COMMISSION DES COMMUNAUTES EUROPEENNES

Transcription

1 COMMISSION DES COMMUNAUTES EUROPEENNES Communications Commerciales Non-Sollicitées et Protection des Données Résumé des conclusions de l étude (*) - Janvier 2001 Serge Gauthronet & Étienne Drouard Depuis plus de cinq ans, le Parlement européen et le Conseil ont adopté des directives majeures assurant un haut niveau de protection de la vie privée des personnes à l égard des traitements informatiques des données personnelles. Il s agit de la directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et de la directive 97/66/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications. Alors que les pays membres de l Union achèvent de transposer les dispositions de ces directives dans leur droit national, les sociétés modernes sont confrontées à la montée d un enjeu de plus en plus préoccupant lié au développement de l Internet et du commerce électronique : collecte sauvage de données personnelles, constitution de vastes bases de profils, commerce incontrôlé de l information, déferlement publicitaire, multiplication de pratiques déloyales, atteintes sérieuses à la vie privée des personnes. La Commission se penche sur ces problèmes depuis plusieurs années et s est intéressée notamment à la question des communications commerciales non sollicitées plus communément appelées le spamming. Elle a confié à Serge Gauthronet et à Etienne Drouard, consultants du cabinet ARETE, le soin d apporter un éclairage complet sur ce sujet. L étude se présente en deux volets : un volet industriel et un volet juridique. L étude du volet industriel consiste à analyser la façon dont se présentent l activité, son évolution au cours des dernières années, l offre technologique et les pratiques ; afin d apporter des éléments significatifs cette partie de l étude a été menée aux Etats- Unis ; cette approche a ainsi permis de révéler comment la société américaine, sous la pression des acteurs de l Internet, se dotait peu à peu d instruments de résistance à l invasion publicitaire dans les boîtes-aux-lettres électroniques des internautes ; dans le même temps, l observation de la situation américaine met en lumière la montée en puissance de nouvelles stratégies de marketing fondées sur le consensus et la permission et développées sur le marché mondial par quelques entreprises leaders ; ces stratégies nettement plus «privacy friendly» déplacent la problématique de la protection de la vie privée sans y apporter une réponse totalement satisfaisante. Le volet juridique de l étude établit, quant à lui, un panorama des ) Internal Market DG Contract n ETD/99/B5-3000/E/96

2 cadres légal, réglementaire, administratif, jurisprudentiel, doctrinal et déontologique dans lesquels la prospection électronique non sollicitée se développe ou est amenée à se développer dans les États membres de l Union européenne en l état du droit communautaire existant. En second lieu, elle met en évidence les similitudes ou divergences existant entre les diverses approches nationales, d origine publique ou privée, du phénomène. Enfin, ces analyses permettent de dégager des réflexions et préconisations sur l encadrement juridique qui semble le mieux à même de favoriser la sécurité juridique des commerçants électroniques européens et de protéger les droits reconnus en Europe aux internautes. I) Le volet industriel du marketing et du spamming : situation générale, pratiques et offre de services Les observations menées dans le cadre de l étude peuvent être synthétisées en six points principaux, permettant ainsi de tracer la cadre économique du marketing, son histoire et les pratiques actuelles des opérateurs, son évolution technologique et les formes nouvelles fondées sur le «permission-based marketing». I.1) Le marketing interactif trouve avec Internet un terrain d épanouissement très adapté que révèlent bien les déplacements d investissements des annonceurs aux Etats-Unis. Déjà dans ce pays les dépenses de marketing direct représentent 50% du total des budgets consacrés par les annonceurs à la communication commerciale. Trois raisons principales expliquent la montée de l Internet : les coûts de campagne sur Internet sont incomparablement plus faibles par rapport aux médias traditionnels : ainsi le prix moyen d une campagne d marketing aux Etats Unis revient à 10 cents environ l envoi unitaire, alors que le coût d un mailing par les services postaux varie entre 50 cents et $ 1 l unité expédiée. les taux de concrétisation de l marketing vont de 5 à 15% comparés à ceux des mailings postaux traditionnels qui ne sont que de 0,5% à 2% il existe un écart d efficacité significatif entre le marketing qui remporte des taux de click-through (1) de l ordre de 18% alors que celui généré par les bannières publicitaires ne cesse de baisser depuis quelques temps et plafonne selon Forrester Research à 0,65 % ; il serait même passé, selon d autres sources (Nielsen Netratings Mars 2000) de 2,5%, dans le milieu des années 90, à 0,36% en mars Il est donc fortement plausible que l on assiste au cours des prochaines années à des transferts d investissements de plus en plus importants vers le marketing direct sur Internet et plus particulièrement vers le marketing. I.2) Le spamming a été la maladie infantile du marketing. On peut affirmer que le spamming, tel qu on a pu le connaître dans le milieu des années 90 et 1) C est à dire l action d un utilisateur qui clique sur un hyper-lien et accède ainsi directement au site Web de l annonceur et à son offre commerciale ; le passage à l acte d achat est un click-order. 2

3 pour l essentiel aux Etats-Unis, est actuellement en voie de récession. Il suffit de consulter les différentes listes noires de spammers accessibles en ligne pour constater qu il s agit d un phénomène qui a connu un âge d or entre les années 1995 et 1998 et que les inscriptions dans ces listes noires ont tendance à régresser depuis deux ans environ. Quatre facteurs expliquent cette évolution récente : 1 er facteur : l action des ISPs qui ont acquis une bonne maîtrise des flux sur les serveurs de mails et de news et se sont dotés de moyens de réaction rapides : système MAPS-RBL pour l Internet (The Mail Abuse Prevention System et la Realtime Blackhole List) (2) et l UDP pour le monde Usenet (Usenet Death Penalty). 2 ème facteur : les dispositions réglementaires américaines (3), certes imparfaites, mais qui ont pour caractéristique de condamner les spammeurs à des amendes importantes ; le tarif moyen est de $ 10 par bulk-mail avec un maximum de $ par jour ; s agissant de petits opérateurs, disposant de ressources financières limitées, on peut estimer qu il s agit là d un moyen relativement dissuasif, voire dans certains cas radical. 3 ème facteur : l action des organisations et syndicats professionnels, notamment celle de l AIM, filiale indépendante de la très puissante DMA, qui, sur la base d études très pragmatiques, affirme une opposition résolue et sans équivoque à l encontre du spamming ; les travaux conduits par cette organisation font très nettement ressortir le différentiel d efficacité entre l UCE et les opérations de marketing qui s appuient sur la préexistence d une relation commerciale ; l AIM vient d adopter cette année un ensemble de directives très claires condamnant les pratiques bien connues des spammeurs. La DMA, moins avancée dans 2) Les fournisseurs d accès, dans leur grande majorité, traquent aujourd hui sans pitié les spammeurs ; parmi leurs différentes modalités d action, ils se sont organisés à travers un réseau d administrateurs volontaires dénommé The Mail Abuse Prevention System (MAPS Redwood City, Calif.) qui est à l origine de la liste noire Realtime Blackhole List (RBL). Cette liste est un outil de boycott de masse ; elle permet aux administrateurs système des ISPs qui contrôlent des milliers de routeurs et de serveurs de mail de s informer mutuellement et régulièrement des «attaques», c est à dire des opérations de spamming, dont ils font l objet et de mettre à l index les adresses IP et noms de domaine connus pour être à l origine de courriers commerciaux non sollicités. Ainsi tout abonnement d un spammeur qui a été résilié est reporté dans la liste de sorte que d autres ISPs, en l occurrence les ISPs dans le monde abonnés à la RBL, soit environ 1/3 du marché, qui pourraient être approchés par le spammeur sont immédiatement au courant de la vraie nature d activité du client qu ils ont en face d eux et peuvent alors refuser de l héberger. A côté de cette fonction assez classique de reporting, le système MAPS est aussi un filtre qui permet à l aide d algorithmes de bloquer automatiquement l envoi de messages en provenance d un spammeur identifié ainsi que de l ISP qui l héberge et qui est donc considéré comme ne faisant pas le travail d hygiène du réseau auquel il est présumé devoir se livrer au nom de la sauvegarde des intérêts collectifs de l Internet. 3) Devançant l administration fédérale, une bonne vingtaine d états américains ont adopté l année dernière ou sont en train de le faire, des textes de loi répressifs à l égard du spamming ; certains de ces textes ont déjà été utilisés dans le cadre de procédures ouvertes contre des spammeurs ; à noter que plusieurs de ces textes couvrent simultanément la communication commerciale par fax. Les principales dispositions de ces textes consistent à imposer la présence d un dispositif d opt-out ainsi que la prise en compte effective du retrait d un internaute qui en manifeste la demande ; ils interdisent bien entendu, ce qui est intrinsèque au spam, à savoir la fausse adresse et le maquillage des en-têtes de message ou de leur objet ; quelques-uns imposent la présence d un label dans l en-tête indiquant qu on est en présence d un message publicitaire (ADV) ou d une annonce concernant un site réservé aux adultes (ADLT) ; un tiers de ces lois définit le spamming comme l envoi de messages à des utilisateurs d Internet sans qu il y ait eu une demande expresse préalable de leur part. 3

