Pendant trois mois, la Commission Nationale
de l'Informatique et des Libertés (Cnil)
a ouvert une "boîte à spam" destinée
à recueillir les mails non-sollicités
que lui renvoyaient les internautes. 350.000 mails plus
tard, Thomas Dautieu et Mathias Moulin, deux juristes
de la Commission, font le point sur cette opération
de collecte de mails et sur les cinq entreprises dénoncées
à l'issue de cette "consultation" des
internautes. Appartenant au pôle Internet de la
Cnil, composé de trois personnes, ils ont été
au centre de l'opération boîte à
spam et connaissent leur sujet sur le bout des doigts
(et des codes de procédure pénale). Aux
vues des questions posées par les internautes,
il semble clair que le spam, et les moyens de lutter
contre lui, soulève encore de nombreuses interrogations.
A commencer par sa définition même.
|
Invités
: Thomas Dautieu et Mathias Moulin,
juristes à la CNIL |
|
Date
: Lundi 2 décembre, 18h-19h10
|
Nombre
de questions posées : 196 |
Nombre de questions retenues : 37
|
|
CNIL : Bonjour à tous !
Bonjour, l'adresse spam@cnil.fr
n'étant plus disponible, je voudrais savoir comment
faire pour dénoncer ou arrêter les spams que je reçois
encore aujourd'hui ? Merci d'avance !
CNIL : Depuis l'arrêt de la boîte à spam, il
est possible de consulter à partir du site de la Cnil
un module pédagogique qui donne des solutions techniques
et juridiques pour limiter la réception de spam. Concrètement,
vous pouvez, entre autre, alerter l'expéditeur du spam,
votre FAI, saisir la Cnil par courrier postal et, en
dernier recours, porter plainte directement auprès du
Parquet (un modèle de lettre est disponible sur le site
de la Cnil).
Lorsque vous recevez des plaintes,
comment pouvez-vous savoir s'il s'agit de vrai spam
ou non ?
Il n'existe pas de définition juridique exacte du spam.
Dans le cadre de l'opération boîte à spam, lorsque plusieurs
centaines d'internautes se sont plaints de recevoir
un mail d'une entreprise avec laquelle ils n'ont jamais
été en contact et dont l'adresse de désinscription était
inexistante ou non valide, tout portait à considérer
ces mails comme du spam.
Pour être efficace, la CNIL
devra se doter de moyens humains considérables. Recrutez-vous
actuellement ?
La vocation de la Cnil n'est pas de lutter contre le
phénomène du spam dans son ensemble, mais de mettre
à disposition des internautes des outils pédagogiques
et d'alerter l'ensemble des acteurs du secteur sur ce
problème. Cela étant, il est vrai que les effectifs
restent de taille très modeste (environ 70 personnes)
face à l'ampleur des questions qu'elle a à traiter.
Pouvez-vous nous donner les
noms des sociétes incriminées... ou du moins leur localisation
?
Dans le cadre de l'opération boîte à spam, cinq entreprises
ont été dénoncées au parquet : ABS (aspirateur de mails),
Suniles (tourisme), BV communication (sites de rencontres),
Great-Meds.com (société américaine de produits pharmaceutiques)
et le top 50 du X dont l'auteur est inconnu à ce jour.
Quelles sont les peines encourues
par un spammeur reconnu ?
Dans le cadre d'une collecte déloyale de mails (ce qui
est le cas d'une opération de spam), l'article 226-18
du code pénal prévoit une peine pouvant aller jusqu'à
5 ans d'emprisonnement et 300 000 euros d'amendes.
Quand vous recevez un spam sur
votre boîte perso, vous faites quoi ?
Personnellement, j'utilise le logiciel SpamNet, outil
collaboratif permettant de filtrer les mails indésirables.
Vous trouverez des informations (liens) sur le site
de la Cnil.
Quel est le profil d'un agent
de la CNIL dédié aux Nouvelles Technologies ? Doit-il
disposer de compétences spécifiques ? Si oui, lesquelles
?
