Droit des internautes et obligations des        responsables de sites,e-marchands et dirigeants d’entreprise       Work n’...
Sommaire•   Principes « informatique et libertés »•   Les bases de données comportementales•   Prospection par voie électr...
Principes « informatique et libertés »                                         3
Les données à caractère personnel•   Définition : Données permettant d’identifier directement ou    indirectement une pers...
Le traitement• Définition (article 2) : Toute opération ou tout ensemble  d’opérations portant sur des données• notamment ...
Le responsable du traitement• Définition : La personne, l’autorité publique, le service ou l’organisme qui  détermine la f...
Les principes « loi informatique et libertés »•   Obligations des responsables de traitement :    •   Formalités préalable...
Les données sensibles•   Relatives à lorigine raciale ou ethnique, les opinions politiques, les    convictions religieuses...
Les bases de données comportementales        (bases consommateurs)                                        9
Enjeux• Constitution de bases de données segmentées selon les centres  d’intérêts et les habitudes des consommateurs:   • ...
La collecte des données – Clarté et lisibilité• CNIL : Recommandation relative aux bases de données comportementales sur  ...
Information des consommateurs• Article 32 de la loi « informatique et libertés » :    •   Responsable de traitement    •  ...
Information des consommateurs - suite• CNIL : Recommandation relative aux bases de données comportementales sur  les habit...
Droit dopposition ou ...• Possibilité de s’opposer   • Opposition à l’utilisation de ses données à des fins de prospection...
... consentement préalable•   Consentement préalable : Données sensibles (article 8 de la loi IL)•   Exemple : case opt-in...
Formalités préalables• Norme simplifiée n° 48 - Déclaration normale - Registre du CIL   • Exemple : Déclaration en 2006 de...
Mauvaises pratiques•   Oubli d’informer ou de proposer des cases opt-out ou opt-in•   Echanges, cession ou location, de ba...
Prospection par voie électronique (e-mail et                   SMS)                                               18
Les principes « informatiques et libertés »                  appliqués au marketing•   Application d’un double régime juri...
La prospection commerciale par SMS/MMS• Pas de distinction de règlementation B2B / B2C• Le principe : opt-in. Pas de messa...
La prospection commerciale par courrier électronique –                          B2C• Différences de règlementation entre l...
La prospection commerciale par courrier électronique –                          B2B• Le principe : Information préalable e...
Prospection par voie électronique (@, SMS/MMS) -                       Information• Information quant aux finalités : util...
Prospection par voie électronique ou SMS - Information :                Droit dopposition ou ...• Possibilité de sopposer ...
... consentement préalable• Consentement requis :   • B2C :       • Prospection par voie électronique (@, SMS/MMS)       •...
Mauvaises pratiques• Oubli d’informer ou de proposer des cases opt-out ou opt-in• Echanges, cession ou location, de bases ...
Les règles à respecter après la collecte                                           27
Durée de conservation• Proportionnée à la finalité … et données à jour (article 6-4) !• Recommandation actuelle : 1 an ou ...
Information et droit d’opposition• Dans chaque message électronique envoyé   • L’identité de la personne pour le compte de...
Droit dopposition en cascade« Le responsable du traitement auprès duquel le droit d’opposition a étéexercé informe sans dé...
Le droit d’accès et le droit de rectification• Droit d’accès (article 39 de la loi IL) :   • Accès à l’intégralité de la f...
Sécurité• Sécuriser sa base de données    • « Le responsable du traitement est tenu de prendre toutes précautions utiles, ...
Relais de l’action de la CNIL : les codes de déontologie élaborés par les     professionnels du marketing direct et de la ...
Renforcement des contrôles et sanctions• Contrôles et sanctions issues de :    •   Plaintes    •   Actualités    •   Signa...
Exemples de sanctions•   Cour de cassation - 14 mars 2006 - spam et collecte déloyale•   Formation contentieuse de la CNIL...
