Instruments juridiques de lutte contre le spam (fr)
Cet article est une ébauche relative au droit français, vous pouvez partager vos connaissances juridiques en le modifiant, vous pouvez également faire une recherche dans le moteur...'
|
France > Droit de l'internet
Sommaire
Introduction
L’e-mail est devenu un mode de communication incontournable aussi bien dans les relations professionnelles qu’interpersonnelles. Cependant, le courrier électronique présente de nombreuses faiblesses du pont de vue de la sécurité des données. En effet, nul n’est à l’abri d’interception, de piratage, de virus ou encore de spams. La prolifération du spam ces dernières années n’est plus à démontrer. Alors qu’en 2003, la part du spam était évaluée à 50% du trafic email mondial, les estimations pour l’année 2007, avoisinaient les 80% [1].
Dans un rapport du 14 octobre 1999 intitulé « le publipostage électronique et la protection des données personnelles », la Commission nationale de l’informatique et des libertés (Cnil) a défini le spam comme « l’envoi massif, et parfois répété, de courriers électroniques non sollicités, à des personnes avec lesquelles l’expéditeur n’a jamais eu de contact et dont il a capté l’adresse électronique de façon irrégulière».
Si la technique du spam présente l’avantage pour les spammers de prospecter à moindre coût, les préjudices pour les internautes, les entreprises et les fournisseurs d’accès qui découlent de cette technique, sont innombrables : intrusion dans les correspondances privées, préjudices matériels du fait de la mobilisation de bandes passantes, temps passé à trier les « vrais » courriers des faux, perte éventuelle de messages importants au milieu des spams, problèmes techniques…
Afin d’envoyer ses messages, le spammer a besoin de liste d’adresses mails. Il peut acheter des fichiers d’adresses ou constituer sa base de données en récupérant des adresses sur internet. Des outils très performants et simples d’utilisation automatisent la collecte. Un ensemble de logiciels permettent « d’aspirer les adresses ». Ils parcourent le réseau et scannent les sites à la recherche du signe @ qui indiquent la présence d’adresse mail. Le tout à l’insu de l’internaute. D’autres logiciels testent toutes les combinaisons d’adresses d’un nom de domaine, envoient des messages à ces adresses, attendent les messages d’erreur en retour du serveur. Ils envoient ensuite leurs « spams » aux adresses valides. Une fois la liste d’adresses constituée, le spammer peut envoyer massivement son message à l’aide de logiciels de messagerie ou bien de logiciels qui combinent à la fois la collecte des adresses, le test de noms de domaines et l’envoi massif de spam [2].
L’envoi de spams est interdit par la loi. En effet, en ce qui concerne la prospection commerciale, l’article 22 de la loi pour la confiance dans l’économie numérique[3] pose un principe d’interdiction à l’envoi de spam. Parallèlement et plus largement, toute prospection, quelle que soit sa nature, est soumise au respect des dispositions de la loi du 6 janvier 1978[4]. En effet, une adresse de messagerie électronique est une donnée nominative, soit directement lorsque le nom de l’internaute figure dans le libellé de l’adresse soit indirectement dans la mesure où toute adresse électronique peut être associée à une personne physique. Dès lors, toute opération par courrier électronique est soumise à la législation de protection des données.
S'il existe une règlementation visant à encadrer la prospection commerciale ainsi qu'un ensemble de moyens de répression, il est indéniable que l’essor continu de la pratique du spam démontre leur insuffisance. Face au constat des limites à la fois de l’effectivité de la loi, mais aussi des moyens de répression de cette pratique, il apparaît nécessaire de mettre l’accent sur les moyens de prévention à mettre en œuvre afin non pas d'éliminer mais de limiter l'ampleur du phénomène.
Les fondements juridiques de l’interdiction du spam
Les fondements juridiques de l’interdiction du spam sont doubles. S’il existe une règle spécifique à la prospection commerciale, toute prospection est soumise au dispositif de la loi « informatique et libertés ».
L’article 22 de la loi pour la confiance dans l’économie numérique
La réglementation du spam est traditionnellement envisagée à travers deux approches :
• Selon l’approche « opt-in » [5], l’envoi de messages ne peut se faire sans le consentement préalable des destinataires. Elle est plutôt favorable à la protection des données personnelles.
