La répression pénale du spam

La Cnil donne la définition suivante du spam : « Le “spamming” est l’envoi massif -et parfois repété- de courriers électroniques non sollicités, le plus souvent à caractère commercial, à des personnes avec lesquelles l’expéditeur n’a jamais eu de contact et dont il a capté l’adresse électronique dans les espaces publics de l’internet : forums de discussion, listes de diffusion, annuaires, sites web, etc. «http://www.cnil.fr/fileadmin/documents/approfondir/rapports/publpost.pdf

Cependant la technique du marketing direct par l’envoi de mails publicitaires s’est énormément développé ces dernières années : excellent moyen pour les entreprises de taille moyenne de se faire connaître, source ciblée d’informations pour les consommateurs.

Le spamming nuit au bon fonctionnement du réseau, en ce sens il y a abus du réseau; le spamming nuit à la vie privée des gens, en ce sens il y a abus sur le réseau. Selon nos sources, les chiffres diffèrent car il est évidemment très difficile d’obtenir des chiffres précis de ce que constitue réellement le volume des spams, mais il y aurait entre 25 à 35 millions de spams envoyés par jour. Selon Alan Ralskihttp://www.thenetworkadministrator.com/AlanRalskyKingofSpam.htm , qui s’autoproclame comme étant ‘le roi du spam’, il suffit d’une vente enregistrée pour 1 million de spam envoyés pour que l’entreprise soit rentable. Sachant que les spammeurs peuvent envoyés plusieurs millions de spams par jour, une centaine de ventes est conclues et leur permet d’engranger jusqu’à 500 000 dollars par an simplement en laissant tourner des ordinateurs à longueur de journée.

Temps de connexion, utilisation de bande passante, perte de confiance des utilisateurs du net vis a vis des professionnels du marketing…un récent rapport de l’institut Basex de New-York évalue à 20 milliards le coût induit par le spam chaque annéehttp://www.afnet.fr/portail/news/04_usage/471a_user . Le spam est donc un fléau qui pourrait remmettre en cause la gratuité même du procédé de l’envoi de courrier électronique. En effet dans certains cas extrêmes et pour s’assurer de l’authenticité des commnications électroniques des systèmes de plus en plus performants mais coûteux comme le système de communication par carte et numéro d’identification médical suisse Health Info Net pourrait voir le jour et ainsi augmenter le prix des abonnements internet. Comme le souligne plusieurs spécialistes de la lutte contre le spam, il n’y a pas de remèdes technologiques au spam. Le fondateur de Spamhaus(organisme chargé de blacklister les spammeurs et d’informer les FAI de leur existence), Steve Linford souligne qu’à chaque fois qu’il arrive à bloquer un spammer, d’une part il est souvent menacé de mort mais d’autre part, une parade est aussitôt mise en placehttp://www.tsr.ch/tsr/index.html?siteSect=600001&sid=5074210 :Spam, peut-on stopper l’avalanche.

Ainsi, notre étude portera dans un premier temps sur les méthodes juridiques qui ont permis de lutter contre le spam ainsi que nous délimiterons avec le champ d’application de la LCEN (I-La répression pénale au titre de plusieurs infractions->, pour voir ensuite le régime mis en place par celle-ci qui consacre l’opt-in (II-La LCEN, une répression spéciale du spam-> et confronter ce sytème juridique aux technologies existantes et au régime mis en place dans d’autres pays (III-Technologies , cohabitation de deux régimes juridiques : les freins à une repression efficace)->

I La répression pénale du spam au titre de plusieurs infractions

Il convient en premier lieu de dégager les tendances générales observées dans l’application du droit commun par la jurisprudence avant l’avènement du texte spécial que constitue la LCEN puis en second lieu, d’examiner le champ d’application de la LCEN.

La loi du 21 juin 2004 dote le destinataire d’un « spam «d’un moyen simple d’engager une procédure judiciaire à l’encontre de son expéditeur. Nous pouvons nous demander si la jurisprudence antérieure était plus protectrice de l’utilisateur.

A) La survivance de la jurisprudence antérieure

La jurisprudence s’est toujours attachée à contourner le problème de définition du « spam «.En effet, elle s’est fondée principalement sur le droit commun de la responsabilité pénale.

La responsabilité pénale des spammeurs a déjà été engagée à plusieurs titres devant les tribunaux répressifs français : la contrefaçon de marque, la violation de la loi «Informatique et libertés« du 06 janvier 1978 modifiée par la nouvelle loi «Informatique et libertés «du 06 août 2004 et la loi Godfrain du 5 janvier 1988 relative à la fraude informatique.

1- La répression du spam sur le fondement de la contrefaçon de marque

L’article L.716-6 du Code de la Propriété Intellectuelle réprime la contrefaçon de marque.

Un tel fondement a permis à la société Microsoft Corp d’obtenir la condamnation de la société E.Nov Developpement devant le tribunal de Grande Instance de Paris par une ordonnance de référé.

Cette dernière a été condamnée par le TGI de Paris, le 6avril 2004TGI Paris, référé, 6 avril 2004, Microsoft c/ E Nov Developpement pour avoir utilisé la marque verbale «hotmail« comme extension à l’adresse électronique d’envoi de spams, cette dernière ayant proposé à ses clients d’envoyer des « spams «à partir d’une adresse hotmail.

2- La répression du spam sur le fondement de la violation de la loi « Informatique et libertés « du 6 janvier 1978 (articles 226-16 à 226-24 du Code pénal)

Le fait de polluer une messagerie électronique est susceptible de constituer une infraction pénale sur le fondement de la violation de la loi du 6 janvier 1978, sanctionnée par les articles 226-16 à 226-24 du Code pénal.

L’article 25 de la loi dispose : «La collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite«. Or, le recours à un logiciel destiné à extraire les adresses électroniques présentes sur les sites ne respecte pas le droit à l’information des personnes et caractérise une collecte déloyale. Les responsables encourent dès lors des peines d’emprisonnement pouvant aller jusqu’à cinq ans et d’amende pouvant aller jusqu’à trois cent mille euros sur le fondement de l’article 226-18 du Code pénal.

La violation de l’article 26 de la loi, qui consacre le droit d’opposition est-elle aussi sanctionnée par l’article 226-18 du Code pénal, dans la mesure où, pour pouvoir s’opposer à un quelconque traitement, il faut avoir connaissance de son existence.

En outre, le fait de constituer un fichier de données personnelles sans respecter les formalités préalables auprès de la CNIL (les adresses électroniques étant des informations personnelles dès lors qu’elles permettent d’identifier les personnes auxquelles elles s’appliquent) imposées par l’article 16 de la loi est sanctionné par l’article 226-16 du Code pénal. Les peines susceptibles d’être infligées peuvent aller jusqu’à cinq ans de prison et trois cent mille Euros d’amende.

Avant ces peines étaient de trois ans d’emprisonnement et de 45 000 Euros d’amende.