Organismes sanctionnés• Annonceur – Utilisateur de sa propre base de données ou d’une base de  donnée louée ou achetée• Fo...
Prochain SlideShare
Chargement dans…5
×

Intervention CNIL : droit des internautes et obligations des e-marchands

8 466 vues

Publié le

Support de M. Jean-Paul Amoudry, vice-président de la CNIL, utilisé lors de sa présentation "droit des internautes et obligations des responsables de sites web et e-marchands" lors de l'évènement Work'n Coffee organisé par Net Design en novembre 2011.

Publié dans : Technologie
1 commentaire
1 j’aime
Statistiques
Remarques
Aucun téléchargement
Vues
Nombre de vues
8 466
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1 707
Actions
Partages
0
Téléchargements
0
Commentaires
1
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Intervention CNIL : droit des internautes et obligations des e-marchands

  1. 1. Droit des internautes et obligations des responsables de sites,e-marchands et dirigeants d’entreprise Work n’Coffee agence Net Design – intervention du 2 décembre 2011 M. AMOUDRY, Sénateur de Haute-Savoie et Vice-Président de la CNIL 1
  2. 2. Sommaire• Principes « informatique et libertés »• Les bases de données comportementales• Prospection par voie électronique et SMS• Les règles à respecter après la collecte Exemples de questions abordées : Etat des lieux des bases de données comportementales Quelles sont les directives et les sanctions en matière de e-mailing et campagnes SMS? Quelles différences de règlementation entre la gestion B2B et B2C? 2
  3. 3. Principes « informatique et libertés » 3
  4. 4. Les données à caractère personnel• Définition : Données permettant d’identifier directement ou indirectement une personne (article 2 de la loi « Informatique et libertés (IL))• La possibilité d’identifier une personne n’implique plus nécessairement la faculté de connaître son identité sociale• Exemples : Nom et prénom, initiales, numéro client, numéro de carte de fidélité, adresse IP, identifiant du cookie 4
  5. 5. Le traitement• Définition (article 2) : Toute opération ou tout ensemble d’opérations portant sur des données• notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction• Exemples : collecte d’emails, envoi de prospection, application Smartphones, utilisation des réseaux sociaux 5
  6. 6. Le responsable du traitement• Définition : La personne, l’autorité publique, le service ou l’organisme qui détermine la finalité et les moyens d’un traitement …• …. sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement (article 3)• En matière de marketing : souvent plusieurs traitements  plusieurs responsables de traitements La collecte et cession d’une  L’éditeur d’une base de• Exemple : base de données d’emails données d’emails L’utilisation de la base  L’utilisateur de la base 6
  7. 7. Les principes « loi informatique et libertés »• Obligations des responsables de traitement : • Formalités préalables ou registre du CIL (articles 22 et suivants) • la finalité des traitements (article 6-2°) • la durée de conservation des informations (article 6-5°) • la sécurité des fichiers (article 34) • la confidentialité des données (article 34) • l’information des personnes (article 32)• Droits des personnes dont les données sont collectées : • le droit à linformation (article 32) • le droit d’opposition - pas de motif légitime pour la prospection commerciale (article 38-2) • le droit daccès (article 39) • le droit de rectification (article 40) 7
  8. 8. Les données sensibles• Relatives à lorigine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, lappartenance syndicale, la santé ou la vie sexuelle.• La personne concernée doit avoir donné son consentement exprès (manifestation de volonté libre, informée et spécifique) pour que ses données sensibles fassent l’objet d’un traitement. Par ailleurs, leur renseignement doit être facultatif.• Exemple : publicité en fonction d’opinion politique ou d’orientation sexuelle 8
  9. 9. Les bases de données comportementales (bases consommateurs) 9