4 l analyse, propose le service d une stop-list (e-mps - Electronic Mail Preference Service) (4). 4 ème facteur : la contre-culture du e-marketing qui s appuie de plus en plus sur les thèses du «permission marketing» en réaction à la publicité de masse qui sature et sème la confusion dans l esprit du public. Le «permission marketing» consiste à communiquer avec les consommateurs sur la base du volontariat en construisant peu à peu une relation d intérêt puis de confiance : plus la confiance grandit, plus le consommateur, stimulé per des promesses finement adaptées et bien entendu tenues (incentive marketing), est motivé à donner de plus en plus de permission, permission de collecter plus de données sur son style de vie, ses passe-temps, ses centres d intérêts ; permission pour être sollicité sur de nouvelles catégories de produits ou de services, permission pour recevoir des points cadeaux ou des miles, un échantillon, un abonnement temporaire, etc. C est ainsi qu au fur et à mesure que se construisent ces échanges, l individu anonyme devient contact, prospect puis un jour client et enfin client fidèle. La création de cette relation nécessite du temps et de la fréquence et si possible dans un schéma de coûts acceptable ; quel média mieux que l Internet peut offrir cette interactivité et cette progressivité? Quel contexte de permission plus favorable peut on trouver que celui qui repose sur l inscription volontaire dans des listes d opt-in? Les frais d acheminement sont extrêmement réduits, les résultats de tests de campagne sont quasi instantanés, les taux de réponse sont quinze fois supérieurs, la relation avec les prospects peut être continue sans pour autant grever les budgets de communication des annonceurs, ni celui du service relation consommateurs, à condition de savoir l industrialiser suffisamment, l impression est gratuite. Toute cette thèse est formidablement bien éclairée par Seth Godin, vice-président de Yahoo, et les professionnels du marketing ou du commerce en ligne sont de plus en plus conquis par la révélation du permission marketing : ils découvrent l efficacité du nouveau concept de campagnes ciblées sur des populations volontaires et consentantes, on ne parle plus aujourd hui aux États-Unis que de optin marketing. II.3) Le spamming persiste encore malheureusement et se manifeste à travers l existence d une offre de produits (le «spamware») et services qui émane la plupart du temps de petites entreprises. On distingue deux catégories de spamware, des outils de «pull», c est à dire d aspiration d adresses et des outils de «push», autrement dit des outils d envoi massif de messages. Les logiciels de harvesting sont 4) Cette liste fonctionne comme un service gratuit permettant à n importe quel utilisateur d enregistrer son adresse dans cette stop-liste en indiquant les catégories de messages pour lesquelles on souhaite exercer l opt-out (business-to-consumer, business-to-business, ou les deux). De leur côté les opérateurs de marketing direct, moyennant $100 pour les non adhérents à la DMA, peuvent faire expurger leur liste d adresses auprès du système e-mps ; cela s opère en ligne et ne nécessite que quelques heures seulement. La mise en place de cette liste est sévèrement attaquée par la communauté américaine des militants anti-spam, notamment par les représentants de MAPS, Junkbusters Corp. et de CAUCE ; certains adhérents de la DMA ne sont guère plus solidaires des positions de leur organisation professionnelle. Plusieurs critiques sont adressés à l égard de ce dispositif : on peut regretter en effet que la DMA n ait pas souhaité rendre le système e-mps accessible aux ISPs qui pourraient souhaiter exercer un opt-out global pour l ensemble de leur nom de domaine et de leurs abonnés. La DMA a adopté cette attitude en défendant l idée que le système fonctionne sur la base de démarches d opt-out individuelles. 4

5 tout d abord d une relative simplicité d utilisation. Ils fonctionnent sur le principe d une navigation automatisée sur des sites Web ainsi que sur les espaces publics de Usenet en utilisant, soit une liste d URLs spécifiées à l avance, soit des mots-clés soumis à des moteurs de recherche qui vont permettre de constituer une liste d URLs pertinentes. Le logiciel opère ensuite une collecte systématique de toutes les adresses e- mail trouvées sur les pages de ces sites ou dans les forums. Ces logiciels se targuent tous d être capables de déjouer les spam-traps. Les outils de push quant à eux sont des moteurs qui permettent de réaliser les envois de masse sans passer par un serveur de mail spécifique ou propre à un ISP. Les produits que l on trouve couramment sur le marché permettent à l ordinateur sur lequel ils sont installés de se comporter comme un véritable serveur de mail, sans courir le risque en principe de se voir reprocher de saturer la bande passante de l ISP chez qui le spammeur est abonné. Les moteurs de sont plus ou moins puissants pour casser les filtres antispam des serveurs de mail et entretenir une parfaite falsification des en-têtes de message. Il est assez paradoxal que l on puisse trouver ouvertement sur le marché de tels produits, commercialisés par des distributeurs apparemment officiels, sachant qu une partie de leurs fonctionnalités correspond à des modalités de détournement de trafic sur Internet désormais interdites dans un nombre croissant d états américains. L offre de services se présente schématiquement en deux grandes catégories de prestations : l hébergement de campagne, c est ce que l on pourrait appeler le hostspamming et le courtage de fichiers d adresses . Les hébergeurs offrent une prestation de service complète pour l organisation de campagnes de spamming ; plusieurs petites affaires en font ouvertement profession sur le net ; leurs tarifs varient de $ 5 le 1000 pour un mailing et $ 20 le 1000 si le client veut en plus disposer des adresses. Certains se font la spécialité d offrir un service «à l épreuve des balles», c est à dire capable d échapper en principe aux actions répressives des ISPs. Les brokers d adresses quant à eux sont assez nombreux ; plusieurs sociétés proposent des offres de Membership comprenant trois formules d abonnement à des listes d adresses. 1 ère formule : adresses par semaine pour $ 19,95 par mois ; 2 ème formule : adresses par semaine pour $ 29,95 par mois, 3 ème formule : d adresses par semaine pour $ 39,95 par mois. Il existe d autre part des offres d achat en ligne d adresses immédiatement téléchargeables : de $ 19,95 pour par exemple, à $ 49,95 pour d adresses Internet et pour les adresses AOL de $ 19,95 pour adresses à $99,95 pour Les multiples propositions de listes d adresses amènent immanquablement à se poser la question de la qualité des adresses elles-mêmes, de leur validité, sans parler du degré de permission réel avec lequel elles ont été recueillies. Les listes ciblées sont présentées la plupart du temps de manière assez vague ; les critères de sélection les plus courants sont le pays, l état, la ville de résidence, le sexe, les centres d intérêts, la profession et le domaine d activité. Les centres d intérêts se décomposent en une cinquantaine de segments courants qui ne sont pas sans rappeler la structure des grands domaines sur Usenet. Quant aux spammeurs enfin qui persistent dans une voie dangereuse et désavouée par toute la communauté, leur pratique reste celle d amateurs ou d opportunistes qui tentent sur le Web de commercialiser leur mauvaise idée. Plusieurs cas récent de spamming ont été étudiés de près et les quelques cas connus en Europe montrent qu on est présence d opérateurs peu scrupuleux, souvent insensibles aux injonctions 5

