données
que sont les adresses mails :
-celui des conditions de collecte et d'utilisation de ces
données personnelles à des fins de prospection ;
-celui de l'appréciation des moyens mis en oeuvre pour
permettre aux personnes prospectées de s'y opposer.
Pour pallier à cette situation, le législateur a
adopté pour démarche simple concernant le spamming : celui
d'interdire cette pratique. C'est ainsi qu'on a au Sénégal
l'article 16 de la loi n°2008-08 du 25 janvier 2008 sur les transactions
électroniques, en son paragraphe 1, qui dispose qu' « il est
interdit la prospection directe par envoi de message au moyen d'un automate
d'appel, d'un télécopieur ou d'un courrier
électronique, utilisant, sous quelque forme que ce soit, les
coordonnées d'une personne physique qui n'a pas exprimé son
consentement préalable à recevoir des prospections directes par
ce moyen.».
En France par contre, la lutte contre le système du
pollupostage a commencé dés le début du siècle.
Avant l'entrée en vigueur des dispositions de la LCEN, la CNIL avait
engagé des actions pour enrayer le spamming. A titre illustratif, elle a
mis en place, dés la fin de l'année 2002, une « boîte
à spam » électronique, pour recueillir les plaintes des
internautes. C'est dans ce cadre qu'elle a usé de son pouvoir de
dénonciation au Parquet des infractions constatées. Depuis 2004
marquant l'entrée en vigueur de la LCEN, l'article 22 prohibe l'envoi
massif, et parfois répété, de courriers
électroniques non sollicités, à des personnes avec
lesquelles l'expéditeur n'a jamais eu de contact et dont il a
capté l'adresse électronique de façon
irrégulière. Le spamming peut également être
sanctionné sur le fondement de l'utilisation, à l'insu des
personnes, de leur matériel informatique (C. pén. art. 323-1) ou
encore du délit d'entrave (C. pén. art. 323-255). Le
TGI de Paris, par une ordonnance de référé avait
condamné, pour la première fois en droit français, la
pratique du spam, le 15 janvier 2002 (affaires Yahoo et J'accuse)
Qui plus est, aux termes de la LCEN, la CNIL se voit confier
la mission de surveillance de la bonne application de a loi, pour ce qui
concerne la prospection directe utilisant les coordonnées d'une personne
physique, et par la loin du 06 août 200456, le pouvoir de
prononcer des sanctions.
55 Le pendant de cette disposition en droit est
l'article 431-10 du Code pénal sénégalais issu de la loi
n°201629 du 08 novembre 2016 sur la cybercriminalité. Ce texte
prévoit que : « Celui qui entrave ou fausse ou tente d'entraver
de fausser le fonctionnement d'un système informatique, est puni d'un
emprisonnement d'un (01) an à cinq (05) et d'une amende de 5000000 de
francs à 10000000 de francs ».
56 Loi n°2004-801 du 06 août 2004
relative à la protection des personnes physiques à l'égard
des traitements de données à caractère personnel et
modifiant la loi n°78-17 du 0- janvier 1978 relative à
l'informatique, aux fichiers et aux libertés.
35
Octobre 2018
Par ailleurs, un autre type de prospection directe est
interdite par les lois sur les transactions électroniques : il s'agit de
la prospection directe portant sur des données sensibles.
Paragraphe II : La prospection directe portant sur des
données sensibles
En application à l'article 40 de la loi sur la
protection des données personnelles de 2008, le traitement des
données sensibles57 est illégal. Cela signifie qu'il
est interdit de procéder à la collecte et à tout
traitement qui révèlent l'origine raciale, ethnique ou
régionale, la filiation, les opinions politiques, les convictions
relieuses ou philosophiques, l'appartenance syndicale, la vie sexuelle
(l'orientation sexuelle), les données
génétiques58 ou plus généralement celles
relatives à l'état de santé59 de la personne
concernée.
Ceci dit, qu'en cas de prospection directe, le responsable de
traitement doit veiller à ne pas cibler la consonance des noms des
personnes, les lieux de naissance, les origines raciales ou ethniques,
l'appartenance à une communauté religieuse ou les opinions
politiques des personnes concernées.
C'est cette position du législateur
sénégalais qui prévaut aussi en droit français. Il
est tout aussi interdit de constituer un fichier à partir des tris
opérés sur la consonance des noms des personnes. Les annonceurs
ne peuvent donc pas s'adresser aux représentants réels ou
supposés d'une communauté religieuse particulière, par
exemple pour leur adresser un message à l'occasion d'une fête
religieuse ou les appeler à soutenir tel candidat politique, issu de
telle ou telle communauté. En cas de prospection directe, le responsable
de traitement doit veiller à ne pas divulguer à l'ensemble des
destinataires, les coordonnées électroniques des
intéressés.
Les messages adressés à des prospects, quel
qu'en soit le support, ne doivent contenir aucun signe distinctif faisant
apparaître des données sensibles.
Tel est l'économie des articles 960 et 10
(ce dernier article s'intéresse au traitement des données
personnelles relatives aux condamnations pénales et aux infractions) du
RGPD qui prévoit que la collecte des donnés sensibles n'est pas
autorisée, sauf pour les exceptions énumérées
à l'article suscité.