  10. 10. Enjeux• Constitution de bases de données segmentées selon les centres d’intérêts et les habitudes des consommateurs: • Collecte d’un grand nombre de données • Collecte de données fiables • Location ou cession des données à des tiers• Respect de la vie privée des consommateurs • Loyauté de la collecte • Information et droit d’opposition • Consentement 10
  11. 11. La collecte des données – Clarté et lisibilité• CNIL : Recommandation relative aux bases de données comportementales sur les habitudes de consommation des ménages constituées à des fins de marketing direct (Délibération n° 97-012 du 18 février 1997) • Pas d’ambigüité quant à la finalité du questionnaire. • Faire en sorte que le consommateur ait pleinement conscience que ses réponses seront amenées à alimenter des fichiers de prospection commerciale • Exemple : appellations « Institut » ou « sondage » pouvant laisser inexactement croire à une finalité statistique, voire officielle ayant pour objet la dissimulation de la réalité commerciale de l’opération 11
  12. 12. Information des consommateurs• Article 32 de la loi « informatique et libertés » : • Responsable de traitement • Finalité • Destinataires • Caractère facultatif ou obligatoire • Droit d’accès, de rectification et d’opposition • Existence d’un transfert hors UE• Information : • à délivrer au moment de la collecte • présente sur le formulaire de collecte et non uniquement dans les CGU 12
  13. 13. Information des consommateurs - suite• CNIL : Recommandation relative aux bases de données comportementales sur les habitudes de consommation des ménages constituées à des fins de marketing direct (Délibération n° 97-012 du 18 février 1997) • Information des conditions dans lesquelles les consommateurs pourront bénéficier des offres accompagnant les questionnaires, en particulier lorsque ces offres sont réservées aux seules personnes ne sétant pas opposées à la cession de leurs données à des sociétés extérieures • Information des personnes, et en particulier indication que des sociétés extérieures pourront être destinataires des informations les concernant, sauf opposition de leur part • Information des personnes de la possibilité de s’opposer à la cession de leurs données à des tiers, et des conséquences d’une telle opposition 13
  14. 14. Droit dopposition ou ...• Possibilité de s’opposer • Opposition à l’utilisation de ses données à des fins de prospection commerciale au moment de la collecte (article 96 du décret du 20 octobre 2005 modifié le 25 mars 2007) • Opposition à ce que des sociétés commerciales, autres que lorganisme qui procède au recueil de données, soient destinataires des informations nominatives les concernant (CNIL : Recommandation de 1997)• Exemple : case opt-out : case à cocher « non, je refuse … » 14
  15. 15. ... consentement préalable• Consentement préalable : Données sensibles (article 8 de la loi IL)• Exemple : case opt-in : case à cocher « oui, j’accepte … » 15
  16. 16. Formalités préalables• Norme simplifiée n° 48 - Déclaration normale - Registre du CIL • Exemple : Déclaration en 2006 de la base consommateurs Axciom (n°358759)• Autorisation : • Si flux hors UE dans un pays nassurant pas un niveau de protection des données adéquat (sauf BCR par exemple) • Interconnexion de fichiers à finalités différentes (article 25-I-5°) 16
  17. 17. Mauvaises pratiques• Oubli d’informer ou de proposer des cases opt-out ou opt-in• Echanges, cession ou location, de bases de données sans consentement du consommateur• Prospection électronique à partir d’adresses de courriers électroniques collectées dans les espaces publics de linternet (site web, annuaire, forum discussion,…) Sanctions de la CNIL ou sanctions pénales 17
  18. 18. Prospection par voie électronique (e-mail et SMS) 18
  19. 19. Les principes « informatiques et libertés » appliqués au marketing• Application d’un double régime juridique résultant de l’application des règles issues de : • Loi « Informatique et libertés » • Loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) article 22 – codifié aux articles L.34-5 du code des postes et des communications électroniques (CPCE) et L.121-20-5 du code de la consommation• Les règles sont différentes selon le vecteur de prospection utilisé : • Courrier postal • Téléphone avec intervention humaine • SMS • Automate d’appel • Em@il 19
