Informatique et Libertés : nouvelles règles pour l'e-mailing

La volonté croissante d'optimisation de la relation client place l'e-mailing parmi les sources privilégiées de communication des entreprises. Il constitue, en effet, à la fois un outil de marketing direct et personnalisé particulièrement rentable, et un moyen efficace d'orienter les réclamations. L'environnement juridique de l'e-mailing étant très strict, les entreprises doivent porter une attention particulière à la gestion de ce canal de communication.

L'environnement juridique

La gestion de la relation client par le biais de la messagerie électronique nécessite de se conformer aux règles de la loi Informatique et Libertés ; mais également aux dispositions de la Loi pour la Confiance dans l'Economie Numérique (LCEN) du 21 juin 2004. Suite à la réforme de la loi Informatique et Libertés par la loi du 6 août 2004, les obligations des entreprises collectant et traitant des données personnelles ont été modifiées et les pouvoirs de la Commission nationale de l'Informatique et des Libertés (Cnil) ont été considérablement renforcés. La LCEN a posé le principe de l'interdiction de toute prospection directe par courrier électronique, automate d'appel ou télécopieur, effectuée à partir des coordonnées de personnes physiques qui n'ont pas exprimé leur consentement préalable à de tels messages.

La problématique des flux sortants

Ce principe d'interdiction touche tout message destiné à promouvoir, directement ou indirectement, les biens, les services ou l'image d'une entreprise. En conséquence, toute entreprise qui souhaite adresser un message de prospection ou qui souhaite communiquer une information relative à ses produits ou services, ne pourra le faire qu'auprès de personnes ayant expressément donné leur accord préalable pour recevoir de tels messages. La loi a toutefois prévu une exception pour les messages de prospection adressés à des clients pour la promotion de “produits ou services analogues”. De plus, une période transitoire a été instaurée, puisque cette interdiction ne sera mise en œuvre qu'à compter du 23 décembre 2004. Jusqu'à cette date, les détenteurs de fichiers peuvent solliciter leurs clients et prospects par voie électronique aux fins de recueillir leur consentement. A l'issue de cette période, tout message de prospection adressé sans respecter les règles prescrites sera illicite et de nature à engager la responsabilité pénale de son auteur. En conséquence, il est impératif que les entreprises distinguent les fichiers “qualifiés” de prospects ou clients, pour lesquels le consentement a été recueilli et archivé, des fichiers clients “non-qualifiés”, utilisables néanmoins pour la promotion de produits ou services analogues.

La gestion des flux entrants

La gestion des flux entrants est également concernée par le nouveau dispositif légal. En effet, le traitement des e-mails entrants par les entreprises soucieuses d'exploiter ce mode de communication implique une gestion centralisée des données ainsi recueillies. Les fichiers de données doivent être préalablement déclarés, ou, selon la nature des données collectées, autorisés par la Cnil. Par ailleurs, il pèse sur le responsable du traitement, c'est-à-dire l'entreprise pour le compte de laquelle sont gérées les données, une lourde responsabilité pénale en cas d'atteinte à l'intégrité de ces données. Il doit prendre toutes les mesures nécessaires pour en assurer la sécurité et l'intégrité, et veiller à ce qu'aucun tiers ne puisse y accéder. Ces risques sont particulièrement accrus dès lors que les flux entrants sont gérés par un tiers, notamment dans le cadre d'une solution ASP. A cet égard, la loi Informatique et Libertés prévoit désormais que toute personne qui gère des données personnelles pour le compte d'une entreprise et selon ses instructions, est considérée comme un sous-traitant. La loi impose alors la conclusion d'un contrat entre le responsable du traitement et le sous-traitant aux fins notamment de fixer leurs obligations respectives concernant

la sécurité des données.

Tout manquement à ces obligations est pénalement sanctionné. Il est donc primordial pour les entreprises de conclure, ou de revoir, les contrats avec leurs partenaires intervenant dans la gestion de leurs fichiers de données personnelles.