6 de la justice mais qui courent le risque certain d être condamnés à verser de très lourds dommages et intérêts ; cette formule, même si elle n est pas satisfaisante sur le fond du point de vue du droit à la protection des données personnelles, n en est pas moins efficace et pourrait à court terme aider à l éradication du phénomène. I.4) En réalité le véritable marché, le plus actif, le plus porteur d enjeux, est bien celui du marketing sur lequel plus personne n exerce aujourd hui sans revendiquer la stricte application d une politique de privacy et la garantie de travailler avec des listes de prospects parfaitement consentants. Le marketing se consolide sur un modèle beaucoup plus puissant aux plans financiers et technologiques ; pour lui, les questions de loyauté de collecte des données, de relation volontaire et permissive entre les annonceurs et leurs prospects deviennent centrales. Ces entreprises, la plupart des start-up, sont en train de construire le marketing sur Inte r- net des prochaines années. Leur approche de la protection de la vie privée centrée sur des «opt-in lists» mérite une certaine attention. Il existe à ce jour une cinquantaine de prestataires de services dont certains sont de taille internationale et implantés donc sur le territoire européen où ils détiennent des parts de marché significatives dans le marketing direct par . On peut citer 24/7 Media, NetCreations Inc., YesMail.com, Exactis.com Inc., MessageMedia, Bullet- Mail, Axciom ; ainsi que les sociétés pratiquant le marketing incitatif telles que MyPoints, Netcentives, Beenz, CyberGold, ClickRewards, Freeride. ; les portails également, tels que par exemple, entrent sur le marché grâce à leur fichier de plusieurs dizaines de millions d abonnés régulièrement sollicités par pour des offres de commerce en ligne ciblées en fonction de leurs besoins et de leurs centres d intérêts. A noter enfin que les régies publicitaires, DoubleClick, en premier lieu ou Flycast, développent désormais une offre de marketing. Beaucoup de ces entreprises sont cotées au Nasdaq, et présentent toutes les caractéristiques des entreprises de la net-économie : activité en plein développement, forte capitalisation, déficit de rentabilité. La plupart adoptent un modèle de croissance externe par rachat de sociétés du même secteur. Certes à des degrés divers de conviction, ces entreprises ont enfin en commun de partager les mêmes valeurs sur le plan professionnel et défendent les principes du permission based marketing et de l opt-in . Ces sociétés de marketing développent un spectre d activités très large : acquisition de données personnelles, administration et gestion de bases de données coopératives, courtage d adresses, conception de campagne de marketing, opérations de push, CRM (Customer Relationship Management) (5), suivi, reporting, facturation de campagnes et rémunération des sites collecteurs de prospects. 5) Il s agit ici d une activité de front et de middle-office consistant à prendre en charge pour le compte du client annonceur la relation one to one qui s instaure par avec les prospects et d encourager ces derniers à opérer des achats : enrichissement de la base d informations avec des données personnelles complémentaires, élévation de la relation de confiance, fidélisation, gestion des demandes d inscription ou d opt-out, traitement des problèmes de livraison, traitement des questions diverses des utilisateurs et des réclamations, envoi de messages de confirmation, traitement des changements d adresses . Cette activité s appuie sur des applications informatiques dédiées dites de CRM ou d ERM ( Relationship Management). 6

7 Le mécanisme d acquisition de données dans un contexte permissif consiste à s adosser à un réseau de 100 ou 200 sites à fort trafic sur lesquels on va poster des formulaires d opt-in que les visiteurs vont remplir afin de recevoir une newsletter, participer à un concours, à un programme ou à une opération promotionnelle quelconque, faire l objet d offres commerciales ciblées en fonction de centres d intérêts qu ils auront précisés ; autant de bonnes raisons qui peuvent légitimer la collecte explicite de données personnelles par un site Web. Ces sociétés récupèrent ainsi une copie des données fournies dans le formulaire (6) ; ces données vont alors alimenter des bases de 15 à 20 millions d adresses ; on peut estimer qu un bon quart en moyenne de ces adresses correspond à des internautes européens. Ce schéma comporte des variantes sur l échelle de la loyauté des pratiques, allant des cases pré-cochées (7), jusqu à l autre extrême, c est à dire solliciter parfois de la part du visiteur un double opt-in, c est à dire une confirmation de l inscription par l envoi d un message automatique dans sa boîte-aux-lettres (8). Tous ces systèmes et tous les messages qu ils sécrètent comportent bien évidemment des liens d opt-out qui permettent de se désinscrire aisément des listes d enregistrement. Certaines sociétés reçoivent plusieurs demandes d opt-out quotidiennes, ainsi que des demandes de précisions de la part de certaines personnes qui souhaitent savoir où, c est à dire sur quel site, et quand leur opt-in a été enregistré ; quelques demandes individuelles concernent également la nature exacte et l étendue des informations personnelles détenues dans les bases de données. Pour 6) On observe deux grands modèles de circulation des données ; il peut s agir dans certains cas de transferts d informations périodiques par batch qui sont agrégées dans la base de données coopérative ou dans d autres de transfert en temps réel ; certaines sociétés de marketing offrent également une prestation de «hosting» des formulaires d opt-in pour le compte de leurs clients. 7) On constate ainsi que quelques programmes de permission marketing comportent des cases d optin pré-cochées, c est le cas notamment des formulaires d inscription postés sur les sites de BigFoot, de Dreamlife ou de Theglobe.com, trois sites dont les formulaires d opt-in sont gérés en relation avec 24/7 Media. On ne peut s empêcher de considérer que cette pratique n est guère conforme avec l esprit de permission marketing car elle n apporte pas la garantie du consentement du client, celui-ci pouvant très bien avoir pu sauter la ligne sans l avoir lue. On court alors le risque que les messages commerciaux envoyés soient perçus comme des spams étant donné que leur destinataire est persuadé quant à lui de ne jamais les avoir sollicités. 8) Le fonctionnement du double opt-in est assez exemplaire du point de vue de la qualité du consentement recueilli et de la transparence du processus. En effet, lorsque l on s abonne par exemple à une newsletter du groupe CNET, l utilisateur reçoit dans une fenêtre pop up une proposition d une série de cases à cocher correspondant à des thèmes sur lesquels il accepte de recevoir des offres commerciales ; en bas de cette liste figure un lien permettant d accéder à la page de «privacy policy» du site de CNET ; cette politique est très complète et comporte un avertissement qui concerne l inscription à une newsletter qui fait ressortir très explicitement le rôle de la société tierce en l occurrence le prestataire de e-marketing Netcreations qui collecte les données. Après avoir rempli le formulaire et défini les sujets sur lesquels il souhaite être informé, l utilisateur valide son inscription, cela constitue son premier acte d opt-in ; instantanément il reçoit un message de confirmation de la part de Netcreations, le but étant de s assurer que l opt-in a bien été effectué par la personne ellemême et non pas en son nom par quelqu un d autre. La réception de ce dernier message mérite trois observations : la première est qu il porte à nouveau à la connaissance de son destinataire l existence et la dénomination d un tiers dans sa relation avec le site à partir duquel il s inscrit à la newsletter ; ce point n est pas négligeable et couvre l éventualité où l utilisateur n aurait pas cliqué sur le lien de la «privacy policy» ; la deuxième est que ce message récapitule les newsletters et la liste de diffusion commerciale précise à laquelle il s est inscrit ; la troisième est qu aucune communication ne pourra être engagée avec lui à défaut du retour de l de confirmation ; c est quasiment un acte contractuel que l internaute doit passer avec le site. Aussitôt la confirmation de l opt-in parvenue chez le prestataire, l abonné reçoit automatiquement un dernier de bienvenue. 7

