Décision commentée : CA Paris, pôle 1, ch. 8, 10 mars 2017, nº 16/03440
Les prestataires de service de communication électronique peuvent aujourd’hui accéder à l’intégralité des contenus échangés sur leurs plates-formes. Pour autant, pouvoir n’est pas devoir et la jurisprudence, tout comme la Commission nationale de l’informatique et des libertés (« CNIL ») ont été amenées récemment à venir borner ces prérogatives, aux fins d’imposer à ces prestataires des garde-fous à de possibles contournements au principe du secret des correspondances. Cependant, une marge de manœuvre non négligeable demeure au bénéfice de ces prestataires, qui leur permettrait de s’ériger en gardiens de la « bonne » et de la « mauvaise » publicité.
Dans l’exercice de leur activité, les prestataires de services de messagerie électronique ont accès à de nombreuses données liées aux correspondances qui transitent au travers de leurs infrastructures. Si une telle immixtion est parfois requise pour la fourniture effective de leurs services, elle peut également permettre des services à valeur ajoutée pour les utilisateurs (filtre antispam) comme pour les partenaires publicitaires des fournisseurs eux-mêmes.
Le 10 mars 2017, la Cour d’appel de Paris1)CA Paris, pôle 1, ch. 8, 10 mars 2017 est venue limiter les prérogatives d’un prestataire de service de communication électronique (Free), qui avait pris l’initiative de procéder de manière régulière au blocage des serveurs de messagerie d’une société d’édition de logiciels de messagerie unifiée (Buzzee). Free justifiait de tels blocages par la constatation de l’envoi par la société Buzzee de messages indésirables ou spams.
Sur le double fondement de l’obligation de neutralité qui s’impose à tout opérateur mais également sur l’absence de mandat contractuel qui aurait autorisé Free à opérer ce filtrage, la Cour d’appel a condamné les pratiques de Free, pour enjoindre le déblocage des serveurs et adresses IP de Buzzee.
Cependant, cette décision laisse par la même occasion une certaine marge de manœuvre à ces prestataires pour prévoir contractuellement une possibilité de procéder au filtrage des courriers considérés, par ces mêmes prestataires, comme non sollicités par les utilisateurs (I).
Dans le même temps, cet accès aux correspondances peut également mener à l’utilisation de ces mêmes contenus à des fins publicitaires, pour mieux cibler les campagnes mais également promouvoir les services de partenaires.
Cette possibilité, bien que prévue par la loi « pour une République numérique » 2)Article 68 de loi nº 2016-1321 du 7 octobre 2016 « pour une République numérique » modifiant l’article L. 32-3 du CPCE , se devait d’être encadrée afin de limiter les dérives éventuelles. Dans le cadre du décret d’application de la loi relatif au secret des correspondances, la CNIL a publié une délibération relative aux conditions dans lesquelles de tels prestataires pouvaient accéder au contenu de correspondances de leurs utilisateurs3)Délibération de la CNIL du 12 janvier 2017, nº 2017-001..
Par le biais de cette délibération, elle laisse une certaine marge de manœuvre aux prestataires de service de messagerie électronique pour exploiter la correspondance privée à des fins non seulement d’amélioration de leurs services mais également à des fins publicitaires (II). Au travers d’une rédaction similaire à celle de la Cour d’appel de Paris, la CNIL limite cette possibilité à l’obtention préalable d’un consentement spécifique par les utilisateurs du service.
I. – L’« OSTENTUS MALUS » – UNE POSSIBILITÉ DE FILTRAGE LIMITÉE
Si le filtrage des messages jugés indésirables par les seuls prestataires de services de messagerie électronique est en premier lieu censuré par la Cour d’appel de Paris sur le fondement du principe de neutralité (A), cette dernière leur laisse néanmoins une marge de manœuvre, sous réserve du recueil du consentement spécifique de leurs utilisateurs aux fins d’un tel filtrage (B).
A. – Une limitation fondée sur le principe de neutralité
L’arrêt précité de la Cour d’appel de Paris s’ouvre sur une validation du raisonnement et des motifs des juges du fond. Ceux-ci s’étaient d’ores et déjà fondés sur la nécessité de respecter le principe de neutralité tel qu’il résulte de l’article D. 98-5 I du Code des postes et des télécommunications électroniques (« CPCE »)4)« L’opérateur prend les mesures nécessaires pour garantir la neutralité de ses services vis-à-vis du contenu des messages … Continue reading. C’est la lettre de celui-ci qui justifie, pour la Cour, sa décision d’enjoindre le déblocage des serveurs et des adresses IP de la société Buzzee, blocage qui avait été initié par Free.
