La collecte d’adresses e-mail de personnes physiques est illégale lorsqu’elle est faite sans leur consentement. Ainsi en a décidé la Chambre Criminelle de la Cour de Cassation, par un arrêt du 14 mars. Elle confirme du coup les affirmations de la CNIL, qui avait déjà jugé ces procédés contraires à la loi du 06 janvier 1978.
L’attendu de principe se fonde sur le droit d’opposition institué au bénéfice des personnes physiques par l’article 26 de ladite loi, modifiée depuis par la loi du 06 août 2004, qui institue l’obligation de recueillir leur consentement, préalablement à toute collecte.
Les faits, survenus en 2002, sont les suivants :
Le prévenu principal, personne physique, opérait pour le compte de la société ABS (Alliance Bureautique Service). Grâce à des logiciels d’aspiration, son travail consistait à cibler, subrepticement et sans information préalable, des adresses électroniques de personnes physiques, diffusées sur des sites publics. Des messages publicitaires, plus communément des SPAM, leur étaient dès lors envoyés, à partir de l’adresse même du prévenu. Les données n’étaient collectées que dans cet objectif et n’étaient nullement conservées une fois l’envoi effectué.
Avant même la fin de l’année 2002, ABS faisait l’objet d’une dénonciation de la part de plusieurs internautes, dans le cadre de l’opération « Boîte à SPAM » initiée par la CNIL. Après un jugement de première instance infructueux pour la Commission, le Procureur de la République a interjeté appel devant la Cour de Paris. Celle-ci, par un arrêt du 18 mai 2005, a condamné le prévenu et la société ABS à 3000 euros d’amende, pour collecte de données nominatives par un procédé déloyal. Les défendeurs se sont dès lors pourvus en cassation, ce qui a mené à l’arrêt précité.
Ce dernier confirme en toutes ses dispositions l’arrêt d’appel et établit un encadrement solide de la collecte d’adresses électroniques, dans l’intérêt mêmes des citoyens. Rendu sur le fondement de la loi du 06 janvier 1978 dans sa rédaction antérieure (en vigueur au moment des faits), son dispositif est établi à la lumière des modifications intervenues par la loi du 06 août 2004.
La Cour rappelle ainsi que de telles adresses constituent bien des données nominatives au sens de la loi, en ce qu’elles permettent l’identification des personnes auxquelles elles sont rattachées. A ce titre, et en vertu des dispositions tant nationales que communautaires (notamment la directive 95/46/CE du 24 octobre 1995, citée par la Cour), leur utilisation nécessite que soit explicitement recueilli le consentement desdites personnes ; de plus, un moyen d’exercer leur droit d’opposition doit être mis à leur disposition a posteriori.
En l’espèce, la dissimulation de la collecte des adresses rendait impossible l’exercice de ce droit, seul visé par la loi de 1978 dans son ancienne rédaction. La Cour en a déduit logiquement que cet exercice était conditionné par la présence d’un consentement préalable des personnes, exigence insérée depuis par la loi du 06 août 2004. Par conséquent, la collecte, telle qu’elle a été effectuée par les prévenus, constitue bien un procédé frauduleux car déloyal, et l’amende se trouve donc justifiée.
La Cour ajoute de plus que l’absence de stockage des données est sans incidence sur l’interprétation du terme « collecte ». Celle-ci est avérée dès lors que les données personnelles sont ciblées sans discernement, indépendamment de la destination de leur mise en ligne sur des sites publics.
La Cour d’Appel était allée plus loin, considérant qu’un stockage était quand même établi, du simple fait de la conservation des adresses sur la mémoire vive de l’ordinateur utilisé, même pour une durée infinitésimale.
La condamnation se trouve d’autant plus justifiée que le prestataire de la société ABS était un professionnel de l’informatique, qui n’ignorait pas l’état de la législation applicable, ce qu’il a d’ailleurs reconnu, ainsi que la non conformité des logiciels utilisés.
Source : http://www.legalis.net
Philippe MOURON