En définitive, il ressort de ces arguments
sus-énoncés que l'utilisation de la prospection directe
grâce à des techniques attentatoires et intrusives, soulève
évidemment
57 Les données sensibles sont : «
Toutes données à caractère personnel relatives aux
opinions ou activités religieuse, philosophique, politique, syndicale,
à la vie sexuelle ou raciale, à la santé, aux mesures
d'ordre social, aux poursuites aux sanctions pénales ou
administratives.» (Art. 4-6 de la loi n°2008-12)
58 Une donnée génétique est
« Toute donnée concernant les caractères
héréditaires d'un individu ou d'un groupe d'individus
apparentés.»
59 La loi entend par données dans le domaine
de la santé, « Toute information concernant l'état
physique et mental d'une personne concernée, y compris les
données génétiques. »
60 Article 9 RGPD, «Le traitement des
données à caractère personnel qui révèle
l'origine raciale ou ethnique, les opinions publiques, les convictions
religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le
traitement des données génétiques, des données
biométriques aux fins d'identifier une personne physique de
manière unique, des données concernant la santé ou des
données concernant la vie sexuelle ou l'orientation sexuelle d'une
personne sont interdits.»
36
Octobre 2018
des inquiétudes quant à l'exploitation des
données personnelles qui en résulte. Il est reproché aux
cas de prospection directe interdits, d'opérer à partir des
informations collectées des discriminations commerciales : ces
informations peuvent en effet révéler par exemple l'appartenance
religieuse ou la propension du consommateur à retourner le bien
acheté. Ce qui, on peut en douter permet de traiter sa commande de
façon différenciée. Au surplus, les techniques de
profilage et de collecte des sont généralement peu transparentes
: il est difficile de mesurer l'ampleur des données collectées et
la finalité de leur traitement encore moins de la durée de leur
conservation. Ainsi, pour mieux réprimer les techniques illégales
du spamming et du traitement des données sensibles des consommateurs,
des sanctions peuvent être prononcées contre les annonceurs
«délinquants» : c'est le contentieux de la
prospection directe.
Chapitre II : Le contentieux de la prospection
directe.
La confiance dans l'économie numérique,
recherchée par le législateur, l'a conduit à mettre en
oeuvre des instruments de répression de la violation des règles
de prospection directe, dont les comptes rendus d'activité et rapports
permettent de vérifier l'efficacité des mesures prises et le
degré de confiance obtenu concernant le rôle de ces instruments de
protéger les consommateurs, et de leurs données personnelles,
notamment.
Dans cette optique, force est de constater que les peines
applicables aux annonceurs sont prononcées à l'issu d'un
procès organisé à cet effet devant les autorités de
contrôle (Section I). Ce procès donne suite à une
procédure contentieuse de répression de la prospection directe
interdite (Section II).
Section I : L'organisation du procès de
répression de la prospection directe interdite.
La mise en oeuvre de la répression passe d'abord par la
saisine des organes de répression en matière de prospection
directe (Paragraphe I). Nous nous attèlerons ensuite à
étudier des cas de plaintes traitées en matière de
prospection directe (Paragraphe II).
Paragraphe I : La saisine des organes de répression
de la prospection directe interdite.
Il faudra dans un premier temps, présenter sommairement
les missions des organes de répression de la prospection illégale
(A) concernés par notre étude, à savoir
la CDP et la CNIL, avant de montrer dans un second temps leurs modalités
de saisine (B).
A. Présentation sommaire des organes de
répression de la prospection directe interdite.
1) La CDP.
Elle tient son statut d'autorité administrative
indépendante des dispositions de l'article 5 de la loi n°2008-12
relative à la protection des données personnelles61.
On
61 L'article 5 de la loi n°2008-12 dispose :
« Il est créé une Commission de Protection des
Données Personnelles dites Commission des Données Personnelles en
abrégé CDP. La Commission des Données
37
Octobre 2018
entend par autorités administratives
indépendantes (A.A.I) les instances administratives situées hors
de la mouvance du gouvernement, d'un département ministériel ou
de leurs délégués et qui reçoivent de l'Etat les
missions d'opérer la régulation dans un secteur sensible de la
vie en société, à l'interface de la société
civile et du pouvoir politique. Les A.A.I échappent à
l'autorité directe du gouvernement et contredisent le principe unitaire
qui préside l'agencement des structures
étatiques62.
La CDP dispose d'un pluralisme de composition63.
Pour ce qui est de ses missions, la CDP est chargée d'une mission
d'abord de veille, de sensibilisation, de conseils et de propositions, ensuite
d'instructions des dossiers et enfin de contrôle et d'investigation.
La CDP, dans son organisation et ses missions est presque, la
copie conforme de la CNIL française.
2) La CNIL.
