Le nouveau régime de la prospection commerciale électronique : faites l’e-mailing, pas le spam !, par Oriane Cointet, juriste

Les nouvelles dispositions sont contenues dans le Code des Postes et des communications électroniques (L. 34-5) et dans le Code de la consommation (L. 121-20-5). Ces mesures étaient très attendues essentiellement sur le volet du spamming.

Un équilibre a été recherché entre la protection des personnes contre les messages non sollicités et la liberté de développement de l’activité économique sur internet. Pourtant les professionnels du secteur dénoncent une destruction de la valeur de leur fonds de commerce et une "restriction de la liberté du commerce injustifiée au regard de l’objectif de protection des données des personnes visées" (communiqué du Groupement des éditeurs de services en ligne). Nous verrons ce qu’il en est vraiment et en quoi les nouvelles dispositions constituent plus une réglementation des activités de marketing direct qu’une véritable loi anti-spam.

Le principe : l’interdiction de prospecter sans le consentement préalable du prospect

Il est désormais interdit d’utiliser les coordonnées des personnes physiques n’ayant pas donné préalablement leur consentement à recevoir des prospections commerciales au moyen de courriers électroniques. La transposition de l’art 13 de la directive 2002/58 du 12 juillet 2002 "vie privée et communications électroniques" complète celle de la directive 97/66 "données personnelles et vie privée" effectuée par l’ordonnance du 25 juillet 2001. L’ordonnance avait soumis à l’opt-in, la prospection par automates d’appel ou par télécopie. La LCEN complète ce dispositif en soumettant également la prospection par courrier électronique à l’opt-in. Est désormais interdit tout envoi de nature commerciale par courrier électronique (tout premier envoi et non uniquement les envois répétés) à une personne physique dont le consentement n’aura pas préalablement été recueilli. Il s’agit d’une règle impérative à laquelle une dérogation est prévue dans le cas de la poursuite d’une relation commerciale.

Une dérogation strictement encadrée

  Les coordonnées de la personne doivent avoir été recueillies directement auprès d’elle à l’occasion de la vente d’un bien ou de la prestation d’un service et conformément aux dispositions de la loi informatique et liberté. Ainsi, les personnes morales distinctes de celles qui ont recueilli les coordonnées (sociétés mères, filiales) ne peuvent pas les utiliser. Les échanges ou locations de fichiers clients ne sont plus possibles.

  Le destinataire du courrier électronique doit pouvoir s’opposer à l’utilisation ultérieure à des fins commerciales de ses coordonnées à la fois au moment où celles-ci sont recueillies, mais également à chaque fois qu’un courrier commercial lui sera envoyé (dans l’hypothèse où il n’a pas refusé d’emblée l’utilisation à des fins de prospection directe de ses coordonnées).

  La sollicitation commerciale ne peut porter que sur des produits ou services analogues à ceux déjà fournis et non sur l’ensemble des produits ou services commercialisés. Le terme "analogue" est sujet à interprétation. La frontière entre des produits ou services analogues et d’autres qui ne le seraient pas peut-être difficile à cerner. L’imprécision même du terme donnera de la souplesse au système. Il revient à la jurisprudence de dégager les critères de l’analogie de biens et services. Sans attendre la jurisprudence, la CNIL a fait savoir qu’elle va établir, en concertation avec les professionnels concernés, une ligne directrice sur l’interprétation du terme selon les secteurs d’activité. La fédération des entreprises de vente à distance (FEVAD) dénonce une " pénalisation des sites généralistes par rapports aux sites spécialisés " ces derniers ayant, en effet, plus de facilité pour invoquer l’analogie de produits ou services.

Il est au contraire apparu nécessaire, au fur et à mesure des débats parlementaires, de donner une définition dans la loi des mots clés des nouvelles dispositions à défaut de quoi les principes posés risquaient d’être rapidement vidés de leur sens. Trois termes ont été définis par le législateur : le consentement, la prospection directe et la notion de courrier électronique.

Le consentement : pivot central du nouveau dispositif

La définition du consentement retenue par la loi est spécifique aux communications à des fins de prospection directe. Il est défini comme " toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe ". La difficulté pour les acteurs du domaine est de savoir quelles méthodes employer afin de recueillir le consentement conformément à la loi puisque ni celle-ci ni la directive ne les énumère.