8 répondre à ces demandes, certaines sociétés de marketing historisent la relation client et notamment les informations permettant de restituer le contexte de délivrance de l opt-in. La commercialisation des adresses s opère par courtage ou par hébergement de campagnes (ESB : Service Bureau). En général une prestation standard conduite sur les fichiers coopératifs comprend cinq opérations : la location des adresses proprement dites, la programmation d un lien dans le message sur le site de l annonceur, l opération de push des messages, le suivi des click-through et le bilan de la campagne ; le tarif est calculé sur une base CPM identique à celle pratiquée par les régies publicitaires ; le prix de référence s élève pour le marketing professionnel à $ 200 le mille, soit 20 cents l unité. A ce tarif standard il convient d ajouter la facturation des sélections diverses qui peuvent être demandées : par noms de domaine et par zones géographiques, par caractéristiques sociodémographiques (genre / classe d âge / statut matrimonial / nombre d enfants), par tranches de revenus, par positions occupées dans les entreprises, par niveaux de diplôme, par centres d intérêts. Les sélections par centres d intérêts semblent inépuisables dans le degré de finesse qu il est possible d atteindre ; mais elles ne font finalement que refléter la précision de l information collectée à travers les formulaires. Sous l éclairage de la protection des données, certains éléments de qualification de fichier sont incontestablement de nature sensible quand ils permettent d identifier, sans déroger aux règles de la permission, des groupes ethniques, des groupes religieux, des fumeurs, des diabétiques ou des cancéreux. Les listes d adresses contiennent également des données comportementales à haute valeur ajoutée, particulièrement lorsqu il s agit de données concernant les achats en ligne effectués au cours des derniers mois (1 mois, 3 mois, 6 mois, 12 mois) ; dans de nombreux cas il s agit d une information non pas collectée de manière déclarative mais rapportée par des opérateurs commerciaux partenaires de la société de marketing auprès desquels les prospects ont effectué des achats. Toute sélection particulière sur ces données complémentaires permettant de mieux qualifier la population ciblée a un coût supplémentaire au mille ; plus les sélections demandées sont sophistiquées plus elles sont chères ; la sélection la plus prisée et la plus coûteuse concerne la propension à effectuer des achats en ligne. On observe enfin que ces sociétés commissionnent les sites collecteurs d adresses ; en d autres termes cela signifie que chaque fois qu une adresse est utilisée, le site qui en est à l origine est rémunéré sur une base variable mais qui est souvent de 50% du prix de vente. Certaines sociétés de marketing ont mis au point un système sophistiqué qui permet de départager deux sites collecteurs qui pourraient revendiquer la propriété d une seule et même adresse : la règle consiste à ne rémunérer que le site Web dont la liste d adresses a la préférence du client. On note également l existence d une pratique d avances sur recettes aux sites Web partenaires. I.5) Le développement rapide de l activité de marketing, version «permission based», appelée à devenir le modèle structurant de la communication commerciale sur Internet, suscite des interrogations sur la qualité de l opt-in et sur les défauts d interprétation ainsi que les dérapages qui pourront se produire. 8

9 Il convient tout d abord de prendre conscience que pour créer une relation d opt-in, un annonceur peut être tenté d engager une relation dite d interruption marketing et donc de se retrouver en situation de spammer un fichier d adresses non-qualifiées et plus ou moins consensuelles. En d autres on peut se demander si le spam ne sera pas le passage obligé de l opt-in marketing. Formulée ainsi cette question a quelques relents de provocation ; en réalité elle vaut la peine d être posée car le vrai problème pour les opérateurs de vente directe est bien d amorcer la relation permissive et l on ne connaît malheureusement guère d autres moyens que ceux consistant à provoquer le public, susciter son attention, l inciter à entrer en contact par toutes sortes de «teasings» bien connus des publicitaires. Comment donc se faire connaître sur le net? La tentation à l évidence peut être le marketing ciblé ; le risque est alors de s adresser à un broker de listes d adresses et d envoyer son offre en masse, par millions, avec l'espoir que dans tout ce bruit quelques-uns entendront le message et accrocheront. Cette formule n est cependant guère socialement acceptable et contraire aux règles d éthique affichées de plus en plus par les organisations professionnelles qui défendent le principe de la «user s prior acceptance» ; la seule qui le soit vraiment, non sans réserves, est celle de la publicité appliquée à l Internet, c est à dire l affichage de bannières publicitaires ciblées sur des profils de centres d intérêts et de styles de vie compatibles avec l offre de produits ou services de l annonceur. La bannière publicitaire peut alors permettre de drainer des clickthrough sur un site Web et d engager la relation d opt-in à partir du remplissage de formulaires par les visiteurs. D autre part, il faut bien voir que tous les grands opérateurs commerciaux et de marketing direct sur Internet sont en train actuellement de s aligner sur l opt-in, y compris les sites pornographiques qui pourtant se sont copieusement adonnés au spamming au cours des dernières années. Cela amène inévitablement à s interroger sur la qualité de l opt-in et à se demander si demain les annonceurs, quels qu ils soient, ne vont pas avoir une fâcheuse tendance à développer une conception pour le moins extensive de la notion d opt-in. A l extrême cette conception extensive semble s appuyer dans certains cas sur le simple fait, par exemple, qu un visiteur d un site a cliqué par inadvertance sur un bouton OK dans une boîte de dialogue lui demandant s il souhaitait ajouter ce site à ses favoris ; rien n est plus simple en effet de jouer sur les mots et de placer une obscure disposition dans la page introuvable des conditions d utilisation d un site dans lequel l opérateur va indiquer en petits caractères que le fait de «bookmarquer» son site légitime le déferlement par la suite d publicitaires. De façon plus anodine, on peut se demander si le fait de s être inscrit un jour dans une liste d amateurs de plongée sous-marine pour recevoir des offres commerciales sur du matériel, justifie de recevoir des propositions de séjour dans tous les scuba diving centers du globe. Est-il légitime d accabler un acheteur occasionnel en ligne, de propositions commerciales plusieurs fois par semaine? De grands sites commerciaux, leaders du commerce en ligne, comme Amazon, Barnes & Noble, CD Now ou Travelocity, feraient bien de nuancer leurs pratiques à la lumière de cette interrogation pour modérer leurs ardeurs à l égard de leurs clients occasionnels. I.6) Enfin on ne saurait trop insister sur la pertinence de la récente proposition de directive de la Commission européenne (12 juillet 2000) concernant le traitement des données à caractère personnel et la protection de la vie privée dans le 9

