Mathieu Abboud, "Marketing direct : la communication commerciale non sollicitée face à la réglementation concernant les nouvelles technologies", 11 juin 2001

Marketing direct : la communication commerciale non sollicitée face à la réglementation concernant les nouvelles technologies

1. L’action de prospection directe peut se définir, pour un organisme public ou privé, à but lucratif ou non, comme la mise en oeuvre de moyens visant au développement de son activité, par la prise de contacts directs de personnes cibles.

2. Nous étudierons la problématique du marketing direct et, plus particulièrement, l’une de ses formes, à savoir la communication commerciale non sollicitée - également connue sous la dénomination « spam » - qui correspond à l’application au secteur marchand de la notion de prospection telle que visée originairement dans la Directive 95/46/CE.

3. Dans un environnement technologique et législatif changeant, l’enjeu est la protection de la vie privée des personnes visées par les communications commerciales non sollicitées, sans paralyser le jeu du marché.

4. Dans ce contexte, et pour protéger la vie privée, deux systèmes coexistent :

- le premier exige le consentement préalable du destinataire de la publicité (l’opt-in) ;

- le second exige que le destinataire ne se soit pas opposé explicitement et préalablement à l’envoi d’un message publicitaire qu’il ne souhaite pas recevoir (l’opt-out).

5. Nous identifierons ci-après, les règles d’opt-in et d’opt-out qui existent dans les différents textes européens et analyserons leur transposition actuelle (loi d’ores et déjà entrée en vigueur) et future (projets de lois en cours d’adoption) au grand-duché de Luxembourg.

6. Les deux textes, qui offrent des applications particulières des deux systèmes, sont la Directive 97/66/CE relative à la protection des données à caractère personnel dans le secteur des télécoms et la Directive 97/7/CE relative aux contrats à distance et à la protection des consommateurs.

I. Protection des données à caractère personnel dans le secteur des télécoms : la Directive 97/66/CE[1]

7. La Directive 97/66/CE s’attache au caractère non sollicité d’un traitement de données à des fins de prospection directe prenant la forme d’un appel.

- si l’appel non sollicité à des fins de prospection directe est réalisé au moyen d’automates d’appel ou de télécopieurs, sa mise en oeuvre exigera le consentement préalable des abonnés (opt-in) ;

- s’agissant de toutes les autres technologies, le choix entre l’opt-in et l’opt-out est laissé aux Etats qui transposent la Directive. On renverra ici pour partie aux développements relatifs à la loi relative au commerce électronique (cf. infra).

9. Ce texte exige donc le consentement préalable dans deux hypothèses, à savoir celle de l’automate d’appel et celle du fax. Il laisse le choix au législateur luxembourgeois s’agissant des autres cas de figure.

II. Les contrats à distance et la protection des consommateurs : la Directive 97/7/CE[2] et le projet de loi n°4781

10. L’article 10 de la Directive 97/7/CE et l’article 9 du projet de loi n°4781 déposé le 8 mars 2001 et concernant la protection des consommateurs en matière de contrats à distance prévoit l’opt-in (consentement préalable) pour les automates d’appel et la télécopie. Pour les autres techniques d’appel, c’est l’absence d’opposition manifeste qui rend licite l’opération de marketing direct (opt-out).

11. L’article 9 du projet de loi n°4781 de transposition de la Directive 97/7/CE ajoute le téléphone à la liste des techniques d’appel exigeant le consentement préalable du consommateur (opt-in).

12. La situation particulière du grand-duché de Luxembourg justifie l’adoption de ce système, vu sa population relativement faible en nombre.

13. Ceci semble, à première vue, aller à l’encontre du système prévu dans la Directive 97/7/CE, alors que celle-ci dispose par renvoi à l’opt-out pour les technologies non visées expressément par l’opt-in.

14. Toutefois, l’article 12 de la Directive 97/66/CE autorise une telle disposition spéciale. En effet, cet article laisse le choix entre le système de l’opt-in et de l’opt-out pour les hypothèses autres que le téléfax et l’automate d’appel. Il permet donc d’appliquer de façon isolée le système de consentement préalable (opt-in) à la technique de prospection par communication téléphonique. On imagine mal que ce dispositif de protection puisse être tenu en échec par la lettre de la Directive 97/7/CE alors que l’on est dans le champ particulièrement protecteur du droit de la consommation. De plus, la rédaction de l’article 12 de la Directive 97/7/CE vise à créer un minimum de protection et ne saurait être regardé comme limitant celle-ci. A toutes fins utiles on s’appuiera sur la législation postérieure qui est la Directive 97/66/CE.

