«Marketing /site web et la protection des données à caractère personnel» Incidence de la réforme de la loi «Informatique et libertés» et de la loi «Économie Numérique» Emilie PASSEMARD, Chef du service d orientation et de renseignement du public Rencontres Régionales de la CNIL- BORDEAUX 18 janvier 2008 1 Sommaire L information des personnes Les règles à respecter lors d une campagne de prospection Les sanctions Les démarches auprès de la CNIL 2
Le respect d une collecte loyale des Renforcement de l information des personnes (art. 32 loi 1978) Quelles sont les mentions «Informatiques et Libertés» qui doivent figurer sur tout formulaire de collecte d informations nominatives (ex. bon de commande, coupon-réponse, questionnaire)? La loi de 1978 s applique y compris lorsque les données sont collectées et/ou diffusées sur Internet (la diffusion de données nominatives sur Internet constitue un traitement automatisé au sens de la loi «informatique et libertés») 3 Le respect d une collecte loyale des Les personnes auprès desquelles des données sont recueillies doivent être informées : De l identité du responsable du traitement. Distinguer du sous-traitant. Ex : le routeur pour l envoi d un e-mailing / l hébergeur d un site web De la ou les finalités du traitement. Exemples : gestion du fichier client et prospection, gestion et mise en ligne d un annuaire, forum de discussion, inscription à une newsletter, achat en ligne, jeux, enquête, 4
Le respect d une collecte loyale des Du caractère obligatoire ou facultatif des réponses. Ex : les informations sur le revenu, la nationalité doivent rester facultatives dans le cadre d une commande Ex : particularité pour la collecte de données sensibles (opinions politiques, mœurs,religions, ) : soumise au recueil du consentement exprès des personnes concernées 5 Le respect d une collecte loyale des De l existence et des modalités d exercice du droit d accès et de rectification aux données. Prévoir l accès à l intégralité de la fiche client en langage clair et intelligible. Ex : accès au segment dans le cas d une segmentation à partir de l analyse du ticket de caisse De transfert de données en dehors de l Union européenne 6
Le respect d une collecte loyale des Des destinataires des données. Ex : cession à des partenaires commerciaux, aux filiales De l existence et des modalités d exercice du droit d opposition 7 Le respect d une collecte loyale des Exercice du droit d opposition (art. 38 alinéa 2) Droit absolu en cas d utilisation des données à des fins de prospection, notamment Pas de justification à fournir Droit gratuit Droit qui doit pouvoir s exercer au moment de la collecte de ses données (recommandation CNIL : case à cocher ) Le droit d opposition s applique en cas de démarchage par courrier postal, par télémarketing ou par courrier électronique s il s agit de prospection de nature politique, religieuse, associative 8
Le respect d une collecte loyale des Exemple de mention d information «Conformément à la loi du 6 janvier 1978, ces informations sont nécessaires à notre société pour traiter votre demande. Elles sont enregistrées dans notre fichier de gestion de la clientèle et peuvent donner lieu à l exercice du droit d accès et de rectification auprès de notre service clientèle (préciser les coordonnées). - Si vous ne souhaitez pas que les données vous concernant soient utilisées (et/ou) transmises à nos partenaires, cochez la case ci-contre - Si vous ne souhaitez pas que les données vous concernant soient utilisées par notre société à des fins de prospection, cochez la case ci-contre». 9 Précisions pour un site web Sécurité : transactions électroniques sécurisées (ex : transmission en SSL), accès à données confidentielles par mot de passe (6 caractères alphanumériques au minimum). Se reporter à la Recommandation de la CNIL du 26 juin 2003 sur l utilisation et la conservation du numéro de carte bancaire dans le secteur de la vente à distance (dossier «Banque» du site de la CNIL) si diffusion de données personnelles sur le site : information préalable des personnes et droit d opposition si utilisation de cookies : Lorsque le responsable du service de communication au public en ligne utilise des procédés de collecte automatisés de données tendant à accéder, par voie de transmission électronique, à des informations stockées dans l équipement terminal de connexion de l utilisateur ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion (par exemple : cookies, applets Java, active X), les utilisateurs sont informés de la finalité de l utilisation de ces procédés et des moyens dont ils disposent pour s y opposer. Des exemples de mentions sont disponibles sur le site de la CNIL 10
Les règles à respecter lors d une campagne de prospection Des règles différentes selon le vecteur de prospection utilisé (fax, email, courrier postal, ) Application des règles issues de la loi «Informatique et libertés» de 1978 Application des règles issues de la loi du 21 juin 2004 pour la confiance dans l économie numérique (LCEN) Les codes de déontologie 11 Une campagne de prospection La prospection par voie postale ou par téléphone avec intervention humaine (télé-marketing) information préalable et droit d opposition à une utilisation de ses données Location/commercialisation de son fichier client Location de fichiers externes : Garanties contractuelles / durée de conservation 12
