Alors que le Parlement Européen vient d'adopter une
directive spécifique concernant le spamming et l'envoi
de courriers électroniques non sollicités, en faveur
de l'opt-in (voir aussi l'opt-out), il nous semble
important de faire le point sur le sujet. Au regard des
législations existantes en France et des directives
européennes mises en place, un constat s'impose : le
spam est illégal en France ! Et aussi en Europe.
En effet, bien qu'il n'existe pas encore de textes et de
lois spécifiques à ce problème, et réglementant
l'envoi de courriers électroniques publicitaires (la
France a jusqu'au 31 octobre 2003 pour transposer la
directive européenne, et adopter des lois d'Opt-in), il
existe bien, et ce depuis 1978 pour la France, des lois
en rapport avec la protection de la vie privée et des
données personnelles. Pour spammer, il faut bien avoir
au préalable collecter des adresses emails et en faire
un traitement. Or, l'adresse email étant une donnée
nominative et personnelle, sa collecte est fortement réglementée.
Et on peut dire sans se tromper que presque 100 % des
spammeurs sont en totale infraction quant à la réglementation.
Explications.
Le consentement préalable (opt-in) est obligatoire
depuis juillet 2002 !
Selon le paragraphe 40 de la directive
européenne 2002/58/CE, le consentement préalable
des internautes est obligatoire avant de pouvoir leurs
envoyer des courriers électroniques promotionnels.
C'est le principe d'Op-in :
"Il
importe de protéger les abonnés contre toute
violation de leur vie privée par des communications
non sollicitées effectuées à des fins de
prospection directe,en particulier au moyen d
’automates d ’appel,de télécopies et de cour-
riers électroniques, y compris les messages courts
(SMS). Si ces formes de communications commerciales
non sollicitées peuvent être relativement faciles et
peu onéreuses à envoyer, elles peuvent,en revanche
imposer une charge et/ou un coût à leur
destinataire. En outre, dans certains cas,leur volume
peut poser un problème pour les réseaux de
communications électroniques et les équipements
terminaux. S ’agissant de ces formes de
communications non sollicitées effectuées à des
fins de prospection directe,il est justifié
d’exiger de l’expéditeur qu’il ait obtenu le
consentement préalable du destinataire avant de les
lui envoyer.../
Il n'y a donc plus aucune ambiguité : si
vous n'avez pas autorisé préalablement quelqu'un à
vous envoyer des mails de pub et de promotion, et que
celui-ci vous en envoie quand même, c'est du spam !
L'Opt-out ne peut plus s'appliquer. Personne ne peux
plus vous polluer votre boite email en pretextant que
vous pouvez vous désinscrire de sa liste de spam si
vous ne désirez plus être importuné. Il devra avoir
votre accord avant de vous envoyer sa pub
(commerciale ou pas). De même, plus personne ne peut
vous inscrire à une Newsletter si vous ne l'avez pas
expressement demandé.
Même dans le cas de relations commerciales déjà établies
entre vous et une société, ce principe s'applique, de
par le paragraphe 41 de la même directive :
"Dans
le cadre d’une relation client-fournisseur
existante, il est raisonnable d’autoriser
l’entreprise qui, conformément à la directive
95/46/CE, a obtenu les coordonnées électroniques, et
exclusivement celle-ci, à exploiter ces coordonnées
électroniques pour proposer au client des produits ou
des services similaires. Il conviendrait, lorsque des
coordonnées électroniques sont recueillies, que le
client soit informé clairement et distinctement sur
leur utilisation ultérieure à des fins de
prospection directe et qu’il lui soit donné la
faculté de s’opposer à cet usage. Il convient de
continuer d’offrir cette possibilité lors de chaque
message de prospection directe ultérieur, et ce,sans
frais,hormis les coûts liés à la transmission du
refus.../
Cela signifie que lorsque vous laisserez
vos coordonnées à cette société, et donc votre
adresse email, il devra être dit si celui-ci vous
enverra de la pub par la suite, et si c'est le cas, vous
donner la possibilité de le refuser, lors de la
collecte de vos informations. Vous devrez être en
mesure de faire cesser ces envois, si vous les acceptez,
quand vous le désirez (lien de désinscription).