La Commission Nationale de l'Informatique et des
Libertés (CNIL) a été créée par la LILF du 6
janvier 1978. A l'image de la CDP, c'est une A.A.I, c'est-à-dire qu'elle
est un organisme public qui agit au nom de l'Etat français, sans
être placé sous l'autorité du gouvernement ou d'un
ministère. Au sens du RGPD ce statut fait l'objet des dispositions de
l'article 51 qui dispose en son paragraphe premier : « Chaque Etat
prévoit qu'une ou plusieurs autorités publiques
indépendantes sont chargées de surveiller l'application du
présent règlement, afin de protéger libertés et les
droits fondamentaux des personnes physiques à l'égard du
traitement et de faciliter le libre flux des données à
caractère personnel au sein de l'Union (ci-après
dénommée « autorité de contrôle»)
»64
Par contre à la différence de la CDP, elle se
compose de 18 membres (contre 11 pour l'autorité de contrôle
sénégalaise) nommés ou élus et s'appuie sur des
services. Elle a un rôle d'alerte, de conseil et d'information vers tous
les publics mais dispose aussi d'un pouvoir de sanction (art. 57 RGPD).
C'est à ce titre que les deux A.A.I sont saisies pour
réprimer des cas de prospections non conformes à la
législation.
B. Les modalités de saisine des organes de
répression.
Personnelles est une autorité administrative
indépendante chargée de veiller à ce que à ce que
le traitement des données à caractère personnel soit mis
en oeuvre conformément aux dispositions de la loi ».
62 Jacques Chevallier écrit en ce sens que
les A.A.I constituent des « Îlots étatiques mis à
l'abris des pressions politiques et servent de bornes à l'action des
gouvernements, (elles) sont aussi déconnectées du reste de
l'appareil administratif : le dépassement de l'opposition public est
assorti de la dépolitisation d'une série de fonctions
étatiques et de la rupture du monolithisme d'une administration qui
semble évoluer vers un modèle de type polycentrique
caractérisé par la coexistence de plusieurs centres de
décision et de responsable ».
63 Voir art. 6 de la loi n°2008-12 du 25 janvier
2008.
64 Les articles 52 à 54du Règlement
posent successivement les règles relatives à
l'indépendance, aux conditions générales applicables aux
membres de l'autorité de contrôle et aux règles relatives
à l'établissement de l'autorité de contrôle
38
Octobre 2018
Les organes de contrôle ont pour mission essentielle de
veiller à l'application des lois qui ont vocation à
protéger les individus contre les abus liés à la
manipulation de leurs données personnelles.
A cet effet, pour le cas de la CDP, toute personne
lésée par des manquements à la loi n°2008-08
concernant la pratique du marketing direct, peut déposer une plainte ou
faire un signalement auprès de la CDP.
Ladite Commission a ensuite l'obligation de tenir
informé le plaignant des suites de sa plainte et plus
précisément de la nature des manquements relevés à
l'encontre de l'annonceur fautif et de la sanction prononcée pour les
réprimer dans certaines circonstances. A titre illustratif, sur les cent
trente deux (132) plaintes et signalements reçus et traités par
la CDP jusqu'au mois de juillet 2017, une grande partie de ces plaintes et
signalements portaient essentiellement sur les opérateurs de
télécommunications à cause de messages, appels
promotionnels de prospection directe à l'endroit de leurs clients.
En France, le principe est que chaque personne dispose d'un
droit d'information, d'un droit d'accès, d'opposition et de
rectification concernant ses données personnelles. Préserver ces
droits, c'est l'une des missions de la CNIL.
Depuis le 25 mai 2018, la CNIL est l'autorité nationale
de contrôle de l'application du RGPD, entré en application
à cette date. Ainsi, tout individu est en droit de procéder
à une demande d'information, d'accès, d'opposition, de
rectification à ses données personnelles au responsable d'un
fichier ou d'un traitement en justifiant son identité. En principe, le
responsable doit vous répondre dans un délai maximum d'un (1)
mois.
En l'absence de réponse ou si celle-ci ne sont pas
satisfaisantes, la CNIL pourra être saisie aux fins d'intervenir. La
demande doit être adressée directement par courrier
recommandé avec accusé de réception à la CNIL. La
demande doit comporter les éléments d'identification du plaignant
(nom et prénom, adresse), une date, l'objet de la demande, le droit
à exercer sur ses données. Cette saisine de la CNIL, comme c'est
le cas pour la CDP, peut se faire en ligne.
La pratique de la prospection directe a fait l'objet de nombre
de signalements et plaintes devant ces organes de contrôle.
Paragraphe II : Etude de cas de plaintes et/ou signalements
traités en matière de prospection directe.
En 2016, six (06) plaintes et signalements relatifs à
la prospection directe, dont trois (03) mettant en cause l'opérateur de
télécommunications Expresso, ont été reçus
par la CDP.
Une plainte est toute dénonciation d'agissements
contraires de la loi sur la protection des données personnelles (ou loi
informatique et libertés en France) qui nécessite une action
auprès du responsable de traitement mis en cause.
Au-delà de la réception de messages d'offres
promotionnelles, les plaignants précisent que la désinscription
à ces services est ineffective.
39
Octobre 2018
En réponse aux demandes d'explications servies par la
CDP, l'opérateur argue que l'ineffectivité de la fonction «
STOP » est due à des défaillances techniques. La CDP a tenu
à lui rappeler l'obligation de respecter scrupuleusement la
délibération n°2014-20 du 30 mai 2014 portant sur les
conditions de la prospection directe.
