Newsletters et législation

     
 

Les réponses apportées ici sont indicatives et  ne sauraient se substituer à un conseil juridique adapté.

 

Quels sont les recours juridiques contre le spam et le phishing ?

La pratique illicite du spamming est sanctionnée pénalement comme une contravention de quatrième classe (750 € d’amende par message envoyé).

 Le phishing, qui consiste à récupérer des données par usurpation d’identité est considéré comme une forme d’escroquerie adaptée aux nouvelles technologies.
Il est donc puni de cinq ans d'emprisonnement et de 375 000 € d'amende pour les personnes physiques, l’amende pouvant atteindre 1 875 000 € pour les personnes morales.
En outre, dès lors qu’il implique l’accès frauduleux à un système informatique, le phishing peut également être puni sur ce fondement de 2 ans d’emprisonnement et de 30 000 € d’amende, montant porté à 150 000 € pour les personnes morales.

A noter que le phishing, et le plus souvent le spamming, impliquent également une collecte frauduleuse ou déloyale de données à caractère personnel (ex : données bancaires, adresses électroniques), laquelle est pénalement sanctionnée de 5 ans d’emprisonnement et 300 000 € d’amende pour les personnes physiques, le montant maximal de l’amende étant porté à 1 500 000 € pour les personnes morales.

Vous êtes victime de spamming ou de phishing, :
-  vous devez d’abord déposer une plainte auprès du commissariat de police ou de la gendarmerie de votre domicile contre l’auteur du phishing ou du spamming, ou contre X. Votre plainte sera alors transmise au Procureur de la République.
- Vous pouvez également envoyer un courrier directement au Procureur de la République.

Vous ne pouvez identifier l’auteur du phishing ou du spamming, vous pouvez contacter la BEFTI (Brigade d'Enquête sur les Fraudes aux Technologies de l'Information), habilitée à mener des enquêtes en ce qui concerne les infractions sur la toile.

Vous pouvez par ailleurs saisir la CNIL, qui est habilitée à recevoir les plaintes et à infliger des sanctions pécuniaires relatives à ces infractions dans la limite de 150 000€, et de 300 000€ pour un manquement réitéré.

Elle peut également contacter les organisations de lutte contre ces pratiques, qu’elles soient ou non européennes.

 Enfin, elle peut contacter le FAI afin qu’il coupe l'accès Internet de l'auteur de ces pratiques, sur le fondement de l'article 1135 du Code civil. Dans tous les cas, la victime de spam doit conserver l’en-tête des messages pour permettre l’identification
des spammeurs.

 

Quelle est la limite entre un cookie & un spyware ?

Un cookie qui est un fichier neutre, facile à supprimer, qui sert a enregistrer des informations sur le visiteur et son parcours dans un site. Cela permet notamment de personnaliser la présentation du site pour chaque visiteur. Il a de plus une durée de vie limitée.
les spywares sont des logiciels espions dont l’identification et la désinstallation sont des plus difficiles ( leurs suppressions nécessitent un logiciel anti espion type Ad-Aware, Spybot). Ils sont souvent installés à l’insu de l’utilisateur et permettent à leur éditeur de récupérer toutes sortes de données personnelles.

Si l'utilisation de cookies est en principe autorisée les éditeurs et distributeurs de spywares peuvent voir leur responsabilité pénale et civile.

 

Quelle est la législation en vigueur concernant  la détention de données personnelles ?

La conservation de données personnelles doit, sauf exception, être préalablement déclarée à la CNIL. La déclaration effectuée auprès de la CNIL doit préciser certaines informations telles que les finalités du traitement, la nature des données traitées, etc. Les données collectées doivent être exactes et complètes, et avoir été collectées de manière loyale.
Le responsable du traitement doit prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés n’y aient accès.
En cas de recours à un sous-traitant pour la conservation des données, la CNIL doit en être informée. Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité

 

Y a-t-il une durée légale maximum pour la détention de données personnelles ?

Il n’y a pas de durée légale maximum de conservation qui s’applique a la détention des données personnelles. Toutefois, la durée de conservation permettant l’identification de la personne concernée, ne peut excéder la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

 

Comment exercer mon droit de modification et de suppression des données personnelles ?

En principe, l'exercice du droit d’opposition et de rectification est simple. S’agissant du droit d’opposition, vous pouvez exercer ce droit au moment de la collecte ou en faisant une demande auprès du responsable du traitement, celui ci doit vous justifier sans frais qu'il a bien procédé aux modifications ou suppressions demandées.
S’agissant du droit de rectification, pour modifier, compléter, actualiser vos données, vous devez écrire à l’organisme qui détient les informations. Il appartient alors au responsable du traitement de vous prouver qu’il a procédé aux rectifications requises, et le cas échéant transmettre gratuitement une copie de l’enregistrement modifié.