En effet, l’article D. 98-5 I du Code des postes et des télécommunications électroniques prévoit l’obligation pour les prestataires de communications électroniques de respecter le principe de neutralité, ce qui impose au prestataire d’assurer ses services « sans discrimination, quelle que soit la nature des messages transmis », tout comme de prendre « des dispositions utiles pour assurer l’intégrité des messages »5)Art. D. 98-5 CPCE..
Par sa décision, la Cour approuve les juges du fond qui ont considéré que cette obligation de neutralité s’étendait aux opérateurs « en tant que distributeurs de courriers électroniques »6)CA Paris – 10 mars 2017, et qui, par voie de conséquence, les prive de « la liberté de ne pas acheminer certains messages, fussent-ils qualifiés de “spams”, de leur propre initiative et selon des critères d’appréciation qui leur sont propres ». À la suite de cette affirmation, la Cour d’appel prend soin de relever qu’aucune dérogation au principe de neutralité tel qu’il l’est prévu par l’article D. 98-5 du Code des postes et des télécommunications électroniques n’est susceptible de s’appliquer, en l’absence de toute « injonction », « demande d’une autorité administrative habilitée ou judiciaire », ou de toute disposition législative ou réglementaire autorisant l’opérateur à déroger au principe de neutralité.
Ce respect de la lettre réglementaire non seulement s’oppose aux arguments soulevés par Free, qui tenaient essentiellement à la nécessité de respecter l’obligation de « permanence, de qualité et de disponibilité du réseau et du service » (pourtant également prévue au CPCE 7)Art. D. 98-4 CPCE (7) ), mais souligne également sa supériorité. En effet, bien que cette obligation de disponibilité et de qualité s’impose également, elle ne peut, pour la Cour d’appel, que succomber face au caractère unilatéral des mesures prises par Free pour procéder au blocage des serveurs et des adresses IP, la durée et les critères de ces mesures ayant été « définis par le seul distributeur » 8)CA Paris, 10 mars 2017.
Cette solution est inédite en ce qu’elle se fonde expressément sur l’obligation de neutralité, telle qu’introduite au sein de l’article D. 98-5 du Code des postes et des télécommunications électroniques à la suite de l’adoption récente de la loi « pour une République numérique » et de son décret d’application.
Au-delà de sa consécration législative et réglementaire, cette obligation de neutralité se voit désormais mobilisée afin de limiter les prérogatives ainsi que les éventuelles tentations d’ingérence des prestataires de services de communications électroniques, quand bien même motivée par le confort de leurs utilisateurs, et malgré eux. C’est effectivement cette anticipation, par le prestataire, de la volonté de ses utilisateurs qui parachève la motivation des juges parisiens.
B. – Une limitation renforcée en l’absence de mandat de filtrage des correspondances
Une fois la primauté du principe de neutralité rappelée, la Cour d’appel de Paris approuve la décision des juges du fond, en ce qu’elle avait relevé qu’« aucune clause des conditions générales de vente à ses clients ne mandatait Free pour filtrer les messages de ses clients » 9)CA Paris, 10 mars 2017. Cet argument est sollicité à plusieurs reprises par la Cour au fur et à mesure de sa décision, précisant que ce filtrage, qu’il soit direct ou indirect, n’avait pas été prévu au sein des conditions générales de vente de Free, ni au sein de tout autre contrat 10)CA Paris, 10 mars 2017.
Une fois encore, elle approuve les juges du fond d’avoir suivi la lettre de l’article D. 98-5 du Code des postes et des télécommunications électroniques, qui précise effectivement dans son dernier alinéa certaines dérogations au principe du secret des correspondances dès lors que le consentement exprès de l’utilisateur a été préalablement recueilli à cette fin.
L’application a contrario de la décision de la Cour d’appel laisse ainsi une porte ouverte pour les prestataires de services de messagerie électronique qui souhaiteraient procéder au filtrage des correspondances de leurs utilisateurs, notamment à des fins d’amélioration (ou, à tout le moins, de maintien de la qualité) de leurs services.