La plainte d’un internaute, Thomas Quinot a ainsi donné lieu au jugement du Tribunal de Grande Instance de Paris, le six juin 2003, Ministère public et Monsieur Thomas Quinot c/ Monsieur R.G.VTGI Paris, 6 juin 2003, Ministère public et Monsieur Thomas Quinot c/ Monsieur R. G. V . Son adresse électronique avait été collectée sur un forum de discussion avant d’être vendue en Bulgarie dans un fichier d’adresses. Thomas Quinot a saisi le procureur de la République après avoir reçu un spam promouvant un site à caractère pornographique. Puis, il s’est constitué partie civile pour obtenir des dommages et intérêts, sans même requérir les services d’un avocat. Le juge a retenu le délit de traitement automatisé de données sans déclaration préalable visé par l’article 226-16 du Code pénal. En l’espèce a été condamné à 3000 Euros d’amende et à verser 1000 Euros au plaignant au titre d’indemnisation. D’autre part, concernant le délit de collecte déloyale des informations personnelles puni par l’article 226-18 du Code pénal, le juge a considéré que la simple acquisition d’un fichier déjà constitué ne répondait pas à la définition de «collecte« qui implique, selon lui, l’assemblage d’éléments épars.

Par un jugement du 7 décembre 2004, le tribunal correctionnel de Paris a relaxé le dirigeant d’une société pratiquant l’envoi massif de courriers électroniques publicitaires non sollicités qui était poursuivi pour collecte déloyale de données nominatives. La CNIL qui est à l’origine de cette poursuite regrette que le tribunal ait considéré que le fait de collecter des adresses électroniques sur internet à l’insu des intéressés, à des fins commerciales, ne constitue pas un délit. Elle souhaite donc que cette position soit réexaminée par la Cour d’appel.

En octobre 2002, la CNIL avait dénoncé au parquet, à l’issue de son opération « boîte à spams «, cinq sociétés pratiquant cette forme de prospection commerciale. Une seule de ces dénonciations a donné lieu à citation devant le tribunal correctionnel de Paris qui vient de rendre son jugement le 7 décembre dernier.

Le responsable de la société en cause était poursuivi pour avoir collecté des données nominatives, en l’espèce des adresses électroniques, dans le but de constituer des fichiers de prospects, par un moyen frauduleux, déloyal ou illicite, l’aspiration de ces adresses sur internet (sites, annuaire, forum) sans que les personnes concernées aient donné leur consentement ni même en aient été informées. En effet l’article 226-18 du code pénal réprime le fait de collecter des données par un moyen frauduleux, déloyal ou illicite.
Le tribunal n’a pas retenu cette infraction et a relaxé le prévenu en estimant que, «compte tenu de l’accessibilité universelle de l’internet qui est la caractéristique et un des principaux atouts de ce réseau«, l’opération de recueil des adresses électroniques sur les espaces publics de l’internet qui n’est pas interdite par une disposition expresse et n’implique l’usage d’aucun procédé frauduleux ne peut dès lors être considérée comme déloyale, du seul fait qu’elle serait effectuée sans que les intéressés en soient informés. Le tribunal s’est prononcé sur le recueil de données en lui-même et indépendamment de l’usage qui est ensuite fait des adresses collectées qui, souligne t-il, n’est pas un des éléments constitutifs de l’infraction sanctionnée par l’article 226-18.

La CNIL ne partage pas cette analyse. De son point de vue, le principe de loyauté de la collecte des informations personnelles impose l’obligation d’informer préalablement les personnes auprès desquelles sont recueillies des données. La collecte est déloyale dès lors qu’elle est faite à l’insu de l’intéressé qui n’est alors pas en mesure de faire jouer ses droits et en particulier son droit d’opposition.

Il est dommage qu’un autre élément de sa dénonciation, le non-respect du droit d’opposition, également sanctionné par l’article 226-18 du code pénal, n’ait pas été soumis au tribunal qui aurait probablement retenu ce délit puisque le jugement relève que «les destinataires des messages…n’ont pas été en mesure de faire valoir effectivement ce droit d’opposition, faute que le lien de désinscription offert à cet effet fonctionne effectivement.«, pour constater qu’il n’est pas saisi de ces faits.

3- La répression du spam sur le fondement de la violation de la loi Godfrain du 5 janvier 1988 relative à la fraude informatique (articles 323-1 et suivants du Code pénal)

Les atteintes aux systèmes de traitement automatisé de données, et notamment l’accès et le maintien frauduleux ou la perturbation du fonctionnement d’un système de traitement de données sont réprimés aux articles 323-1 à 323-7 du Code pénal.

Sont encourues en cas de violation de ces dispositions des peines d’emprisonnement allant de deux à cinq ans, et d’amendes allant de trente mille à soixante quinze mille Euros.

Concrètement, l’auteur d’un spam peut se rendre coupable d’infractions relevant de la loi Godfrain dans deux hypothèses:

La première hypothèse est celle de l’envoi d’un nombre excessif de spams aboutissant à la saturation de la messagerie électronique qui se bloque. L’entrave au fonctionnement d’un système de traitement automatisé de données, qui est alors caractérisée, est passible d’une peine d’emprisonnement pouvant aller jusqu’à cinq ans et d’amende pouvant aller jusqu’à 75 000 Euros aux termes de l’article 323-2 du Code pénal.

Une condamnation pénale a été retenue à l’encontre d’une campagne électronique de dénigrement contre une entreprise. Le Tribunal de Grande Instance du Mans (affaire Société Smith et Nephew), le 7 novembre 2003, a considéré que le fait de falsifier une adresse e-mail d’un expéditeur constituait un accès frauduleux à un système d’informations (article 323-1 du Code pénal). Il a également considéré que la saturation des boîtes de réception de messagerie électronique constituait le délit d’entrave à un système de traitement automatisé de données (article 323-2 du Code pénal). En effet, 700 000 messages électroniques non sollicités avaient été expédiés. L’expéditeur de ces messages a été condamné à dix mois de prison avec sursis et à deux ans de mise à l’épreuve. La loi Godfrain a été appliquée dans cette affaire.

De la même façon, le Tribunal de Grande Instance, par jugement du 24 mai 2002dans l’affaire Noos TGI Paris, 24 mai 2002, Monsieur P. P. c/ Société Lyonnaise Communications , a retenu l’entrave au fonctionnement d’un système de traitement automatisé de données (article 323-2 du Code pénal), suite à l’envoi d’un très grand nombre de courriers électroniques qui avait paralysé le service de messagerie. L’auteur des faits a été condamné à 20 000 Euros de dommages et intérêts et quatre mois d’emprisonnement avec sursis.

La seconde hypothèse est celle d’envoyer des spams sans être identifié en effectuant l’envoi depuis un autre ordinateur que le sien. Il s’agit donc de prendre le contrôle de l’ordinateur d’un tiers (article 323-1 du Code pénal). La procédure est simple : choisir un internaute crédule ou tout simplement mettre en téléchargement sur un serveur ‘peer to peer’ de type Kazaa, un ‘troyen’. Il s’agit d’un petit logiciel qui s’installe automatiquement dans le système d’exploitation de la victime et qui permet au pirate de la retrouver à chaque connexion afin de prendre le contrôle de son ordinateur. Ces logiciels sont relativement faciles à se procurer, puis à manipuler.

La loi Godfrain reste un fondement possible pour l’action en justice des fournisseurs d’accès et les fournisseurs d’adresses mails gratuites. L’occasion de souligner la croissance du rôle de l’expert dans la solution donnée au litige, inversement proportionnelle à celle du juge.

Par exemple, la Cour d’Appel de Paris, le 18 décembre 2001, confirmait le jugement d’instance relaxant un spammeur, les envois massifs et simultanés de communications commerciales n’ayant pas « perturbé de façon sensible le fonctionnement des moyens informatiques mis à la disposition de sa clientèle par la partie civile « Cour d’appel Paris, 18 décembre 2001, M.Y. c/Ministère Public, Groupe Grolier Interactive Europe d’après un constat fait par l’expert.