En dépit de ces rappels, la délégation de
la CDP, dans le cadre d'une mission de contrôle sur site a permis de
constater les mêmes manquements. En conséquence, la CDP a
prononcé une mise en demeure à l'encontre de
l'opérateur65.
L'envoi des lettres d'information contenant de la prospection
directe doit respecter les dispositions relatives au RGPD, au CPCE entres
autres. C'est l'un des enseignements de la décision66 rendue
par la CNIL le 26 septembre 2016 par laquelle la société
CDISCOUNT a été mise en demeure par l'autorité.
Selon le rapport 2017 de la CNIL67 25% des plaintes
et signalements sur les 836068 reçus par l'autorité de
contrôle concernent le secteur commerce/marketing. Ce secteur est l'un
des plus concernés par les plaintes, notamment pour la prospection
directe par courriel, téléphone ou voie postale.
Pour agir plus efficacement contre le spam, la CNIL a
changé ses méthodes d'instruction et renforce sa collaboration
avec l'association Signal spam69.
L'instruction au cas par cas des plaintes ne donnant pas de
résultats satisfaisants, la CNIL est passée à un
traitement collectif fondé sur la centralisation des signalements
auprès de la plateforme Signal spam afin d'avoir une vision plus globale
du phénomène. Ce dispositif devrait permettre à la CNIL de
mieux identifier les principaux organismes à l'origine de ces spam pour
mener des actions de contrôle et des actions répressives
ciblées.
Ces dernières sont engagées à travers une
procédure contentieuse de répression de la prospection
directe.
Section II : La procédure contentieuse en
matière de prospection directe
Paragraphe I : La mise en demeure.
La mise en demeure est un outil pédagogique de mise en
conformité. Elle n'est pas en tant que telle une sanction. La mise en
demeure obéit à une procédure écrite. Il appartient
au responsable de traitement, le cas échéant de communiquer tout
élément justifiant de la mise en conformité. L'article 58
du RGPD permet à l'autorité de contrôle «
d'adopter toutes les mesures correctives» tendant à «
rappeler à l'ordre un responsable
65 Délibération n° 2017-00307/CDP
du 20 octobre 2017 mettant en demeure Expresso Télécoms
Sénégal
66 Décision n°2016-083 du 26septembre 2016
mettant en demeure la société CDISCOUNT.
67 CNIL, Bilan d'activité 2017, 117 pages.
68 Chiffre officiel du nombre de plaintes.
69 « Signal spam est un partenariat
public-privé qui donne la possibilité aux internautes de signaler
tout ce qu'ils considèrent être un spam dans leur messagerie afin
de l'assigner ensuite à l'autorité publique ou au professionnel
qui saura le mieux prendre l'action qui s'impose pour lutter contre le spam
signalé » (Source :
www.signal-spam.fr )
40
Octobre 2018
de traitement ou un sous-traitant lorsque les
opérations de traitement ont entrainé une violation des
dispositions » de ce Règlement (art. 58 parag. 2-b).
En tant qu'injonction de se mettre en conformité dans
un délai fixé par l'organe de contrôle (CNIL ou CDP), elle
est prise par la session plénière de la CDP. Pour ce qui concerne
la CNIL, selon la loi du 29 mars 2011, elle est proposée par les
services du Président de l'autorité de contrôle.
La mise en demeure peut être rendue publique. Le
responsable de traitement peut toutefois bénéficier d'une
prolongation exceptionnelle du délai initial (si la complexité de
l'affaire le justifie). Elle fait très souvent suite à une
plainte ou une mission de contrôle sur site.
Ainsi, deux suites sont envisageables en cas de mise en demeure
:
-soit le responsable de traitement est en conformité
avec la législation, dans ce cas une lettre simple de clôture lui
est adressée ou bien celle comportant des recommandations ;
-soit le responsable de traitement n'est pas en
conformité, et dans ce cas une procédure de sanction est
entreprise par l'autorité de contrôle.
Au Sénégal, la mise en demeure comme toute
décision rendue par la session plénière de la CDP peut
être contestée devant la chambre administrative de la cour
Suprême. C'est ce qui ressort de la lecture de l'article 32 de la loi
n°2008-12 relative à la protection des données à
caractère personnel : « Les sanctions et décisions
prises par la Commission des données personnelles sont susceptibles de
recours devant le Conseil D'Etat 70». En France
la mise en demeure est contestée devant le Conseil d'Etat suivant un
délai de deux (02) mois après notification de la décision
au responsable de traitement.
La mise en demeure mentionne : les faits, les manquements, la
décision et les délais pour s'y conformer et une information sur
les suites si les manquements devaient persister.
Au Sénégal les cas de mise en demeure en
matière de prospection directe sont assez fréquents. A titre
illustratif on peut citer la délibération n°2014-017 du 30
avril 2014 mettant en demeure la SONATEL pour manquement aux dispositions
législatives sur les données personnelles relatives à la
prospection directe71.
Rappelons qu'à l'issue des délais
précisés par l'autorité, si l'annonceur ou le responsable
de traitement ne se met pas en conformité, des sanctions vont lui
être infligées.
Paragraphe II : La procédure de sanction.