10 secteur des communications électroniques (9) car elle restitue toute l importance qu il convient d attacher à l opt-in en matière de marketing. Nous affirmons même qu il s agit là d une problématique de survie de l Internet au regard des perspectives d équipement technologique des opérateurs qui annoncent tous vouloir se doter de moteurs (serveurs, routeurs et backbones) capables de transmettre 100 millions d s commerciaux par jour. On peut alors se livrer à quelques projections statistiques et financières. Il existe aujourd hui environ 300 millions d internautes (et quelque 560 millions de boîtes-auxlettres) dans le monde ; si l on part de l hypothèse que, peu ou prou, tous les opérateurs de marketing vont se doter de moteurs capables de transmettre 100 millions d s par jour, quel ne va pas être le risque de saturation des internautes? Si 200 sociétés en effet sont équipées de tels moyens, on peut calculer que 20 milliards d s commerciaux seraient acheminés quotidiennement sur l Internet, soit une moyenne d un peu plus de 60 s reçus par chaque internaute, représentant un temps de téléchargement d environ une heure à technologie constante et sans prendre en compte le fait que les s commerciaux vont avoir de plus tendance à incorporer des objets photographiques ou vidéo. N y a-t-il pas là un risque réel d entropie de l Internet si des mesures ne sont pas prises rapidement pour introduire le niveau de régulation nécessaire? Une interprétation extrêmement rigoureuse du concept d opt-in apparaît comme une mesure de survie. Pour ce qui est enfin de l évaluation de la charge financière supportée par la communauté des internautes, on peut se livrer à quelques calculs et projections. En partant de l idée qu un internaute moyen, disposant d un abonnement forfaitaire de 12 pour 10 heures de connexion par mois (communications téléphoniques comprises) et d un équipement standard (hors Internet rapide), parvient à charger environ 180 Ko à la minute, on obtient un coût qui peut représenter dans le pire des cas jusqu à 30 par an pour le chargement d une petite quinzaine de messages quotidiens représentant entre 500 et 800 Ko au total. Cela revient à une dépense globale très significative si l on raisonne à l échelle du parc utilisateur de toute une nation. Au plan mondial et en se projetant dans l avenir, sur une base de 400 millions d internautes, le chargement de messages publicitaires dans le contexte technologique actuel donnerait une dépense globale que l on peut situer au bas mot autour de 10 milliards pour les seuls coûts supportés par les internautes. 9) Proposition de directive concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, JOCE COM(2000) 385, 12 juillet

11 II) - Quelle protection en Europe? Depuis près de quatre ans, l Union européenne débat de la protection des personnes à l égard de la réception de messages électroniques commerciaux non sollicités. Ce débat s est essentiellement focalisé autour de deux théories. L une s attache exclusivement à préciser les conditions d envoi des messages non sollicité. C est la théorie du «opt-out». Ses partisans proposent que les personnes qui souhaitent ne pas recevoir des messages commerciaux qu elles n ont pas préalablement sollicités puissent manifester ce souhait. Une certaine branche des partisans du «opt-out» soutient que ce droit d opposition doit pouvoir s exercer uniquement à l égard de celui qui a expédié le message non sollicité. Une autre branche des partisans du «opt-out» promeut un mécanisme de listes d opposition, nationales ou internationales, dans lesquelles quiconque peut s inscrire, avant ou après la réception de messages non sollicités, à charge pour les prospecteurs européens de consulter régulièrement ces listes d opposition afin de respecter le souhait exprimé par les personnes. L autre théorie lie les conditions d envoi des messages non sollicités aux conditions de loyauté de la collecte de l adresse prospectée. C est la théorie du «optin». Ses partisans proposent que les messages commerciaux non sollicités ne puissent être adressés qu aux personnes qui ont préalablement consenti à recevoir de tels messages. II.1) - Le cadre juridique européen de la prospection non sollicitée mérite d être rappelé pour éclairer les termes de ce débat. Tout d abord, la directive «générale» 95/46/CE (10) du 24 octobre 1995 prévoit notamment en ses articles 6, 7, 10, 11 et 14, que des données personnelles ne peuvent être traitées qu à condition qu elles aient été collectées et traitées de manière loyale et pour des finalités précises ayant un fondement légitime. - Article 6.1.[a] : les données doivent être collectées et traitées loyalement. - Article 7[a] : un traitement peut être considéré comme légitime si la personne concernée a indubitablement donné son consentement. - Article 7[f] : le traitement peut être mis en œuvre si il «est nécessaire à la réalisation de l intérêt légitime poursuivi par le responsable du traitement, à condition que ne prévalent pas l intérêt ou les droits et libertés fondamentaux de la personne concernée». - Article 10 : en cas de collecte directe auprès des personnes, celles-ci doivent être informées de la finalité de la collecte, des destinataires des informations collectées, du caractère facultatif ou obligatoire de la collecte et de l existence du droit d accès et de rectification. - Article 11 : lorsque les données n ont pas été collectées directement auprès de la personne concernée, le responsable du traitement doit en informer la personne dès l enregistrement des données ou, si une cession à des tiers est envisagée, lors de la première communication de ces données à un tiers. 10 Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l égard du traitement des données à caractère personnel et à la libre circulation de ces données. 11

12 - Article 14 : les personnes peuvent s opposer gratuitement, d une part, au traitement à des fins commerciales des données qui les concernent, d autre part, à la transmission de leurs données à des tiers, dont elles doivent être informées préalablement. La directive «télécommunications» 97/66/CE (11), pour sa part, précise l application de ces principes dans les télécommunications. Même si elle n évoque pas expressément la prospection par courrier électronique, elle prévoit cependant (article 12) que «l'utilisation de systèmes automatisés d'appels sans intervention humaine (automates d'appel) ou de télécopieurs (fax) à des fins de prospection directe ne peut être autorisée que si elle vise des abonnés ayant donné leur consentement préalable». Par ailleurs, s agissant des autres modes de prospection, elle laisse aux Etats membres le soin de choisir entre le consentement préalable et le droit d opposition. La directive «vente à distance» 97/7/CE (12) reprend (article 10) la garantie du consentement préalable en matière de prospection par automate d appels ou par fax. Par ailleurs, elle vise expressément le courrier électronique parmi les techniques de communication à distance qui peuvent être utilisées «en l'absence d'opposition manifeste du consommateur». Enfin, la directive «commerce électronique» 2000/31/CE (13) prévoit deux catégories de mécanismes à caractère technique applicables à l envoi de messages électroniques non sollicités. - Article 7.1 : «les Etats membres qui autorisent les communications commerciales non sollicitées par courrier électronique veillent» [ ] à ce qu elles «puissent être identifiées de manière claire et non équivoque dès leur réception». - Article 7.2 : «sans préjudice de la directive 97/7/CE et de la directive 97/66/CE, les États membres prennent des mesures visant à garantir que les prestataires qui envoient par courrier électronique des communications commerciales non sollicitées consultent régulièrement les registres «opt-out» dans lesquels les personnes physiques qui ne souhaitent pas recevoir ce type de communications peuvent s inscrire, et respectent le souhait de ces dernières». En évoquant l existence de «registres opt-out», la directive du 8 juin 2000 promeut un dispositif technique dédié à la mise en œuvre du droit d opposition. De fait, les auditions menées dans le cadre de la présente étude montre que les partisans et les opposants de la solution du «opt-out» sont convaincus que la directive 2000/31/CE promeut l existence d un simple droit d opposition. On relèvera que l écho médiatique donné à l adoption de ce texte a passé largement sous silence la volonté pourtant clairement affichée par le législateur communautaire de ne pas traiter des garanties de fond reconnues en Europe aux internautes. L ambiguïté qui en résulte est une grave source d insécurité juridique pour les commerçants électroniques. 11) Directive 97/66/CE/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications. 12) Directive 97/7/CE du Parlement européen et du Conseil du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance. Cette directive devait être transposée en droit interne par les Etats membres de l Union européenne avant le 21 mai ) Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridique des services de la société de l information, et notamment du commerce électronique, dans le marché intérieur (JOCE L. 178 du 17 juillet 2000), à transposer avant le 17 janvier