En premier lieu, il est évident que les solutions dégagées par la jurisprudence en matière de « spam «et autres nuisances continueront de régler les hypothèses non couvertes par le champ d’application du régime de l’opt-in de la LCEN, laissant cohabiter ledit régime et les autres fondements textuels à une action en justice.

De plus, c’est l’action en justice des fournisseurs d’accès à Internet et fournisseurs de services qui devra se fonder sur le droit commun. En effet, la LCEN ne prévoit pas de droit de plainte des fournisseurs d’accès sur le fondement de l’article L.33-4 du Code des Postes et Communications électroniques.

En revanche, la LCEN, en vertu du principe « Lex specialia generalibus derogant «,évincera les fondements de droit commun pour les actes tombant sous son champ d’application.

L’intérêt de la nouvelle loi semble donc surtout de faire prendre conscience au particulier qu’il peut agir à l’encontre du spammeur expéditeur de la communication.

B) L’avènement d’un texte spécial, la LCEN

Le régime de l’opt-in est étendu, depuis l’entrée en vigueur de la LCEN, aux courriers électroniques (1) à caractère commerciaux (2).

1- Qu’est ce qu’un courrier électronique

Aujourd’hui, les « courriers électroniques « se voient appliquer un régime identique à celui des télécopieurs et automates d’appel. L’occasion de leur donner une existence juridique.

Mais que regroupe juridiquement ce concept ? L’article 1er de la LCEN dispose : « on entend par courrier électronique tout message, sous forme de texte, de voix, de son ou d’image, envoyé par un réseau public de communication, stocké sur un serveur du réseau ou dans l’équipement terminal du destinataire jusqu’à ce que ce dernier le récupère.«

D’après cette définition, les courriers électroniques ont un sens plus large que celui admis communément.

Leur double appartenance pourrait créer des confusions; il convient donc d’éclaircir précisément ce qu’entend la nouvelle loi par «courrier électronique« afin de délimiter le champ d’application du régime de l’opt-in.

-Le courrier électronique au sens courant

Le courrier électronique entendu au sens courant désigne le service le plus couramment utilisé du réseau Internet, avant même la consultation de pages web. Il permet d’envoyer des messages sous forme de fichiers texte. Une connexion Internet et un compte sur un serveur de messagerie permettent d’avoir accès à un tel service.

-Le courrier électronique au sens de la LCEN

Au sens courant du courrier électronique se superpose une notion plus large, techniquement neutre. Cette neutralité a pour objectif d’anticiper sur les technologies qui pourraient à l’avenir se voir appliquer le régime de l’opt-in ; elle est une astuce législative afin de prévenir toute caducité de la loi avant même son entrée en vigueur.

Cette neutralité était une volonté européenne. Le considérant 40 de la directive du 12 juillet 2002 ne visant explicitement que les mails et les «SMS«. Le « groupe 29 «, organe consultatif européen institué par l’article 29 de la directive cadre du 24 octobre 1995, a d’ailleurs rappelé, dans un avis du 27 février 2004, l’objectif de la directive d’englober les technologies à venir. Elle rappelle notamment que les « MMS «, les messages laissés sur répondeurs (notamment la traduction de « SMS « en messages vocaux), les systèmes de messagerie vocale et les « communications « net send « adressées directement à une adresse IP« sont autant d’illustrations de ce que constitue un courrier électronique.

Concrètement, à ce jour, quelles sont les technologies susceptibles d’être qualifiées de courrier électronique au sens de la LCEN ?

Les « SMS « et « MMS «

Le « spim « ( pour « SPam over Instant Messaging «), ou envoi de « SMS « non sollicité est un dérivé du « spam « .

Les « SMS « (acronyme de l’anglais Short Message Service) sont des messages textes. Ils transitent sur le réseau de téléphonie cellulaire par un centre de message spécifique, le SMSC. Cette technologie permet aux usagers d’envoyer ou de recevoir via un système de communication sans fil un message alphanumérique de 160 caractères environ. Ce message s’affiche à l’écran du terminal mobile du destinataire.

Les « MMS « (acronyme de l’anglais Multimédia Message Service), quant à eux, sont comparables à des SMS améliorés. Ils permettent l’envoi de messages contenant du texte formaté (divers styles et couleurs de caractères), des images couleurs animées, de haute qualité et des fonds sonores. Les « MMS « transitent par un centre de message spécifique, le MMSC. Le « MMS « est l’une des nombreuses applications que permet la technologie GPRS, dont les réseaux sont maintenant entièrement équipés. Le passage à la technologie UMTS devrait permettre d’augmenter le poids maximal de ces messages, actuellement limité à 50 kilooctets, ainsi que leur rapidité d’envoi et de réception.
Le Spam par SMS ou MMS est très peu développé en France car les opérateurs mobiles ont une peur virale du marketing direct par SMS et du fait également du système prépayé. En effet les opérateurs posent des conditions drastiques aux routeurs d’SMS à savoir qu’ils exigent comme condition préalable la preuve de la collecte et de l’obtention du consentement de l’usager. Cela est du en théorie (car aucune plainte devant un tribunal n’a été déposée contre de tels procédés) au fait que la CNIL a décidé de classer ce mode de communication au titre des communications par automates d’appel avant l’entrée en vigueur de la LCEN. Le principe de l’opt-in était déjà consacré. De plus le système des SMS est un système centralisé beaucoup plus facile à contrôler que le mail. Ainsi seulement 5 millions d’abonnés sur les 4O millions figureraient sur des listes. Pourtant les enjeux de la géolocalisation sont énormes. Il suffirait qu’un routeur de SMS couple sa base de donnée avec celle d’un opérateur mobile pour déterminer de manière assez précise les besoins d ‘un usager mais ceci de façon extrêmement intrusive !!

La récente loi balaye toute incertitude, soumettant ainsi les « SMS « et « MMS «, explicitement visés lors des débats parlementaires, au régime de l’opt-in, protecteur pour les utilisateurs de téléphones mobiles.

Les communications net send adressées à une adresse IP

(définition :les ordinateurs connectés au réseau internet ont besoin d’une adresse pour être reconnus, cette adresse s’appelle une adresse IP. A chaque connexion, le fournisseur d’accès attribue donc à l’ordinateur une adresse IP unique valable pour toute la session de connexion. On parle d’adresse IP dynamique. Les serveurs ont eux en général une adresse IP fixe. Un serveur spécial appelé serveur DNS, se charge de traduire en langage courant les adresses IP, qui sont en fait des suites de chiffres. Par exemple, l’adresse IP de la CNIL 194.98.200.22 devient www.cnil.fr. (définition inspirée du lexique de la CNIL, www.cnil.fr ).

Le Spam up : c’est l’utilisation de la commande à partir du menu ‘exécuter’, Net Send pour attirer l’attention de l’internaute qui a plus tendance à y croire car est affiché sur son écran une fenêtre indiquant ‘message de service’.

