Pignonsurmail - Toute l'actualité de l'emailing et du CRM Marketing vue par un professionnel

Ce texte, inspiré par la CNIL, venait en réaction à des abus manifestes en matière de gestion de données à caractère personnel, au souhait exprimé par les uns de mettre en place un droit à l’Oubli et des ressentis très négatifs sur le ciblage comportemental assimilé à un Big Brother en action, tandis que les règlementations européennes étaient elles aussi remaniées.

Sur un plan général, la proposition parait à contre temps de la tendance en Espagne, Italie, Allemagne…et en opposition au texte du considérant 66 de la directive européenne.

Plus gênant, la CNIL devient « juge et partie ».

Très restrictive, la proposition génère une discrimination manifeste de l’économie numérique française face à l’économie numérique mondiale dont l’effet est inévitablement un encouragement à la délocalisation vers des pays plus permissifs où le respect de la vie privée n’est pas ou peu pris en compte et le risque individuel alors aggravé.
Il suffira d’exercer hors de France pour piller sans contrainte une économie très affaiblie, laissant le consommateur sans recours.

Devant de tels dangers, les professionnels se sont mobilisés et les auditions se sont multipliées, pour être entendues. Le texte amendé et voté le 23 mars 2010 par nos sénateurs a su éloigner les principaux risques.

Le texte est dense et seuls quelques points sont présentés ici avec leurs arguments et résultats en première lecture:

• L’adresse IP, donnée personnelle passant par conséquent sous contrôle de la CNIL (avec révision nécessaire de la définition de la donnée personnelle au sens I&L).
  Or, l’adresse IP est un identifiant temporaire d’équipement, fourni par un FAI et régénéré à la demande, alors qu’une donnée personnelle caractérise durablement un individu. Le sens de "donnée personnelle" se trouve modifié. De plus, il y a impossibilité matérielle à déclarer des cookies auto-générés par les navigateurs....
  
  La formulation initiale n’a pas été retenue, c'est le numéro d'identifiant du titulaire d'un accès qui devient donnée personnelle.

• Le dépôt du cookie soumis à optin préalable.
  Brutalement le modèle économique d’internet allait s’effondrer, laissant aux sociétés hors territoire, libre champ, accentuant durablement une fracture déjà sensible;
  Pourtant, un optin cookie ne permet pas le contrôle de l’ensemble des cookies déposés, trompant l’internaute en générant une multiplication des fenêtres « pop up » de demande d’autorisation.
  Un optin cookie (c'est à dire une demande d'autorisation préalable à toute dépose) aurait généré un rejet global du cookie, la fin de la publicité ciblée, un coût d’arrêt au financement des services en ligne, un coup fatal à la presse en ligne, aux sites de contenus, au e-commerce et l’arrêt brutal d’une économie en forte croissance dont le "cookie est le carburant".
  L’internaute peut à tout moment, depuis son navigateur, refuser, effacer ou accepter les cookies, ces fonctions doivent être valorisées avec une information spécifique, claire et accessible.
  
  La formulation initiale n’a pas été retenue, il s'agit dorénavant d'une information élargie.

• Une extension du droit des personnes au droit de suppression.
  Parce que la suppression totale des données personnelles est techniquement délicate, voire dangereuse (si non sécurisée) et juridiquement contestable, le proposer ne semble pas conforme.
  Celle-ci ne peut s’exercer à la libre demande de la personne (obligation légale, fiscale ou commerciale, ni en cas de litige client). Le droit d’opposition existe, il garantit le respect de la vie privée.
  
  La formulation initiale a évolué avec cependant maintien du droit de suppression sans préciser d'avantage les modalités.

• Une information préalable dans le cas de collecte indirecte "avant la première communication", (mettant un coup d’arrêt au droit de communiquer à partir d’un optin partenaire).
  Un tel changement de modèle sur les Bases Mutualisées off et online aurait paralysé toute l’activité. Les professionnels souhaiteraient un droit d'opposition reposant sur l'annonceur, garantissant ainsi une remontée à la source, beaucoup plus efficace.
  
  La formulation initiale n’a pas été retenue, devenant "informer au plus tard lors de la première communication des données".

• La notification à la CNIL des failles de sécurité avec sanction et publication.
  Un tel événement, très préjudiciable à l’entreprise, se traduit en "triple peine" avec la mise en place d'une procédure lourde. le montant des sanctions est doublé. La formulation n'a pas évoluée.

Si certains articles ont bougé, d’autres mériteraient encore d’être modifiés.
Toute évolution législative doit tenir compte de la normalisation des dispositifs de protection des internautes et des contraintes techniques associées à l’utilisation des terminaux. L’orientation des textes législatifs se doivent d’être proportionnée aux finalités attendues.

Bloquer un pan de l’économie numérique par des mesures trop restrictives peut également avoir pour conséquence un effet désastreux sur la protection de la vie privée abandonnée, alors, à des pays dont la législation serait moins restrictive.

Surinformer l’internaute, c’est le perdre et perdre sa confiance…c’est aussi casser la fluidité attendue des sites et services associés.

Les organisations professionnelles ont des propositions précises allant dans le sens d’une information spécifique, claire, accessible et permanente, intégrant très précisément les contraintes techniques.
Les acteurs de l’économie numérique osent croire en l’autorégulation. Ils souhaitent encourager loyalement la confiance par la transparence, l’explication, la connaissance, sans diaboliser…

Cette proposition de loi, devenue « petite loi » ira à l’Assemblée (elle n’est pas encore inscrit), une volée d’amendements peut tout faire basculer… alors, les organisations professionnelles restent mobilisées…


Fabienne Granovsky - Consultant FGConseil.fr
www.fgconseil.fr