13 La directive 2000/31/CE paraît ne plus établir de lien entre la régularité de l envoi d un message non sollicité et les conditions initiales de la collecte de l . Certes, des registres «opt-out» doivent être mis en œuvre. Certes, l article 7 fait référence aux «autres exigences de la législation communautaire», au titre desquelles la protection des données personnelles ne peut être écartée. On conviendra cependant que cette simple référence n est pas de nature à éclairer les acteurs de l internet sur l ensemble des règles qu ils doivent respecter. II.2 - Le «spamming» n a pas encore envahi l Europe Des débats mais peu de situations conflictuelles En Europe comme aux Etats-Unis, la question du «spamming» est essentiellement abordée sous l angle juridique. A partir de 1997, la presse européenne s est faite l écho du phénomène américain du «spamming» et de son ampleur. Cependant, la règle de droit européenne préexistait au phénomène américain du «spamming», qui, en Europe, est apparu impopulaire avant même que d exister. Aujourd hui encore, force est de constater que les professionnels européens ne peuvent pas répondre à cette question basique : «combien vaut une adresse ?», alors qu aux États-Unis, la commercialisation de listes d fait l objet de systèmes très élaborés de répartition des frais et des profits. Les autorités nationales de contrôle ont, à ce jour, été saisies de très peu de plaintes relatives à des cas de «spamming» caractérisé. On peut cependant relever que l autorité espagnole a sanctionné d une forte amende une entreprise qui avait envoyé des courriers électroniques non sollicités et qui ne rapportait pas la preuve qu elle avait préalablement recueilli le consentement des internautes concernés. Cette décision fait actuellement l objet d un recours juridictionnel. En France, la CNIL (14) a publié en octobre 1999 un rapport d orientation (15) qui relevait que «l envoi de messages électroniques [ ] repose sur la collecte préalable d adresses électroniques», lesquelles «constituent des données personnelles» et que «les conditions dans lesquelles les adresses électroniques peuvent être collectées sur Internet doivent respecter les règles édictées par les législations de protection des données et les droits des personnes concernées», pour en conclure que «la collecte automatisée à des fins de prospection commerciale d s figurant dans des espaces publics de l Internet» est subordonnée par la directive générale 95/46/CE au consentement indubitable des personnes concernées.» Le groupe «article 29» (16) a adopté le 3 février 2000 un avis formel 1/2000 sur la question de la prospection commerciale non sollicitée, repris ensuite dans un avis formel 7/2000 du 2 novembre 2000 sur la proposition de directive de la Commission 14) CNIL, Commission Nationale de l Informatique et des Libertés. Voir 15) Disponible en français sur 16) L article 29 de la directive 95/46/CE a institué un groupe rassemblant les autorités nationales de protection des données personnelles. Ce groupe constitue un organe de conseil sur la protection des données personnelles indépendant de l Union européenne. Ses responsabilités et ses tâches sont définies par l article 30 de la directive 95/46/CE et par l article 14 de la directive 97/66/CE. 13

14 européenne révisant la directive 97/66/CE (17), ainsi que dans un document exhaustif sur le respect de la vie privée sur internet adopté le 21 novembre 2000 (18). Le groupe a rappelé que la législation communautaire de protection des données personnelles s applique aux questions relevant du commerce électronique et que les problèmes soulevés par la prospection électronique peuvent être résolus à l aide des principes généraux retenus par les directives 95/46/CE et 97/66/CE. Pour le groupe, les dispositifs techniques de la directive 2000/31/CE n écartent aucunement l application des principes de loyauté de la collecte, de transparence quant à l usage ultérieur des données et du droit d opposition à l usage commercial des données ainsi qu à leur cession à des tiers. Le groupe estime également que la collecte d adresses dans les espaces publics de l Internet est tout à la fois contraire au principe de la collecte loyale (article 6.1[a] de la directive 95/46/CE), au principe de finalité (article 6.1[b]) et au principe de légitimité des traitements (article 7[f]). Enfin, le groupe soutient la proposition de la Commission européenne d exiger le consentement préalable à l envoi par de communications commerciales non sollicitées. Enfin, le constat du faible nombre de contentieux judiciaires peut être expliqué par le fait que les directives 95/46/CE, 97/66/CE ou 97/7/CE n ont pas encore été transposées dans tous les Etats et que les internautes ont pour premier réflexe, en cas de «spamming», de s adresser à leur fournisseur d accès à internet. Des pratiques professionnelles consensuelles et prudentes Un relatif consensus entre les professionnels contre le «spamming» peut être relevé. La FEDMA (19), comme la plupart des organisations nationales et internationales de commerçants électroniques, estime qu'il «est nécessaire de lutter contre le spamming». Les fédérations de commerçants électroniques interrogées réfutent l idée qu il puisse exister un «spammeur» parmi leurs membres, même si aucune ne déclare à ce jour avoir pris des dispositions excluant un membre qui se rendrait «coupable» de «spamming». Les responsables de «labels», pour leur part, ressentent l'intérêt de telles règles d'exclusion en cas de spamming, à défaut desquelles la crédibilité de leur label pourrait être mise en cause. Dans le même temps, une multitude de listes «opt-out» propres à un organisme professionnel, un secteur d activité ou à portée nationale, voire à dimension internationale, voient le jour. Ainsi en France, par exemple, la Fédération des Entreprises de vente à Distance (FEVAD) est la première à avoir créé une liste «e-robinson» (20) d opposition à la prospection par . En Belgique, l Association Belge du Marketing Direct (ABMD) a également mis en place une telle liste d opposition à laquelle se cumulent les listes d opposition propres à chaque membre de l ABMD. De telles listes d opposition sont en cours de mise en place, notamment en Angleterre, en Allemagne, aux Pays-Bas, en Espagne, en Norvège, en Suède, en Finlande et en Italie. Ces initiatives professionnelles ont toutes été prises dans le cadre de 17) Avis 7/2000 sur la proposition de la Commission européenne du 12 juillet 2000 d'une directive du Parlement européen et du Conseil concernant le traitement de données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. 18) Ces avis sont publiés sur 19) FEDMA, Fédération européenne du marketing direct Voir 20) 14

15 l'adoption de la directive 2000/31/CE sur le e-commerce. Toutes ont vocation à s appliquer en premier lieu au territoire d un Etat membre, mais les fédérations qui les promeuvent envisagent pour la plupart de les étendre prochainement au niveau communautaire ou au delà de l Union européenne, notamment aux États-Unis. Des projets de partenariat sont actuellement en cours entre la DMA américaine et certaines de ses homologues européennes autour d un registre «opt-out» commun (21). En outre, certaines réglementations nationales très récentes emboîtent le pas des initiatives privées pour assurer, en cas de multiplicité de listes d opposition concurrentes, une cohérence au niveau national. Ces constats ne permettent cependant pas de dissimuler que le «spamming» reste une tentation sous surveillance. La faible visibilité de cas de «spamming» en Europe peut s expliquer aussi par l action «anti-spam» des fournisseurs d accès, européens comme américains. Cette lutte quotidienne génère pour ces acteurs un surcoût financier, humain, technique et commercial, proportionné au nombre de leurs abonnés. On relève que certains de ces prestataires s échangent des «listes noires» d adresses de «spammeurs», dont la pertinence et la légitimité est discutable. L EuroISPA (22), qui représente la grande majorité des fournisseurs d accès européens, mène depuis plus de deux ans une lutte contre le «spamming» et soutient la thèse du consentement préalable des personnes à l utilisation commerciale de leur e- mail, laquelle, selon cette association, est seule de nature à permettre le respect de la directive 95/46/CE. II. 3 - De la confusion des approches à la diversité des pratiques Confusion entre «spamming» et prospection non sollicitée Le «spamming» est généralement considéré comme l envoi massif et répété de messages commerciaux non sollicités provenant d un expéditeur qui masque ou falsifie son identité. En cela, il constitue évidemment une méthode de prospection qui n a pas été sollicitée. Cependant, il se distingue par son caractère massif, répété et déloyal. En un mot, le «spamming» est forcément de la prospection commerciale non sollicitée, mais toute prospection non sollicitée n est pas du «spamming». Au sens strict, une communication commerciale non sollicitée revêt deux caractéristiques : être commerciale et ne pas avoir été sollicitée, c est à dire préalablement réclamée par l internaute. C est en ce sens que paraît trancher la directive 2000/31/CE, qui ne distingue pas selon que le message commercial est destiné au client d une entreprise, à un simple visiteur, ou encore à un internaute avec lequel le prospecteur n a jamais été en contact direct auparavant. Or, si la grande majorité des professionnels européens se défend de recourir au «spamming», ces derniers restent évasifs sur leu souhait d expédier des messages non sollicités. Or, plus on distingue le «spamming» des autres formes de prospection non sollicitée, moins la question essentielle de la collecte de l est abordée. 21) Voir sur le « Preference Service» de la DMA américaine. 22) Voir 15