• Selon l’approche « opt out », l’envoi de messages à toute personne qui ne s’y oppose pas. Elle est plutôt favorable aux prospecteurs.
Alors que les Etats-Unis ont adopté une approche « opt out »[6], la directive européenne du 12 juillet 2002 relative à la vie privée et aux communications électroniques pose le principe de « l’opt in »[7].
L’article 22 de la loi pour la confiance dans l’économie numérique procède à la transposition de l’article 13 de la directive européenne et pose ainsi un principe d’interdiction à l’utilisation de l’adresse d’une personne physique à des fins de prospections commerciales avant d’avoir obtenu son consentement préalable. Cette règle est prévue à la fois dans le code des postes et télécommunications[8]et dans le code de la consommation[9]. Le principe est donc celui de l’obtention du consentement préalable des personnes concernées pour toute prospection commerciale. L’article 22 de la LCEN dispose que l’« on entend par consentement, toute manifestation de volonté libre, spécifique et informée ». Le recueil du consentement ne peut, par exemple, être dilué dans une acceptation des conditions générales ou couplé à une demande de bons de réduction. Selon les recommandations de la Cnil une case pré cochée est contraire à l’esprit de la loi. Le consentement doit donc être recueilli par le biais d’une case à cocher.
La loi a prévu une dérogation au principe du consentement tout en maintenant un droit d’opposition. Dans ce cas, la qualification de spam ne pourra pas être retenue. Il s'agit de l'hypothèse où la prospection concerne des « produits ou services analogues » à ceux déjà fournis par la même personne physique ou morale qui aurait recueilli les coordonnées électroniques de l’intéressé. Ainsi, une entreprise qui a vendu un shampoing pourra solliciter l’acheteur pour l’acquisition de crème, à la condition néanmoins que la personne ait été expressément informée lors de la collecte de son adresse de courrier électronique, de l’utilisation de celle-ci à des fins commerciales et qu’elle puise s’y opposer de façon simple. Dans tous les cas, chaque message envoyé doit permettre à l’internaute de se désinscrire et doit préciser l’identité de la personne pour laquelle le message a été envoyé.
La loi « informatique et libertés »
Toute forme de prospection quelle que soit sa nature (commerciale, religieuse, caritative…) est soumise à la loi informatique et libertés du 6 janvier 1978. En effet, toute prospection via un courrier électronique suppose la collecte d’adresses mail. Or, celles-ci sont des données à caractère personnel. À ce titre, leur collecte et leur traitement sont soumises au respect des disposition de la loi « informatique et libertés ». Afin d'être en conformité avec la loi Informatique et Libertés du 6 janvier 1978, le prospecteur doit :
• déclarer son fichier d'adresses de messageries auprès de la Cnil. Conformément à l'article 23 de la loi du 6 janvier 1978 modifiée, tout traitement automatisé d'informations nominatives comportant des adresses électroniques doit être déclaré auprès de la Cnil. Tout manquement à cette obligation est sanctionné par l'article 226-16 du Code pénal (5 ans d'emprisonnement et 300 000 euros d'amende).
• respecter les règles relatives à la collecte. Les adresses de messageries utilisées à des fins de prospection doivent avoir été collectées de manière loyale. Cela signifie que les personnes ont été informées, lors de la collecte de leur adresse électronique, de l'utilisation de leur adresse ou de sa cession à des tiers à des fins de prospection. Elles doivent également avoir été mises en mesure, dès la collecte, de s’y opposer ou d'y consentir dans le cas d'une utilisation à des fins de prospection commerciale. La Cnil recommande que le droit d'opposition ou le recueil du consentement puisse s'exercer directement à partir du formulaire de collecte par l'apposition d'une case à cocher.
Les moyens de répression contre le spam et leur insuffisance
La sanction du « spammeur » sur le fondement contractuel
Il est possible de signaler l’existence du spam auprès du fournisseur d’accès internet du spammeur. Les conditions générales d'utilisation des services d'accès à internet, telles qu'elles sont rédigées dans l'ensemble des contrats d'abonnement chez les fournisseurs d'accès, font référence au code de conduite de l'internet (la Netiquette) ou interdisent explicitement la pratique du « spamming ». Sur cette base, les fournisseurs d'accès sont en mesure de priver d'accès internet leurs clients qui auraient été identifiés comme émetteurs de spam.
