Soyez prévenu 30 min. avant le chat

Pendant trois mois, la Commission Nationale de l'Informatique et des Libertés (Cnil) a ouvert une "boîte à spam" destinée à recueillir les mails non-sollicités que lui renvoyaient les internautes. 350.000 mails plus tard, Thomas Dautieu et Mathias Moulin, deux juristes de la Commission, font le point sur cette opération de collecte de mails et sur les cinq entreprises dénoncées à l'issue de cette "consultation" des internautes. Appartenant au pôle Internet de la Cnil, composé de trois personnes, ils ont été au centre de l'opération boîte à spam et connaissent leur sujet sur le bout des doigts (et des codes de procédure pénale). Aux vues des questions posées par les internautes, il semble clair que le spam, et les moyens de lutter contre lui, soulève encore de nombreuses interrogations. A commencer par sa définition même.

Invités : Thomas Dautieu et Mathias Moulin, juristes à la CNIL Date : Lundi 2 décembre, 18h-19h10 Nombre de questions posées : 196 Nombre de questions retenues : 37

CNIL : Bonjour à tous !

Bonjour, l'adresse spam@cnil.fr n'étant plus disponible, je voudrais savoir comment faire pour dénoncer ou arrêter les spams que je reçois encore aujourd'hui ? Merci d'avance !
CNIL : Depuis l'arrêt de la boîte à spam, il est possible de consulter à partir du site de la Cnil un module pédagogique qui donne des solutions techniques et juridiques pour limiter la réception de spam. Concrètement, vous pouvez, entre autre, alerter l'expéditeur du spam, votre FAI, saisir la Cnil par courrier postal et, en dernier recours, porter plainte directement auprès du Parquet (un modèle de lettre est disponible sur le site de la Cnil).

Lorsque vous recevez des plaintes, comment pouvez-vous savoir s'il s'agit de vrai spam ou non ?
Il n'existe pas de définition juridique exacte du spam. Dans le cadre de l'opération boîte à spam, lorsque plusieurs centaines d'internautes se sont plaints de recevoir un mail d'une entreprise avec laquelle ils n'ont jamais été en contact et dont l'adresse de désinscription était inexistante ou non valide, tout portait à considérer ces mails comme du spam.

Pour être efficace, la CNIL devra se doter de moyens humains considérables. Recrutez-vous actuellement ?
La vocation de la Cnil n'est pas de lutter contre le phénomène du spam dans son ensemble, mais de mettre à disposition des internautes des outils pédagogiques et d'alerter l'ensemble des acteurs du secteur sur ce problème. Cela étant, il est vrai que les effectifs restent de taille très modeste (environ 70 personnes) face à l'ampleur des questions qu'elle a à traiter.

Pouvez-vous nous donner les noms des sociétes incriminées... ou du moins leur localisation ?
Dans le cadre de l'opération boîte à spam, cinq entreprises ont été dénoncées au parquet : ABS (aspirateur de mails), Suniles (tourisme), BV communication (sites de rencontres), Great-Meds.com (société américaine de produits pharmaceutiques) et le top 50 du X dont l'auteur est inconnu à ce jour.

Quelles sont les peines encourues par un spammeur reconnu ?
Dans le cadre d'une collecte déloyale de mails (ce qui est le cas d'une opération de spam), l'article 226-18 du code pénal prévoit une peine pouvant aller jusqu'à 5 ans d'emprisonnement et 300 000 euros d'amendes.

Quand vous recevez un spam sur votre boîte perso, vous faites quoi ?
Personnellement, j'utilise le logiciel SpamNet, outil collaboratif permettant de filtrer les mails indésirables. Vous trouverez des informations (liens) sur le site de la Cnil.

Quel est le profil d'un agent de la CNIL dédié aux Nouvelles Technologies ? Doit-il disposer de compétences spécifiques ? Si oui, lesquelles ?
D'une manière générale, les juristes à la Cnil ont une formation juridique de niveau bac+5. Pour les secteurs touchant aux nouvelles technologies, une bonne connaissance des outils et du milieu des NTIC est appréciée ;-)

Comment la Justice pourrait-elle contraindre une entreprise à cesser ses agissements si elle est située en dehors de la France, et que les envois sont effectués depuis un autre pays ?
D'un point de vue juridique, il s'agit d'infractions pénales pour lesquelles le juge français est compétent, à partir du moment où l'infraction vise un internaute français. En cas de condamnation, le juge français peut demander l'application de la peine au juge étranger. En pratique, l'affaire Yahoo a démontré les limites de ce procédé.

Bonjour. En quelques mots, comment mettre en place et gérer une newsletter en respectant les recommandations de la CNIL ?
Il faut procéder à une collecte loyale des informations : prévenir l'internaute qui s'inscrit à une newsletter, lui donner le moyen à tout moment de se désinscrire, le prévenir et lui offrir la possibilité de s'opposer à ce que ses coordonnées soient cédées à des tiers et l'informer qu'il bénéficie d'un droit d'accès et de rectification à ses données. Et, enfin, déclarer à la Cnil le fichier ainsi constitué.