70 Depuis la réforme juridictionnelle
intervenue en 2008, le Conseil d'Etat sénégalais a laissé
place à la Cour Suprême créée par la Loi Organique
du 08 août 2008, et elle comporte quatre (04) chambres dont une dite
administrative. C'est celle-ci qui reçoit les recours contre les mises
en gardes prononcées par la CDP depuis août 2008. Cette loi a
ensuite été abrogée et remplacée par la loi n°
2017-09 du 17 janvier 2017 sur la Cour Suprême.
71 Les manquements constatés au regard de la
loi n°2008-12 du 25 janvier 2008 portant protection des données
à caractère personnel étaient : le manquement pour
non-déclaration de la base de données relative à la
prospection directe dans le jeu «Les folies d'Orange», le
manquement relatif à la prospection directe et le manquement relatif
à la diffusion de numéros de téléphone dans la
presse.
41
Octobre 2018
C'est d'abord une phase de mise en action de la sanction (A),
puis le prononcé des peines applicables (B).
A. La mise en action de la sanction de la prospection
directe interdite.
La procédure de sanction fait suite à une mise
en demeure restée infructueuse72. Elle obéit toujours
à la procédure appliquant les principes de la présomption
d'innocence, du contradictoire, des droits de la défense (avocat) et du
procès équitable.
Au Sénégal, par délibération, la
CDP désigne parmi les membres de la Session plénière trois
(03) commissaires qui forment le Comité de sanction dont le mandat est
d'un (01) an non renouvelable. Parmi ces membres, est désigné un
commissaire rapporteur pour chaque dossier à étudier. En France
pour prendre des sanctions, la CNIL siège dans une formation
spécifique appelée « formation restreinte ».
Elle est composée de cinq (05) membres et d'un Président
distinct du Président de la CNIL.
L'audience est publique sauf si l'organisme justifie d'une
demande de huit-clos et par ordre de parole : le rapporteur fait son
réquisitoire, l'organisme mis en cause ou son conseiller formule ses
arguments, éventuellement toute personne dont l'autorité estime
utile à l'audience, enfin c'est le mis en cause qui a toujours la parole
en dernier.
Généralement, le mobile d'une procédure
de sanctions, c'est de prononcer des peines à l'encontre des
annonceurs.
B. Les peines applicables en matière de
prospection directe.
Des sanctions administratives, pécuniaires et
pénales peuvent être prononcées, soit par l'autorité
de contrôle ou les juridictions compétentes, à l'encontre
des auteurs de prospection directe n'ayant pas respecté leurs
obligations.
Au Sénégal, c'est l'article 30 de la loi
n°2008-12 relative à la PDCP qui confère à la CDP les
prérogatives de prononcer des sanctions : « Si le responsable
de traitement ne se conforme pas à la mise en demeure qui lui a
été adressée La Commission des Données Personnelles
peut prononcer à son encontre, après procédure
contradictoire, les sanctions suivantes :
72 Il faut préciser qu'en France la loi pour
une République numérique modifie la procédure de sanction
devant la formation restreinte de la CNIL. En effet cette loi du 7 octobre 2016
opère une refonte de la procédure de sanction devant la formation
restreinte de la CNIL.
Avant cette loi, en cas de manquement à la LIFL par le
responsable de traitement, la CNIL ne pouvait pas prononcer de sanction
financière sans mise en demeure préalable. Une sanction ne
pouvait être prononcée que pour sanctionner le non-respect d'une
mise en demeure. Désormais, cette formation peut effectivement prononcer
une sanction financière directement, sans mise en demeure
préalable lorsque le manquement ne peut pas faire l'objet de mise en
conformité.
Lorsque, néanmoins, le manquement peut faire l'objet
d'une mise en conformité, alors la formation restreinte de la CNIL
devra, si elle veut sanctionner financièrement le responsable de
traitement, constater qu'il n'a pas respecté la mise en demeure
initiale.
42
1)
Octobre 2018
un retrait provisoire de l'autorisation accordée
pour une durée de trois (03) mois à l'expiration de laquelle, le
retrait devient définitif ;
2) une amende pécuniaire d'un (1) million à
cent (100) de Franc CFA ;(...) ».
En ce qui concerne les sanctions pénales, elles font
des articles 431-14 à 431-29 du code pénal
sénégalais issu de la loi n°2016-29 du 08 novembre 2016 sur
la cybercriminalité. En matière de prospection directe, plus
précisément, l'article 431-20 sanctionne d'un (1) an à
sept (07) le non-respect du droit d'opposition de la personne
concerné73.
En France, à l'issue contrôle ou plainte, en cas
de méconnaissance des dispositions du RGPD ou de la loi de la part des
responsables de traitement et des sous-traitants, la formation restreinte de la
CNIL peut prononcer des sanctions à l'égard des responsables de
traitements qui ne respecteraient pas ces textes. Ainsi, lorsque des
manquements à la législation sur la prospection directe sont
portés à la connaissance de la CNIL, en vertu de l'article 83
parag.5 du RGPD, cette autorité a le pouvoir de sanctionner ces
violations par des «amendes administratives pouvant s'élever
jusqu'à 20.000.000 £ ou, dans le cas d'une entreprise,
jusqu'à 4 % du chiffre annuel mondial total de l'exercice
précédent (...)». Jadis, la CNIL a eu a prononcé
des sanctions pécuniaires en matière de prospection directe. En
effet, dans une délibération de juin 201574, elle
avait prononcé une sanction pécuniaire de 15.000£ à
l'encontre de la société Prisma Média.