Ici on peut considérer que cela rentre dans le champ d’application de la loi car à la différence du pop up les fenêtres « pop-ups « (de l’anglais to pop up : apparaître, surgir) s’ouvrent automatiquement lors de la consultation d’une page web, de manière à la recouvrir partiellement. , la collecte de l’adresse IP est obtenue de manière illicite. Le pop up a d’ailleurs été récemment exclu des communications électroniques non sollicitées par la cour d’appel de l’Utahhttp://www.cnn.com/2005/LAW/01/14/ramasastry.spam/ au motif que la participation de l’expéditeur et du destinataire n’était pas réunie cad l’élément caractéristique d’une communication faisait défaut.

A contrario, un tribunal allemandLandgericht de Düsseldorf, 23 mars 2003 (26 mars 2003, Dusseldorf) a inclus les pop up dans le champ d’application au motif que avant de s’afficher à l’écran le pop up est stocké dans la mémoire Ram de l’ordinateur du destinataire du message publicitaire. Pourtant le message ainsi diffusé n’a pas une cible en particulier mais est accessible à tous les internautes en général. Ici la technique est un bon remède puisque l’on trouve des modules permettant de bloquer ces dits popups.

Reste à la jurisprudence française à déterminer sa position ; à moins que le décret en Conseil d’Etat, chargé de régler les conditions d’application du régime de l’opt-in, « notamment eu égard aux différentes technologies utilisées«, ne se charge de régler explicitement la question. Mais il semblerait que les sociétés de marketing commencent à abandonner ce système de promotionhttp://www.01net.com/article/233058.html

Le courrier électronique à l’avenir

Selon le « groupe 29 «, la liste d’exemples donnée à l’appui de la définition du courrier électronique « ne peut être considérée comme exhaustive et peut devoir être révisée en considération de développements technologiques et des marchés. « Quelles technologies seraient éligibles au rang de courrier électronique ?

les bandeaux publicitaires et liens hypertextes ? Ils ne semblent pas pouvoir être qualifiés de « courrier électronique « au sens de la LCEN pour la même raison que les « pop-ups « : il n’y a pas de communication établie entre un expéditeur et un destinataire, mais simplement exécution d’un programme à la consultation par l’internaute de pages webs ou d’un clic sur le lien.

les nouveaux formats publicitaires en « rich Media « ? Ces bannières multimédia et interactives déjouent les dispositifs anti-pop-up en ce qu’elles s’affichent dans la même fenêtre que le site Internet, mais en surimpression de la page source.

2- Une finalité commerciale

Selon l’article 22 de la Loi pour la confiance en l’économie numérique, « constitue une prospection directe l’envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services. «

Le législateur français a décidé de réduire à l’hypothèse des communications

commerciales les communications soumises au régime de l’opt-in. Un tel choix s’explique par l’atteinte à la liberté d’expression qui aurait résulté d’un texte s’appliquant à tous les types de communications non sollicitées.

contre toute violation de leur vie privée par des communications non sollicitées.

L’exclusion des courriers non commerciaux

A la lecture de la nouvelle disposition sont donc exclus certains messages, pourtant souvent considérés par les internautes comme du « spam «, et dont l’impact est aussi néfaste que celui des publicités non commerciales :

– Les mails à caractère religieux ou politique. La précision n’est pas anodine. En effet, le Tribunal de Grande Instance de Paris rendait le 15 janvier 2002(TGI Paris, 15 janvier 2002, M.V. c/ Sté Liberty surf, Sté Free une ordonnance de référé condamnant une personne s’adonnant à la pratique du « spamming « pour procédure abusive à l’encontre de son fournisseur d’accès qui avait procédé à la résiliation de son contrat. Or les messages en cause avaient un contenu de caractère religieux.Quand bien même de tels messages seraient l’occasion de prosélytisme, ils ne semblent pas pouvoir répondre à la définition de prospection directe donnée par la LCEN ;

– Les hoax, ou canulars. Ces messages peuvent par exemple alerter

sur la propagation de faux virus, encourager à la solidarité ou au militantisme en faisant circuler de fausses pétitions…Leur objectif est de pousser l’internaute à propager l’information.

– Les « mail bombing « ou « mass mailers «, qui consistent en l’envoi massif et simultané d’un même message vers une seule et même adresse.

Ces messages ne pourront donc pas à l’avenir se voir appliquer le régime de l’opt-in, ce qui n’empêche évidemment pas l’engagement d’une action judiciaire au titre d’autres fondements juridiques, tels que la responsabilité contractuelle ou la violation du droit pénal. La seule jurisprudence existante en la matière concerne d’ailleurs la plainte d’un Fournisseur d’accès à Internet pour atteinte à son système de traitement automatisé de données. Ce dernier a obtenu devant le tribunal de grande instance de Paris une sanction exemplaire à l’encontre de l’internaute responsable TGI Paris, 24 mai 2002, M.P. c/ Sté NOOS.

On voit que la supériorité de la liberté d’expression sur le droit à la tranquillité pour l’Internaute amène à concentrer la lutte contre le « spam « sur les seuls messages commerciaux.

II La LCEN, répression spéciale du spam

A) Le nouveau régime prévu par la LCEN

Le « permission marketing « – marketing d’autorisation selon une traduction littérale – est un concept théorisé par l’américain Seth Godin, fondateur de la première entreprise spécialisée dans le marketing direct via l’Internet. Dans cette technique de marketing, l’internaute devient un acteur de la consommation, acceptant ou non que le prospecteur lui envoie de l’information concernant des sujets déterminés au préalable. Il ne « subit « plus la publicité, mais la provoque.

Un internaute pourra alors opter pour la réception de publicité (système de l’opt-in) ou alors verra son consentement présumé, mais se voyant la possibilité de se désabonner des listes de diffusion du prospecteur (système de l’opt-out).

1- Le principe du consentement préalable

L’approche choisie par l’Union européenne, dénommée opt-in, est favorable à la protection des données personnelles. Elle conditionne l’envoi de messages au consentement préalable des destinataires.

Une telle approche, transposée dans la LCEN, oblige les prospecteurs à obtenir, avant tout envoi, le consentement de l’utilisateur du service à recevoir des communications commerciales.

Ce consentement porte sur l’utilisation de la donnée personnelle. L’exigence d’un consentement préalable s’inscrit dans une politique traditionnellement protectrice des données personnelles.

L’exigence d’un consentement de qualité

L’article 1er de la LCEN pose l’exigence d’un consentement de qualité, entendu comme :« toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe. «

L’exigence d’une volonté libre implique que le recueil d’un consentement ne puisse pas être dilué dans une acceptation des conditions générales ou couplé à une demande de bons de réduction. En clair, il ne doit pas conditionner la réalisation d’une vente.

Concernant la spécificité du consentement, le destinataire de la collecte aura-t-il à cocher une case ou faire défiler un menu déroulant pour que son adresse (ou d’autres données) soient utilisées ultérieurement à des fins commerciales ? Ou bien une case déjà pré-cochée ou un menu

déroulant déjà positionné sur la réponse oui à la question « voulez-vous recevoir des sollicitations ultérieures ? « suffiront-ils à recueillir l’accord de l’Internaute ?