L'adresse email est une donnée personnelle
Selon l'article 2, alinéa a) de la Directive
95/46/CE du Parlement européen et du Conseil, du 24
octobre 1995, relative à la protection des personnes
physiques à l'égard du traitement des données à
caractère personnel et à la libre circulation de ces
données :
"données
à caractère personnel" : toute information
concernant une personne physique identifiée ou
identifiable (personne concernée)../
Selon l'article 4 de la
loi
française n° 78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés :
Sont
réputées nominatives au sens de la présente loi les
informations qui permettent, sous quelque forme que ce
soit, directement ou non, l'identification des
personnes physiques auxquelles elles s'appliquent, que
le traitement soit effectué par une personne physique
ou par une personne morale.
D'autre part, un rapport de la CNIL (Commission
Nationale de l'Informatique et des Libertés) d'octobre
1999 sur le
publipostage électronique et la protection des données
personnelles, définit ainsi l'adresse email :
l'adresse
électronique constitue une donnée personnelle au
sens des législations de protection des données et
de la directive européenne du 24 octobre 1995
relative à la protection des personnes physiques à
l'égard du traitement des données à caractère
personnel et à la libre circulation de ces données
ces données.../
Au regard des législations de protection des données
personnelles, une adresse électronique est évidemment
une information nominative : directement nominative
lorsque le nom de l'internaute figure dans le libellé
de l'adresse ; en tout état de cause, toujours
indirectement nominative dans la mesure où toute
adresse électronique est associée à un nom et à
une adresse physique. De surcroît, à la différence
d'autres catégories de données personnelles (numéro
de téléphone, plaque minéralogique, etc.), une
adresse électronique fournit dans bien des cas de
nombreux renseignements sur la personne : son nom, son
lieu de travail, son fournisseur de messagerie ou son
fournisseur d'accès, son pays d'établissement,
etc.
On peut donc dire sûrement qu'une adresse email est une
donnée personnelle, qui concerne bien la vie privée
d'un individu, d'un internaute, et que toutes les lois
française et directives européennes sur la collecte et
le traitement de telles données doivent donc
s'appliquer à l'adresse électronique, à l'email.
La collecte des emails et la loi
La loi française de 1978 (voir ci-dessus) dit dans deux
articles :
Article
25
La collecte de données opérée par tout moyen
frauduleux, déloyal ou illicite est interdite.
Article 26
Toute personne physique a le droit de s'opposer, pour
des raisons légitimes, à ce que des informations
nominatives la concernant fassent l'objet d'un
traitement.
La directive européenne de 1995 (voir ci-dessus), quant
à elle, dit :
Article
6
1. Les États membres prévoient que les données à
caractère personnel doivent être :
a) traitées loyalement et licitement
b) collectées pour des finalités déterminées,
explicites et légitimes, et ne pas être traitées
ultérieurement de manière incompatible avec ces
finalités.../
Article 7
Les États membres prévoient que le traitement de
données à caractère personnel ne peut être effectué
que si :
a) la personne concernée a indubitablement donné son
consentement.../
Et cette même directive définit ainsi le
"consentement" :
Article
2
h) "consentement de la personne concernée"
: toute manifestation de volonté, libre, spécifique
et informée par laquelle la personne concernée
accepte que des données à caractère personnel la
concernant fassent l'objet d'un traitement.../
Une autre directive européenne, la directive
"télécommunications" 97/ 66 du 15 décembre
1997, clarifie la situation quant aux
"automates d'appel" (et les faxs), qu'elle définit
comme "tout système d'émission d'un message préenregistré
à caractère commercial sans intervention humaine"
(ce qui est indéniablement une caractéristique du
spam, les spammeurs utilisant des robots-logiciels pour
la gestion des envois) :
Article
12
Appels non sollicités
1. L'utilisation de systèmes automatisés d'appels
sans intervention humaine (automates d'appel) ou de télécopieurs
(fax) à des fins de prospection directe ne peut être
autorisée que si elle vise des abonnés ayant donné
leur consentement préalable.