16 Cependant, les conditions de régularité de l envoi d un message non sollicité dépendent d abord des conditions dans lesquelles les adresses électroniques ont été collectées. De la case à cocher à la case pré-cochée Des sites web européens de plus en plus nombreux proposent une case à cocher permettant à l internaute d exprimer son choix de recevoir ou de refuser des courriers de prospection. De nombreuses organisations professionnelles européennes préconisent cette pratique, qui va bien au delà du dispositif prévu par la directive 2000/31/CE sur le commerce électronique. Toutefois, certains commerçants proposent encore des formulaires électronique de collecte d information comportant une case déjà cochée. Le développement de telles pratiques est contraire à la transparence et à la loyauté requises par la directive 95/46/CE du 24 octobre 1995 et ne présente pour seul intérêt, dans le contexte actuel, que de révéler la déloyauté du commerçant. Du succès de la case à cocher au «opt-in» Désormais, certains professionnels affichent clairement le choix du «opt-in» -le consentement préalable-, qu ils considèrent comme la solution la plus favorable au commerce électronique. Cette tendance actuelle forte résulte d un calcul commercial qui rejoint les objectifs de protection des données personnelles. En effet, au lieu de suggérer la fin d une relation commerciale par l offre du «optout» (le droit d opposition), le commerçant invite l internaute à la poursuite de leurs échanges : le «permission marketing» est en marche. Ce mode de relations interactives -le «opt-in»-, offre de multiples avantages commerciaux. Il favorise la fourniture d un service attendu par un internaute qui, en exprimant ses attentes, fournit des informations à haute valeur ajoutée qui peuvent être classées et tarifées, tout en étant assorties de l autorisation de les traiter. A la différence des registres de «opt-out», qui ne peuvent être vendus, les registres d opt-in » peuvent être rentabilisés. Ainsi, la collecte et l utilisation commerciale des données fondées sur le consentement préalable des personnes, constituent à la fois une source de rentabilité, un modèle de financement nouveau du e-commerce et le meilleure moyen de garantir une traçabilité de l usage des données collectées. Dans ce schéma, le commerçant qui a collecté une information peut être rétribué lorsqu un de ses partenaires utilise cette information dans une opération de prospection. Le prospecteur, pour sa part, est assuré de s adresser à une population ouverte aux sollicitations commerciales et obtient une meilleure efficacité dans ses communications commerciales. Les entreprises qui renoncent ainsi à une politique de prospection «à l aveugle», contre-productive et impopulaire, suscitent la confiance des internautes. Par ailleurs, lorsque l internaute demande la suppression des informations qui le concerne ou l origine de la collecte de ses données, le prospecteur et le collecteur initial des données peuvent être en mesure de lui indiquer précisément à quel moment, à qui et pour quoi il a fourni son . 16

17 Cette tendance forte au «permission marketing» a trouvé une confirmation en Europe lors d une conférence internationale réunie à Paris du 12 au 15 septembre 2000 ( ) et, en Finlande, la forme d un code de déontologie du marketing direct prévoyant la garantie du consentement préalable. II.4 - La nécessité d une clarification Des textes communautaires qui semblent contradictoires, des pratiques professionnelles divergentes et une tendance lourde en faveur du «opt-in», rendent urgente une clarification européenne sur le sujet. A ce jour, cinq États membres ont déjà adopté un régime de consentement préalable («opt-in») à l envoi de messages commerciaux non sollicités. Quatre d entre eux, l Autriche, le Danemark, la Finlande et l Italie ont opté pour ce régime de protection à l occasion de la transposition en droit national de la directive 97/66/CE. Le cinquième, l Allemagne, connaît également l exigence du consentement préalable, mais sur d autres fondements juridiques. Une confusion semble exister parmi les professionnels sur ce qu il leur est possible de faire en Europe. Cette confusion ne semble pas avoir été levée par le grand nombre de textes applicables à la prospection commerciale non sollicitée. Elle semble renforcée par une croyance (erronée) répandue chez les professionnels selon laquelle les dispositions de la directive 2000/31/CE seraient autonomes et suffisantes. Or, les deux directives du 20 mai 1997 sur la vente à distance et du 8 juin 2000 sur le commerce électronique, en ne traitant que des conditions dans lesquelles un message électronique non sollicité peut être envoyé, ne traitent aucunement de conditions de régularité de la collecte de l , lesquelles relèvent exclusivement de la directive 95/46/CE. L envoi d un message commercial non sollicité est donc régi en Europe par l application combinée de quatre directives qui ont vocation à s appliquer à trois situations radicalement différentes, selon que l on prospecte : - un client ou un prospect qui a lui-même fourni son au prospecteur (1) ; - une personne dont le prospecteur a obtenu l auprès d'un tiers qui l avait lui-même obtenue directement de la personne concernée (2) ; - ou un internaute dont l a été collectée dans un espace public de l Internet (site web, annuaire, liste de diffusion), à son insu (3). 1. Le message non sollicité est destiné à un internaute qui a fourni son au prospecteur à l occasion d un contact direct. Il résulte de la directive «générale» 95/46/CE que le prospecteur peut lui adresser des messages électroniques commerciaux, sous la réserve du droit dont dispose l internaute de s opposer à recevoir de tels messages et/ou de s opposer à la transmission de son à des tiers. La directive «vente à distance», 97/7/CE, pour sa part, prévoit que tout est possible, sauf «opposition manifeste» faisant suite à une information explicite de l internaute. La directive «télécommunications», 97/66/CE, laisse aux Etats le 17

