Décret n° 2017-428 du 28 mars 2017 relatif à la confidentialité des correspondances électroniques privées & délibération de la CNIL n° 2017-001 du 12 janvier 2017.

L’article 68 de la loi pour une « République numérique » du 7 octobre 2016 a modifié l’article L.32-3 du code des Postes et des Communications électroniques, afin d’y préciser les conditions dans lesquelles les fournisseurs de services de communication au public en ligne peuvent, dans certains cas, déroger au principe du secret des correspondances.

Ainsi, lorsque les fournisseurs permettent à leurs utilisateurs d’échanger des correspondances (emails, messageries instantanées etc.), ils ne peuvent, sans obtenir le consentement préalable des utilisateurs, procéder à des traitements automatisés du contenu des messages échangés, de l’identité des correspondants ainsi que de l’intitulé des pièces-jointes, ce à des fins (i) publicitaires, (iii) statistiques ou (iii) d'amélioration des services.

L’article L.32-3 modifié précise que le consentement doit être express, spécifique, et renouvelé selon une périodicité fixée par décret. C’est donc dans ce cadre qu’a été pris le décret n° 2017‑428 du 28 mars 2017, qui dispose que le consentement devra être renouvelé tous les ans. De plus, les fournisseurs de services ayant d’ores et déjà mis en œuvre les traitements concernés avant l’entrée en vigueur du décret (le 31 mars 2017) devront recueillir le consentement de leurs utilisateurs dans un délai de six mois suivant cette date.

Dans le cadre du processus d’adoption de ce décret, le ministère de l’Economie et des Finances avait saisi la CNIL pour avis, en application de l’article 11 4 a) de la loi informatique et liberté. A cette occasion, la CNIL s’est prononcée sur l’article L.32-3 modifié. La CNIL souligne notamment que les traitements de données personnelles sont également soumis aux règles de la loi informatique et libertés ; ce qui amène l’autorité à soulever un point qui pourrait constituer une difficulté en pratique : les traitements à des fins publicitaires devront uniquement cibler l’utilisateur qui a donné son consentement, et non des tiers (correspondants ou autres) dont certaines données personnelles apparaissent dans le contenu de la correspondance.

En outre, la CNIL rappelle qu’en plus d’être exprès et spécifique (selon les termes de l’article L.32-3), le consentement devra être préalable et informé (conformément à la notion de consentement retenue notamment par le RGPD). D’autre part, le caractère spécifique interdit les consentements groupés (au sein de CGU ou par des mentions liant l’acceptation de plusieurs finalités en même temps). Enfin, la CNIL rappelle qu’à compter de l’application du RGPD, le 25 mai 2018, le consentement devra pouvoir aisément être retiré à tout moment, sans interruption du service de correspondance.