La CNIL recommande à cet égard qu’il soit recueilli par le biais d’une case à cocher et rappelle qu’une case pré-cochée est contraire à l’esprit de la loi. Le Groupe Article 29, dans son avis de février 2004http://www.europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2004/wp96_fr.pdf , indique à son tour que « les cases pré-cochées, par exemple sur des sites web, ne sont pas davantage compatibles avec la définition de la directive «.

c’est surtout l’exigence d’information de l’internaute qui devrait porter à discussion devant les tribunaux. Recueillir le consentement préalable de l’internaute nécessite de conserver la preuve de celui-ci. La LCEN oblige ainsi implicitement tout prospecteur à l’archivage de l’établissement de la relation commerciale, afin de prévenir tout litige intervenant entre le prospecteur et l’internaute, ou entre l’internaute et l’annonceur directement lorsque le prospecteur fait figure de simple intermédiaire. Un tel archivage devrait en outre permettre aux prospecteurs de répondre aux demandes d’information des internautes, lesquels disposent, pour mémoire, d’un droit d’accès selon la loi « Informatique et Libertés «.

b)Les difficultés pour l’industrie du télémarketing

L’instauration d’un tel système fait figure de compromis équilibré entre le tout permettre (régime américain de l’opt-out) et le tout interdire que constitue le double opt-in, qui consiste à demander à l’internaute de retourner le courrier de confirmation à l’entité collectrice de données, afin de bien marquer son consentement.

Cette nouvelle loi n’est pas sans conséquence pour l’essentiel des acteurs de l’industrie du marketing direct,

– Avec la nouvelle disposition, l’établissement d’une relation commerciale : ne peut plus se faire par le biais d’un surf « passif « de l’internaute. Ce dernier doit, prendre l’initiative d’établir une relation commerciale avec l’annonceur. A moins que le consommateur n’ai donné ses coordonnées virtuelles à l’occasion d’un face à face dans le monde réel.

– La question s’est posée de la légalité des fichiers constitués à des fins de prospection directe antérieurement à l’entrée en vigueur de la LCEN. Une période de transition a été établie par son article 22 -III : les fichiers légalement constitués (c’est à dire conformément à la loi « Informatique et Libertés « du 6 janvier 1978) peuvent être utilisés sans contradiction avec la nouvelle disposition, dans une période de 6 mois, aux seuls fins de recueillir le consentement de l’internaute à recevoir de futurs sollicitations commerciales.

Il s’agit ainsi de « légaliser « les fichiers existants.

On distingue 3 cas :

– Les adresses collectées légalement dans le cadre d’un achat commercial;

– Les adresses collectées légalement, mais en dehors de tout acte commercial;

– Enfin, les adresses collectées sans le consentement des intéressés

A l’expiration du délai de 6 mois, soit le 22 décembre 2004, les personnes fichées n’ayant pas manifesté leur consentement de manière expresse étaient présumées avoir refusée l’utilisation de leurs coordonnées à des fins de prospection directe.

Maintenant nous allons voir les exceptions posées au principe du consentement préalable.

2- Exceptions

La nouvelle disposition pose une exception au principe du consentement préalable :« Toutefois, la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies directement auprès de lui, dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, à l’occasion d’une vente ou d’une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l’utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque fois qu’un courrier électronique de prospection lui est adressé.

Ainsi le principe se renverse, autorisant la prospection directe par courrier électronique lorsque 3 conditions sont réunies :

– les coordonnées ont été collectées légalement à l’occasion d’une vente ou d’une prestation de services ;

– la prospection concerne des produits ou services analogues fournis par la même personne physique ou morale ;

– le message contient une possibilité de désabonnement expresse, dénuée d’ambiguïté, simple et sans frais.

Les personnes morales ne sont pas, en tant que destinataires, soumises au régime de l’opt-in.

En effet, la nouvelle disposition interdit l’utilisation sans consentement préalable des « coordonnées d’une personne physique «.

« En tout état de cause, la Commission a, considéré qu’une adresse électronique est toujours rattachée à une personne physique, directement nominative lorsque le nom de la personne figure dans le libellé de l’adresse et, lorsque tel n’est pas le cas, indirectement nominative dans la mesure où toute adresse électronique peut être associée à un nom. «
Ainsi seraient soumis au principe de l’opt-in les adresses de la forme nom.prénom@entreprise.fr, au motif qu’elles ne peuvent être considérées comme des coordonnées impersonnelles. A l’inverse, les coordonnées empruntant la forme impersonnelle contact@entreprise.fr, clientele@entreprise.fr seraient exclues du régime de l’opt-in.

B) L’autorité compétente pour engager les poursuites

L’application efficace des nouvelles dispositions implique des mécanismes de plainte appropriés. Qui peut engager des poursuites à l’encontre d’un spammeur ? Quelle est l’autorité compétente pour connaître du litige ?

1- Initiative du recours

Avant l’entrée en vigueur de la LCEN seuls les fournisseurs d’accès et autres webmails arguaient d’une violation de leurs obligations contractuelles ou d’une infraction réprimée par le Code Pénal et à ce titre engageaient une action devant les tribunaux français.

Les personnes physiques victimes de « spams «pouvaient arguer du non respect de la loi « Informatique et Libertés «, et à ce titre déposer une plainte auprès de la CNIL, laquelle se contentait de dénoncer le spammeur au Parquet lorsque la plainte était fondée. Cependant, peu d’internautes ont usé de cette prérogative.

Aujourd’hui, la LCEN tente de rééquilibrer la situation, n’oubliant pas que les simples particuliers sont tout autant victimes du « spam «que les prestataires techniques. A ce titre, elle permet à la CNIL d’instruire directement les plaintes déposées par les particuliers et de sanctionner les spammeurs.

En revanche, les Fournisseurs d’accès à Internet n’ont pas de droit de plainte sur le fondement de la LCEN, celle-ci instituant le régime de l’opt-in à l’égard des seules personnes physiques. Il reste à souligner que ces prestataires mettent souvent en demeure les spammeurs de cesser leurs agissements, préalablement à toute action en justice. Cet avertissement pourrait freiner l’efficacité des plaintes déposées parallèlement par les particuliers auprès de la CNIL, permettant au spammeur de se sentir menacé et ainsi de faire disparaître tous les éléments de preuve.

2- Compétence spéciale conférée à une autorité administrative

La Commission Nationale Informatique et Libertés, autorité administrative indépendante créée par la loi « Informatique et Libertés «du 6 janvier 1978, a pour mission essentielle de protéger la vie privée et les libertés individuelles ou publiques.

Elle est chargée à ce titre de veiller au respect de la loi « Informatique et Libertés «qui l’a instituée.

La directive cadre du 24 octobre 1995http://lexinter.net/UE/directive_du_24_octobre_1995_sur_la_protection_des_donnees_personnelles.htm , dans son article 2856, chargeait les Etats membres d’investir une autorité publique de la mission de veiller à l’application des dispositions prises au titre de la directive.

La LCEN est l’une de ces dispositions. Elle élargit la compétence de la CNIL à la surveillance de la bonne application de la loi, « pour ce qui concerne la prospection directe utilisant les coordonnées d’une personne physique «(article 22 de la LCEN).

Il convient cependant de souligner que la CNIL n’avait pas attendu le texte de loi pour attaquer de front le problème grandissant des communications commerciales non sollicitées ; elle menait son action au titre des compétences dont la loi « Informatique et Libertés «l’avait doté.

En effet, la CNIL dispose depuis la loi « Informatique et Libertés «d’un pouvoir de dénonciation au parquet des infractions constatées et d’un pouvoir de prononcer des avertissements après enquête. Cependant elle déplorait le manque de moyens notamment financiers l’empêchant de mener à bien sa mission.