18 choix entre le consentement préalable (régime adopté par 5 Etats membres à ce jour) et le droit d opposition. Enfin, la directive 2000/31/CE impose à un commerçant qui prospecte son propre client, d une part, d identifier clairement le caractère commercial, du message, d autre part, de consulter les registres d opposition existants. Paradoxalement, la directive «commerce électronique» peut conduire à empêcher une entreprise de contacter naturellement son client si ce dernier s est inscrit sur une liste d opposition. 2. L adresse a été fournie par l internaute à un commerçant qui a, ensuite, cédé son fichier d s à un tiers aux fins de prospection. Au regard de la directive 95/46/CE, la cession de ce fichier d s et son utilisation sont licites si le collecteur des s a préalablement informé les internautes concernés de leur droit de s opposer gratuitement à une telle cession. En cas de collecte en ligne auprès de l internaute, l article 14 de la directive 95/46/CE commande concrètement d apposer une case à cocher assortie d une mention claire d information sur le formulaire électronique de collecte, relative au droit d opposition à la cession des données à des tiers à des fins commerciales. 3. L adresse a été capturée dans les espaces publics de l Internet (newsgroups, annuaires d s, etc.). Les personnes concernées n ont pu, par hypothèse, s opposer préalablement à une telle collecte. Cette pratique est prohibée par la directive de Elle viole le principe de finalité (article 6), elle est contestable au regard du principe de légitimité des traitements (article 7.[f]), elle méconnaît les dispositions des articles 10 et 11 et viole l article 14. Lever la confusion, c est passer du débat sur la régularité d un envoi commercial au débat sur les conditions de loyauté de la collecte des données. Malgré le rappel de l application «des législations communautaires existantes», la directive 2000/31/CE paraît faire triompher l approche selon laquelle l envoi d un message commercial non sollicité serait licite si le message est identifié comme étant commercial et offre la possibilité d en rester là, c est-à-dire de n en recevoir qu un seul et de pouvoir faire aussitôt opposition. Or, en imposant les mêmes obligations à tous les professionnels, la directive sur le e- commerce impose à un professionnel qui se sera soucié des centres d intérêts de son client et qui l aura informé de l usage commercial de son , de consulter une liste d opposition généraliste, nationale, européenne ou transnationale qui pourrait lui interdire d informer ce client de ses nouvelles offres commerciales. S attacher à préciser les conditions d une collecte loyale des données, c est permettre au commerçant et à l internaute de décider de la nature et de la poursuite de leurs relations dans un climat de transparence. Or, si aucune directive n impose clairement une solution de «opt-in» dans la relation directe entre un commerçant et son client, il paraît naturel d appliquer à la prospection électronique les règles applicables à la prospection par automate d appels ou par télécopie, leur caractère intrusif et irrésistible leur étant commun. D un point de vue historique, plus le coût de la prospection est faible, plus les risques d abus sont grands. Or, la prospection par courrier électronique est, de loin, la forme 18

19 de prospection de masse la moins chère connue à ce jour. Par ailleurs, la protection offerte aux personnes a toujours été adaptée au risque d atteinte à la tranquillité et à la vie privée, dans une gradation allant du droit d opposition (prospection par téléphone) au consentement préalable (prospection par automate d appels et par télécopieur). En définitive, la solution du «opt-in» paraît la plus adaptée à l internet. Elle permet une gestion rentable des bases de données d , elle entretient la relation personnalisée d un commerçant avec un internaute et paraît correspondre -les Etats- Unis en font l expérience- aux attentes des internautes. Elle offre, en outre, l assurance d utiliser une donnée dans le respect de la volonté de l internaute. Comment, en effet, être sûr qu on ne prospecte pas une personne inscrite dans un registre d opposition? Aujourd hui cette question n est pas résolue par les partisans d une solution de «opt-out». Ainsi, la FEDMA indique sur son site internet qu elle procède à une vaste enquête pour recenser les registres d opposition existants. La solution du «opt-out» ne permet pas à un professionnel souhaitant écrire à son client d être distingué d un «spammeur» qui aurait trouvé une «virginité» ou une «légitimité de façade» dans des registres d opposition. A terme, il est aisé d imaginer qu une solution de «opt-out» durable nécessiterait, pour des raisons de sécurité juridique, l adoption de règles nationales ou communautaires contraignantes visant à compiler dans un registre international unique l ensemble des oppositions exprimées, dont l effet sera décuplé : l opposition d un internaute à être prospecté par un ou quelques commerçants serait opposable à tous. En conséquences, la solution du consentement préalable à être prospecté semble favoriser au mieux les liens personnalisés qu un professionnel peut avoir -ou cesser d avoir- avec un internaute. Le «opt-in» n interdit pas la prospection commerciale à l égard de clients ou de visiteurs. Au contraire, il l autorise. Il suffit que l information donnée à l internaute ait été suffisamment claire sur ce point. Le «opt-in» n interdit pas la cession à des tiers des données fournies par les internautes, qui doit rester subordonnée, conformément à la directive de 1995, à une information préalable et à l exercice d un droit d opposition. Le «opt-in» n interdit pas la compilation de listes d s. Au contraire, il est au cœur du marché des fichiers de prospection commerciale et permet leur réelle valorisation. Le «opt-in» interdit la collecte et l usage déloyaux des données. En cela il garantit une protection efficace des données personnelles, une sécurité juridique aux commerçants, un climat de confiance et permet de ne plus opposer artificiellement la protection des données personnelles à l e-business. II.5 Conclusions Depuis 1995 au moins, l Union européenne considère que la protection offerte aux personnes doit être d autant plus forte que le risque d'intrusion dans la vie privée des personnes est élevé. On peut regretter que les mécanismes techniques promus par la directive «e-commerce» ne soient pas mieux adaptés aux caractéristiques de la prospection électronique non sollicitée (déloyauté, intrusion, frais pour le destinataire) et que la rédaction du texte communautaire n ait pas la clarté qui, par le passé avait permis d aboutir à une règle prévisible et adaptée aux risques. Dans le même temps, aux États-Unis, des lois assorties de sanctions pénales ont été adoptées dans un 19

20 certain nombre d États et les praticiens du « marketing», ont découvert les avantages commerciaux du «permission marketing». Aujourd'hui, la situation européenne est hybride. D'une part, cinq États membres ont opté pour un régime de consentement préalable : l Allemagne, l Autriche, le Danemark, la Finlande et l Italie. D'autre part, les entreprises s'organisent pour mettre en œuvre les registres «opt-out» de la directive 2000/31/CE. Enfin, certains commerçants électroniques européens adoptent des modèles commerciaux fondés sur le «opt-in». Dans ce contexte, la proposition de directive émise par la Commission européenne le 12 juillet 2000 (23), intervient à point nommé. Son objectif est que le cadre communautaire de protection des données soit indépendant des technologies utilisées. L option retenue en faveur du «opt-in» doit aboutir, notamment en raison des constats du présent rapport sur les situations américaine et européenne. Au delà, il convient de saisir cette occasion de concilier des législations nationales déjà divergentes -avant même la transposition de la directive «e-commerce»- pour dégager une position commune autour du recueil du consentement préalable. Le «consentement» de la directive 95/46 est conçu comme l'exercice absolu par la personne des droits qui lui sont reconnus. Les théoriciens du «permission marketing» le revendiquent : une fois le consentement acquis, tout serait possible. Une telle approche pourrait favoriser un protection des données à deux vitesses : une protection pour les plus démunis, qui se réduirait à mesure que des offres commerciales inciteraient les personnes à consentir à tout, notamment à ne pas exercer leurs droits, et une protection pour les autres, dont l aisance financière garantirait l indépendance du consentement. Cette approche doit cependant être nuancée. D une part, le consentement ne peut porter que sur un traitement dont la finalité doit être déterminée. La portée du consentement dépendra donc en pratique de la clarté de l information fournie à la personne. D autre part, le consentement est révocable. Les modalités de recueil en ligne du consentement sont à préciser. La directive de 1995 donne une définition stricte du consentement (article 2 [h]) : c est un acte positif de volonté en faveur de quelque chose. Il s agirait donc, pour être assuré que l internaute a consenti à être prospecté, de rendre obligatoire l expression de sa volonté en la matière. Le recueil du consentement à être prospecté pourrait consister en un champ à remplir au sein du formulaire de collecte d informations. Cette forme concrète de recueil du consentement respecterait la définition donnée par la directive de 1995 : à défaut pour l internaute d activer lui-même un champ réservé au recueil de son consentement à être prospecté, le consentement ne saurait être considéré comme acquis. Dans le même temps, la vigilance la plus grande doit être apportée à la clarté de l information de l internaute. Mis en œuvre au moment de la collecte, ce mécanisme permet de collecter les données personnelles en même temps que les conditions que la personne a attaché à leur traitement. Il favorise par sa seule existence les conditions d une collecte loyale des données, principe fondateur des législations européennes. Il permet un usage commercial immédiat et sûr des données, dans le respect des droits des personnes. 23) Proposition de directive concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, JOCE COM(2000) 385, 12 juillet