D'une manière générale, les juristes à la Cnil ont une
formation juridique de niveau bac+5. Pour les secteurs
touchant aux nouvelles technologies, une bonne connaissance
des outils et du milieu des NTIC est appréciée ;-)
Comment la Justice pourrait-elle
contraindre une entreprise à cesser ses agissements
si elle est située en dehors de la France, et que les
envois sont effectués depuis un autre pays ?
D'un point de vue juridique, il s'agit d'infractions
pénales pour lesquelles le juge français est compétent,
à partir du moment où l'infraction vise un internaute
français. En cas de condamnation, le juge français peut
demander l'application de la peine au juge étranger.
En pratique, l'affaire Yahoo a démontré les limites
de ce procédé.
Bonjour. En quelques mots, comment
mettre en place et gérer une newsletter en respectant
les recommandations de la CNIL ?
Il faut procéder à une collecte loyale des informations
: prévenir l'internaute qui s'inscrit à une newsletter,
lui donner le moyen à tout moment de se désinscrire,
le prévenir et lui offrir la possibilité de s'opposer
à ce que ses coordonnées soient cédées à des tiers et
l'informer qu'il bénéficie d'un droit d'accès et de
rectification à ses données. Et, enfin, déclarer à la
Cnil le fichier ainsi constitué.
La plupart des spams sont envoyés
après navigation sur Internet. Ne pensez-vous pas que
c'est tout le système des cookies et autres applets
qu'il faut réformer ?
En matière de collecte automatique d'informations sur
les internautes, la Cnil recommande d'informer les internautes
sur ce type de procédé et de leur donner le moyen de
s'y opposer. Il faut distinguer les cookies qui permettent
de collecter des informations nominatives de ceux qui
sont totalement anonymes et qui permettent seulement
de collecter des informations sur la navigation. D'une
manière générale la collecte d'informations à l'insu
des internautes est interdite.
Avez-vous des équivalents dans
les autres pays européens ? Quelle coopération ?
Chaque pays de l'Union Européenne est doté de l'équivalent
de la Cnil qui dispose de pouvoirs similaires. Dans
le cadre de l'opération boîte à spam, la Cnil a transférér
à ses homologues (Espagne et Italie, entre autre) les
spams originaires de ces pays. Il existe donc bien une
coopération au sein de l'Union Européenne.
Les solutions anti-spam ne sont-elles
que logicielles ?
Ce sont les plus efficaces, mais il existe d'autres
solutions de "bon sens" ;-) : faire attention lors
de la divulgation de son adresse, créer des adresses
mails exclusivement destinées aux achats, newsletters
ou autres pour préserver son adresse perso ou professionnelle.
Mais, une fois spammé, ce sont les solutions logicielles
(Brightmail, Cloudmark, SpamNet...) qui sont les plus
efficaces. Vous pouvez aussi transférer le mail aux
FAI qui ont mis en place un lien "abuse" (de type :
abuse@nomduFAI.com/fr).
Bonjour. Comment ce fait-il
qu'un grand fournisseur comme Wanadoo se permet de spammer
régulièrement ses abonnés, et cela sans lien de désinscription
et malgré de nombreuses plaintes envoyées, de toujours
continuer. Si un fournisseur d'accès le fait,
comment pouvoir l'interdire aux abonnés ?...
A côté des dénonciations opérées dans le cadre de la
boîte à spam, la Cnil a aussi pris attache avec certaines
entreprises à l'origine d'envois de mails non sollicités.
Personnellement, je vous conseille de faire valoir votre
droit d'opposition auprès de Wanadoo et, en cas d'insuccès,
d'écrire à la Cnil qui se chargera d'instruire votre
plainte.
Quelle est la responsabilité
des hébergeurs (ceux qui fournisent les machines) ?
Les hébergeurs n'ont aucune responsabilité en la matière.
