|
Bruno Rasle et Frédéric Aoun,
les auteurs de l'ouvrage Halte au Spam, organisent
le 3 novembre à Paris un colloque sur le thème du spam.
Il y sera notamment question de l'impact des messages
non-sollicités sur les métiers du marketing direct.
PME, grands comptes, FAI, élus et universitaires s'y côtoieront
pour faire le tour des différents aspects du phénomène
et dresser une liste d'actions envisageables à moyen terme.
Bruno Rasle revient sur la mutation des techniques utilisées
par les spammeurs, la situation en France et les implications
du projet de loi américain anti-spam.
JDN.
Quelles évolutions notables avez-vous observé sur le
terrain du spam depuis ces derniers mois ?
Bruno Rasle. Depuis l'été,
plusieurs choses se sont passées. Sur le plan technique,
le point le plus important est l'attaque du ver Sobig
qui marque la collusion croissante entre les spammeurs
et les hackers. Ce phénomène a entraîné
un début de prise de conscience chez les DSI. Aujourd'hui,
les nuisances liées au spam rejoignent les problématiques
de sécurité des réseaux, pour une double raison : des
virus peuvent être diffusés très rapidement grâce à
des techniques de spam et les infections peuvent fournir
une base pour les spammeurs. L'autre point technique
concerne les nouveaux outils utilisés par les spammeurs,
qui ont recours au "web hosting invisible". En employant
cette technique, il n'est plus possible de remonter
à la source de l'émission pour les traîner en justice.
Sur le plan du contenu, on constate également des mutations.
De plus en plus, le texte des spams se réduit à une
URL, dont on ne peut pas pister l'hébergement à cause
du web hosting invisible : les PC infectés font aussi
office de proxy,
et la résolution DNS
change de façon dynamique toutes les dix minutes. Le
vocabulaire utilisé a également changé, pour contourner
les filtres. Enfin, le phishing
se développe (lire l'article
du JDN du 20/08/03), et même si les sociétés françaises
ne sont pas visées, les internautes français en sont
aussi victimes.
Quels
impacts peut-on attendre des différents projets de loi
en France, en Europe et aux Etats-Unis ?
En France, le vote de la LEN est prévu pour
la première quinzaine de décembre. Le texte français
n'est pas a priori contre le spam, il pose plutôt des
repères juridiques sur le marketing direct. Le fait
que nous soyons en retard sur le calendrier, par rapport
à la Belgique notamment, peut se transformer en avantage.
Les Belges, qui ont promulgué leur loi fin mars, reconnaissent
aujourd'hui qu'ils sont allés trop vite. Il faut se
servir de cette expérience pour corriger le projet de
loi. Nous appelons notamment à un maximum de précision.
Pour l'instant, on ne sait pas encore l'impact qu'aura
la LEN. La période suivant la promulgation sera très
intéressante, car elle verra naître la jurisprudence.
Il faut également savoir que le projet de loi prévoit
de laisser six mois aux propriétaires de fichiers de
marketing direct pour mettre en conformité leur base.
D'un côté, il existe un risque de sur-réaction de la
part des internautes exaspérés, qui pourront en profiter
pour agir contre les spammeurs. De l'autre, les réglementations
n'étant pas bien connues des consommateurs, la loi peut
n'avoir qu'un effet limité. Les particuliers pourront
porter plainte, mais la facilité sera de passer par
la CNIL. Son opération "Boîte à Spam" va en quelque
sorte devenir permanente, sous une autre forme. Le problème,
c'est que la CNIL manque de moyens pour agir.
En Europe, on retrouve différentes interprétations
de la Directive. S'il y a trop de différences, le rôle
de la Commission Européenne, dans un deuxième temps,
sera de les aplanir. De manière générale, toute l'Europe
s'oriente vers l'opt-in. Mais ce terme, qui désigne
une action éclairée de la part du consommateur, possède
une signification différente, ne serait-ce que d'une
entreprise à l'autre. On ne peut pas garantir que les
cases précochées vont disparaître du jour au lendemain...
Aux Etats-Unis, le spam n'a pas la même signification
qu'en France. Un spammeur, c'est quelqu'un qui se cache,
qui ment. Le projet de loi du Sénat vise ce type de
spam avec le "deceptive email ", et va instituer l'opt-out.
Cela pose deux problèmes : premièrement, ce choix ne
va pas être neutre pour les Européens. Quel recours
aurons-nous contre des pratiques que nous estimons illégales,
mais considérées comme légales aux Etats-Unis ? Dans
la réalité, quand un dossier CNIL remonte à la FTC (Ndlr:
Commission fédérale du Commerce aux Etats-Unis),
il ne se passe rien. Deuxièmement, au lieu de se cacher,
les spammeurs vont pouvoir opérer en toute légalité.
Il leur suffira de créer une société pour une somme
modique, d'effectuer à visage découvert quelques e-mailings,
de ne tenir aucun compte des demandes de désinscriptions
de la part des internautes, puis de fermer leur société
et de recommencer quelques jours plus tard dans un état
voisin. Pour les coincer ce sera difficile, et la charge
de preuve est très lourde à apporter. Cela risque aussi
d'accélérer la délocalisation du spam. Le mois dernier,
des députés britanniques ont fait le déplacement pour
expliquer à leurs homologues américains les risques
associés au choix de l'opt-out. Espérons que la Chambre
des Représentants saura les entendre et reviendra sur
le texte.
La
création d'une liste rouge est envisagée aux Etats-Unis.
Est-ce une bonne solution ?
Il y a deux formules possibles. On
adopte soit l'opt-in, soit l'opt-out plus la liste rouge.
Depuis plusieurs mois, le patron de la FTC explique
que la formule opt-out et liste rouge n'est pas la solution.
Mais les lobbys du marketing direct sont puissants…
Une liste rouge sur le Web est inefficace, pour plusieurs
raisons. L'exemple de la liste Robinson e-mail de la
Fevad en France, est parlant. C'est un placebo. Entre
le moment où un fichier est constitué et celui de l'envoi,
la liste change, et la mise à jour n'est pas faite.
D'autres questions se posent : comment gérer toutes
les demandes des sociétés concernant cette liste ? Et
si les spammeurs réussissent à la pirater ? Comment
gérer les désinscriptions ? Parfois celles-ci sont prises
en compte sur le fichier copi, par exemple celui de
la société qui se charge des envois, et pas sur le fichier
source, celui de l'annonceur. Avec le nouveau texte,
les conséquences légales pourront être sérieuses ! Sans
compter que c'est du tout ou rien : théoriquement on
ne peut pas être sur la liste et recevoir les mails
d'une société en particulier.
|
Accueil
