La loi n°2016-1321 du 7 octobre 2016 pour une République numérique a introduit de nouvelles possibilités en matière de publicité ciblée. Notamment, les articles 68 et 120 de cette loi permettent à certains acteurs de mettre en oeuvre des traitements automatisés analysant le contenu des correspondances électroniques à des fins publicitaires.
Le décret d’application de cette mesure est paru au journal officiel du 30 mars 2017, et entre en vigueur dès le 31 mars 2017. Il s’agir du décret n°2017-428 du 28 mars 2017 relatif à la confidentialité des correspondances électroniques privées.
Quelles sont les modalités à respecter pour effectuer du ciblage publicitaire sur la base de correspondances électroniques ?
Quels acteurs sont concernés ?
L’article L32-3 du Code des postes et des communications électroniques, modifié par la loi du 7 octobre 2016, encadre et aménage le secret des correspondances électroniques.
Le texte ne se limite pas aux services purement axés sur l’échange de correspondance électronique, comme les messageries. Sont concernés tous les « services de communication au public en ligne permettant à leurs utilisateurs d’échanger des correspondances. ». Il peut donc s’agir également de services sur internet qui ne contiennent qu’à titre accessoire un service de messagerie privée : forum de discussion, jeu en ligne, plateforme de mise en relation, etc.
Par principe, les fournisseurs de services concernés sont soumis au secret des correspondances. Ils sont donc très limités dans leurs possibilités d’utiliser ou d’accéder aux messages privés de leurs utilisateurs et aux métadonnées qui y sont attachées.
Quelles utilisations des correspondances sont-elles autorisées ?
Le secret des correspondances connait cependant des exceptions si le fournisseur recourt à un traitement automatisé d’analyse.
Un tel traitement peut être mis en place par le fournisseur s’il est nécessaire « à des fins d’affichage, de tri ou d’acheminement des correspondances, ou de détection de contenus non sollicités ou de programmes informatiques malveillants. ». Dans ce cas, nul besoin d’accord de la personne concernée.
La loi pour une République numérique a introduit la possibilité pour le fournisseur de mettre en place un traitement automatisé d’analyse « à des fins publicitaires, statistiques ou d’amélioration du service apporté à l’utilisateur ». Cette disposition permet au fournisseur de procéder à de la publicité ciblée sur la base des messages privés échangés par les utilisateurs de son service. Cependant dans ce cas de figure, le fournisseur doit obligatoirement obtenir le consentement exprès de l’utilisateur et ce, à intervalle régulier. C’est sur ce dernier point que le décret est intervenu.
Le décret précise en son article 1er que le fournisseur qui souhaite effectuer un traitement automatisé d’analyse des correspondances d’un de ses utilisateurs à des fins publicitaires, statistiques ou d’amélioration de ses services devra recueillir son consentement tous les ans.
Pour les traitements de ce type qui existent avant l’entrée en vigueur du décret, les fournisseurs bénéficient d’un délai de six mois pour recueillir valablement le consentement exprès des utilisateurs concernés.
A noter que le consentement recueilli doit être spécifique à chaque traitement : il ne peut concerner ces trois finalités de manière globale.
Que retenir ?
Pour résumer, voici les points à retenir si vous fournissez un service de communication au public en ligne permettant à vos utilisateurs d’échanger des correspondances.
Par défaut, le secret des correspondances s’applique aux messages échangés via votre service : ce secret couvre le contenu des messages, l’identité des correspondants, l’intitulé des messages et les documents qui y sont joints. Cependant, vous pouvez mettre en place un traitement automatisé d’analyse des messages privés de vos utilisateurs si cela est nécessaire à la fourniture de ce service ou à sa sécurité.
Il est possible de mettre en place un traitement automatisé d’analyse des correspondances de vos utilisateurs à des fins publicitaires (notamment pour faire parvenir à vos utilisateurs des publicités personnalisées), statistiques ou d’amélioration de vos services. Pour cela, il faut recueillir le consentement exprès de l’utilisateur pour chacune de ces finalités. Ce consentement n’est valable qu’un an : il conviendra au terme de cette période de le recueillir à nouveau.
Si vous avez mis en place un traitement automatisé d’analyse des correspondances de vos utilisateurs antérieurement au 31 mars 2017, il est impératif de recueillir avant le 30 septembre 2017 le consentement de vos utilisateurs. Ce consentement devra être exprès et spécifique à chacune des finalités poursuivies.