  20. 20. La prospection commerciale par SMS/MMS• Pas de distinction de règlementation B2B / B2C• Le principe : opt-in. Pas de message préalable sans accord préalable du destinataire (article L. 34-5 du code des postes et télécommunications)• Deux exceptions : • si la personne prospectée est déjà cliente de lentreprise et si la prospection concerne des produits ou services analogues à ceux déjà fournis par l’entreprise. • si la prospection nest pas de nature commerciale (caritative par exemple)• Dans tous les cas, l’utilisation d’adresses électroniques collectées dans les espaces publics en ligne (site internet, annuaire, forum de discussion) est interdite. 20
  21. 21. La prospection commerciale par courrier électronique – B2C• Différences de règlementation entre les prospections B2B / B2C• Le principe : opt-in. Pas de message préalable sans accord préalable du destinataire (article L. 34-5 du code des postes et télécommunications)• Deux exceptions : • si la personne prospectée est déjà cliente de lentreprise et si la prospection concerne des produits ou services analogues à ceux déjà fournis par l’entreprise. • si la prospection nest pas de nature commerciale (caritative par exemple)• Dans tous les cas, l’utilisation d’adresses électroniques collectées dans les espaces publics en ligne (site internet, annuaire, forum de discussion) est interdite. 21
  22. 22. La prospection commerciale par courrier électronique – B2B• Le principe : Information préalable et droit d’opposition • Les adresses professionnelles génériques sont des coordonnées de personnes morales. Elles ne sont pas soumises aux principes du consentement. • Les coordonnées des employés ou gérants de sociétés peuvent être soumis au même régime à condition que l’objet de la sollicitation soit en rapport avec la profession de la personne démarchée (exemple : message présentant les mérites d’un logiciel à paul.toto@nomdelasociété , directeur informatique.) • la personne doit, au moment de la collecte de son adresse de messagerie être informée que son adresse électronique sera utilisée à des fins de prospection, et être en mesure de s’opposer à cette utilisation de manière simple et gratuite. 22
  23. 23. Prospection par voie électronique (@, SMS/MMS) - Information• Information quant aux finalités : utilisation de l’adresse à des fins de prospection• Mentions obligatoires : chaque message doit : • préciser lidentité de lannonceur (article L. 34-5 CPCE) • proposer un moyen simple de sopposer à la réception de nouvelles sollicitations (par exemple, un n° de téléphone non surtaxé où il est possible de se désinscrire à la fin du message). 23
  24. 24. Prospection par voie électronique ou SMS - Information : Droit dopposition ou ...• Possibilité de sopposer à l’utilisation de ses données à des fins de prospection commerciale au moment de la collecte (article 96 du décret du 20 octobre 2005 modifié le 25 mars 2007) • B2C : Prospection par voie électronique ou SMS uniquement pour des produits ou services analogues (L.34-5 CPCE) • B2B : Prospection à destination d’un professionnel – sollicitation en rapport avec son activité professionnelle• Exemple : case opt-out : case à cocher « non, je refuse … » 24
  25. 25. ... consentement préalable• Consentement requis : • B2C : • Prospection par voie électronique (@, SMS/MMS) • Transmission à des partenaires • Collecte de données sensibles (article 8 de la loi IL)• Exemple : case opt-in : case à cocher « oui, j’accepte … » 25
  26. 26. Mauvaises pratiques• Oubli d’informer ou de proposer des cases opt-out ou opt-in• Echanges, cession ou location, de bases de données sans consentement du consommateur (pour la prospection en B2C)• Prospection électronique à partir d’adresses de courriers électroniques collectées dans les espaces publics de linternet (site web, annuaire, forum discussion,…) 26
  27. 27. Les règles à respecter après la collecte 27