Ils doivent juste appliquer les décisions de justice,
leur demandant par exemple de fermer l'accès à un site.
Chaque site web d'une société
doit-il faire l'objet d'une déclaration distincte ?
Oui, à partir du moment où chacun de ces sites collecte
des informations nominatives (noms, adresses mails,
téléphone, etc.). D'ailleurs, vous pouvez effectuer
cette déclaration sur le site de la Cnil.
A part l'anti spam, quel est
votre cheval de bataille actuellement ?
Dès qu'une donnée personnelle est concernée, la Cnil
est compétente. A ce titre, elle intervient notamment
sur les services d'authentification sur Internet (passeport
microsoft ou liberty alliance) ou les nouveaux procédés
techniques comme les webbugs. Elle peut aussi s'occuper
des enjeux liés à la biométrie, aux fichiers d'empreintes
génétiques ou encore à la prospection par SMS.
C'est quoi votre spam favori
? :-)
En général, les spams ne sont pas très drôles. Une petite
préférence quand même pour les spams artisanaux ventant
les talents d'un artiste comique pour les mariages,
les fêtes...
Est-il oligatoire, du point
de vue de la loi, de déclarer son site perso
à la CNIL ?
Lorsqu'il est procédé à une collecte d'informations
personnelles, tout à fait. Dura lex, sed lex...
;-)
Quel est le plus gros spam recensé
à ce jour ?
En français, c'est le "top 50 du X" et en langue anglaise,
les scam (escroqueries promettant des gains d'argent
faciles).
Bonjour, on pointe souvant du
doigt les sociétés qui utilisent le "spam" comme outil
de communication ! Ne vaudrait il pas mieux s'attaquer
aux éditeurs qui fournissent des outils permettant le
"spam" et les sociétés qui fournissent ces services
?
Tout à fait ! La Commission a dénoncé une entreprise
vendant un logiciel aspirateur de mails. Les autres
entreprises de ce secteur sont actuellement approchées
par la Cnil.
Vou avez déjà essayé, vous,
de "faire valoir vos droits" auprès de Wanadoo? Ils
ne répondent jamais aux mails...
Envoyez-nous l'ensemble des pièces (21 rue Saint-Guillaume,
75007 Paris) et la Cnil instruira votre réclamation
en prenant contact auprès de Wanadoo.
Que faut-il faire lorsque on
reçoit un spam ? Faut-il essayer de communiquer
avec la personne ou faut-il dénoncer tout de
suite sans dialogue ?
Tout dépend du spam : si c'est un message d'une société
"connue", prenez contact avec elle. Sinon, dans la mesure
où l'utilisation d'un lien de réponse peut servir au
spammeur à valider votre adresse et savoir qu'elle est
active, il vaut mieux utiliser des logiciels de filtre
et, en dernier ressort, porter l'affaire devant la justice
(cf. le module sur cnil.fr).
Y-a-t-il des projets de loi
visant à rendre l'opt-in obligatoire en france ?
Dans le cadre du projet de loi sur l'économie numérique,
le choix de l'opt-in a été fait pour tout prospection
par courrier électronique, que la personne démarchée
soit une personne physique ou de personne morale.
En parlant avec des potes, je
me rends compte qu'ils appellent "SPAM" un peu n'importe
quoi ? La définiton exacte est-elle un mail non sollicitée,
et dans ce cas pourquoi ne pas attaquer Carrefour en
justice pour la pub dans ma boite aux lettres ? En quoi
le Net est-il spécifique dans ce cas ?
La prospection postale coûte de l'argent à l'expéditeur
(papier, frais de port, etc.), la prospection par voie
électronique est à la charge de l'internaute qui réceptionne
le message. C'est une différence fondamentale. Pour
la Cnil, un spam est "constitué par l'envoi massif et
parfois répété de courriers électroniques non sollicités,
à des personnes avec lesquelles l'expéditeur n'a jamais
eu de contact et dont il a capté l'adresse électronique
de façon irrégulière." Il existe bien une spécificité
en la matière propre au Net.