15. Ainsi, le régime d’opt-in pourra à l’avenir être opportunément appliqué pour les communications téléphoniques, tel que cela a été prévu par l’article 9 du projet de loi concernant la protection des consommateurs en matière de contrat à distance.

16. Une fois le champ de l’opt-in délimité, il faut préciser celui de l’opt-out et définir dans quelles conditions ce système d’opt-out pourra être mis en place. A cette fin, il faut se référer à la réglementation sur le commerce électronique.

III. La Directive 2000/31/CE portant sur certains aspects du commerce électronique[3] et la loi « commerce électronique »[4]

17. Le considérant 14 de la Directive 2000/31/CE[5] dispose que « la protection des personnes physiques à l'égard du traitement des données à caractère personnel est uniquement régie par la Directive 95/46/CE (...) et par la Directive sectorielle 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997, qui sont pleinement applicables aux services de la société de l'information (...). ». Ainsi, cette Directive, tout comme la loi relative au commerce électronique (...) [6] qui en découle, est tenue par les règles de la Directive 95/46/CE[7] ainsi que celles comprises dans la Directive 97/66/CE[8] s’agissant de la protection des données à caractère personnel.

18. Par ailleurs, le considérant 30 de la Directive 2000/31/CE renvoie aux Directives 97/7/CE[9] et 97/66/CE et dispose que « La question du consentement du destinataire pour certaines formes de communication commerciale non sollicitée n'est pas traitée dans la présente Directive, mais a déjà été traitée, en particulier, dans la Directive 97/7/CE et dans la Directive 97/66/CE. (...) ». L’article 7 paragraphe (2) confirme ce renvoi s’agissant des communications commerciales non sollicitées et dispose qu’il est pris « Sans préjudice de la Directive 97/7/CE et de la Directive 97/66/CE (...) ».

19. La loi de transposition luxembourgeoise relative au commerce électronique (...) va plus loin en transposant partiellement les Directives 97/66/CE et 97/7/CE s’agissant des e-mails.

20. En effet, l’article 48 paragraphe (2) de la loi relative au commerce électronique (...) dispose en substance que l’envoi de communications commerciales non sollicitées par courrier électronique n’est possible qu’en l’absence d’opposition manifeste de la part du destinataire. Par conséquent, il consacre l’opt-out pour les e-mails.

21. Par ailleurs, l’article 48 de la loi relative au commerce électronique (...) définit les conditions de mise en oeuvre d’une communication commerciale non sollicitée soumise au régime de l’opt-out. Toute personne devra pouvoir s’inscrire sur un registre d’opt-out et l’envoi d’une communication commerciale non sollicitée par e-mail sera précédé, de la part de son expéditeur, d’une consultation de ces registres pour vérifier si le droit d’opposition n’a pas été actionné.

22. En conclusion, l’article 48 de la loi relative au commerce électronique (...) :

- met en place la règle de l’opt-out pour le marketing direct par voie de e-mail non sollicité ;

- renvoie indirectement pour les autres modes de communication (téléphone, fax, automate d’appel...) aux réglementations spéciales sur la protection des données et sur la protection des consommateurs concernant les contrats à distance ;

- définit les modalités de la règle de l’opt-out par la création des registres d’opt-out.

23. Le Règlement grand-ducal nécessaire à la mise en place des registres d’opt-out n’est pas encore édicté et ce mécanisme reste donc pour l’heure lettre morte.

24. L’absence de règlement grand-ducal d’exécution relatif à la mise en place des registres d’opt-out pousse à revisiter le texte fondateur de la protection des personnes concernées par un traitement de données à caractère personnel, à savoir la Directive 95/46/CE. Ce texte, comme le rappelle le considérant 14 de la Directive 2000/31/CE, est le cadre assurant la protection des droits et libertés fondamentaux dont le droit à la vie privée. Il n’y a aura donc pas de communications non sollicitées contrevenant à ce texte.

25. Ce texte traite de la prospection en général sous la section intitulée du "droit d’opposition de la personne concernée"

26. S’agissant du marketing direct, il pose le principe du droit inconditionnel d’opposition.

b) de s'opposer, sur demande et gratuitement, au traitement des données à caractère personnel la concernant envisagé par le responsable du traitement à des fins de prospection

d'être informée avant que des données à caractère personnel ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection et de se voir expressément offrir le droit de s'opposer, gratuitement, à ladite communication ou utilisation."

