Le point sur :e-commerce et protection de la vie privée du consommateur

Droit

12 octobre 2010

Les législations francaises et européennes visent à protéger la vie privée des internautes, y compris celle des cyberconsommateurs. Elle encadrent la collecte de données personnelles. Le point sur les cookies et le spam.

Le cadre juridique du droit des données personnelles a pour objet la protection de la vie privée, y compris celle des consommateurs. Il est constitué notamment par la directive 95/46/CE du Parlement Européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi que par la loi française du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, complétée par la loi du 6 août 2004.

Dans ce contexte de protection des données personnelles, on peut s’interroger sur la façon dont est abordée la protection de la vie privée du consommateur en matière de commerce électronique et de web marketing. Internet favorise, en effet, la multiplicité des outils de marketing ayant pour objet de fidéliser les clients et facilite la mise à disposition de services sur mesure, une personnalisation déduite de l’analyse du comportement de l’internaute. Exemple, l’utilisation par les entreprises des cookies, soit l’enregistrement d’informations par le serveur dans un fichier texte, situé sur l’ordinateur client, informations que seul ce serveur peut modifier ultérieurement.

Les cookies

Ces cookies permettent d’enregistrer les traces de navigation de l’internaute et stocke des informations sur les habitudes et préférences de l’utilisateur : le nom de domaine où le cookie a été émis, la date d’expiration du cookie, le nom du témoin de connexion, ainsi que la date et l’heure de visite de l’internaute, les réponses collectées par l’intermédiaire d’un formulaire en ligne. Le cookie peut être, par conséquent, nominatif. Des cookies peuvent ainsi être mis en place durant la phase de téléchargement d’images ou d’affichage de la page d’un site Internet.

Cette pratique peut être considérée comme une intrusion dans la vie privée des consommateurs. Des informations nominatives peuvent être collectées par le biais de cookies quand l’internaute s’inscrit à un service gratuit d’email.

En ce sens, la loi Informatique et Libertés dans son article 32-2 indique que « toute personne utilisatrice des réseaux de communication électronique doit être informée de manière claire et complète, par le responsable du traitement ou son représentant, de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ; des moyens dont elle dispose pour s’y opposer. Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
- soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique,
- soit est strictement nécessaire à la fourniture d’un service de communication en ligne, à la demande expresse de l’utilisateur ».

Afin d’assurer une complète transparence, et éviter que les données soient collectées à l’insu de la personne, une information complète doit être communiquée à l’internaute. C’est en ce sens que la Cnil (Commission nationale Informatique et Libertés) invite l’éditeur d’un site à faire figurer certaines mentions, selon que le cookie stocke les informations fournies par la personne concernée ou est relatif à la navigation de l’internaute.

Cette pratique constituant à mettre œuvre un traitement de données est visée par la norme simplifiée relative à la gestion des fichiers de clients et prospects, adoptée le 7 juin 1005 par la Cnil. En conséquence, elle est autorisée sous les réserves précitées.

A l’inverse, d’autres pratiques sont considérées comme illicites. Par exemple, l’utilisation de logiciels collectant automatiquement les adresses électroniques sur les sites Internet. Cette procédure peut constituer une infraction au sens de l’article 226-18 du Code Pénal qui prévoit des peines de cinq ans d’emprisonnement et 300 000 euros d’amende pour toute collecte frauduleuse de données nominatives. Cette infraction n’est pas constituée s’il n’y a pas de conservation des adresses, et en cas de consentement de l’intéressé.

Le spamming

La loi encadre également strictement le spamming dans l’article L121-20-5 du Code de la Consommation. Selon cet article, est interdite la prospection directe au moyen d’un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen. Selon l’article 22 de la Loi pour la Confiance dans l’Economie Numérique (LCEN), on entend par consentement : toute manifestation de la volonté libre spécifique et informée.

Il importe que ces sollicitations commerciales soient présentées comme telles et que l’expéditeur du message soit clairement identifié. De même, l’article L226-18-1 du Code Pénal « punit de cinq ans d’emprisonnement et 300.000 euros d’amende le traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciales ».

On peut également considérer que certaines procédures de création d’un compte client et d’identification en ligne, contiennent des questions ou des données qui dépassent le simple cadre de l’achat envisagé par l’internaute. Les informations le plus souvent sollicitées concernent la famille, l’âge, voire des habitudes de consommation qui sont sans rapport avec l’acte d’achat ou sa personnalisation.

En ce sens, la recommandation n°07-02 de la Commission des Clauses Abusives a rappelé que plusieurs conditions générales confèrent au vendeur le droit de communiquer à des tiers, dont l’identité n’est pas précisée, les données nominatives concernant le client, afin qu’ils puissent lui adresser une prospection directe ; « en laissant ainsi croire que le consommateur a consenti de façon générale à la diffusion de ses données personnelles en vue d’une prospection directe par voie électronique, et ainsi ses données mises en circulation, elles emportent un déséquilibre significatif à son détriment ».

La Commission considère donc cette clause abusive et recommande qu’elle soit supprimée des contrats de commerce électronique. Le Tribunal de Grande Instance de Paris a ainsi eu l’occasion de se pencher sur les clauses relatives aux données personnelles du contrat Amazon et, par jugement du 28 octobre 2008, a considéré que ces clauses qui prévoyaient des diffusions ultérieures, sans consentement express du consommateur étaient abusives.

Encadré

L’avis des internautes

Selon une enquête réalisée par l’Union Européenne, en juillet 2009, sur plus de 25 000 citoyens européens âgés de plus de 15 ans, un tiers des consommateurs n’avait pas lu les mentions légales concernant la protection des données personnelles sur les sites web visités et 15% ont indiqué les consulter rarement. Pour le tiers de ceux qui ont les lu, leurs contenus ont été jugés « tout à fait peu clairs » et 11% les ont trouvés « très peu clairs ». Et si 11% de ces répondants considèrent que, souvent, leur intimité n’est pas correctement protégée, 41% indiquent toujours utiliser les sites en question.