Cette possibilité de filtrage serait cependant conditionnée à l’information et au recueil préalable du consentement des utilisateurs à cette fin spécifique. Ces formalités permettraient également d’éviter toute prise de décision unilatérale de filtrage par les prestataires de messagerie électronique.
Cette solution serait en accord avec l’Article D. 98-5 du Code des postes et des télécommunications électroniques, renvoyant à l’Article L. 32-3 du même code traitant du secret des correspondances, qui impose aux opérateurs de recueillir le consentement exprès et spécifique à chaque traitement de la part des utilisateurs des services. Aux termes de ces dispositions, ce consentement devra également être renouvelé de manière périodique.
Cette brèche ouverte par la Cour d’appel de Paris laisse donc la possibilité aux prestataires de services de communications électroniques de déroger, par le biais d’aménagements contractuels, aussi bien au principe de neutralité qu’au secret des correspondances, dès lors qu’ils disposent d’un mandat exprès de procéder au filtrage des correspondances de leurs utilisateurs.
Dès lors, il est permis à ces opérateurs de s’ériger en preux chevaliers garants de la « bonne » ou « mauvaise » publicité et de procéder au filtrage des courriers, selon leurs propres critères d’appréciation, établis de manière unilatérale.
Cette notion de « consentement, informé et préalable », n’est pas sans rappeler les débats de la CNIL 11)Voir notamment la consultation lancée le 27 février 2017 et de ses homologues européens, notamment dans le cadre de la finalisation du cadre opérationnel du règlement général sur la protection des données (« RGPD ») 12)Règlement nº 2016/679 du Parlement européen et du Conseil du 27 avril 2016 « relatif à la protection des personnes physiques à l’égard … Continue reading, qui produira ses effets au plus tard le 25 mai 2018.
II. – L’« OSTENTUS BONUS » – UNE POSSIBILITÉ D’EXPLOITATION ENCADRÉE
Peu de temps avant la décision de la Cour d’appel, la Commission est également venue se prononcer sur la possibilité offerte aux opérateurs intervenant dans le secteur des communications électroniques d’interférer avec le secret des correspondances en vue d’exploiter les correspondances privées de leurs utilisateurs. Elle a néanmoins, elle aussi, posé des limites à ces prérogatives sur le fondement du secret des correspondances (A), en conditionnant de telles actions au recueil préalable du consentement de l’utilisateur aux fins poursuivies par les opérateurs (B).
A. – Des prérogatives bornées par le secret des correspondances
Dans son avis du 12 janvier 2017 13)Délibération de la Cnil du 12 janvier 2017, la CNIL est venue rappeler l’importance pour les prestataires de services de messagerie électronique de respecter le principe du secret des correspondances lorsque ceux-ci envisagent d’exploiter la correspondance privée de leurs utilisateurs.
L’article L. 32-3 IV du Code des postes et des télécommunications électroniques prévoit ainsi la possibilité pour les opérateurs de recourir à un « traitement automatisé d’analyse, à des fins publicitaires, statistiques ou d’amélioration du service apporté à l’utilisateur, du contenu de la correspondance en ligne, de l’identité des correspondants ainsi que, le cas échéant, de l’intitulé ou des documents joints ». Néanmoins, une telle possibilité est, là encore, subordonnée au recueil du consentement préalable, exprès et spécifique au traitement envisagé de l’utilisateur.
L’avis émis par la CNIL le 12 janvier 2017 a été l’occasion de clarifier les délimitations du secret des correspondances et d’estimer que le contenu des communications, qu’elle définit comme étant « des correspondances entre deux individus », est « par principe confidentiel » 14) Délibération de la Cnil du 12 janvier 2017 . À partir de cette définition, elle estime dès lors que ce sont les opérateurs de télécommunications qui sont les principaux débiteurs de « l’obligation de garantir le secret ».
À cet égard, elle vise les « opérateurs de télécommunications essentiellement, les opérateurs de services de communication au public en ligne », au premier rang desquels figurent les « fournisseurs de services de messagerie électronique » 15)Délibération de la Cnil du 12 janvier 2017.
Là encore, si le principe du secret des correspondances est érigé en sacro-saint principe, la CNIL rappelle par la suite qu’il est possible d’y déroger, sous réserve de l’obtention préalable d’un consentement spécifique à cette fin des utilisateurs des services de communication électronique.
