La prospection commerciale par courrier électronique est encadrée par deux référentiels légaux : l'article 34-5 du code des postes et des télécommunications et la loi informatique et libertés n°78-17 du 6 janvier 1978.

Sur le terrain du code des postes et des télécommunications, toute prospection commerciale par voie électronique est soumise à l'accord préalable de la personne concernée. La personne prospectée doit être mise en mesure de manifester un accord de volonté libre, spécifique et informé.

Sur le terrain de la loi informatique et libertés, les personnes prospectées doivent être informées du traitement de leurs données, de l'entité responsable dudit traitement et des droits d'accès, de rectification et d'opposition qu'elles peuvent exercer à l'égard de ce traitement.

La CNIL a récemment mis en application ces dispositions légales en mettant en demeure, par une décision du 13 octobre 2014, une entreprise de mettre en conformité son dispositif de prospection commerciale par email. Dans le cadre de son activité d’édition de magazines et de sites Internet, l’entreprise a mis à disposition des internautes sur ses sites Internet, des formulaires d'inscription pour recevoir par email les newsletters du site sur lequel ils se trouvent et leur donnant la possibilité d’accepter, par des cases à cocher, de recevoir les newsletters des autres sites de l’entreprise et/ou offres des partenaires.

Lors de son contrôle, la CNIL a constaté plusieurs infractions susceptibles de sanctions pénales, notamment :
- les formulaires d'inscription proposés par l’entreprise comportent uniquement la mention suivante :"oui, je souhaite recevoir les newsletter du groupe" sans préciser à la personne à combien et à quelles newsletters elle s'inscrit. Selon la CNIL, le consentement donné par la personne prospectée ne peut donc pas être considéré comme libre, spécifique et informé.
- les personnes ayant exercé leur droit d'opposition continuent à recevoir des newsletters.
- les données des prospects sont conservées à compter de l'ouverture d'un courriel ou d'un clic sur un lien proposé dans un courriel, ce qui n'est pas conforme à la norme simplifiée n°48 concernant les traitements de données à caractère personnel relatif aux clients et aux prospects à laquelle l'entreprise a souscrit un engagement de conformité. Selon cette norme, la durée de conservation des données est de 3 ans à compter du dernier contact émanant du prospect (exemple: demande de documentation).
- l'entreprise ne se conforme pas à son obligation d'assurer la confidentialité des données car le contrat de prestation informatique conclu et qui inclue une prestation d'hébergement des données à caractère personnel ne comportait aucune clause spécifique précisant les obligations du prestataire en matière de confidentialité des données.

L'entreprise a un mois pour se mettre en conformité avec les injonctions de la CNIL.

Compte tenu du nouveau pouvoir de contrôle en ligne de la CNIL, il est recommandé aux entreprises de vérifier la conformité de leurs dispositifs de prospection commerciale, leurs formulaires de collecte de données à caractère personnel et les contrats conclus avec leurs prestataires informatiques.

Cécile Fontaine, Avocat, département NTIC, KGA Avocats