  28. 28. Durée de conservation• Proportionnée à la finalité … et données à jour (article 6-4) !• Recommandation actuelle : 1 an ou deux sollicitations restées sans réponse• Adaptation et modification prochaine de la NS48 28
  29. 29. Information et droit d’opposition• Dans chaque message électronique envoyé • L’identité de la personne pour le compte de laquelle la communication émise doit être apparente (article L.34-5 CPCE) • La possibilité de s’opposer doit être présente dans chaque message envoyé (article L.34-5 CPCE)• Rappel : possibilité de demander à tout moment que ses données soient supprimées ou non utilisées à des fins de prospection (article 38 de la loi IL)• Il n’est pas nécessaire d’invoquer des « motifs légitimes » pour s’opposer à ce que ses données soient utilisées à des fins de prospection (article 38 de la loi IL) 29
  30. 30. Droit dopposition en cascade« Le responsable du traitement auprès duquel le droit d’opposition a étéexercé informe sans délai de cette opposition tout autre responsable detraitement qu’il a rendu destinataire des données à caractère personnel quifont l’objet de l’opposition » (article 97 du décret de 2005 modifié en 2007) 30
  31. 31. Le droit d’accès et le droit de rectification• Droit d’accès (article 39 de la loi IL) : • Accès à l’intégralité de la fiche client en langage clair et intelligible • Communication du ou des classifications des segments utilisés lors d’une segmentation comportementale • Communication de l’origine du fichier loué• Droit de rectification de données erronées (article 40 de la loi IL) 31
  32. 32. Sécurité• Sécuriser sa base de données • « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (article 34 de la loi IL) • La protection des données nécessite des « mesures techniques et dorganisation appropriées » (article 17 de la directive 95/46/CE)• Guide sécurité (disponible sur le site de la CNIL) 32
  33. 33. Relais de l’action de la CNIL : les codes de déontologie élaborés par les professionnels du marketing direct et de la vente à distance• Exemples de codes existants : • Code sur les bases de données comportementales (1997 – FEVAD) • Code de déontologie européen sur le marketing direct (2003, FEDMA) • Codes sur l’« e-mailing » publiés par le SNCD et l’UFMD (2005) • Code sur le marketing de l’UFMD (2010)• Accompagnement et suivi de mécanismes d’autorégulation par la CNIL (article 11 de la loi IL) : • Donner un avis sur la conformité de règles professionnelles à la loi IL • Codes de 2005 : contiennent de nombreux modèles et des informations sur les techniques de parrainage 33
  34. 34. Renforcement des contrôles et sanctions• Contrôles et sanctions issues de : • Plaintes • Actualités • Signal Spam • Programme annuel des contrôles 2011• Infractions à la loi du 21 juin 2004 pour la confiance dans l’économie numérique. Contravention de 750 € par message irrégulièrement expédié• Infractions à la loi « Informatique et Libertés » du 6 janvier 1978.• Délit (peine d’emprisonnement et amende) 34
  35. 35. Exemples de sanctions• Cour de cassation - 14 mars 2006 - spam et collecte déloyale• Formation contentieuse de la CNIL – janvier 2008 : 15 000 euros damende pour FAC INTERNATIONAL et IMPACT NET – Prospection commerciale «ethnique»• Formation contentieuse de la CNIL – novembre 2008 : 30 000 euros d’amendes pour CDiscount et 30 000 euros d’amende pour Isotherm – non prise en compte du droit d’opposition• Formation contentieuse de la CNIL – juin 2010 : 15 000 euros d’amende - envoi de fax publicitaires non sollicités – base de données achetée par la société condamnée• Formation contentieuse de la CNIL – mars 2011 : 50 000 euros d’amende – pas de droit d’opposition lors de la Collecte des données• Formation contentieuse de la CNIL – novembre 2011 – 10 000 euros damende pour PM PARTICIPATION - collecte déloyale• Très nombreuses mises en demeure 35
  36. 36. Organismes sanctionnés• Annonceur – Utilisateur de sa propre base de données ou d’une base de donnée louée ou achetée• Fournisseur de la base de données• Location de fichiers externes : Garanties contractuelles à prévoir 36

×