De plus, cette collecte et le traitement de ces données
doit se faire selon un cadre strict et un formalisme que
prévoient les articles 27 de la loi de 1978 et 10 de la
directive européenne.
Résumons ce que nous dit la loi jusqu'ici : l'adresse
email est une donnée personnelle et personne ne peut
collecter cette donnée privée sans votre consentement
!!
Si l'Europe est très explicite en ce sens et parle de
consentement "volontaire, libre et informé",
la France quant à elle accorde aux intéressés de
pouvoir s'opposer à cette collecte. Or pour s'opposer,
il faut bien qu'il y ait eu une demande préalable, ce
qui revient donc au même.
Comme nous le disions en introduction, cela suffit
largement à rendre illégal la quasi-totalité des
spams et autres mails publicitaires qui viennent pourrir
nos boites aux lettres électronique. Car vous en
connaissez, vous, des spammeurs qui vous ont demandé
s'ils pouvaient collecter votre adresse email ?
Cette collecte doit se faire licitement, loyalement, et
sans aucun moyen frauduleux, ce qui évidemment rend illégal
la collecte par aspiration des adresses avec des
programmes informatiques sur les sites web, forums et
newsgroupes (les
spiders), l'utilisation des
track-bugs
et autres spam personnalisés (personnalisation très
utilisée de nos jours, et par de très grandes
entreprises françaises comme Wanadoo, Noos etc... qui délèguent
cela à des entreprises d'email marketing), l'emploi
frauduleux de liens et formulaires de désinscription
dans le seul but de confirmer une adresse etc...
Notons au passage que la loi prévoit, dans le cas de
collecte frauduleuse, déloyale et/ou illicite
d'information nominative, 5 ans d'emprisonnement et
2.000.000 de francs d'amende (article 25 de la loi de 78
et article 226-18 du code pénal), et une contravention
de 5ème classe (décret 81-1142).
La déclaration des fichiers d'emails
La loi française de 1978 dit que :
Article
16
Les traitements automatisés d'informations
nominatives effectués pour le compte de personnes
autres que celles qui sont soumises aux dispositions
de l'article 15 doivent, préalablement à leur mise
en oeuvre, faire l'objet d'une déclaration auprès de
la Commission nationale de l'informatique et des
libertés.
Cette déclaration comporte l'engagement que le
traitement satisfait aux exigences de la loi.
Dès qu'il a reçu le récépissé délivré sans délai
par la commission, le demandeur peut mettre en oeuvre
le traitement. Il n'est exonéré d'aucune de ses
responsabilités.
La directive européenne de 1995 va aussi dans ce sens :
Article
18
Obligation de notification à l'autorité de contrôle
1. Les États membres prévoient que le responsable du
traitement, ou le cas échéant son représentant,
doit adresser une notification à l'autorité de contrôle
visée à l'article 28 préalablement à la mise en
oeuvre d'un traitement entièrement ou partiellement
automatisé ou d'un ensemble de tels traitements ayant
une même finalité ou des finalités liées.../
Dans tous les cas, un spammeur ne spam jamais qu'une
seule adresse email. Il se crée (souvent illicitement)
une liste d'adresse, parfois énorme.
Vous en connaissez beaucoup, vous des spammeurs qui récoltent
licitement votre adresse email, vous demandent si vous
acceptez qu'ils l'utilisent, vous disent comment ils
vont l'utiliser, et déclarent la liste au sein de
laquelle votre adresse apparaîtra, à la CNIL ?