Une question se pose rapidement : le consentement peut-il être sollicité par le biais d’un courrier électronique ? Il semble que dans la mesure où la loi française a prévu une période transitoire, autorisant pendant une période déterminée et à des conditions strictes la sollicitation du consentement par courrier électronique, il ne soit pas conforme à la loi de solliciter le consentement des personnes par courrier électronique en dehors de cette période et de son strict champ d’application. Ainsi, non seulement les envois répétés sont illégaux mais également le premier envoi non sollicité, même s’il a pour seul objet le recueil du consentement à être prospecté à l’avenir.

La prospection humaine par téléphone ou la prospection postale peuvent être envisagées pour recueillir le consentement mais en respectant les dispositions relatives au traitement de données à caractère personnel et après avoir vérifié que les personnes n’ont pas exprimé leur opposition préalable conformément à la faculté offerte par l’article R. 10 alinéa 4 du Code des postes et des communications électroniques).

Le consentement peut toujours être recueilli auprès d’une personne remplissant un formulaire en ligne enregistrant sa volonté de recevoir des informations commerciales (à ce propos, la CNIL recommande d’ores et déjà l’emploi de cases à cocher et non pré-cochées considérées comme contraires au principe de loyauté dans la collecte des données).

Devant être libre et spécifique, le consentement ne doit pas conditionner l’accès à des informations, à des services, la participation à un jeu ou encore l’obtention de bons de réduction. Le consentement ne doit pas non plus conditionner une vente en étant inclus, par exemple, dans des conditions générales de vente ou dans un contrat d’adhésion. Le syndicat national de la communication directe a annoncé qu’il prépare un code de déontologie commun aux différentes organisations professionnelles du secteur en conformité avec les nouvelles exigences de la loi. D’autre part, un décret doit venir préciser la disposition dans un sens que les acteurs du domaine espèrent plus favorable à leur activité.

La prospection directe : une définition inédite

Une telle définition est nouvelle en droit interne. La directive 2002/58 ne la définit pas non plus. La question s’est posée lors des débats parlementaires de savoir s’il fallait soumettre la prospection directe non commerciale (démarchage politique, humanitaire, associatif, religieux, ...) au principe du consentement préalable. En d’autres termes, la nouvelle loi devait-elle lutter contre le spamming dans sa globalité (le phénomène du spamming ne s’inscrivant pas exclusivement dans une perspective commerciale) ou seulement traiter de la prospection commerciale ? Finalement la crainte d’une atteinte à la liberté d’expression et l’objet purement commercial de la nouvelle loi et de la directive ont fait renoncer à soumettre la sollicitation directe non commerciale à la nouvelle loi.

Cependant, l’idée d’encadrer l’usage de ces autres messages non sollicités n’est pas abandonnée mais pourrait s’accomplir dans le cadre d’une autre loi. Par ailleurs, le droit d’opposition et le régime du traitement des données à caractère personnel s’appliquent d’ores et déjà à ce type de message. La définition finalement retenue est la suivante : "tout message destiné à promouvoir, directement ou indirectement des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services". Il semblerait que cette définition permette d’inclure des formes de marketing élaborées telles que, par exemple, la communication autour de la couverture d’événements par les marques, les lettres d’information mais peut-être pas les messages participant de la relation client tels les voeux de bonne année.

Un courrier électronique ne constitue pas systématiquement une correspondance privée

La CNIL recommandait une définition de la notion de courrier électronique. La définition reprend les termes de l’art 2 de la directive 2002/58 et est insérée, non dans le chapitre relatif à la publicité par voie électronique, mais à l’article 1 de la loi au sein des définitions générales relatives à la communication publique en ligne. Elle souligne la particularité du courrier électronique qui est " envoyé par un réseau public de communication [...]et stocké dans le réseau ou dans l’équipement terminal du destinataire jusqu’à ce que ce dernier le récupère", et sa diversité : "tout message sous forme de texte, de voix, de son ou d’image". Il semble donc que la définition permette de prendre en compte non seulement les courriels, mais également les messages à destination des terminaux mobiles que sont les SMS et les MMS, les messages laissés sur répondeur, le chat, et d’éventuelles technologies à venir.