Bonjour. Concernant le spam
"top50X" : sont-ce les auteurs du spam, le sponsor,
ou les deux qui risquent d'être poursuivi ?
On peut supposer des liens entre les deux. Toutefois,
c'est en premier lieu l'auteur du spam qui sera poursuivi.
Il appartient désormais à la justice de déterminer les
responsabilités de chacun.
Quelqu'un peut-il définir opt-in
?
L'opt-in est le recueil du consentement préalable de
l'internaute avant l'envoi d'un courrier électronique
(par le biais d'une case à cocher par exemple). L'opt-out
est le fait de manifester sa volonté à ne plus recevoir
de courrier électronique, a posteriori.
Qui sont Mathias Moulin et Thomas
Dautieu ?
Nous sommes deux humbles attachés à la direction juridique
de la Cnil (Commission Nationale de l'Informatique et
des Libertés) qui, un beau matin, en ont eu assez de
se faire spammer et ont décider d'agir... avec l'appui
de la Commission ;-)
Et le spam sur les téléphones
portables ?
Le régime juridique sera le même : consentement préalable
de l'abonné avant toute réception d'un message publicitaire.
La Cnil a, en juillet 2002, dénoncé au parquet l'opération
"Love SMS" (Quelqu'un t'aime en secret...) sur la base
de la loi "informatique et liberté. Quel que soit
le support, le spam est interdit.
Lorsque quelqu'un porte plainte
et que la justice rend sont verdict, il s'écoule
combien de temps ?
C'est très aléatoire et ça ne dépend pas de la Cnil...
Développez-vous vous-même vos
outils informatiques ?
Au sein de la Cnil, il existe une direction de l'expertise
(ingénieurs experts informaticiens) chargée de la prospective
et d'instruire les dossiers d'un point de vue technique.
Dans ce cadre, ils peuvent être amenés à expérimenter
leurs propres outils ou des outils sur le marché.
Quelle est la directive européenne
concernant le stockage des données consommateurs ?
Concernant la prospection sur Internet, la directive
principale est celle du 12 juillet 2002 dont une partie
est en cours de transposition dans le projet de loi
sur l'économie numérique. Dans un cadre général, la
protection des données à caractère personnel est encadrée
par la directive du 24 octobre 1995.
Le site "l'Internaute" a-t-il
collecté des infos à l'occasion de ce chat ?
On espère que non ! ;-) Sinon, faites nous le savoir...
;-)
Le site de la Cnil est indisponible
tout de suite : Spam, attaque ?
Il doit être victime de son succès...
Y-a-t'il une durée maximale
de conservation des emails collectés via un site web
?
Tout dépend de la finalité de la collecte : pour une
newsletter, jusqu'à désinscription de la personne, pour
une prospection commerciale, la Cnil recommande une
durée maximale de un an ou deux sollicitations restées
sans réponses.
Avez-vous pris contact avant
de poursuivre ses sociétés en justice ? Et quelles
etaient leurs réactions ?
Oui. Celles qui se sont manifestées ont considéré comme
légitime leur opération, la justice tranchera.
Pourquoi ne lancez-vous pas
une grande campagne de sensibilisation des webmasters
sur le sujet du spam ?
Les services de la Cnil participent fréquemment à des
séminaires ou effectuent des interventions auprès des
professionnels ou des universitaires afin de les sensibiliser
à ces problématiques. Elle a, de plus, donné une publicité
maximum au module "Halte au Spam" accessible depuis
son site (cnil.fr).
Pourriez-vous vous exprimer
sur la mondialisation ?
Vaste débat, c'est la force et la faiblesse de l'Internet
que d'avoir une audience mondiale. Face à ce phénomène,
la coopération internationale apparaît comme la seule
solution.
CNIL : Merci à tous. Et plus spécialement à
tous les internautes qui nous ont soutenus et envoyés
leurs mails depuis plus de trois mois.
|