Il est important de noter que les personnes auprès desquelles sont collectées des données personnelles doivent impérativement être préalablement informées de leurs droits.


Quelles sont les règles en matière de collecte et d’utilisation de mon adresse Email ?

La "loi pour la confiance dans l'économie numérique a instauré par défaut un régime d'opt-in .Vous devez avoir préalablement été informé, et avoir donné votre  consentement a la prospection commerciale par courrier électronique

Une dérogation à ce principe a été aménagée. Lorsque vos coordonnées ont été collectées directement  à l'occasion d'une vente ou d'une prestation de services, l'entreprise qui les a recueillies pourra vous envoyer des prospections électroniques portant sur des produits ou des services analogues à ceux sur lesquels portait cette vente ou cette prestation, à condition :
- que les produits et services promus par cette prospection soient fournis par l'entreprise concernée.
- que vous soyez en mesure, de vous opposer  à recevoir de telles prospections. En outre, vous devez pouvoir exercer ce droit d'opposition "chaque fois qu'un courrier électronique de prospection vous ai envoyé" par l'entreprise concernée.

 

 Les différentes sociétés d'un même groupe  peuvent-elles communiquer vos données personnelles d'une filiale à une autre ?

Dans le cadre d’un groupe, les données personnelles pourront circuler d’une filiale à une autre. Il conviendra néanmoins, de s’assurer que :
- Le transfert de ces données poursuit des finalités légitimes, déterminées et explicites ;
- Les données transférées sont adéquates, pertinentes et non excessives au regard de la ou des finalités pour lesquelles elles sont transférées ;
- Que vous ayez été informées, conformément à l’article 32 de la Loi Informatique et Liberté ;
- En cas de transfert de données vers un pays étranger , ne disposant pas d’une législation protégeant les données personnelles de manière adéquate, vous devez avoir donné votre consentement à ce transfert, ou ce  transfert a fait l’objet d’une autorisation par la CNIL qui a considéré qu’il garantit un niveau de protection suffisant.

 

Entre les distributeurs et le fabricant, à qui appartiennent les  données récoltées ?

A défaut d'un accord entre un distributeur et un fabricant/producteur sur la propriété des données des acheteurs, les données récoltées sont présumées appartenir à celui qui les collecte. La CNIL impose d'informer les personnes sur l'identité du "responsable du traitement" (le propriétaire des données) et sur les finalités du traitement de leurs coordonnées.
Celui qui agira pour le compte de l'autre dans la collecte des données des clients et prospects ne sera qu'un sous-traitant qui manipule les données mais n'en est pas propriétaire.

 

Quelles sont les modalités de commercialisation des bases de données (vente, location, etc.) ?

Une société qui met en œuvre un traitement de données personnelles peut commercialiser sa base de données notamment par vente ou location à un tiers, sous certaines conditions :

  • - Si elle est nécessaire à la réalisation de l’intérêt légitime de la société
  • - et/ou si elle permet l’exécution d’un contrat auquel la personne physique concernée par le traitement est partie
  • - si la commercialisation fait partie de mesures précontractuelles prises à la demande de celle-ci.

Néanmoins, il conviendra d’informer les personnes physiques concernées, au moment de la collecte de leurs données, que ces données feront l’objet d’une commercialisation auprès de tiers, en listant conformément à l’article 32 de la Loi Informatique et Libertés les catégories de destinataires concernés.
Un droit d’accès et d’opposition devra également être mis en place au bénéfice de ces personnes. Dans l’hypothèse où une telle information n’aurait pas été communiquée initialement, le responsable de traitement devra informer dès que possible les clients de cette communication. A défaut, il conviendra d’obtenir le consentement de la personne concernée à cette communication.

Quant au cessionnaire/loueur du fichier, il devra informer également les clients dont les données lui ont été communiquées conformément à l’article 32 de la Loi Informatique et Libertés.