La plupart des spams sont envoyés après navigation sur Internet. Ne pensez-vous pas que c'est tout le système des cookies et autres applets qu'il faut réformer ?
En matière de collecte automatique d'informations sur les internautes, la Cnil recommande d'informer les internautes sur ce type de procédé et de leur donner le moyen de s'y opposer. Il faut distinguer les cookies qui permettent de collecter des informations nominatives de ceux qui sont totalement anonymes et qui permettent seulement de collecter des informations sur la navigation. D'une manière générale la collecte d'informations à l'insu des internautes est interdite.

Avez-vous des équivalents dans les autres pays européens ? Quelle coopération ?
Chaque pays de l'Union Européenne est doté de l'équivalent de la Cnil qui dispose de pouvoirs similaires. Dans le cadre de l'opération boîte à spam, la Cnil a transférér à ses homologues (Espagne et Italie, entre autre) les spams originaires de ces pays. Il existe donc bien une coopération au sein de l'Union Européenne.

Les solutions anti-spam ne sont-elles que logicielles ?
Ce sont les plus efficaces, mais il existe d'autres solutions de "bon sens" ;-) : faire attention lors de la divulgation de son adresse, créer des adresses mails exclusivement destinées aux achats, newsletters ou autres pour préserver son adresse perso ou professionnelle. Mais, une fois spammé, ce sont les solutions logicielles (Brightmail, Cloudmark, SpamNet...) qui sont les plus efficaces. Vous pouvez aussi transférer le mail aux FAI qui ont mis en place un lien "abuse" (de type : abuse@nomduFAI.com/fr).

Bonjour. Comment ce fait-il qu'un grand fournisseur comme Wanadoo se permet de spammer régulièrement ses abonnés, et cela sans lien de désinscription et malgré de nombreuses plaintes envoyées, de toujours continuer. Si un fournisseur d'accès le fait, comment pouvoir l'interdire aux abonnés ?...
A côté des dénonciations opérées dans le cadre de la boîte à spam, la Cnil a aussi pris attache avec certaines entreprises à l'origine d'envois de mails non sollicités. Personnellement, je vous conseille de faire valoir votre droit d'opposition auprès de Wanadoo et, en cas d'insuccès, d'écrire à la Cnil qui se chargera d'instruire votre plainte.

Quelle est la responsabilité des hébergeurs (ceux qui fournisent les machines) ?
Les hébergeurs n'ont aucune responsabilité en la matière. Ils doivent juste appliquer les décisions de justice, leur demandant par exemple de fermer l'accès à un site.

Chaque site web d'une société doit-il faire l'objet d'une déclaration distincte ?
Oui, à partir du moment où chacun de ces sites collecte des informations nominatives (noms, adresses mails, téléphone, etc.). D'ailleurs, vous pouvez effectuer cette déclaration sur le site de la Cnil.

A part l'anti spam, quel est votre cheval de bataille actuellement ?
Dès qu'une donnée personnelle est concernée, la Cnil est compétente. A ce titre, elle intervient notamment sur les services d'authentification sur Internet (passeport microsoft ou liberty alliance) ou les nouveaux procédés techniques comme les webbugs. Elle peut aussi s'occuper des enjeux liés à la biométrie, aux fichiers d'empreintes génétiques ou encore à la prospection par SMS.

C'est quoi votre spam favori ? :-)
En général, les spams ne sont pas très drôles. Une petite préférence quand même pour les spams artisanaux ventant les talents d'un artiste comique pour les mariages, les fêtes...

Est-il oligatoire, du point de vue de la loi, de déclarer son site perso à la CNIL ?
Lorsqu'il est procédé à une collecte d'informations personnelles, tout à fait. Dura lex, sed lex... ;-)

Quel est le plus gros spam recensé à ce jour ?
En français, c'est le "top 50 du X" et en langue anglaise, les scam (escroqueries promettant des gains d'argent faciles).

Bonjour, on pointe souvant du doigt les sociétés qui utilisent le "spam" comme outil de communication ! Ne vaudrait il pas mieux s'attaquer aux éditeurs qui fournissent des outils permettant le "spam" et les sociétés qui fournissent ces services ?
Tout à fait ! La Commission a dénoncé une entreprise vendant un logiciel aspirateur de mails. Les autres entreprises de ce secteur sont actuellement approchées par la Cnil.

Vou avez déjà essayé, vous, de "faire valoir vos droits" auprès de Wanadoo? Ils ne répondent jamais aux mails...
Envoyez-nous l'ensemble des pièces (21 rue Saint-Guillaume, 75007 Paris) et la Cnil instruira votre réclamation en prenant contact auprès de Wanadoo.

Que faut-il faire lorsque on reçoit un spam ? Faut-il essayer de communiquer avec la personne ou faut-il dénoncer tout de suite sans dialogue ?
Tout dépend du spam : si c'est un message d'une société "connue", prenez contact avec elle. Sinon, dans la mesure où l'utilisation d'un lien de réponse peut servir au spammeur à valider votre adresse et savoir qu'elle est active, il vaut mieux utiliser des logiciels de filtre et, en dernier ressort, porter l'affaire devant la justice (cf. le module sur cnil.fr).

