Question de M. POHER Hervé (Pas-de-Calais - SOC) publiée le 26/03/2015
M. Hervé Poher appelle l'attention de Mme la garde des sceaux, ministre de la justice sur l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés concernant les échanges de messageries électroniques entre une administration publique et un usager, quand le dispositif logiciel utilisé, par l'une, l'autre ou les deux, est adossé à un modèle économique qui lit le contenu de la correspondance électronique à des fins de ciblage publicitaire. En effet, en échange d'un service gratuit, tels une adresse et une boite mèl, certaines entreprises lisent, captent, analysent et utilisent les informations contenues dans les correspondances électroniques de ses utilisateurs pour du profilage marketing. En conséquence, des informations confidentielles, comme des données concernant la santé, qui peuvent émaner de l'administration publique, peuvent se retrouver utilisées, contrairement à leur finalité, par des intérêts privés. Aussi, il lui demande de lui préciser de quelles protections peuvent disposer les collectivités territoriales et les administrations publiques hospitalières, face à ce qui peut s'apparenter à un détournement de finalité d'informations privées, et surtout comment elles peuvent protéger leurs usagers, ce qui relève de leur responsabilité, de ce type d'utilisation de données les concernant.
- page 653
Transmise au Ministère de la justice
Réponse du Ministère de la justice publiée le 17/11/2016
En France, la loi n° 78-17 du 6 janvier 1978 modifiée, dite loi « Informatique et Libertés », oblige les responsables de traitement à « prendre toutes précautions utiles ( ) pour préserver la sécurité des données et, notamment, empêcher qu'elles ne soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Au vu de cette disposition, l'Administration, si elle envisage de mettre à disposition de ses usagers un téléservice ou une adresse électronique dédiée aux envois de courriels, est tenue de veiller à ce que ces échanges soient sécurisés, sous peine d'enfreindre cette obligation de confidentialité. L'article 9 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives prévoit d'ailleurs la mise en place d'un référentiel général de sécurité. Si certains outils permettent aujourd'hui de recueillir des informations liées aux habitudes de navigation des internautes, voire des données échangées par courriers électroniques, une telle collecte opérée au mépris de l'information et du droit d'opposition des intéressés est susceptible d'être considérée comme déloyale au regard de la loi du 6 janvier 1978 modifiée, car non conforme à ses articles 32 et 38. La constitution de bases de données à des fins de ciblage publicitaire, par l'usage de tels procédés, serait d'autant moins conforme que la prospection par voie électronique est soumise, en application de l'article L. 34-5 des codes des postes et des communications électroniques, à de strictes conditions. Le législateur ayant considéré cette méthode comme particulièrement intrusive a, en effet, souhaité renforcer les droits des particuliers face à de telles sollicitations. Ce type de prospection est ainsi soumis à l'accord préalable (« opt in ») des internautes et non pas au simple droit d'opposition prévu par l'article 38 de la loi du 6 janvier 1978 (« opt out »). Ce n'est que lorsque la prospection électronique émane d'une entreprise auprès de laquelle l'internaute a acheté des produits et des services similaires à ceux proposés par l'acte de prospection que le droit d'opposition s'applique. De plus, les informations liées à la santé des usagers, en ce qu'elles sont considérées comme des données sensibles par l'article 8 de la loi du 6 janvier 1978 modifiée, sont soumises à des dispositifs de sécurité encore plus rigoureux. Des mesures de confidentialité particulières doivent donc être mises en place par les professionnels de santé afin d'éviter que des données directement ou indirectement identifiantes ne soient accessibles à des tiers non autorisés. En outre, toute personne détentrice de données à caractère personnel qui les détournerait de leur finalité s'exposerait aux sanctions prévues par l'article 226-21 du code pénal. Enfin, l'article 7 de la Charte des droits fondamentaux de l'Union européenne prévoit que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications ». Afin d'assurer la mise en uvre de ce droit, l'article 68 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a modifié le code des postes et des communications électroniques en insérant un article 32-3 ainsi rédigé : « I. Les opérateurs, ainsi que les membres de leur personnel, sont tenus de respecter le secret des correspondances. Le secret couvre le contenu de la correspondance, l'identité des correspondants ainsi que, le cas échéant, l'intitulé du message et les documents joints à la correspondance. II. Les fournisseurs de services de communication au public en ligne permettant à leurs utilisateurs d'échanger des correspondances, ainsi que les membres de leur personnel, respectent le secret de celles-ci. Le secret couvre le contenu de la correspondance, l'identité des correspondants ainsi que, le cas échéant, l'intitulé du message et les documents joints à la correspondance. III. Les I et II du présent article ne font pas obstacle au traitement automatisé d'analyse, à des fins d'affichage, de tri ou d'acheminement des correspondances, ou de détection de contenus non sollicités ou de programmes informatiques malveillants, du contenu de la correspondance en ligne, de l'identité des correspondants ainsi que, le cas échéant, de l'intitulé ou des documents joints mentionnés aux mêmes I et II. IV. Le traitement automatisé d'analyse, à des fins publicitaires, statistiques ou d'amélioration du service apporté à l'utilisateur, du contenu de la correspondance en ligne, de l'identité des correspondants ainsi que, le cas échéant, de l'intitulé ou des documents joints mentionnés auxdits I et II est interdit, sauf si le consentement exprès de l'utilisateur est recueilli à une périodicité fixée par voie réglementaire, qui ne peut être supérieure à un an. Le consentement est spécifique à chaque traitement. V. Les opérateurs et les personnes mentionnés aux I et II sont tenus de porter à la connaissance de leur personnel les obligations résultant du présent article ».
- page 5012
Page mise à jour le