A ce titre, une modification de la loi « Informatique et Libertés «était attendue, élargissant ses pouvoirs afin de la mettre en l’état d’exécuter efficacement la mission confiée. C’est chose faite avec la loi du 6 août 2004, laquelle confère à la CNIL un véritable pouvoir de prononcer des sanctions administratives. En effet, l’article 45 de la loi du 6 janvier 1978 modifiée permet à la CNIL de prononcer à l’encontre du responsable d’un traitement de données personnelles une sanction pécuniaire.

La sanction administrative prononcée peut s’élever à 150 000 euros, voire 300 000 euros en cas de récidive (article 47 de la loi Informatique et libertés du six août 2004.

3- Des garanties procédurales

La loi anticipe les critiques qu’elle pourrait encourir du fait du non respect de l’article 6.1 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. Ce texte, qui pose le principe d’un droit de tout justiciable à un procès équitable, est limité dans son champ d’application aux hypothèses où le tribunal « décidera soit des contestations sur les droits et obligations de caractère civil, soit du bien fondé de toute accusation en matière pénale. «Ces notions font l’objet d’une définition « autonome «par la Cour européenne, indépendante des qualifications respectives des différents systèmes nationaux. C’est ainsi que l’exigence d’un procès équitable s’applique aux autorités administratives dotées d’un pouvoir de sanction.

Une sanction administrative telle que celle qui pourra être prononcée par la CNIL ne peut en conséquence être infligée sans la tenue d’une procédure contradictoire, ce que prévoit la loi du 6 août 2004. De même, afin de satisfaire aux exigences européennes, les décisions prononcées par la CNIL seront susceptibles d’un recours de pleine juridiction, pouvant réformer en tous points en fait et en droit la décision prononcée, et ce devant le Conseil d’Etat.

La CNIL s’est vue reconnaître des pouvoirs spéciaux d’injonction et de sanction afin de mener à bien la nouvelle mission dont elle est impartie.

Jusqu’alors, la CNIL a mené une action modèle à l’égard des utilisateurs, professionnels et particuliers, anticipant sur la transposition de la directive du 24 octobre 1995, qui adopte une approche de protection des donnés personnelles a posteriori.

A titre d’exemple, elle a mis en place une « boîte à spam «http://www.cnil.fr/index.php?id=1268 (bilan de l’opérationélectronique vouée à recevoir les plaintes des internautes à la fin de l’année 2002 qui a été jugée par la Commission européenne comme l’une des « meilleures pratiques «mise en oeuvre dans la lutte contre le « spam «.

La CNIL avait cependant été contrainte de cesser cette action, faute de bénéficier de moyens suffisants pour la mener à terme. Elle devrait renouer avec le système d’une boîte à spam de manière permanente. La Commission européenne souligne les avantages d’un tel système :

– il encourage les consommateurs à dénoncer les infractions ;

– il est générateur de statistiques ;

– et peut être à la base d’une action préventive au vu des renseignements fournis.

Ainsi la CNIL, qui ne pouvait jusqu’alors qu’occuper la place d’un intermédiaire entre lesvictimes d’infractions et les autorités judiciaires compétentes, va pouvoir sanctionner lesdélinquants.

Cependant, à la suite de la relaxe d’un spammeur par le tribunal correctionnel de Paris le 7 décembre 2004http://www.cnil.fr/fileadmin/documents/approfondir/dossier/spam/jugement_7-12-2004-spam.pdf. dénoncé grâce à la boîte à spam, l’efficacité de l’intervention de la CNIL par le biais de cette dernière pourrait paraître limitée. Mais force est de constater que la CNIL ne disposait pas des pouvoirs plus importants que la loi «Informatique et libertés« modifiée le 06 août 2004 lui a donné. La CNIL va donc continuer son action contre le spam en utilisant notamment les pouvoirs de sanction dont la nouvelle loi «informatique et libertés« l’a dotée.

III- Technique et coexistance de deux régimes : des freins à la repression efficcace

A) Les techniques relevant de la qualification de communication électronique non sollicitée

Le spam : classique mel vantant les mérites du viagra etc…Les spammeurs utilisent des techniques dites de ‘deceptive subject lines’ destinées à tromper les filtres anti spam. Sachez qu’il existe plus de 6 millions de façons d’écrire le mot Viagra de manière à contourner un filtre anti spam tout en gardant la lisibilité du mot viagra…http://cockeyed.com/lessons/viagra/viagra.html

On peut rapidemment évoquer le Scam qui est la version électronique de l’escroquerie traditionnelle. PrésentéLes arnaques du web africain : http://www.mbolo.com/arnaque.asp toujours sous la forme d’un courrier, où un jeune africain appartenant à une riche famille vous explique son besoin de transférer rapidement de l’argent à l’étranger pour une quelconque raison (principalement à cause de la guerre civile régnant dans son pays).

Il demande donc votre aide pour le transfert d’argent, en échange de quoi il vous donnera un pourcentage sur la somme à transférer.

Si vous répondez, vous recevez immédiatement un mail vous expliquant la procédure à suivre. À partir de là deux choix vous sont offerts :

soit vous avancez l’argent pour différents frais comme les droits de douanes ou les honoraires d’un hypothétique avocat;

soit vous donnez vos informations bancaires pour transférer l’argent. Avec votre passeport, elles lui permettront de pouvoir se faire passer pour vous et de vider votre compte en banque.

Les services secrets américains estiment que cette escroquerie rapporte plusieurs centaines de millions de dollars US par an à ses auteurs.

Exemple de scam :