Cette définition a fait l’objet d’une saisine du Conseil constitutionnel, non sur son volet technologique, mais pour son absence de référence à la notion de correspondance privée pourtant prévue par le projet de loi initial mais supprimée au cours de l’examen parlementaire. Cette absence de référence a été considérée comme une absence de protection du courrier électronique par le régime de la correspondance privée et notamment par la loi du 10 juillet 1991 qui garantit le secret des correspondances émises par la voie des télécommunications. Le Gouvernement, dans ses observations en réponse à la saisine, s’est défendu de vouloir " exclure par principe que des messages relevant de la notion de courrier électronique puissent présenter le caractère de correspondance privée ", mais a rappelé que l’objectif ne revenait "pas non plus à assimiler systématiquement tout courrier électronique à de la correspondance privée".

En définitive, un courrier électronique constitue soit une correspondance privée soit une communication publique selon ses caractéristiques et conformément aux critères dégagés par la jurisprudence. Selon la décision du Conseil constitutionnel, "les messages portés par courrier électronique sont présumés relever de la correspondance privée, à moins que leurs caractéristiques soient telles que cette assimilation soit impossible". Mais quelles sont ces fameuses caractéristiques qui retirent à un courrier électronique son caractère de correspondance privée ? A l’appui de ses arguments, le gouvernement a invoqué la jurisprudence mais également une circulaire du 17 février 1988 prise dans le cadre de l’art 43 de la loi du 30 septembre 1986 selon laquelle "il y a correspondance privée lorsque le message est exclusivement destiné à une ou plusieurs personnes, physiques ou morales, déterminée et individualisée".

Ainsi, " la prospection directe par voie électronique ou la diffusion de journaux par courrier électronique entrent dans le champ de la définition du courrier électronique [...] mais ne présentent pas pour autant le caractère d’une correspondance privée". La définition retenue par le législateur et approuvée par le Conseil constitutionnel rejoint ainsi celle purement technique de la directive qui ne se réfère pas non plus à la notion de correspondance privée. Il est vrai qu’une qualification légale de correspondance privée de l’ensemble du courrier électronique serait fausse et pourrait aller jusqu’à faire tomber sous le coup de l’article L 226-15 du Code pénal les intermédiaires techniques qui font usage de filtres anti-spam pour interception de correspondance.

Lors des débats, un des arguments avancés afin de ne pas définir dans la loi le courrier électronique par référence à la correspondance privée à été la protection des droits d’auteur dans le domaine musical notamment. Cet argument est curieux puisque l’échange de fichiers musicaux se fait en peer to peer et non par mail mais peut-être annonce-t-il de futurs mesures d’interception ou de pistage des échanges entre internautes ? Pourtant, une absence totale de référence à la correspondance privée dans la loi inquiète surtout à l’heure où un projet tel que la messagerie Gmail de Google est à l’étude, son modèle économique étant fondé sur l’analyse du contenu des courriels afin d’y glisser des messages publicitaires ciblés.

L’importance de l’information

Trois obligations fortes s’imposent au prospecteur dans tous les cas :

  L’obligation de fournir des coordonnées valables afin de permettre au destinataire de demander la fin des sollicitations. Anticipant la transposition de la directive de nombreuses sociétés prospectant par courriel prévoyaient d’ores et déjà des modalités de cessation des envois mais qui restaient quelquefois curieusement inopérantes. D’autre part la loi prévoit que cette demande ne doit occasionner aucun frais autres que ceux liés à la transmission. Si dans le cas des prospections par courriel les frais de transmission sont relativement faibles le développement de la prospection par SMS ou MMS risque d’occasionner des frais plus élevés. Pour l’heure la prospection par ces moyens est limitée en raison justement du coût pour le prospecteur mais est appelée à se développer surtout avec l’avènement de l’annuaire universel et du service universel de renseignement (les coordonnés téléphoniques des abonnés au téléphone mobile qui n’auront pas exprimé leur refus d’y figurer seront disponibles). De plus, il n’existe pas encore en matière de SMS ou MMS d’équivalent des filtres anti-spam.

