La CNIL et les fichiers e-mails
La loi du 6 janvier 1978 encadre, en droit Français, la constitution de fichiers nominatifs.
Est considéré comme nominatif tout fichier permettant d’identifier directement ou indirectement une personne physique.A ce titre, sont considérées comme des informations nominatives les nom, adresse, numéro de téléphone des personnes, mais également les e-mails.
En effet, l’adresse e-mail est considérée comme une donnée indirectement nominative, puisque rattachée à une personne physique. Peu importe que celle-ci ne reprenne pas systématiquement le nom de l’intéressé. A ce titre, la collecte d’adresses e-mail se voit appliquer le cadre général de la loi du 6 janvier 1978.
Il appartient donc au professionnel de respecter deux séries d’obligations :
– d’une part, une obligation de déclaration,
– d’autre part, une obligation d’information envers les personnes objet de la collecte.
Sur l’obligation de déclaration
La personne responsable du fichier doit établir une déclaration préalable à la mise en place du fichier. Cette déclaration peut revêtir plusieurs formes qui varieront selon le procédé utilisé pour la collecte et l’exploitation.
S’agissant d’une collecte réalisée par tout moyen, hormis le site Internet, une déclaration simplifiée pourra être mise en place si ce traitement correspond à l’une des normes simplifiées mise en place par la CNIL.
S’agissant d’une collecte via un site Internet, la déclaration pour site Internet doit être mise en œuvre par l’entreprise. Cette déclaration nécessite donc d’informer la CNIL sur différents points relatifs à l’exploitation de ce fichier et des éventuels transferts ou cessions d’adresses e-mails.
Sur l’obligation d’information
Le titulaire du fichier doit également respecter le droit d’accès et d’information de chaque personne objet de la collecte.Elle dispose du droit, à tout moment, d’accéder aux informations détenues sur elle, de se voir communiquer ces informations et d’exercer son droit de retrait, d’opposition ou de rectification sur ces informations. L’entreprise doit alors communiquer l’ensemble des informations qu’elle détient sur la personne lors de l’exercice du droit d’accès.
Il est recommandé de répondre à l’intéressé dans un délai de trente jours à compter de la réception de la demande.
Le transfert de fichiers
En matière de transfert de fichiers, il appartient à l’entreprise cessionnaire de s’assurer que le fichier a bien été constitué sur les règles prévues ci-dessus.Néanmoins, le simple droit d’information ne sera pas suffisant pour permettre le transfert en toute légalité du fichier. En plus du droit à l’information visé ci-dessus, l’entreprise cédante doit s’assurer qu’elle a bien recueilli l’autorisation de l’intéressé en vue d’effectuer le transfert.
Le transfert de fichiers est donc soumis au consentement exprès des personnes dont les coordonnées sont contenues dans ce fichier.
Cette autorisation expresse pose la question des moyens de preuve, s’agissant d’accords recueillis au moyen de pages Internet.En effet, la preuve du consentement de l’intéressé devra être apportée par l’entreprise qui a enregistré cette information.
Pour que la preuve soit considérée comme fiable sur le plan technique, il est nécessaire qu’un certain nombre de règles en matière d’archivage soient respectées.
D’autres contraintes peuvent exister en matière de transfert de fichiers. Il s’agit notamment des cas de transfert vers des Pays hors Union Européenne.L’entreprise cédante doit s’assurer que son cessionnaire situé hors Union Européenne appartient à un Pays garantissant le même niveau de sécurité que la législation Communautaire.
En toute hypothèse, sa responsabilité solidaire pourra être engagée pour une exploitation non conforme à la protection que la législation Communautaire octroie aux Citoyens Européens.
Des règles spécifiques de compétence ont également été prévues afin de permettre aux Citoyens Européens de faire prévaloir leurs droits.
Bonjour à tous,
Jolie loi qui ne sert strictement à rien puisque personne ne peut ou ne veut la faire respecter(même la CNIL). (Je parle en connaissance de cause, puisque cela fait longtemps que je lui signale des “spamms” que je continue à recevoir, sans réponse ni résultat.)
A moins que je n’utilise pas “la bonne procédure”?… Auquel cas, si quelqu’un sait comment faire (la demande auprès des sociétés “spammeuses” est vaine!), qu’il soit aimable de m’en informer. (Je reçois, aussi, sur mon e-mail de la poste de nouveaux spamms et ceci malgré mes demandes répétées de mise en liste « courrier prohibé » des auteurs « d’offres commerciales non sollicitées de ma part ».)
Merci.
Cordialement.
(Un citoyen du net désespéré de pouvoir un jour faire respecter ses droits.)