mots clés: PAUL BURTLEY, ABIDJAN COTE D’IVOIRE, ancien chef KENNETH BURTLEY de la SIERA LEONNE, extracteur d’or et de diamant en Sierra Leone (S.L.M.C) Freetown, ECOMOG, AHMED TEJAN KABBAH
titre: « Aide Orphélin«
email:
paul_burtley003@yahoo.fr ; paul_burtley@yahoo.fr
Message:
DPAUL BURTLEY.
ABIDJAN COTE D’IVOIRE .
Entrez s’il vous plaît en contact avec moi la cuvette cet email:paul_burtley@yahoo.fr
Cher ,
Je suis Monsieur PAUL BURTLEYle seul fils de l’ancien chef KENNETH BURTLEYde la SIERA LEONNE.
Je vous écris avec une confidence absolue premièrement pour demander votre assistance pour transférer notre liquidité de 15,000 000 de dollar qui actuellement se trouve dans le coffre fort d’une compagnie de sécurité ici en Europe dans votre compte personnel jusqu’à notre arrivée dans votre pays.
SOURCE DE L’ARGENT
Mon défunt père, chef KENNETH BURTLEY, le patron des extracteur d’or et de diamant en Sierra Leone (S.L.M.C) Freetown. Concernant mon père, cet argent est le résultat de l’or et le diamant extraient des mines Sierra Léonaise avant le début de la guerre civil entre les forces rebelles et les forces de maintien de la paix de l’ECOMOG qui a détruit mon pays après le coup de force qui a chassé du pouvoir,le président démocratiquement élu AHMED TEJAN KABBAH.
Mon père avait déjà mis en place un plan pour nous évacuer(ma famille) ma mère, ma petite sour et moi même sur Abidjan en Cote d’ivoire avec nos effets personnels et la boite contenant l’argent par le biais des forces ‘évacuation des nations unies.
Mon père nous a demandé de déposer la boite dans une compagnie privée de sécurité Europe. jusqu’à ce qu’il nous rejoigne après la guerre. Pendant la guerre dans mon pays, et avec pour conséquence le pillage des propriétés publiques et du gouvernement par les forces rebelles, la coopération des mines sierra léonaise étaient l’une des cibles pillées et détruites.
Mon père et plusieurs autres haut fonctionnaires ont été attaqués et tués par les rebelles en novembre 2000 pour leur relation avec le gouvernement civil d’AHMED TEJAN KABBAH. Suite à la mort de mon père, et avec les nouvelles de mon oncle à propos de son accident d’avion en janvier, nos espoirs de survie étaient complètement noyés. Cette mort prématurée de mon père et de mon oncle a provoqué un arrêt cardiaque chez ma mère et d’autres complications qui ont provoqués sa mort plus tard dans un hôpital et après on a eu à dépenser une importante somme d’argent pour elle.
Actuellement ma soeur et moi même sommes seuls dans ce pays étrange, souffrant et sans aucun soutien . sans aucune relations, nous sommes actuellement comme des réfugiés et des orphelins. Notre seul espoir actuellement est en vous et en la boite qu’on déposé dans la compagnie de sécurité en Europe
A cet effet, je sollicite humblement votre assistance dans le sens suivant :
1- m’aider à faire sortir la boite de la compagnie de sécurité comme CO- bénéficiaire pour transférer cet argent en votre nom dans votre propre compte dans votre pays pour un investissement lucratif .avec vous comme principal acteur.
2- Le plus important c’est que la compagnie de Sécurité ne connaît pas le contenu exact de la boite parce qu’on l’a déclaré comme richesses familiales.
3- Tous les documents relatifs au dépôts sont dans mon coffre a la maison.
4- Pour votre assistance, je vous céderai 20% de cet argent pour vos efforts et votre assistance.
5- Enfin je vous prie de garder cette transaction strictement confidentiel.
Entrez s’il vous plaît en contact avec moi la cuvette cet email:paul_burtley@yahoo.fr
Merci et que Dieu vous bénisse pour votre assistance à notre égard.
Très sincèrement
PAUL BURTLEY

le phishing : qui consiste comme on l’a vu précédemment à inciter par mail un internaute à se rendre sur un site internet factice. (un interanaute s’est récemment fait condamner au titre d’escroquerie).

Le spit : qui selon certains spécialistes fera sa grande apparition cette année. C’est le Spam Over Ip c’est-à-dire le spam par téléphonie Internet. Un message publicitaire préenregistré sera diffusé sur le téléphone du destinataire. Beaucoup plus pénible que par mail…Le procédé et son remède a déjà été breveté par un intégrateur IP américain. Selon cette société, cette activité sera encore plus rentable que le Spam classique.http://www.voip-news.com/art/5o.html

B) La lutte contre les techniques favorisant le spam

1- Les outils liés au spam

les spamwares : logiciels disponibles à la vente ou en libre distribution sur internet ou souvent réalisés par des groupes warez complices des spammers (les spackers) permettent la récolte et l’envoi en masse de mails (technique du push and pull).

Les aspirateurs d’emails : ce sont les bots pour robots ou appelés outils de push. Ce sont des ordinateurs qui parcourent internet sans arrêt dans le seul but de collecter des adresses emails. Les bots sont ainsi affectés à des secteurs sociaux particuliers car une adresse mail n’ a de valeur que si elles recèlent des informations sur son détenteur. Les salles de chat, forums et page perso constituent les lieux de recherche de prédilection de ces bots. De telles utilisations de logiciels et d’internet ont fait l’objet d’une décision le 16 décembrehttp://tabaka.blogspot.com/2004/12/un-spammeur-franais-relax.html dernier par le Tribunal de Grande Instance de Paris:

L’internaute était poursuivi pour avoir collecté des données nominatives aux fins de constituer des fichiers ou traitements informatiques par un moyen frauduleux, déloyal ou illicite. Ces faits étaient punis par les articles 226-18 et 226-31 du Code pénal. Les magistrats ont analysé finement les outils utilisés par l’internaute.

En l’espèce, celui-ci utilisait deux outils de collecte des adresses de courrier électronique : Robotmail et le logiciel FreeProspect.

Le premier point portait sur la notion même de données nominatives. Pour les juges, «Les adresses électroniques constituent, au sens de ce texte, des données nominatives, dès lors qu’elles permettent en règle générale d’identifier la personne physique auxquelles elles s’appliquent, soit directement, quand le nom et le prénom de cette personne figurent en toutes lettres dans l’adresse (cas des adresses expressément énumérées dans la prévention relative au logiciel robotmail), soit indirectement, lorsque des démarches auprès d’un intermédiaire technique sont nécessaires pour découvrir la personne physique titulaire de l’adresse concernée, et ceci, sauf les rares exceptions d’adresses génétiques de personnes morales, ne conduisant pas à une personne physique identifiable«.

Le deuxième point portait sur la notion de collecte. Pour les juges, la notion de collecte est synonyme de recueil et de rassemblement ce qui impliquement «leur enregistrement ou leur conservation dans un fichier«. Or, le logiciel FreeProspect ne procédait pas au stockage des données mais procédait à un envoi automatique dès la détection de l’adresse de courriel. Les juges relaxent l’internaute du fait de l’utilisation de ce premier logiciel.

Concernant le logiciel RobotMail, les juges considèrent qu’un stockage a lieu. Pour autant, aucun des éléments de la cause ne permettait «au tribunal de retenir que la collecte à laquelle se livrait le logiciel robotmail avait un caractère déloyal, frauduleux ou illicite«. Même si les titulaires des adresses ignoraient que leurs adresses avaient été collectées, les juges retiennent «que le consentement express des intéressés, qu’il intervienne a priori ou a posteriori, n’est pas exigé en tant que tel par la loi pour caractériser la loyauté de la collecte«.

Pour les juges, dès lors qu’il existe un principe de «l’accessibilité universelle de l’internet«, un recueil de données nominative disponible sur «des espaces publics, opération qui n’est interdite par aucune disposition expresse et n’implique l’usage d’aucun procédé frauduleux, ne peut être, du seul fait qu’il serait effectué sans que les intéressés en soient informés, considéré comme déloyal«.

En clair, les juges estiment que la collecte de données nominatives par des logiciels dans les espaces publics de l’internet ne constitue pas une collecte frauduleuse aux sens du Code pénal. Cela s’explique par une séparation opérée par les magistrats entre l’acte de collecte et la finalité de cette collecte. Sur le fondement de l’article 226-18, pour qu’une sanction puisse être prononcée la collecte en elle-même doit être frauduleuse ou déloyale peu importe l’utilisation qui peu en être faite.

2-Les autres techniques de collectes d’adresses :

la solution la plus simple rapide, peu onéreuse et la plus courante est la location ou l’achat de fichiers d’adresse. Plus les informations contenues danzs ces fichiers sont précises plus les fichiers sont chers. On peut trouve facilement des offres de ventes de 1000 adresses pour le prix de 600 € et puis les 100 adresses sipplémentaires ne vous coûte que 50 € de plus…La lutte contre cette technique est bien evidemment extremement difficil e même si comme on l’a vu, les autorités judiciaires arrivent parfois à remonter certaines filières.