B. – Des prérogatives conditionnées au recueil du consentement des utilisateurs des services
Si l’avis de la CNIL se limite au rappel des principes énoncés par l’article L. 32-3 du Code des postes et des télécommunications électroniques, il présente également une occasion pour elle de préciser la périodicité à laquelle ces opérateurs sont tenus de recueillir le consentement de l’utilisateur pour l’exploitation de leurs correspondances privées.
Se fondant sur les dispositions de cet article, elle rappelle que les opérateurs sont tenus de recueillir non seulement le consentement préalable et exprès de leurs utilisateurs, mais également de le recueillir de manière récurrente, selon une périodicité fixée par voie réglementaire.
Le décret nº 2017-428 du 28 mars 2017 16)Décret nº 2017-428 du 28 mars 2017 « relatif à la confidentialité des correspondances électroniques privées », JORF nº 0076, 30 … Continue reading est venu fixer cette périodicité à un an, soit au maximum de ce qui avait été prévu initialement par l’article L. 32-3 du Code des postes et des télécommunications électroniques, étant précisé que « pour les traitements antérieurs à la date d’entrée en vigueur [du décret], le premier consentement est recueilli dans les six mois à compter de cette date » 17)Décret nº 2017-428 du 28 mars 2017, précité.
Cet avis offre également à la CNIL l’opportunité de rappeler les conditions principales d’un consentement, qui doit être :
- libre – en ce qu’il ne doit pas être contraint, et qu’il doit prendre la forme d’un acte positif des utilisateurs, ne pouvant « être déduit du silence ou de l’inaction des utilisateurs » ;
- informé – en ce que les opérateurs doivent avertir leurs utilisateurs au sujet des finalités poursuivies par l’exploitation de leurs correspondances privées et ;
- spécifique de ces utilisateurs à ces finalités – en ce que sera considérée comme un consentement valable la simple « acceptation globale des Conditions générales d’utilisation (ou CGU) du service » 18)Décret nº 2017-428 du 28 mars 2017, précité.
La Commission en profite enfin pour préciser que, en cas de « traitements opérés à des fins publicitaires et basés sur le contenu des correspondances », ceux-ci ne « ne doivent pas permettre à l’opérateur de cibler d’éventuelles personnes tierces dont les données personnelles apparaîtraient dans la correspondance ». Par cette précision, la CNIL vient limiter une nouvelle fois les possibilités de déroger au secret des correspondances et préfigure les dispositions du RGPD sur les activités de profilage qui, pour rappel, constituent l’une des activités permettant au RGPD d’étendre sa portée à des acteurs non établis sur le territoire de l’Union européenne.
Cette possibilité de déroger au principe de secret des correspondances aux fins de recourir à la publicité ciblée permet une nouvelle fois aux opérateurs de s’ériger en gardiens de la « bonne » publicité. En effet, en étant émetteur d’une telle publicité ciblée, le prestataire a la possibilité de déterminer ce que pourra revêtir la notion de « bonne » publicité, insusceptible d’être qualifiée de « spam », puisque conçue sur mesure selon les intérêts de leurs utilisateurs (tels qu’envisagés par l’opérateur visé).
L’impossibilité de recueillir le consentement préalable et nécessaire des utilisateurs de ce type de services au travers d’une acceptation de conditions générales d’utilisation ne manquera pas d’ouvrir le débat sur les modalités pratiques à mettre en œuvre par ces prestataires afin de recueillir un consentement valable de leurs utilisateurs, aussi bien à des fins de filtrage que d’exploitation de leurs données à des fins publicitaires.
CONCLUSION
Le recueil préalable, spécifique et périodique d’un consentement des utilisateurs aux fins soit de filtrage, soit d’exploitation de leurs correspondances requerra des opérateurs la mise en œuvre de solutions pratiques appropriées et ergonomiques. Cette mise en œuvre devra notamment prendre en considération la position de la CNIL et du RGPD face à la simple acceptation de conditions générales d’utilisation et un mécanisme de recueil périodique de ce consentement.
D’autre part, dans le cas où les prestataires concernés souhaiteraient accéder aux correspondances de leurs utilisateurs à la fois à des fins de filtrage et à des fins publicitaires, ces opérateurs seraient en principe tenus de recueillir deux consentements distincts et spécifiques à de telles fins de la part de leurs utilisateurs. Au-delà des difficultés pratiques qui ne manqueront pas de découler d’une telle exigence, c’est une véritable « typologie » des consentements qui est en train de voir le jour.
