Les pratiques constatées
A l’occasion de l’enregistrement d’un nom de domaine, vos données (nom, adresse, téléphone, email, etc.) sont collectées par votre bureau d’enregistrement et elles sont, sauf diffusion restreinte, publiées dans le Whois.
Or, suite à l’enregistrement de noms de domaine et à partir de la liste des noms de domaine publiée quotidiennement, des sociétés recherchent les adresses électroniques dans la base Whois aux fins de sollicitations commerciales.
Parce que vous venez d’enregistrer un nom de domaine, ces sociétés se présentent en termes élogieux, tendent à vous vendre leurs compétences en développement technique, commercial et autres spécialités susceptibles de vous intéresser et le tout assorti d’offres commerciales et de remises valables sur un temps limité… à saisir !
Certains d’entre vous excédés contactent l’Afnic afin d’obtenir que ces pratiques cessent.
Mais l’Afnic est-elle le bon interlocuteur en ce domaine ?
Les textes
- L’article L45-5 du Code des postes et des communications électroniques (CPCE) en son paragraphe 1 dispose que : « Les offices d’enregistrement publient quotidiennement les noms de domaine qu’ils ont enregistrés. »
- L’article R20-44-41 du Code des postes et des communications électroniques en son paragraphe 1 dispose que : « Chaque office publie quotidiennement la liste des noms de domaine qu’il a enregistrés la veille. Cette liste fait l’objet d’un accès libre et sans contrepartie financière depuis le site internet de l’office d’enregistrement. »
- L’article 12 de la Convention Etat/Afnic pour la gestion du .fr en son paragraphe 1 stipule que : « L’Office d’enregistrement s’engage à publier les données « Whois » qu’il collecte conformément à l’article L45-5 du Code des postes et des communications électroniques dans des formats automatisables et dans le cadre de licences Open Licence. »
La réponse de l’Afnic
C’est donc en application de ses obligations légales que les données sont mises à disposition par l’Afnic.
A partir de cette mise à disposition, des tiers recoupent les données et les reprennent pour les utiliser notamment dans le cadre de prospections commerciales.
Ces pratiques sont-elles illicites ? Que peut faire l’Afnic ?
Le démarchage commercial non sollicité est strictement encadré par :
- La directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) ;
- La loi n° 2004-575 du 21 juin 2004 modifiée pour la confiance dans l’économie numérique (LCEN), transposition de la directive vie privée et communications électroniques ;
- Loi n° 78-17 du 6 Janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.
Ainsi, la loi pour la confiance dans l’économie numérique consacre l’approche « opt-in », mécanisme protecteur pour le consommateur, conformément à la directive « vie privée et communications électroniques ». En sa version en vigueur à l’article L34-5 alinéa 1er du CPCE, « Est interdite la prospection directe au moyen de système automatisé de communications électroniques au sens du 6° de l’article L. 32, d’un télécopieur ou de courriers électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen. »
L’article L34-5 alinéa 1er du CPCE ne vise pas les personnes morales. Aussi, dans les cas où ne sont utilisées que des adresses impersonnelles à destination de personnes morales telle que contact@[nom de l’entreprise].fr, les démarchages peuvent s’effectuer sans que ne soit requis de consentement ni faculté d’opposition. La prospection effectuée d’entreprise à entreprise (business to business, « B2B ») est licite.
Pour les personnes physiques, les dispositions légales prévoient deux dérogations au régime de l’opt-in qui concernent la prospection directe vers :
- Les sollicitations B2B de personnes physiques contactées en fonction de leur qualité au sein de personnes morales avec utilisation d’adresses telle que nom.prénom@[nom de l’entreprise].fr ;
- Les relations post contractuelles.
Dans les cas où des données personnelles sont utilisées dans le cadre des deux dérogations au régime de l’opt-in, la prospection commerciale directe peut vous être adressée à la condition de vous permettre de refuser toutes sollicitations commerciales à venir (cf. droit d’opposition défini à l’art. 38 de la loi n°78-17) ; en général, il s’agira d’un lien cliquable dans le courriel pour signifier son opposition à recevoir d’autres messages.
Dans les cas où des données personnelles ne sont pas utilisées dans le cadre des deux dérogations au régime de l’opt-in et le respect de votre droit d’opposition, votre adresse personnelle est utilisée sans votre consentement préalable à la prospection et vous êtes sans lien contractuel avec la société expéditrice du message : les pratiques de démarchage relèvent alors du spam
Vos voies d’action en France sont les suivantes :
- Vous rendre sur la plateforme nationale de signalement des spams en lien avec les autorités compétentes : https://www.signal-spam.fr/ ;
- Vous opposer à l’utilisation de vos données personnelles au besoin en vous rapprochant de la préfecture de votre département (DDPP ou DDCSPP). Nous vous invitons à prendre connaissance de la fiche pratique de la DGCCRF du 10 juillet 2014 « Opposition à l’utilisation de ses données personnelles à des fins de prospection ».
En toute hypothèse, l’Afnic n’est pas habilitée à agir auprès des sociétés se livrant à du spam qu’il s’agisse de sociétés utilisant, pour ce faire, des noms de domaine ou bien encore des informations mises à disposition via le Whois et la publication quotidienne des listes de noms de domaine enregistrés.
Lorsque les sociétés qui démarchent sont des bureaux d’enregistrement accrédités par l’Afnic, l’Afnic n’est pas plus habilitée à intervenir sur ces pratiques, son pouvoir de contrôle défini par la loi à l’article L45-4 du CPCE étant limité à l’activité de bureau d’enregistrement et l’accréditation.
Cependant, compte tenu du débordement observé quant aux pratiques de certaines sociétés et le nombre de signalements reçus, l’Afnic est intervenue à différents niveaux et notamment elle a :
- Contacté les sociétés utilisatrices des données afin de leur rappeler la législation applicable à l’envoi de courriels commerciaux non-sollicités ;
- Contacté la DGCCRF -service commerce électronique- et la CNIL afin de les informer sur ces pratiques ;
- Modifié le format de publication de la liste quotidienne des noms de domaine du format UTF8 au format d’image numérisée « GIF », publication disponible 7 jours glissants: ; cela a permis de rendre plus difficile l’accès à ces informations tout en respectant le cadre légal.
Enfin, si l’Afnic ne peut agir à l’encontre de ces sociétés, pour autant, l’Afnic vous informe dans ce blog et vous invite à utiliser les voies d’action décrites ci-dessus.