27. La Directive 95/46/CE semble de ce point de vu admettre l’opt-out. Toutefois, l’utilisation dans la Directive 95/46/CE du terme « envisagé » et de l’expression « avant que des données à caractère personnel ne soient pour la première fois communiquées à des tiers » signifie que la personne visée soit informée préalablement à toute communication[11] afin de lui permettre de s’y opposer.

28. Cette information peut prendre alternativement deux formes qui satisferaient aux exigences de la Directive 95/46/CE :

- une information générale au droit de s’opposer et qui, par la suite, se concrétiserait par une inscription sur les registres d’opt-out. Conformément à la Directive 95/46/CE, celle-ci n’est pas forcément à charge de l’entrepreneur. Pour l’heure, et en l’absence de registres d’opt-out, cette voie semble condamnée ;

- une information particulière, spécialement à destination de la personne cible et nécessaire lorsque pour une raison ou pour une autre aucune information générale n’aura été mise en place. Cette information ne peut-être qu’à la charge de l’entrepreneur[12] car, dans cette hypothèse, lui seul est en position de garantir l’efficacité du droit d’opposition. En l’absence de mise en place des registres d’opt-out, c’est ce système qui est consacré par le projet de loi 4735 relatif à la protection des personnes à l’égard du traitement des données à caractère personnel.

29. La forme que devrait prendre l’information qui serait à charge de l’entrepreneur est elle aussi discutée.

30. Certains pensent, concernant la correspondance électronique, qu’il suffirait à l’entrepreneur qui enverrait un e-mail non sollicité à des fins publicitaires de signaler dans son intitulé et, donc, avant son ouverture, sa nature publicitaire. Ceci suffirait à préserver le droit d’opposition et à satisfaire aux exigences de la Directive 95/46/CE. La personne visée pourrait toujours mettre le e-mail à la poubelle sans l’ouvrir et donc de cette façon s’y opposer utilement.

31. Rien n’est moins sûr car, au sens des règles de la protection des données à caractère personnel, le traitement de données à caractère personnel auquel le droit d’opposition est attaché, aura d’ores et déjà été mis en oeuvre. De plus, raisonner ainsi revient à faire abstraction de la nature ouverte du réseau sur lequel circule un tel message. Même encore fermé ce message est susceptible d’interception, notamment au niveau des Internet Service Providers (Fournisseurs de service Internet). Il est donc digne de protection.

32. En conclusion, face à l’impossibilité de s’inscrire sur un registre d’exclusion afin de ne plus recevoir de communication commerciale non sollicitée, face encore à la difficulté de garantir l’effectivité du droit d’opposition sans l’appui d’un système de registre d’opt-out efficace, ne faudrait-il pas considérer que le seul système compatible avec la Directive 95/46/CE est celui de l’opt-in, tout au moins jusqu’à la création des registres d’opt-out ? Les tribunaux apprécieront.

Une première version de cet a été publiée sur le site New Media Goup le 18 avril 2001

Tableau récapitulant les règles applicables en matière de prospection directe

(*) :ajout du projet de loi 4781 de transposition par rapport à la Directive 97/7/CE.

[1]Directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications, JOCE n° L 024 du 30 janvier 1998, p.1 à 8.

[2]Directive 97/7/CE du Parlement européen et du Conseil du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance - Déclaration du Conseil et du Parlement européen sur l'article 6 paragraphe 1 - Déclaration de la Commission sur l'article 3 paragraphe 1 premier tiret, JOCE n° L 144 du 4 juin 1997, p. 19 à 27.

[3] Directive 2000/31/CE du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information et notamment du commerce électronique, dans le marché intérieur, JOCE n° L 178 du 17 juillet 2000. p.1 à 16.

[4] Loi du 14 août 2000 relative au commerce électronique modifiant le Code civil, le Nouveau code de procédure civile, le Code de commerce, le Code pénal et transposant la Directive 1999/93 du 13 décembre 1999 relative à un cadre communautaire pour les signatures électroniques, la Directive 2000/31/CE du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, certaines dispositions de la Directive 97/7/CEE du 20 mai 1997 concernant la vente à distance des biens et des services autres que les services financiers, Mémorial A n°96 du 8 septembre 2000 p. 2176.

[5] op.cit.

[6] op.cit.

[7] op.cit.

[8]op.cit.

[9]op.cit.

[10] Directive 95/46/CE du Parlement et du Conseil, du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, JOCE n°L281 du 23 novembre 1995 p. 31 à 50.

[11] Article 14 b) alinéa 2 et alinéa in fine de la Directive 95/46/CE.

[12] L’entrepreneur est généralement aussi responsable du traitement du point de vue de la protection des données à caractère personnel.