Enfin, de telles exigences ne sont pas sans conséquence pour certains types de secteurs particuliers du marché des communications électroniques.
À titre d’illustration, la libéralisation du secteur de la lettre recommandée électronique (« LRE », et sa version franco-française, l’« envoi recommandé électronique ») depuis l’entrée en vigueur le 1er juillet 2016 du règlement eIDAS 19)Règlement nº 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 « sur l’identification électronique et les services … Continue reading engendre une multiplication des acteurs amenés à intervenir dans la transmission de ce type particulier de courrier électronique. Cette table ronde d’acteurs hétérogènes multiples (prestataire d’un envoi recommandé électronique, prestataires de services de messagerie électronique) devra donc se responsabiliser afin de permettre la bonne délivrance des notifications faisant courir des droits dont peuvent se prévaloir aussi bien les destinataires que les expéditeurs de ces LRE.
En cas de dysfonctionnement qui interviendrait au cours de l’envoi de ces LRE, et notamment dans le cas où ces LRE seraient traitées comme des spams par les prestataires de messageries électroniques, la responsabilité de ces derniers semblerait pouvoir et devoir être engagée. En effet, une telle assimilation aboutirait à des situations dans lesquelles les destinataires de ces LRE pourraient ne pas avoir la possibilité de prendre connaissance des notifications liées à l’envoi des LRE leur étant adressées, alors même que le respect des formalités requises par l’article L. 100 CPCE et son décret d’application à intervenir donneraient à la LRE les mêmes effets qu’une lettre recommandée au format papier.
Première publication : Lamy – Revue Droit de l’Immatériel, n°138 (2017) avec Clara Schmit
Cité par :
- Le Lamy droit du numérique (Guide) – 3944 Comment déterminer la base juridique applicable à un traitement de données personnelles ? (Partie 6 Guide – Titre 7 Comment gérer un traitement de données personnelles ? – Chapitre 2 Comment mettre en œuvre un traitement de données personnelles ? – Section 1 Sous quelles conditions mettre en œuvre un traitement de données personnelles ? – § 1. PRINCIPES RELATIFS A TOUT TRAITEMENT DE DONNEES PERSONNELLES)
References
| ↑1 | CA Paris, pôle 1, ch. 8, 10 mars 2017 |
|---|---|
| ↑2 | Article 68 de loi nº 2016-1321 du 7 octobre 2016 « pour une République numérique » modifiant l’article L. 32-3 du CPCE |
| ↑3 | Délibération de la CNIL du 12 janvier 2017, nº 2017-001. |
| ↑4 | « L’opérateur prend les mesures nécessaires pour garantir la neutralité de ses services vis-à-vis du contenu des messages transmis sur son réseau et le secret des correspondances. / À cet effet, l’opérateur assure ses services sans discrimination quelle que soit la nature des messages transmis et prend les dispositions utiles pour assurer l’intégrité des messages. / L’opérateur est tenu de porter à la connaissance de son personnel les obligations et peines qu’il encourt au titre des dispositions du code pénal, (…) relatives au secret des correspondances. / (…) la périodicité du recueil du consentement exprès de l’utilisateur est fixée à un an. ». |
| ↑5 | Art. D. 98-5 CPCE. |
| ↑6 | CA Paris – 10 mars 2017 |
| ↑7 | Art. D. 98-4 CPCE |
| ↑8, ↑9, ↑10 | CA Paris, 10 mars 2017 |
| ↑11 | Voir notamment la consultation lancée le 27 février 2017 |
| ↑12 | Règlement nº 2016/679 du Parlement européen et du Conseil du 27 avril 2016 « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive nº 95/46/CE » |
| ↑13, ↑15 | Délibération de la Cnil du 12 janvier 2017 |
| ↑14 | Délibération de la Cnil du 12 janvier 2017 |
| ↑16 | Décret nº 2017-428 du 28 mars 2017 « relatif à la confidentialité des correspondances électroniques privées », JORF nº 0076, 30 mars |
| ↑17, ↑18 | Décret nº 2017-428 du 28 mars 2017, précité |
| ↑19 | Règlement nº 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 « sur l’identification électronique et les services deconfiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive nº 1999/93/CE » |