  L’obligation de fournir l’identité de la personne physique ou morale pour le compte de laquelle le message est émis doit éviter qu’un donneur d’ordre ne dissimule son identité derrière celle d’un spammeur agissant pour son compte.

  L’obligation de mentionner un objet en rapport avec le produit ou service proposé..

La protection des seules personnes physiques

La directive pose le principe d’une interdiction de la prospection directe par courrier électronique des personnes physiques. Quant aux personnes morales, elles doivent seulement être " suffisamment protégées". Lors de l’examen parlementaire, une distinction avait été introduite entre les personnes morales inscrites au registre du commerce et des sociétés et celles non inscrites qui auraient été seules protégées. Cette distinction, jugée difficilement applicable, a été supprimée. Ainsi le consentement préalable des sociétés, collectivités locales, associations n’a pas à être recueilli. Toutefois, les adresses électroniques professionnelles (ex prénomnom@sociétéX.fr) permettant d’identifier des personnes physiques sont soumises à l’obligation de recueillir le consentement préalable. Seules les adresses du type contact@sociétéX.fr sont utilisables sans consentement préalable. Cette mesure est très vivement critiquée par les acteurs de la communication directe qui la trouvent extrêmement préjudiciable dans le cadre des activités de B to B. Selon le président de la commission e-Direct du syndicat national de la communication directe, " dans le B to B, il est normal d’envoyer un e-mail non sollicité [...] interdire ce type de communication c’est tuer le commerce".

La reconnaissance du rôle précurseur de la CNIL

La CNIL se voit reconnaître un rôle central puisqu’elle veille au respect des dispositions de la LCEN relatives à la prospection électronique. A ce titre, elle reçoit par tous moyens (adresse e-mail notamment puisque l’opération boîte à spam va devenir permanente) les plaintes des personnes prospectées illégalement. Elle peut prononcer des sanctions pécuniaires puisque la réforme de la loi de 1978 a renforcé ses pouvoirs. Ces mesures constituent une reconnaissance du rôle précurseur de la CNIL en matière de lutte contre le spam (rapport " publipostage électronique " en 1999, opération boîte à spam en 2002).

Les prestataires techniques de l’internet toujours pas admis à se constituer partie civile

Un amendement avait été, un temps, adopté prévoyant de permettre aux prestataires techniques de l’internet (opérateurs de télécommunications, FAI, services de messagerie électronique), de se constituer partie civile quand leurs équipements auraient été utilisés par des prospecteurs abusifs. En effet, ils sont les premières victimes du spamming et a fortiori du mail bombing puisque le poids des messages encombrant les serveurs ou la bande passante ralentissent ou bloquent l’accès. Les utilisateurs se tournent naturellement vers eux pour la mise en place de solutions techniques de filtrage des spams, solutions qui sont devenues des arguments concurrentiels mais qui représentent un coût important.

Finalement cette faculté n’a pas été conservée, les prestataires victimes doivent continuer à dénoncer les faits au procureur de la République ou se lancer dans une difficile action sur le terrain de la loi Godfrain (notamment l’article L323-2 du Code pénal : délit d’entrave au fonctionnement d’un système de traitement automatisé de données). Conscient de leurs difficultés, le gouvernement a fait savoir qu’il allait attirer particulièrement l’attention du Parquet sur l’importance de ces questions.

Une période transitoire pour " légaliser " les anciens fichiers

Tirant les leçons des carences de la loi belge (et de la directive), la loi française a prévu une période transitoire pour permettre aux acteurs de " légaliser " leurs fichiers. Elle prendra fin le 22 décembre 2004, soit six mois après la publication de la loi au Journal Officiel. Pendant cette période, les personnes qui détiennent des fichiers peuvent utiliser les coordonnées qu’ils contiennent afin de recueillir le consentement préalable des personnes à condition que lesdites coordonnées aient été recueillies conformément aux dispositions de la loi informatique et liberté. La mesure a pour but de permettre aux professionnels du secteur de conserver la valeur des bases de données qu’ils ont constituées légalement. L’absence de réponse ne vaudra pas consentement, ce dernier n’étant jamais présumé.