Notons que la loi prévoit, dans le cas de non déclaration
à la CNIL d'un traitement informatisé de données
personnelles, une peine de 3 ans d'emprisonnement et
300.000 francs d'amende (article 226-16 du code pénal)
La transmission des fichiers d'emails
Notons ici, et avec force, que ce n'est pas parce qu'éventuellement,
une entreprise commerciale aurait en sa possession votre
adresse email, en ayant remplit toutes les nécessités
légales décrites ci-dessus, qu'elle a le droit d'en
faire ce qu'elle veut, voire de la céder ou vendre à
des tiers !!
On accorde son consentement à une société ou une
personne, ce qui ne rend pas cette adresse "bonne
à être distribuée, vendue ou cédée" à tous
les spammeurs du monde, en tant qu'email "100%
opt-in" ! Il faut avoir préalablement demandé à
l'internaute (là encore de manière licite et loyale
!), lors de la collecte de ses données personnelles,
s'il accepte que ces données soient cédées à des
tiers.
Ainsi, la directive européenne de 1995 dit :
Article
14
Droit d'opposition de la personne concernée
Les États membres reconnaissent à la personne
concernée le droit :
/...d'être informée avant que des données à caractère
personnel ne soient pour la première fois communiquées
à des tiers ou utilisées pour le compte de tiers à
des fins de prospection et de se voir expressément
offrir le droit de s'opposer, gratuitement, à ladite
communication ou utilisation..../
Article 17
Sécurité des traitements
1. Les États membres prévoient que le responsable du
traitement doit mettre en oeuvre les mesures
techniques et d'organisation appropriées pour protéger
les données à caractère personnel contre la
destruction accidentelle ou illicite, la perte
accidentelle, l'altération, la diffusion ou l'accès
non autorisés, notamment lorsque le traitement
comporte des transmissions de données dans un réseau,
ainsi que contre toute autre forme de traitement
illicite.../
De même, la loi française de 1978 :
Article
29
Toute personne ordonnant ou effectuant un traitement
d'informations nominatives s'engage de ce fait, vis-à-vis
des personnes concernées, à prendre toutes précautions
utiles afin de préserver la sécurité des
informations et notamment d'empêcher qu'elles ne
soient déformées, endommagées ou communiquées à
des tiers non autorisés.
La CNIL, dans son rapport de 1999, rappelle que :
...la
cession de ce fichier de mails est régulière au
regard des règles de protection des données
personnelles dès lors que le site qui a initialement
collecté les adresses et s'apprête à les céder à
un tiers, a informé les personnes concernées que
leurs données pouvaient être communiquées à un
tiers à des fins de prospection et les a mis en
mesure de s'y opposer en ligne, en cochant une case prévue
à cet effet.../
Une société commerciale n'a donc pas le
droit de céder ou vendre votre adresse email à des
tiers si vous ne lui avez pas donné préalablement
votre consentement pour cela.
Spamming et perturbations d'un système informatique
Il existe aussi ce que l'on a appelé la loi
"Godefrain" du 5 janvier 1986 relative aux
fraudes informatiques, antérieur au phénomène du
spamming, mais qu'il serait tout à fait possible de
transposer et d'interpréter.
Article
462-2
Quiconque, frauduleusement, aura accédé ou se sera
maintenu dans tout ou partie d'un système de
traitement automatisé de données sera puni d'un
emprisonnement d'un mois à un an et d'une amende de
2.000F à 50.000F ou de l'une de ces deux peines.
Lorsqu'il en sera résulté soit la suppression ou la
modification de données contenues dans le système,
soit une altération du fonctionnement de ce système,
l'emprisonnement sera de deux mois à deux ans et
l'amende de 10.000F à 100.000F.
Article 462-3
Quiconque aura intentionnellement et au mépris des
droits d'autrui, entravé ou faussé le fonctionnement
d'un système de traitement automatisé de données
sera puni d'un emprisonnement de trois mois à trois
ans et d'une amende de 10.000F à 100.000F ou de l'une
de ces deux peines.
