K.Pratique

Saisissez votre adresse mail pour recevoir nos articles :




A propos de l'auteur
Laurent Badiane

Avocat au Barreau de Paris depuis 2007
Associé depuis 2017
Bureau : Paris
Secrétariat : Françoise Delaroche + 33 (0)1 44 95 20 40
Email : l.badiane@kga.fr

Précision sur la périodicité du recueil du consentement pour l'exploitation informatique des correspondances électroniques


Un décret n° 2017-428 du 28 mars 2017 relatif à la confidentialité des correspondances électroniques privées a été publié le 30 mars 2017 au Journal Officiel.

Ce décret, pris en application de l’article 68 de la loi du 7 octobre 2016, dite loi pour une République numérique, fixe la périodicité du recueil du consentement nécessaire à l’exploitation informatique du contenu des correspondances électroniques privées des usagers.

Ce décret est entré en vigueur le 31 mars 2017.


A. Les acteurs concernés

La correspondance privée peut être définie comme « tout message exclusivement destiné à une ou plusieurs personnes physiques ou morales, déterminées et individualisées » . (1)

La loi pour une République numérique a modifié les articles L32 et L32-3-I du code des postes et des communications électroniques et a étendu le champ d’application de la confidentialité des correspondances privées.

Les prestataires concernés par l’obligation de confidentialité et les nouvelles dispositions de la loi sont à la fois les « opérateurs », à savoir les opérateurs de télécommunication, et les « fournisseurs de services de communication au public en ligne permettant à leurs utilisateurs d’échanger des correspondances » . (2)

Sont donc concernés par les dispositions de ce texte tous les services de messagerie privée, c’est à dire tous acteurs permettant à deux personnes de correspondre en ligne dans le cadre de leur service. Cette définition large inclut tous les prestataires proposant un service de messagerie privée, à titre principal ou accessoire (forums de discussion, réseaux sociaux, plateformes de mises en relation, etc.).

B. Les conditions de l’exploitation des correspondances privées

La loi du 7 octobre 2016 précise également que le secret porte sur le « contenu de la correspondance, l'identité des correspondants ainsi que, le cas échéant, l'intitulé du message et les documents joints à la correspondance » . (3)
Surtout, la loi vient préciser les différentes modalités d’exploitation de ces correspondances par les opérateurs et fournisseurs du service.

L’obligation de respecter le secret des correspondances ne fait pas obstacle au traitement automatisé d’analyse « à des fins d'affichage, de tri ou d'acheminement des correspondances, ou de détection de contenus non sollicités ou de programmes informatiques malveillants, du contenu de la correspondance en ligne, de l'identité des correspondants ainsi que, le cas échéant, de l'intitulé ou des documents joints(…)»
(4)

Par ailleurs, l’exploitation des correspondances privées aux fins (i) d’amélioration du service de communication au public en ligne, (ii) réalisation de statistique et (iii) utilisation à des fins publicitaires est interdite à défaut de consentement exprès et spécifique à chaque traitement de la personne concernée. Cela vise notamment le fournisseur qui a recourt à une publicité ciblée sur la base des messages privés échangés entre les utilisateurs de son service.

C. Renforcement du consentement

L’article L32-3 du code des postes et des communications électroniques précise que ce recueil de consentement obligatoire doit être renouvelé « à une périodicité fixée par voie réglementaire, qui ne peut être supérieure à un an (…) ».


Et c’est précisément sur ce point qu’intervient le décret du 28 mars 2017, qui vient ainsi fixer cette périodicité à un an en modifiant l’article D98-5-I du code des postes et des communications électroniques . (5)


Le décret indique également que pour les traitements antérieurs à la date de son entrée en vigueur, le premier consentement devra être recueilli dans les 6 mois à compter de cette date, soit au plus tard le 30 septembre 2017.

Les différents prestataires de services de communication électronique doivent donc s’organiser pour recueillir un consentement périodique. Il convient également de noter que le consentement recueilli doit être spécifique à chaque traitement, et qu’il ne peut donc pas concerner les trois finalités visées par le texte dans leur ensemble. Plus récemment, la CNIL est venue rappeler que ce consentement devait être « libre, spécifique, et informé ». De même, elle a précisé que ce consentement devait résulter d’un acte « positif » et être « préalable à la collecte des données, c’est-à-dire à la réalisation du traitement » . (6)

Les opérateurs et fournisseurs de service de communication au public en ligne doivent donc dès maintenant organiser ce recueil du consentement en tenant compte des différentes exigences imposées par le code des postes et des communications électroniques, dans sa version modifiée suite à la loi du 7 octobre 2016, et celles résultant de son décret d’application. En pratique, ces derniers devront être vigilants dans la rédaction des conditions générales d’utilisation de leurs services, qui devront être particulièrement claires sur les modalités d’exercice du consentement obligatoire en matière d’exploitation des correspondances privées concernées.

A noter finalement qu’avec l’application du règlement européen relatif à la protection des données personnelles en mai 2018, les responsables de traitement devront être en mesure de prouver que les utilisateurs ont effectivement consentis à l’exploitation de leurs correspondances privées, et qu’ils ont été avertis de la possibilité de retirer leur consentement.



(1) Jugement du Tribunal d'instance de Puteaux du 28 septembre 1999. Cette définition a été reprise par la CNIL - Communiqué de la CNIL du 31 mars 2017
(2) Article L32-3 I. et II. du code des postes et des communications électroniques
(3) Article L32-3 I. du code des postes et des communications électroniques
(4) Article L32-3 IV. du code des postes et des communications électroniques
(5) Article D98-5 I « Pour l'application des dispositions du IV de l'article L. 32-3, la périodicité du recueil du consentement exprès de l'utilisateur est fixée à un an »
(6) Communiqué de la CNIL du 31 mars 2017


Rédigé par Laurent Badiane, Marie Auger le Vendredi 21 Avril 2017

        

Nouveau commentaire :
Facebook Twitter


Une publication du cabinet


S'abonner

Saisissez votre adresse mail pour recevoir nos articles




Nous suivre en ligne

Facebook
Twitter
Rss
iPhone

KGA Avocats sur votre mobile

Store

Facebook + Twitter


Recherche


NOS CHRONIQUES

Clause Molière, acte II : validation d’une clause d’interprétariat

18/07/2017 - Stéphane Bloch, Fabien Crosnier

La réglementation du coavionnage censurée par le Conseil d’Etat

05/07/2017 - Eve Derouesne, Verlaine Etame Sone

Motivation de la lettre de licenciement : le droit à l’erreur

04/07/2017 - Stéphane Bloch, Fabien Crosnier

Focus sur le Délégué à la Protection de Données

29/06/2017 - Laurent Badiane, Charlotte de Dreuzy

Clauses Molière : traiter le mal à la Racine

15/06/2017 - Anna Stefanini-Coste, Fabien Crosnier