Bien cette sanction ne soit que très rarement utilisée, certaines décisions de justice ont reconnu la licéité d'une telle solution, notamment en se basant sur l'article 1135 du Code civil .
Sanctions encourues par le « spammer » sur le fondement de la violation de la loi « informatique et libertés » ou de l’article 22 de la LCEN
La violation des dispositions de la loi « informatique et libertés » est sanctionnée pénalement. Le non-respect de l’obligation d’une collecte loyale ou encore la méconnaissance du droit d'opposition est réprimé par les articles 226-18 et 226-18-1 du code pénal (cinq ans d'emprisonnement et 300 000 euros d'amende). Est constitutif d'une collecte déloyale et donc qualifié de pratique de « spamming », le fait de procéder à la collecte d'adresses de courrier électronique dans les espaces publics d’internet (espaces de discussion, listes de diffusion, annuaires, sites web) sans que les personnes concernées ou le responsable du site diffusant les données n'en aient connaissance.
Par ailleurs, le fait de pratiquer une opération de « spamming » qui, par l'ampleur du nombre de messages envoyés, provoque un blocage des serveurs ou de la bande passante (on parle alors de mailbombing) est constitutif du délit d'entrave au fonctionnement d'un système de traitement automatisé de données prévu à l'article 323-2 du Code pénal.
Enfin, le non-respect du principe du consentement préalable prévu par l’article 22 de la LCEN est sanctionné par l’article R.10-1 du code des postes et des communications électroniques c’est-à-dire par une amende de 750 € pour chaque message irrégulièrement expédié.
La compétence de la Cnil
Si tout internaute est en mesure d’adresser une plainte, soit directement au procureur de la République, soit au commissariat de police ou à la gendarmerie qui pourront la transmettre au procureur, l’article 22 de la LCEN dispose que « la Commission nationale de l’informatique et des libertés veille, pour ce qui concerne la prospection directe utilisant les coordonnées d’une personne physique, au respect des dispositions du présent article en utilisant les compétences qui lui sont reconnues par la loi n° 78-17 du 6 janvier 1978(…). À cette fin, elle peut notamment recevoir, par tous moyens, les plaintes relatives aux infractions aux dispositions du présent article ». La loi donne donc compétence à la Cnil en matière de lutte contre les spams. Elle peut donc, après avoir reçu les plaintes, dénoncer les spammers au parquet, procéder à des avertissements après enquêtes, et prononcer des sanctions pécuniaires.
Avant même le vote de la LCEN, la Cnil s’est préoccupée de la question de la lutte contre le spam. Le10 juillet 2002, la Cnil a ouvert une boîte à lettre électronique « spam@cnil.fr » permettant aux internautes victimes de lui transmettre les spams qu’ils reçoivent. Le but de cette opération était d’évaluer le phénomène et proposer des solutions à la fois techniques et juridiques. Suite à cette opération, la Cnil a décidé de dénoncer au Parquet, par cinq délibérations en date du 24 octobre 2002, certaines des entreprises à l’origine des envois les plus massifs de spams. Par un arrêt du 14 mars 2006 , la Chambre criminelle de la Cour de cassation a rejeté le pourvoi déposé par le gérant de l’une de ses sociétés. Elle a confirmé la condamnation de ce dernier sur le fondement de l’article 226-18 du code pénal. Elle a d’une part estimé que, « constitue une collecte de données nominatives le fait d’identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques ». Par ailleurs, conforméméent à la position de la Cnil, la Cour de cassation a estimé qu’« est déloyal le fait de recueillir, à leur insu, des adresses électroniques personnelles de personnes physiques sur l’espace public d’internet, ce procédé faisant obstacle à leur droit d’opposition ». Il avait pratiqué un envoi massif de courriers électroniques non sollicités et était poursuivi pour collecte déloyale de données nominatives.
Cependant, le dispositif reste très théorique. Il s’agit du seul spammeur français à avoir été poursuivi devant les tribunaux.
Dans tous les cas, les actions judiciaires ont peu de chance d’aboutir dès lors que les spammeurs agissent le plus souvent depuis l’étranger et utilisent un très grand nombre d’intermédiaires pour brouiller les pistes.