Par ailleurs, l'article 226-18-1 du Code pénal
français réprime le fait de procéder à un
traitement de données personnelles à des fins de marketing direct
concernant une personne physique malgré l'opposition de cette
dernière. Les peines sont de cinq (05) de réclusion et de
300.000£ d'amende.
Ces sanctions peuvent faire l'objet d'un recours75
devant la Chambre administrative de la Cour Suprême
(Sénégal) ou le Conseil d'Etat (France).
Tout compte fait, au-delà des questions relatives
à la réglementation de la pratique de la prospection directe, des
solutions devaient être apportées aux problèmes
suscités par le traitement des données à caractère
personnel des consommateurs, destinataires de cette publicité en ligne.
Le législateur, sur la base de l'engagement de la responsabilité
des annonceurs de marketing, propose de privilégier dans la
procédure contentieuse, la voie de
73 Article 431-21 du Code pénal
sénégalais de 2016 : « Celui qui procède ou fait
procéder à un traitement de données à
caractère personnel concernant une personne physique malgré
l'opposition de cette personne (...), lorsque ce traitement répond
à des fins de prospection, notamment commerciale, (...), est puni d'un
emprisonnement d'un an à sept ans et d'une amende de 500.000 francs
à 10.000.000 francs ou de l'une de ces peines. »
74 Délibération de la formation
restreinte n°2015-155 du 01 juin 2015 prononçant une sanction
pécuniaire à l'encontre de la société Prisma
Média.
75 Les voies de recours sont : le recours au fond et
le recours en référé de suspension.
43
la mise en conformité. Il s'ensuit forcément, au
cas où le mis en demeure n'aurait pas respecté les injonctions de
l'organe de contrôle, le prononcé de sanctions parfois lourdes.
Octobre 2018
44
Octobre 2018
CONCLUSION
Ainsi qu'il a été vu, dans le domaine du
commerce électronique, les sources de l'encadrement de la prospection
directe sont d'origine légale. Il s'agit de textes européens pour
presque toute la législation française en la matière,
suivis de transposition nationale et repris généralement par le
législateur sénégalais. La pluralité des sources et
le nombre ces textes nous a permis d'évoquer une véritable
explosion du régime juridique du marketing direct. Il est certain que
cette origine légale est de nature à éviter les
hésitations et incertitudes qui peuvent se rencontrer plus
fréquemment dans un droit de source prétorienne. Lorsque le
législateur fixe des règles en matière de prospection
directe, il en précise le champ d'application et le contenu, ce qui
limite les difficultés d'interprétation, dans la plus large
mesure possible.
Dans tous les cas, quoi qu'il en soit, indépendamment
de la source de la règle, c'est la publicité qui se
révèle et demeure le centre de la protection des consommateurs
engagée à travers l'encadrement juridique de la prospection
directe. La sécurité dans la publicité en ligne
apparaît comme la mesure de cet encadrement puisque c'est toujours par
rapport à elle telle que précisément proposée par
le commerçant électronique dans son offre, que sera
apprécié le respect des obligations qu'il assume vis-à-vis
de celui à qui il le propose.
De ce point de vue, les lois de 2008 relatives à la
protection des données personnelles et au commerce électronique,
au Sénégal, et le RGPD, la LCEN, la LIFL... ont rempli leur
objectif qui était d'intégrer la prospection directe dans les
concepts du droit habituel. Une lecture attentive du Règlement
européen de mai 2018 atteste de ce que le renforcement de la protection
des donnés personnelles opèrera par un encadrement de
l'activité des annonceurs, et d'un rehaussement de leurs obligations. En
effet, dans l'octroi de nouveaux droits ou le renforcement des droits
existants, le Règlement encadre largement le traitement des
donnés à caractère personnel et astreint les entreprises
à de nombreuses contraintes.
Enfin il ne faut pas oublier que les législations
régissant la prospection directe dans les transactions
électroniques ont vocation à protéger les personnes
physiques à l'égard du traitement de leurs données, mais
également, elles portent sur les sanctions garantissant
l'intégrité de ces données. Voilà le
deuxième objectif de l'encadrement : prévoir des peines pour la
consolidation du marché numérique.
Le but de cet encadrement est de créer de la confiance
pour les prospects et consommateurs en renforçant leurs droits, sans
pour autant mettre un frein à l'activité et au
développement des entreprises. Autrement dit, l'accru de protection, et
l'encadrement des traitements a pour dessein de renforcer la confiance des
consommateurs dans la publicité en ligne ; cette confiance
accordée va donner un regain à la croissance,
éventuellement aussi à l'emploi et à l'innovation.
Force est de constater que le sujet complexe et
d'actualité de l'encadrement de la prospection directe dans les
transactions électroniques met en balance l'impératif de
protection des données à caractère personnel et des
exigences de la publicité en ligne.