Y-a-t-il des projets de loi visant à rendre l'opt-in obligatoire en france ?
Dans le cadre du projet de loi sur l'économie numérique, le choix de l'opt-in a été fait pour tout prospection par courrier électronique, que la personne démarchée soit une personne physique ou de personne morale.

En parlant avec des potes, je me rends compte qu'ils appellent "SPAM" un peu n'importe quoi ? La définiton exacte est-elle un mail non sollicitée, et dans ce cas pourquoi ne pas attaquer Carrefour en justice pour la pub dans ma boite aux lettres ? En quoi le Net est-il spécifique dans ce cas ?
La prospection postale coûte de l'argent à l'expéditeur (papier, frais de port, etc.), la prospection par voie électronique est à la charge de l'internaute qui réceptionne le message. C'est une différence fondamentale. Pour la Cnil, un spam est "constitué par l'envoi massif et parfois répété de courriers électroniques non sollicités, à des personnes avec lesquelles l'expéditeur n'a jamais eu de contact et dont il a capté l'adresse électronique de façon irrégulière." Il existe bien une spécificité en la matière propre au Net.

Bonjour. Concernant le spam "top50X" : sont-ce les auteurs du spam, le sponsor, ou les deux qui risquent d'être poursuivi ?
On peut supposer des liens entre les deux. Toutefois, c'est en premier lieu l'auteur du spam qui sera poursuivi. Il appartient désormais à la justice de déterminer les responsabilités de chacun.

Quelqu'un peut-il définir opt-in ?
L'opt-in est le recueil du consentement préalable de l'internaute avant l'envoi d'un courrier électronique (par le biais d'une case à cocher par exemple). L'opt-out est le fait de manifester sa volonté à ne plus recevoir de courrier électronique, a posteriori.

Qui sont Mathias Moulin et Thomas Dautieu ?
Nous sommes deux humbles attachés à la direction juridique de la Cnil (Commission Nationale de l'Informatique et des Libertés) qui, un beau matin, en ont eu assez de se faire spammer et ont décider d'agir... avec l'appui de la Commission ;-)

Et le spam sur les téléphones portables ?
Le régime juridique sera le même : consentement préalable de l'abonné avant toute réception d'un message publicitaire. La Cnil a, en juillet 2002, dénoncé au parquet l'opération "Love SMS" (Quelqu'un t'aime en secret...) sur la base de la loi "informatique et liberté. Quel que soit le support, le spam est interdit.

Lorsque quelqu'un porte plainte et que la justice rend sont verdict, il s'écoule combien de temps ?
C'est très aléatoire et ça ne dépend pas de la Cnil...

Développez-vous vous-même vos outils informatiques ?
Au sein de la Cnil, il existe une direction de l'expertise (ingénieurs experts informaticiens) chargée de la prospective et d'instruire les dossiers d'un point de vue technique. Dans ce cadre, ils peuvent être amenés à expérimenter leurs propres outils ou des outils sur le marché.

Quelle est la directive européenne concernant le stockage des données consommateurs ?
Concernant la prospection sur Internet, la directive principale est celle du 12 juillet 2002 dont une partie est en cours de transposition dans le projet de loi sur l'économie numérique. Dans un cadre général, la protection des données à caractère personnel est encadrée par la directive du 24 octobre 1995.

Le site "l'Internaute" a-t-il collecté des infos à l'occasion de ce chat ?
On espère que non ! ;-) Sinon, faites nous le savoir... ;-)

Le site de la Cnil est indisponible tout de suite : Spam, attaque ?
Il doit être victime de son succès...

Y-a-t'il une durée maximale de conservation des emails collectés via un site web ?
Tout dépend de la finalité de la collecte : pour une newsletter, jusqu'à désinscription de la personne, pour une prospection commerciale, la Cnil recommande une durée maximale de un an ou deux sollicitations restées sans réponses.

Avez-vous pris contact avant de poursuivre ses sociétés en justice ? Et quelles etaient leurs réactions ?
Oui. Celles qui se sont manifestées ont considéré comme légitime leur opération, la justice tranchera.

Pourquoi ne lancez-vous pas une grande campagne de sensibilisation des webmasters sur le sujet du spam ?
Les services de la Cnil participent fréquemment à des séminaires ou effectuent des interventions auprès des professionnels ou des universitaires afin de les sensibiliser à ces problématiques. Elle a, de plus, donné une publicité maximum au module "Halte au Spam" accessible depuis son site (cnil.fr).

Pourriez-vous vous exprimer sur la mondialisation ?
Vaste débat, c'est la force et la faiblesse de l'Internet que d'avoir une audience mondiale. Face à ce phénomène, la coopération internationale apparaît comme la seule solution.

CNIL : Merci à tous. Et plus spécialement à tous les internautes qui nous ont soutenus et envoyés leurs mails depuis plus de trois mois.