Article 462-4
Quiconque aura, intentionnellement et au mépris des
droits d'autrui, directement ou indirectement,
introduit des données dans un système de traitement
automatique ou supprimé ou modifié les données
qu'il contient ou leurs modes de traitement ou de
transmission, sera puni d'un emprisonnement de trois
mois à trois ans et d'une amende de 2.000F à
500.000F ou de l'une de ces deux peines.
On peut tout à fait considérer le
spamming comme une action "d'altération du
fonctionnement (d'un) système", et qu'il
"entrave et fausse le fonctionnement d'un système"
et "modifie le mode de transmission (des données)".
Ce système étant soit l'ordinateur du spammé et/ou
son logiciel de messagerie et/ou un serveur internet
et/ou internet dans son entier.
Car on connaît les "dégâts" causés par les
spammeurs : réduction de la bande passante sur le réseau,
accroissement des flux de données (trafic) et répercussion
des coûts sur les utilisateurs. Et dans le pire des
cas, cela peut même amener (ou amènera inévitablement
si le principe d'opt-out est adopté) un internaute à
perdre une grande quantité de ses emails personnels et
privés par saturation de sa boite électronique (qui a
une limite en taille de données) par du spam.
Sans parler du préjudice subit par les spammés qui se
voient obligés d'exercer une très grande attention
dans le traitement de leurs emails, dans la séparation
du bon grain (les mails personnels) de l'ivraie (les
spams), et d'y passer beaucoup plus de temps qu'ils ne
le devraient. Ceci lui est imposé de force et c'est une
violation de sa liberté de choix.
Internet au service de chaque citoyen !
Pour terminer, rappelons l'article premier de la loi
informatique et liberté de 1978 :
Article
1er
L'informatique doit être au service de chaque
citoyen. .../ Elle ne doit porter atteinte ni à
l'identité humaine, ni aux droits de l'homme, ni à
la vie privée, ni aux libertés individuelles ou
publiques.
Je crois qu'en lui-même, cet article dit
tout de la situation.
Rappelons aussi l'article 12 de la Déclaration
Universelle des Droits de l'Homme :
Article
12
Nul ne sera l'objet d'immixtions arbitraires dans sa
vie privée, sa famille, son domicile ou sa
correspondance, ni d'atteintes à son honneur et à sa
réputation. Toute personne a droit à la protection
de la loi contre de telles immixtions ou de telles
atteintes.
(Immixtion : Action de s'immiscer, ingérence, se mêler
mal à propos de)
Et l'article 29, alinéa 2 :
Article
29
2. Dans l'exercice de ses droits et dans la jouissance
de ses libertés, chacun n'est soumis qu'aux
limitations établies par la loi exclusivement en vue
d'assurer la reconnaissance et le respect des droits
et libertés d'autrui et afin de satisfaire aux justes
exigences de la morale, de l'ordre public et du bien-être
général dans une société démocratique.
Personne n'aime et ne veut de spam ni
d'opt-out, sauf les spammeurs et les commerçants sans
éthique. Alors ? Va t-on faire une loi spécifique au
courrier électronique en faveur de tous, de la liberté
et du respect du citoyen, ou une loi en faveur de la
"liberté" de quelques-un au détriment de
celle des autres ?
Car si c'est une loi d'opt-out qui voit le jour, nous
internautes, aurons à subir de multiples préjudices,
alors que si c'est une loi d'opt-in, ce sera la garantie
de la liberté de tous, et aucunement préjudiciables
aux sociétés commerciales, qui savaient vivre et se développer
bien avant l'email forcé, et qui continueront à le
faire, avec tous les outils légaux et éthiques
qu'Internet leur offre pour leur promotion.
Conclusions
La loi, et ces textes européens de 2002, 1995 et français
de 1978 disent sans ambiguïtés que le spamming est déjà
une activité totalement illégale en France, tant que
l'accord préalable des internautes n'a pas été donné,
et à partir du moment où la collecte de nos adresses
email ne s'est pas déroulé dans le cadre strict qu'ils
définissent.