45
Octobre 2018
BIBLIOGRAPHIE
LEGISLATIONS COMMUNAUTAIRE ET
NATIONALES
I) Communautaire
-Directive 95/46 du Parlement européen et du Conseil
du 24 octobre 1995 relative à la protection des personnes physiques
à l'égard du traitement des données à
caractère personnel et à la libre circulation de ces
données.
-Directive 97/7/CE du Parlement européen et du Conseil
du 20 mai 1997 concernant la protection des consommateurs en matière de
contrats à distance.
-Directive 2002/58/CE du Parlement européen et du
Conseil du 12 juillet 2002 concernant le traitement des données à
caractère personnel et la protection de la vie privée dans le
secteur des communications électroniques.
- Proposition de règlement du Parlement
européen et du Conseil concernant la protection de la vie privée
dans le secteur des communications électroniques, et abrogeant la
directive 2202/58/CE (Règlement sur la vie privée et
communication électronique : ePrivacy) (COM/2017/10final) du 10 janvier
2017.
-Règlement UE/2016/679 du Parlement européen et
du Conseil du 27 avril 2016 relatif à la protection des personnes
physiques à l'égard du traitement des données à
caractère personnel et à la libre circulation de ces
données, et abrogeant la directive 95/46/CE (Règlement
Général sur la Protection des Données).
II) Nationales 1) France
-Code de la Consommation
-Code des postes et communications électroniques -Code
Pénal
-Décret n°2005-1309 du 20 octobre 2005
-Décret n°2015-556 du 19 mai 2015 relatif à
la liste d'opposition au démarchage téléphonique
-Loi n° 2004-801 du 06 août 2004 relative à
la protection des personnes physiques à l'égard des traitements
de données à caractère personnel
-Loi Chatel du 03 janvier 2008
-L. 6 janvier 1978 : loi informatique, fichiers et
libertés
-L. 21 juin 2004 : loi pour la confiance de l'économie
numérique ; dite LCEN
-L. 7 octobre 2017 : loi pour une République
numérique.
46
2) Sénégal
-Décret n°2008-718 du 30 juin 2008 relatif au
commerce électronique
-Décret n°2008-721 du 30 juin 2008 portant
application de la loi n°2008-12 du 25 janvier 2008 sur la protection des
données à caractère personnel
-Loi n°83-20 du 28 janvier 1983 relative à la
publicité
-Loi n°2008-08 du 25 janvier 2008 sur les transactions
électroniques
-Loi n°2008-12 du 25 janvier 2008 relative à la
protection des données à caractère personnel
-Loi n°2016-29 du 8 novembre 2016 sur la
cybercriminalité ; modifiant le Code pénal -Loi organique
n°2008-35 du 8 août 2008 sur la Cour Suprême
OUVRAGES ET THESES :
Ouvrages
1) LO (Mouhamadou), LA protection des donnés
à caractère personnel en Afrique/ Règlementation &
régulation, Harmattan, 2017.
2) BRUNET (P.), TIEMTORE (O.), VETTRAINO (M-C), Les
enjeux éthiques d'internet en Afrique de l'ouest. Vers un modèle
éthique d'intégration, Paris, L'Harmattan CORDI, 2002.
3) HASS (G.), Guide juridique de l'e-commerce et de
l'e-marketing, Paris, ENI Collection, coll. Data pro, 2015.
Thèses
1) YAYA (Mouhamadou Sanni), Le droit de l'OHADA face au
commerce électronique, Université de Montréal et
Université de Paris-Sud 11, 2011.
2) MAHI-DISDET (Djamila), L'obligation d'information dans
les contrats du commerce électronique, Université d'Avignon
et des Pays de Vaucluse, 2011.
ARTICLES, ETUDES ET
CHRONIQUES
1) CNIL, « La publicité ciblée en ligne
», 2009
2) CNIL, « Ce qu'il faut savoir sur l'analyse d'impact
», 2018
3) JOUFFRIN (E.), LEMARTELEUR (X.), « Du psautier de
Mayence au zetaoctets-quel environnement pour le big data ? » Banque
et droit, 2016, n°166, pp.12.
4) METALLINOS (N), « Les efforts du règlement
général relatif à la protection des données
personnelles sur les conditions de licéité des traitements
», Dalloz IP/IT 2016, pp.588.
Octobre 2018
47
5)
Octobre 2018
PARROT (Daniela), « La gestion des plaintes et la
procédure de sanction à la CNIL »,
n°2013-0222/CNIL, 2013
6) SCARAMOZZINO (E), « Le profilage encadré pour
favoriser la diversité culturelle », Juris art, 2016,
n°36, pp.6.