Mais quel est le type de fichier concerné par la période transitoire ? La CNIL s’est déjà prononcée sur le sujet. Selon elle, le "régime transitoire ne vise que les cas dans lesquels le consentement de la personne est requis et non pas ceux entrant dans le régime dérogatoire". Donc, seuls les fichiers de prospects (légalement constitués) devraient faire l’objet d’une régularisation qui passe par le recueil du consentement. Les fichiers prospects déjà collectés sur le modèle de l’opt-in ne devraient pas avoir besoin d’être régularisés. Pour cela le consentement recueilli doit correspondre à une "manifestation de volonté libre, spécifique et informée" au sens des nouvelles dispositions, ce qui ne sera peut-être pas souvent le cas. Quant à ceux qui détiennent des fichiers clients il peut sembler plus prudent de recueillir le consentement des clients si la sollicitation commerciale doit porter sur une gamme de produits et services très large qui ne peut pas être considérée comme analogue à celle déjà fournie.

Une autre question se pose. Pendant la période transitoire les personnes peuvent-elles être sollicitées un nombre indéfini de fois ou une seule fois ? Le Sénat en première lecture avait voulu limiter l’utilisation des coordonnées contenues dans les fichiers à légaliser à une seule utilisation qui épuiserait leur droit de solliciter de nouveau le consentement. Cette mesure a semblé constituer un frein au développement du commerce électronique, c’est pourquoi elle a été supprimée.

Des amendes pour chaque message non sollicité

Selon l’art L. 34-5, les infractions aux nouvelles dispositions sont recherchées et constatées dans les conditions des articles L. 450-1 et s du Code de commerce. Mais la sanction même de la prospection directe des personnes physiques n’ayant pas exprimé leur consentement préalable se trouve à l’article R 10-1 du Code des Postes et des communications électroniques qui prévoit une amende de 750 euros par message envoyé. L’amende s’applique aussi bien à la prospection par courrier électronique, qu’à la prospection par télécopie ou automate d’appel.

Conclusion

La loi est censée fournir un fondement de poursuite plus simple que celui de la collecte frauduleuse de données à caractère personnel ou que celui qui est fondé sur la loi Godfrain.
Les acteurs du domaine sont très insatisfaits de la loi alors qu’il pourrait paraître plus sage de ne contacter que des personnes physiques qui ont pré-manifesté leur intérêt en ayant déjà consommé un produit ou un service ou en ayant manifesté leur volonté d’être sollicitées. Dans ces conditions, un meilleur taux de retour et surtout moins d’exaspération peuvent-être espérés. D’ailleurs, les destinataires n’ont pas attendu les dispositions légales pour lutter contre le phénomène du spamming (filtres anti-spam des messageries, multiplication des adresses mail) qui nuit lui-même à la prospection commerciale régulière. La confusion fait de tout mail marketing un spam qui risque ainsi dÎêtre filtré ou sinon mis à la corbeille par le prospect.

Des décrets d’application étant en cours de rédaction et des " aménagements " sont encore possibles en faveur ou en défaveur des professionnels du secteur. Le gouvernement anime des groupes de travail avec les professionnels concernés qui peuvent encore exprimer leurs difficultés. Quoi qu’il en soit, les professionnels vont devoir passer d’un travail de collecte des coordonnées à un travail de collecte régulière des consentements. Dorénavant, la vigilance doit-être de mise pour l’achat de fichiers de prospects, ceux qui ne satisfont pas aux nouvelles exigences de la loi sont devenus inutilisables ou doivent être très rapidement légalisés.

Mais la difficulté principale vient du choix opéré par la récente loi américaine sur le spam (CAN-SPAM ACT du 26 décembre 2003) qui repose sur le principe de l’opt out (droit d’opposition a posteriori de l’internaute lors d’un envoi). La divergence de régime des deux côtés de l’Atlantique est évidemment problématique puisque la majorité des spams viennent des USA (et d’Asie). Consciente de cette difficulté, l’OCDE a mis en place un groupe de réflexion qui a pour objectif de favoriser la coordination des différentes politiques anti-spam à la fois dans la zone OCDE et en liaison avec la Coopération économique Asie Pacifique. Une telle initiative à l’échelle mondiale est la bienvenue.