Notons par ailleurs que le traitement de ces données
doit se faire loyalement et licitement, alors que
l'utilisation de nos adresses email dans des campagnes
de publipostage électronique nous oblige à payer de
nos propres deniers la réception de ces messages. Ce
qui remet doublement en cause la caractère loyal et
licite (et légal) de telles pratiques quand le
consentement de l'intéressé n'a pas été acquis.
Mais que cela ne nous empêche pas de continuer à nous
battre pour que soit adopté, en France (par la
transposition stricte de la directive européenne de
juillet 2002, qui peut se faire jusqu'au 31 octobre
2003) et dans le monde francophone, un principe légal
strict d'opt-in.
Comme nous l'avons dit à plusieurs reprises sur ce
site, c'est évidemment le principe de base le plus
susceptible d'être en accord avec la Netiquette (que
deux juges français ont déjà reconnu comme ayant une
valeur) et le respect de l'individu et de sa liberté de
choix.
Nous ne pouvons pas imaginer que puisse être légalisé
le fait que nous devions payer la publicité des sociétés
commerciales, qu'on puisse continuer à polluer nos
boites sans notre consentement express, et que nous
soyons obligés de passer notre temps à nous désinscrire
de listes d'emails, qui, nous le savons maintenant, sont
le plus souvent constituées de manière illégale.
Rappelons que l'envoi de mailing publicitaire électronique
est le moyen le moins coûteux (et de loin puisqu'il est
quasiment nul) pour une entreprise pour promouvoir son
business, et que d'ici quelques années, toutes
ces sociétés utiliseront ce moyen. Et que si elles
obtiennent le droit légal de le faire sans notre
consentement, non seulement nos boites vont être
totalement submergées, mais cela nous prendra plusieurs
heures par semaine pour (tenter) de nous faire désinscrire
de leurs listes de mailing. Pour info, selon une étude
de
Netvalue
fin février 2002, plus d'un tiers (36,8 %) des emails
reçus par les internautes français sont déjà
des mails publicitaires !
Plus le coût
de la prospection est faible, plus les risques d'abus
sont réels. C'est pourquoi plus le coût de la
prospection est faible, plus les droits garantis aux
personnes sont forts. Or, la prospection électronique
est la moins coûteuse de toutes les formes de
prospection existantes. Cette tendance lourde doit également
faire partie de la réflexion.
(Rapport CNIL 1999)
De plus, adopter l'opt-out en France,
reviendrait à remettre en cause et la loi française de
78 et toutes les directives européennes en matière de
protection de la vie privée et des données
personnelles, ce qui serait pour le moins
contradictoire.
La pratique du
publipostage électronique soulève cependant des
questions qui excèdent le seul champ du commerce électronique
et mettent en cause, de manière générale, les règles
de protection des données personnelles, notamment les
dispositions de la directive 95/ 46 du 24 octobre 1995
et, en France, de la loi du 6 janvier 1978. (Rapport
CNIL 1999)
Et à ceux qui nous opposent le fait que
l'adoption de l'opt-in en France ne résoudra pas la
problème du spamming dans le monde, et que ce sont des
accords globaux et mondiaux qu'il faut, nous répondons
que ce n'est pas une raison pour ne rien faire, et qu'il
est nécessaire de partir sur des bases locales saines
et totalement respectueuses de l'internaute pour d'une
part montrer l'exemple, et ensuite essayer de globaliser
les solutions.
Le 02-03-2002 par Caspie - Revisé le 28-09-2002.
Note : Je ne suis pas un juriste. Je n'ai fait que
rassembler les textes de lois existants et en tirer une
conclusion de bon sens... Si vous êtes juriste et que
vous désirez apporter des rectifications ou éclaircissements
sur le sujet, vous êtes le (la) bienvenu(e) !
|