RAPPORTS, DELIBERATIONS,
RECOMMANDATIONS
I) Rapports
-CE, rapport annuel 2014 -CDP, rapport annuel 2016 -CDP, rapport
annuel 2017
-CNIL, rapport sur le publipostage et la protection des
données personnelles, 14 octobre 1999
-CNIL, rapport annuel 2017
-CNUCED, rapport 2015 sur l'économie de l'information,
Libérer le potentiel du commerce électronique
II) Délibérations
-Délibération n°2014-017/CDP du 30 avril 2014
mettant en demeure SONATEL -Délibération n°2014-20/CDP du 30
mai 2014 sur les conditions de la prospection directe
-Délibération n°2015-00123/CDP du 31 juillet
2015 portant avertissement à l'encontre de la société
DIGITAL VIRGO
-Délibération n°2017-0030/CDP du 20 octobre
2017 portant avertissement à l'encontre de la société
HELLO FOOD
-Délibération n°2013-378/CNIL du 5
décembre 2013 portant adoption d'une recommandation relative aux cookies
et aux autres traceurs
-Délibération n°2015-155 du 01 juin 2015/CNIL
prononçant sanction pécuniaire à l'encontre de la
société PRISMA MEDIA
-Délibération n°2016-264 du 21 juillet 2016
portant modification d'une norme simplifiée concernant les traitements
automatisés de données à caractère personnel
relatifs à la gestion de clients et de prospects
-Délibération n°2016-083/CNIL du 26 septembre
2016 mettant en demeure la société CDISCOUNT
III) Recommandations
-CNIL, norme simplifiée NS-048
48
Octobre 2018
- CDP, communiqué de presse du mardi 29 mai 2018
SITES INTERNET
www.delsolavocats.fr
www.juris-chasseur.com
www.planet-commerce.com
www.droit-technologie.com
www.lettresdudroit.com
www.cnil.fr
www.foruminternet.org
www.dalloz.fr/actualté
www.dicodunet.com
www.juriscom.net
www.village-justice.com
www.fichier-prospection.fr
www.feral-avocats.com
www.info.rgpd@edenred.com
www.legranddictionnaire.com
www.signal-spam.fr
www.legifrance.gouv.fr
www.cdp.sn
49
www.orisis.sn
Octobre 2018
TABLE DES MATIERES
REMERCIEMENTS 3
RESUME 5
ABREVIATIONS ET SIGLES 6
INTRODUCTION GENERALE 8
PREMIERE PARTIE: LE REGIME JURIDIQUE APPLICABLE A LA
PROSPECTION DIRECTE
DANS LES TRANSACTIONS ELECTRONIQUES 15
Chapitre I : Les principes applicables à la
prospection directe dans les transactions électroniques 15
Section I: Les conditions de la prospection directe
15
Paragraphe I : La consécration de l'opt-in
15
Paragraphe II : L'admission de certaines exceptions
16
Section II : La protection du prospect
17
Paragraphe I : Le principe du consentement de la personne
concernée 17
Paragraphe II : Les droits reconnus au prospect.
19
A. Le droit à l'information du prospect.
19
B. Le droit d'opposition du prospect. 20
C. Le droit à l'accès du prospect.
21
D. Le droit au désabonnement. 21
Chapitre II
: Les exigences légales en matière de prospection directe dans
les transactions électronique 22
Section I : Les obligations tenant à la
collecte des données personnelles. 22
Paragraphe I : Transparence, licéité et
loyauté de la collecte. 23
A. La transparence. 23
B. La licéité et la loyauté.
24
Paragraphe II : Le choix et le respect d'une
finalité et d'une durée légale de la conservation.
24
A. La finalité de la collecte. 24
B. La durée légale de conservation des
données 25
Paragraphe III : Le créneau horaire d'envoi des
SMS 26
Section II : Les obligations de l'annonceur de la
prospection directe 26
Paragraphe I : L'obligation de déclaration de
l'annonceur. 26
Paragraphe II : L'obligation d'identification de
l'annonceur. 28
30
DEUXIEME PARTIE : LA RESPONSABILITE DANS LA PRATIQUE DE
LA PROSPECTION DIRECTE.
Chapitre I : La consécration légale de
quelques cas de prospection directe interdite. 30
Section I : Notion de prospection directe interdite.
30
Paragraphe I : Le principe d'interdiction des messages
non sollicités. 30
Paragraphe II : Le principe de l'interdiction de la
prospection directe non-consentie. 31
Paragraphe III : Le principe d'interdiction de certains
cas de profilage. 32
Section II : Typologies de prospection directe
interdite. 34
Paragraphe I : Le spamming. 34
Paragraphe II : La prospection directe portant sur des
données sensibles 36
Chapitre II : Le contentieux de la prospection directe.
37
Section I : L'organisation du procès de
répression de la prospection directe interdite. 37
Paragraphe I : La saisine des organes de
répression de la prospection directe interdite. 37
A. Présentation sommaire des organes de
répression de la prospection directe interdite. 37
1) La CDP. 37
2) La CNIL. 38
B. Les modalités de saisine des organes de
répression. 38
Paragraphe II : Etude de cas de plaintes et/ou
signalements traités en matière de prospection directe. _ 39
Section II : La procédure contentieuse en
matière de prospection directe 40
Paragraphe I : La mise en demeure. 40
Paragraphe II : La procédure de sanction.
41
A. La mise en action de la sanction de la prospection
directe interdite. 42
B. Les peines applicables en matière de
prospection directe. 42
50
CONCLUSION 45
BIBLIOGRAPHIE 46
TABLE DES MATIERES 50
Octobre 2018
51
| 