En outre, il est important de relever que des dispositions spécifiques s’appliquent en matière de marketing direct auprès de personnes physiques effectuées par des moyens électroniques tels que courrier électronique, SMS, MMS, télécopie automate d’appel etc. L’article L. 121-20-5 du Code de la consommation dispose que, dans cette hypothèse, le consentement préalable de la personne à recevoir des prospections directes par ce moyen doit avoir été clairement obtenu.
Toutefois, la prospection directe par courrier électronique est autorisée si :
- Les coordonnées du destinataire ont été recueillies directement auprès de lui, dans le respect des dispositions de la Loi Informatique et Libertés, à l'occasion d'une vente ou d'une prestation de services,
- La prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si
- Le destinataire se voit offrir, de manière expresse et dénuée d'ambiguïté, la possibilité de s'opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l'utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque fois qu'un courrier électronique de prospection lui est adressé.

Dans tous les cas, il est impératif d’indiquer à chaque communication les coordonnées valables auxquelles le destinataire pourra utilement transmettre une demande tendant à obtenir que ces communications cessent sans frais autres que ceux liés à la transmission de celle-ci. Il est également interdit de dissimuler l'identité de la personne pour le compte de laquelle la communication est émise et de mentionner un objet sans rapport avec la prestation ou le service proposé.

 

Quelle est la réglementation en termes d'hébergement à l'étranger de données personnelles de résidents français ?

Il n’existe pas en France de règlementation spécifique à l’hébergement à l’étranger de données personnelles de résidents français. En conséquence, il est possible pour une société française de collecter des données concernant des résidents français et de transférer ces données à l’étranger afin de les héberger sur une base de données commune à un groupe par exemple.

En cas de transfert de données vers un pays étranger , ne disposant pas d’une législation protégeant les données personnelles de manière adéquate, vous devez avoir donné votre consentement à ce transfert, ou ce  transfert a fait l’objet d’une autorisation par la CNIL qui a considéré qu’il garantit un niveau de protection suffisant.

De plus, cette opération nécessitera que le responsable de traitement  devra s’assurer que toutes précautions utiles ont été prises, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données, et notamment empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.

 


Quelles sont les mentions légales obligatoires sur un site internet ?

Les mentions obligatoires à faire apparaître sur les sites Internet sont les suivantes :

  • - Pour tout contenu, il convient de faire apparaître :

- La dénomination, l’adresse, le numéro de téléphone, l’e-mail, le numéro de RCS, le capital social, l’adresse du siège et le numéro de TVA Intra-Communautaire,
- Le nom du directeur de la publication,
- Le nom, la dénomination, l’adresse et le numéro de téléphone de l’hébergeur.
- Le texte instaure un droit de réponse par voie de référé devant le Tribunal de Grande Instance compétent, sur la base des délits existant en matière de Droits de la Presse.
- Les sites marchands doivent faire apparaître, outre les mentions relatives à l’offre, les noms et versions des logiciels utilisés pour effectuer les transactions et pour garantir la confidentialité des informations personnelles circulant sur le réseau, ainsi qu’une indication sur la disponibilité de leurs codes sources. Cette mention est applicable à toute personne qui concourt directement à la transaction.

  • - Doivent également apparaître sur le site marchand :

- Une information relative aux différentes étapes de la conclusion du contrat (offre, acceptation, confirmation…),
- Les moyens de corriger les erreurs,
- Les langues du contrat,
- Les modalités d’archivage et les conditions d’accès aux contrats archivés,
- Les moyens de consulter les règles professionnelles, de type « label ».

Le texte prévoit que le contrat devient définitif après que le consommateur ait pu vérifier le détail de sa commande, son prix total, et exprimer son consentement.

Ce mécanisme revient à mettre en place un récapitulatif de commande, dans le cadre d’achat de plusieurs produits.

Ce mécanisme s’ajoute également à l’obligation d’accusé de réception de la commande et de confirmation de la commande, au sens de l’Ordonnance du 23 août 2001. Cette confirmation ne s’applique pas pour un contrat par e-mail ou conclu entre professionnels.

  • - L’accès aux conditions générales de vente

L’accès doit être facile, direct et permanent. En d’autres termes, les conditions juridiques qui entourent l’offre de service sur Internet doivent être accessibles sur toutes les pages de la transaction, mais également sur les pages d’accueil du site.

Le texte prévoit également que les conditions générales de vente doivent être transmises dans des conditions permettant leur conservation et leur reproduction. L’offre lie le vendeur tant qu’elle reste accessible sur Internet.

  • - Concernant la publicité

Toute publicité doit être identifiée en tant que telle et doit identifier l’annonceur dès la réception. La publicité doit ainsi être identifiée dans l’objet du message. Elle peut n’être identifiée en tant que message publicitaire dans le corps du message qu’en cas d’impossibilité technique. Cette obligation concerne également les offres promotionnelles telles que les jeux, même s’ils sont à destination professionnelle.
.