Quels sont vos postes exactement à la Cnil?
Mathias Moulin et Thomas Dautieu : Nous
sommes tous deux juristes dans le pôle nouvelles
technologies.
La
CNIL a-t-elle les moyens technologiques et humains
des pouvoirs que la Loi lui confère?
La tâche à accomplir justifierait
plus de moyens humains et techniques, mais nous
faisons de notre mieux.
Comment expliquez vous
le (très) faible nombre de condamnations en France
pour faits de spamming (deux, à notre connaissance)
? Comment expliquez-vous le montant ridicule des
sanctions, au regard de ce qui est prévu par la
loi ? Quelles actions compte prendre l'autorité
à l'égard des procureurs et des juges ?
Ce qui explique le peu d'affaires, c'est tout d'abord
le faible nombre de plaintes portées à la connaissance
des juridictions, qui de plus, il faut bien l'avouer,
n'ont peut être pas pleinement conscience de la
gêne occasionnée par la réception de spam. C'est
pourquoi la commission a entrepris un travail de
sensibilisation des autorités judiciaires sur la
question. Enfin, chaque internaute victime de spam
a la possibilité de se saisir des autorités judiciaires,
donc c'est aussi à l'ensemble de la communauté de
se mobiliser.
Dans la condamnation récente
d'un spammeur français (3.000 euros d'amende), le
vrai donneur d'ordre n'a jamais été inquiété (le
spammeur était rémunéré sur le trafic généré sur
un site Web porno). Que propose l'autorité pour
"couper la tête du serpent" ?
En l'espèce, c'était à l'autorité judiciaire de
se prononcer et d'identifier les véritables responsables
de l'opération de spam. Il n'est jamais évident
d'identifier les véritables responsables.
Pourquoi ne pas poursuivre
l'opération "boîte à spam" ? C'était bien...
La CNIL n'avait pas les moyens humains et techniques
de poursuivre cette opération, qui se voulait dès
le début ponctuelle. Néanmoins, la loi prévoit de
rétablir un dispositif similaire dès l'adoption
du régime d'opt-in.
Rien n'est prévu dans la
loi française pour gêner la commercialisation des
outils spamware (collecte d'adresses, attaque en
DHA...). Mon FAI (français) héberge une telle page.
Ne peut-on pas reprendre la proposition australienne
d'interdire l'achat et la vente de tels outils ?
C'est en effet une solution possible, puisque l'utilisation
de tels outils revient forcément à opérer une collecte
déloyale d'information. Pour autant, le code pénal
ne prévoit pas l'interdiction de la vente de tels
outils.
Un employeur a-t-il le
droit de relever la boîte mail professionnel de
l'un de ses employés sans l'en avertir ? Et peut-il
se servir de ce que contient cette boite mail pour
affliger un blâme ou même licencier son employé
?
D'une manière générale, un message électronique
est une correspondance privée protégée par la loi.
Pour autant, un employeur peut dans certains cas
(virus...) ou bien faire un filtre sur les pièces
jointes, ou directement prendre connaissance du
contenu d'un message. Cependant, une telle action
ne pourrait justifier une sanction disciplinaire
que si le salarié aura été préalablement averti
d'un possible contrôle de ce type.
Une nouvelle loi fédérale
américaine vient de légaliser les envois électroniques
sans le consentement préalable des internautes (opt-out).
Un tel message, légal au sens américain, est illégal
au sens européen. Quelles sont les chances réelles
d'un internaute français de se faire entendre ?
Contrairement aux Etats-Unis, l'Europe a décidé
d'adopter un régime d'opt-in dans le cadre des communications
électroniques (mails, SMS). Face au problème toujours
plus important du spam, il serait souhaitable que
le régime de l'opt-in soit plus largement applicable.
Maintenant que la boite
spam@cnil.fr est désactivée, comment se plaindre
quand on n'a pas une armée d'avocats ?
Il est toujours possible d'envoyer une copie papier
du spam reçu. En attendant la nouvelle boîte à spam.
Finalement, le spam n'est-il
pas un marché comparable aux virus : d'un côté des
gens qui polluent, de l'autre des gens qui se font
de l'argent en proposant des solutions anti-pollution
?
Nous ne pensons pas que le spam soit directement
relié à la vente d'outils anti-spam. Il existait
avant que l'on développe de telles solutions, et
est plutôt inhérent au développement toujours croissant
de l'utilisation des messageries et du commerce
sur Internet. C'est avant tout le faible coût de
ce mode de prospection qui explique l'ampleur du
phénomène.
Nous venons d'interviewer
un "spammeur du dimanche", installé près de Bordeaux,
qui a aspiré les adresses des participants de la
dernière Université d'Hourtin. Il nous a confié
être en train d'enregistrer ce fichier auprès de
la CNIL, pour le "légaliser"! Quels contrôles sont
effectués lors de la déclaration de fichiers ?
La déclaration auprès de la CNIL n'est en aucun
cas une régularisation d'une opération de collecte
déloyale d'e-mails, comme l'opération qui vient
d'être décrite. Par ailleurs, le déclarant a l'obligation
d'indiquer l'origine des informations collectées..