Une campagne de prospection La prospection par fax et par automate d appel : soumise au recueil du consentement préalable des personnes physiques 13 La prospection par courrier électronique, par SMS, MMS respect des dispositions prévues à l article 22 de la LCEN codifié aux articles L.34-5 du code des postes et des communications électroniques et L.121-20-5 du code de la consommation Vecteur de prospection concerné : fax, automate d appel, courrier électronique (y compris SMS, MMS) Prospection de nature Prospection «B to C» 14
Une campagne de prospection Les trois règles de base : Règle 1 : Le principe est celui du consentement préalable (principe dit de l «opt-in»). Il est interdit d adresser aux personnes physiques des messages de nature par courrier électronique sans avoir obtenu préalablement leur consentement 15 Une campagne de prospection Règle 1 (suite) : Il existe cependant une hypothèse dans laquelle le consentement préalable n est pas exigé. Il s agit du cas dans lequel la prospection concerne des «produits ou services analogues» à ceux déjà fournis par la même personne physique ou morale qui a recueilli les coordonnées électroniques de l intéressé. Dans ce cas, la personne démarchée doit être expressément informée, lors de la collecte de son adresse de courrier électronique, de l utilisation de celle-ci à des fins s et elle doit avoir été mise en mesure de s y opposer de manière simple. 16
Une campagne de prospection Règle 2 : Il est interdit de dissimuler l'identité de la personne pour le compte de laquelle le message électronique est envoyé. Il est interdit de mentionner dans le message un objet sans rapport avec la prestation ou le service demandé. Règle 3 : Tous les courriers électroniques doivent mentionner une adresse de réponse valide où la personne peut faire opposition à l'envoi de messages ultérieurs. 17 Une campagne de prospection La prospection par courrier électronique entre professionnels, appelée «B to B» : information et droit d opposition préalable Les personnes physiques peuvent être prospectées par courrier électronique à leur adresse électronique professionnelle sans leur consentement préalable, si le message leur est envoyé au titre de la fonction qu elles exercent dans l organisme privé ou public qui leur a attribué cette adresse (position dégagée par la CNIL le 17/02/05). 18
Une campagne de prospection Relais de l action de la CNIL : les codes de déontologie élaborés par les professionnels du marketing direct et de la vente à distance Accompagnement et suivi de mécanismes d autorégulation par la CNIL consacré à l article 11 de la loi de 1978 modifiée : donner un avis sur la conformité de projets de règles professionnelles à la loi du 6 janvier 1978 apporter une appréciation sur les garanties offertes par ces règles Relayer l'action de sensibilisation de la CNIL et diffuser plus largement la culture «Informatique et Libertés» auprès des professionnels. 19 Une campagne de prospection Panorama des codes existants Code de déontologie des professionnels du marketing direct (1993 UFMD, Union française du marketing direct) Code sur les bases de données comportementales (1997 FEVAD) Code de déontologie européen sur le marketing direct (2003, FEDMA) Codes sur l «e-mailing» récemment publiés par le SNCD (Syndicat national de la communication directe) et l UFMD 20
Les sanctions Les sanctions pénales Infractions à la loi du 21 juin 2004 pour la confiance dans l économie numérique. Contravention de 750 par message irrégulièrement expédié. Infractions à la loi «Informatique et Libertés» du 6 janvier 1978. Délit (peine d emprisonnement et amende) Exemple : collecte déloyale (arrêt de la Cour d appel de Paris du 18 mai 2005 pourvoi en cassation en cours) 21 Les sanctions La CNIL peut en cas de méconnaissance aux dispositions de la loi de 1978 et de la LCEN : Adresser un avertissement Demander une injonction de faire cesser le publipostage Prononcer des sanctions pécuniaires (jusqu à 300 000 d amende) Dénoncer les faits au Procureur de la République 22
Vos démarches Quels sont les fichiers que vous devez déclarer auprès de la CNIL? Son agenda électronique? Les fichiers manuels? Quand déclarer? préalablement à la mise en oeuvre du traitement Qui doit déclarer? le responsable du traitement, c est à dire la personne ou l organisme qui décide de la mise en œuvre du traitement, en détermine la finalité et les moyens 23 Vos démarches Allégement des procédures de déclaration auprès de la CNIL : Déclaration simplifiée. Ex: nouvelle norme simplifiée n 48 relative aux fichiers de clients et de prospects adoptée le 7 juin 2005 (inclus la collecte via Internet et la prospection par voie électronique, «fichier gestion du personnel» Dispense de déclaration : «fichier de paie», «fichier de fournisseurs» Désignation d un correspondant «informatique et libertés» : dispense de déclaration des traitements courants. 24
Pour en savoir plus Consulter le site de la CNIL (www.cnil.fr) S abonner à la lettre électronique d information de la CNIL Appeler la CNIL : permanence de renseignement juridique tous les jours de10h à 12h et de 14h à 16h au 01.53.73.22.22 Merci de votre attention 25