Parallèlement, afin d’agir contre les spammers, une plate-forme « Signal spam » a été mise en place en mai 2007 à l’initiative de la Direction du développement de médias. Il s’agit d’une association qui regroupe les organisations représentatives des professionnels d’internet et les autorités publiques concernées. Elle est également soutenue par des entreprises privées . Son objectif est de recueillir et de traiter les plaintes des internautes puis de les rediriger, une fois le spammer identifié, vers les acteurs de lutte contre le spam et tout particulièrement la Cnil. Pour alerter, il suffit juste de s’inscrire sur le site www.signal-spam.fr. Une fois que Signal Spam transmet à la Cnil les signalements, celle-ci peut ouvrir un dossier de plainte, effectuer des contrôles sur place et éventuellement sanctionner les spammers établis en France.
L’effet de ce dispositif n’est que limité. De mai 2007 à octobre 2007, 4 millions de signalements ont été effectués via Signal Spam. Or, une seule personne est chargée de trier ces mails…En outre, dès lors, que les cinq premiers pays qui relaient les spams sont les Etats-Unis, la Corée du Sud, la Chine, la Russie et le Brésil, cette action ne peut qu’avoir des effets très relatifs.
Enfin, contrairement à l’Angleterre, en France, seuls les destinataires des spams peuvent porter plainte et non les opérateurs intermédiaires.
Ainsi, la réglementation relative à la prospection est largement détournée par la pratique et les moyens de réaction aux spams restent limités.
L’importance de la mise en œuvre de moyens de prévention
Face à l’insuffisance de la loi pour contrer l’expansion de la pratique du spam, un ensemble de moyens techniques se sont développés. La plus ancienne technique consiste à masquer son identité. Il s’agit de faire en sorte que les logiciels « aspirateurs » ne détectent pas les adresses. En 2004, la Direction du développement des médias conseillait dans son dossier «le spam », de rallonger l’adresse. Par exemple, « redaction@ddmedias.premier-ministre.gouv.fr-pasdespam. Dès lors, cette adresse n’est récupérable que manuellement puisqu’il faut détacher le commentaire « -pasdespam » pour l’utiliser. Il est en outre possible de crypter son adresse. Il existe également des logiciels qui s’intègrent à celui de la messagerie et qui trient les « vrais » mails des spams. Ces derniers ne sont pas automatiquement supprimés ce qui permet de récupérer un mail trié dans les « spams » par erreur. Parallèlement, la plupart des fournisseurs d’accès français proposent à leurs clients un filtre sur leur messagerie. Par rapport au filtre installé dans le logiciel, cette méthode supprime les spams captés. Cela peut être préjudiciable dans la mesure où il n’y a pas de moyen de vérifier les erreurs. S’il n’existe aucun moyen de s’assurer de ne recevoir aucun spam, un ensemble de précautions peuvent également être prises par l’internaute afin de limiter les risques d’un harcèlement commercial. Outre l’utilisation de filtre, la Cnil conseille à ce titre d’utiliser un pseudonyme (que ce soit sur les forums de discussion ou sur les messageries instantanées), de créer des adresses de messagerie dédiées à des usages précis. Il convient aussi de vérifier les mentions d’information lorsqu’on laisse nos coordonnées. Celles-ci doivent préciser les destinataires des données collectées, et permettre de s’opposer à leur cession à des tiers. Enfin, cas de réception d’un spam dans sa boîte mail, il ne faut jamais ouvrir ni répondre à un spam.
Conclusion
Ainsi, bien qu’il existe un arsenal juridique interdisant le spam, la réalité témoigne de son insuffisance. Croire en l’éradication de cette pratique illégale paraît illusoire. En revanche, les moyens de la limiter existent. Ils passent à la fois par l’exploitation des instruments juridiques (via l’utilisation de Signal Spam), l’utilisation des moyens techniques (tels que les filtres) mais aussi par un certain nombre de précautions que l’internaute doit prendre.
Reste à savoir quelle arme employer face au développement des blue spams qui sont des messages électroniques envoyés à travers le réseau bluetooth, et qui peuvent être reçus sur le téléphone portable en passant à côté d’un émetteur…
Erreur de citation Des balises <ref>
existent, mais aucune balise <references/>
n’a été trouvée.; $2