Le harvesting : un logiciel se charge de créer ‘au hasard’ des adresses emails puis de les tester en les envoyant sur le serveur du domaine concerné. Ainsi si l’adresse n’est pas valable, un message d’erreur reviendra à l’expéditeur. ( ce qui coûte beaucoup d’argent aux FAI).

Ces différents logiciels permettent en outre de rendre anonyme l’envoi de tels courriers, rendant la lutte technique (filtre anti-spam) et juridique (obligation d’identification de l’expéditeur) innefficace. De plus, les spammers utilisent des réseaux ouverts pour l’envoi de leur message. Ainsi vous pouvez être à votre insu, le ‘complice’ d’un spammer. Cela concerne plus les entreprises qui lors de l’installation de leur serveur SMTP (Simple Messaging Transfer Protocol) ne prennent pas assez de précautions pour protéger celui-ci. Comme pour un envoi classique, un message électronique transite par plusieurs ‘centre de tri’. Comme sur une enveloppe vous pouvez voir l’adresse du premier centre de tri (ici notre serveur SMTP), on sent bien ici que cette ‘adresse’ n’a aucune valeur probante. Toujours comme en matière de courrier classique, l’adresse de l’expéditeur peut être indiquée au dos de celle-ci; mais là encore, ces logiciels spamwares permettent de falsifier les en-tête.

Le hacking : Une obligation légale pèse sur les adminstrateurs de base de données de veiller à la confidentialité et donc à la sécurité des BDD à contenu personnellesLoi n° 2004-801 du 6 août 2004 article 34 « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et , notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. «. Mais il est fréquent pour des pirates de s’introduire par des failles dans celles-ci, et donc de piller les adressses et informations. Les sanctions posées par l’article 45 de la loi Informatique et Liberté de 1978 telle que modifiée par la loi du 6août 2004 devraient être dissuasive :150000 € et 300000€ en cas de récidive. La lutte contre les intrusions dans les systèmes informatiques de ce type relève donc de la compétence de l’OCLCTI puisqu’elle implique un haut niveau de technicité mais également une coopération internationale efficacehttp://www.interieur.gouv.fr/rubriques/c/c3_police_nationale/c3312_oclctic/presentation ;.

C) Les solutions envisagées

l’identification : tous les logiciels précités permettent souvent l’anonymisation des spammers or l’enjeu de l’identification certaine de la personne permettrait de résoudre le problème de la confiance des utilisateurs et ainsi de se conformer à l’intitulé même de la loi…Cependant l’article 2 de la LCEN suscite des débats. Et il s’agit de lutter efficacement contre les spammers sans emêcher les société de marketing direct de faire leur travail. En effet, Le texte fait obligation de rendre « clairement identifiable la personne physique ou morale pour le compte de laquelle elle est réalisée « Les opérations légitimes de marketing mettent en jeu de multiples intervenants : conseils en location de fichiers, loueurs de fichiers, routeur d’emails, concepteurs de campagne …Sont-ils suffisemment protégés pour continuer leur activité ?http://www.halte-au-spam.com/lcen-id.htm

mise en place d’un système de certification qui permettrait d’augmenter l’efficacité des filtres anti spam.

S’attaquer au schéma économique du spamming : chaque envoi non sollicité pourrait faire l’objet d’une sanction.

Mais les moyens techniques et juridiques sont comme on vient de le voir très limités ( en pratique comme en théorie, puisque les officiers travaillant à la BEFTI, qui dispose sensiblement des mêmes prérogatives que l’OCLTCI, ne sont que 25 sur tout le territoire…). De plus, le champ d’application de la loi LCEN qui pourrait avoir un effet dissuasif ne dépasse pas les frontière ou tout au moins puisqu’elle transpose une directive communautaire, au territoire de l’UE .

Aussi convient-il d’analyser la coopération internationale en la matière.

D La coexistance au niveau international de 2 systèmes opposés

3 à 4% du spam mondial est envoyé à partir du territoire français. Le reste provient des Etats-Unis, du Brésil et de la Russie, selon Benoît Tabaka du Forume des Droits sur Internethttp://www.01net.com/article/265217.html .

Le régime en vigueur aux Etats-Unis de l’opt-out choisi par le Can Spam Act du 1er janvier 2004 ne permet pas d’affirmer qu’elle met en place un dispositif efficace de lutte contre le spam.

Avant l’entrée en vigueur du Can Spam Act :

Les poursuites étaient menées au titre du Consummer Privacy Act du 3 mars 2004 et consistait par un moyen détourné de lutter contre des procédés techniques déloyaux ou trompeurs relatifs à la collecte d’adresses e-mail. Partant, 36 états fédérés ont adopté une reglementation spécifique par rapport à la notion de Privacy (conception très éloignée de la conception européenne qui repose sur le droit à être laissé tranquille).

Le Can Spam Act :

Cette loi fédérale s’impose même si le régime de l’état fédéré est plus protecteur des droits des consommateurs. C’est le principe de l’opt-out qui est adopté : 30 jours pour refuser le courrier électronique; 10 jours pour traiter l’opt-out. Elle impose un label précis au caractère de la communication (dans le champ de l’objet est spécifié AD: pour publicité; et un autre label pour les communications à caractère pornographique). En Espagne un tel système a été mis en place sous peine de sanction : pub: Pour publicidad.

Mais se pose le problème de la cohésion d’un système juridique international. En effet, cela pousse les spammers à délocaliser leur activité (en tout cas l’établissement de leur serveurs) vers des ‘paradis numériques’.

En outre, les recommandations de la FTC (Federal Trade Commission) incitent à la création de listes rouges ( cad des listes d’adresse mail qui refusent de recevoir des communications par mail), mais ce genre de liste constituerait une source extrêmement riche à quiconque voudrait s’en servir à des fins malhonnêtes.

Enfin, c’est deux régimes opposées qui ont été mis en place par ces législations. A l’inverse de la LCEN, les internautes américains ne disposent pas du droit à un recours devant les tribunaux; seuls les FAI peuvent le faire sur le fondement du Can Spam Act.

Ce régime n’a pas prouvé son efficacité et la cohabitatition avec le régime de l’opt-in européen risque de compliquer la lutte.

Seule la loi de 78 telle que modifiée pourrait enrayer le phénomène. La voie de la protection de la donnée personnelle pourrait en effet être utilisé en se basant sur le niveau de protection adéquatedes pays vers lesquels sont exportées les données. Mais là encore, le système américain de protection est très insuffisant, et ce notemment depuis l’adoption du Patriot Act.

Les approches possibles :

Le protocole SMTP est un standard reconnu dans le monde entier mais est trop simple à détourner pour permettre des parades techniques et juridiques efficaces. Tant et si bien que le rapport de la FTC remis au congrès préconsie aux acteurs du secteur industriel et marketing de trouver une solution avant 6 mois, délai imparti à défaut duquel elle a imposera elle-même ses standards. Ainsi des industriels se sont regroupés et tentent d’imposer le standard ‘Sender Id’ qui repose sur l’identification par DNS (vérification de l’authenticité du serveur d’envoi par enregistrement sur des noms de domaine) et de cryptographie. Ce standard doit être validé par l’IETF et soulève à nouveau d’autres questions juridiques : quid de la gratuité de l’e-mail, les ‘bannis’ des noms de domaine authentifié pourront-ils se retourner contre leur FAI ?

Par Emilie DUMERAIN

Antoine ESTERELLAS

Elly IMANI

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.