Délibérations adoptées en 2001
— toute personne (client ou visiteur du site) doit pouvoir s’opposer en ligne
à une utilisation commerciale de ses données ou à une cession commerciale
des données ainsi collectées à un tiers, à des fins de prospection commerciale.
Une telle manière de voir n’est en rien contraire aux intérêts du commerce
électronique puisqu’elle permettrait à tout commerçant en ligne de recourir à
la messagerie électronique pour adresser des offres ou propositions nouvelles à l’ensemble de ses clients ou des visiteurs du site, dès lors que ces derniers auraient été préalablement informés, par une mention en ligne, d’une
telle éventualité et de leur possibilité de s’y opposer, comme l’exigent d’ailleurs les règles ordinaires de protection des données personnelles et comme
le pratique déjà l’ensemble des professionnels dans le monde hors ligne.
Elle permettrait également aux professionnels de céder leurs fichiers de
clients ou de prospects, ou d’utiliser le fichier d’un tiers mis à leur disposition, dès lors que les adresses électroniques ainsi utilisées, cédées ou acquises, concerneraient des personnes ayant été préalablement informées de
telles cessions ou de tels usages, et de leur droit de s’y opposer.
La solution préconisée par la Commission interdirait en revanche clairement
deux pratiques :
— la collecte massive (et à l’insu des personnes concernées) d’e-mail dans
les espaces publics de l’Internet où l’on peut souhaiter avoir un échange au
sein d’une communauté partageant un même sujet d’intérêt sans que son
adresse ou ses propos soient immédiatement exploités par un tiers à des fins
étrangères au forum ou à la liste de discussion ;
— la cession de données personnelles collectées par un site A à un tiers
lorsque les internautes ayant communiqué leur adresse électronique au site
A n’ont pas été informés de l’éventualité d’une telle cession et mis en mesure
de s’y opposer, aussitôt et en ligne.
De nombreux organismes de labellisation de sites commerciaux s’engagent
déjà à respecter de telles recommandations. Tel est notamment le cas de
L@belsite et du bureau Veritas. On comprend mal que la loi sur la société de
l’information ne soit pas mise à profit pour consacrer ces « bonnes pratiques » loin de tout débat, un peu dogmatique, entre le « opt in » et le « opt
out ».
Aussi, un principe général d’interdiction de collecte des adresses électroniques ou de toute autre donnée personnelle à partir des espaces publics de
l’Internet, sans le consentement des internautes, devrait-il être posé par la
loi. Toute collecte irrégulière d’adresse électronique dans ces conditions devrait être sanctionnée d’une amende par adresse, une disposition de cette
nature paraissant mieux adaptée et plus dissuasive que les dispositions générales de l’article 226-18 du code pénal qui sanctionne la collecte frauduleuse ou déloyale d’une peine de cinq ans d’emprisonnement.
Cette proposition n’exclut nullement la mise en œuvre de registres d’opposition que le projet de loi envisage et dont certains sont déjà mis en œuvre par
des organisations professionnelles. Mais elle leur conférerait, alors, la nature d’ultime « filet de sécurité »qui doit être la leur, comme dans le monde
du commerce hors-ligne.
Cette proposition serait conforme au socle de garanties reconnues en la matière par l’ensemble de l’Union européenne et de nature à prévenir les effets
du « spamming » en Europe.
240
e
CNIL 22 rapport d'activité 2001