Le spam est aujourd'hui
présent sur les téléphones portables. Que pouvons
nous faire et avez-vous des solutions juridiques
et techniques ?
Le même régime juridique s'applique aux téléphones
portables qu'aux messageries électroniques. Vous
pouvez donc saisir la CNIL ou porter plainte directement
auprès des juridictions, et avertir votre opérateur
téléphonique. A notre connaissance, il n'existe
pas de solution technique, contrairement à l'e-mail.
Le phénomène est cependant moindre puisqu'il est
plus difficile de se procurer un numéro de téléphone
portable qu'une adresse électronique.
Les adresses IP peuvent-elles
être considérées comme une information personnelle
?
Tout à fait ! A fortiori avec le passage a l'IPV6,
où il n'y aura plus d'adresse dynamique mais que
des adresses fixes.
Quelle est réellement l'étendue
des spyware inclus dans certains logiciels faussement
freeware comme Kazaa?
Tant que ce type de spyware ne procède qu'à l'envoi
d'informations anonymes sans les relier à votre
identité, il n'y a pas vraiment de risque. L'objectif
est souvent d'afficher via popup des publicités
ciblées. Toutefois, ces dispositifs sont de plus
en plus intrusifs et doivent être soumis au consentement
de l'internaute dès lors qu'il utilise des ressources
machines de ce dernier et qu'ils communiquent des
informations nominative. Une information préalable
est en tout état de cause un minimum.
Quelle proportion d'entreprises
ne déclarent pas leur bdd à la CNIL?
C'est une obligation légale dont le non respect
est sanctionné pénalement. Nous essayons d'attirer
l'attention des entreprises sur cette obligation.
Malheureusement, nous n'avons pas d'outils à notre
disposition pour quantifier le nombre d'entreprises
ne respectant pas cette obligation. Toutefois, les
questions informatiques et libertés sont de mieux
en mieux traitées par les entreprises, et le projet
de nouvelle loi tend à alléger ces formalités préalables.
Après sa promulgation,
comment allez vous pouvoir juger de l'impact de
la nouvelle loi ?
La philosophie de cette nouvelle loi est, on l'a
vu, d'alléger les déclarations, mais de renforcer
les contrôles a posteriori des traitements faits
par les entreprises. De plus, la commission se verra
accorder des pouvoirs de sanction.
Je m'occupe d'un webzine
musical (Reggaefrance.com) qui commence à bien tourner,
nous avons été assigné récemment par un label à
cause d'un message qu'un de nos lecteur à déposé
sur le forum (il contenait un lien émule menant
vers un DVD musical en téléchargement). Le label
a exigé que nous lui remettions les coordonnées
de l'utilisateur. Quelles sont mes obligations face
au respect de leur identité ? Qui est habilité à
me demander ses infos ? Suis-je obligé de les donner
?
Seules les autorités judiciaires peuvent, selon
la procédure pénale, exiger d'un particulier ou
d'une entreprise la communication d'informations
à caractère personnel qu'ils possèdent.
Quel est le temps moyen
de validation d'une déclaration via le site de la
CNIL ?
Seules les déclarations simplifiées et les déclarations
de sites Web peuvent pour l'instant être effectuées
online. La délivrance du récépissé est donc quasi
immédiate. Pour les déclarations ordinaires, tout
dépend de l'importance du dossier. L'instruction
se fait dans le mois suivant la réception.
Est-il légal en France
pour une entreprise, une fois son personnel prévenu,
de stocker tous les e-mails entrants et sortants,
et éventuellement faire des recherches et les faire
relire par une personne ni expéditrice ni destinataire
? Où s'arrête le spam ? Si je trouve un mail sur
le net, puis-je l'utiliser pour entrer en contact
avec la personne ?
Le stockage d'e-mails passés à titre personnel ne
peut se justifier que pour des motifs de sécurité.
Si un filtre en amont est concevable, une analyse
systématique des mails a posteriori paraît disproportionnée
et contraire à la loi. Bien sûr, seule la prospection
directe sera bientôt soumise au principe de consentement
préalable au bénéfice des personnes physiques. Le
régime juridique applicable à la prospection directe
destinée à la personne morale n'est, lui, pas encore
clairement défini.
Comment éviter de recevoir
tous les messages du type pardonnez-moi l'expression
"penis enlargement" etc. ?
Vous trouverez des éléments d'information dans le
module Halte au spam sur le site de la CNIL. Toutefois,
quelques règles de bon sens : utiliser des adresses
mail poubelles lors d'achats ou pour des newsletters,
masquer son adresse e-mail lorsqu'on la met sur
sa page perso, sélectionner soigneusement les sites
auxquels on communique son adresse mail...Pour les
newsgroups et les forums, écrire son adresse mail
comme suit : toto-at-nomdedomaine.fr
Vous parlez d'instruction,
je crains de ne pas avoir tout saisi. S'agit-il
d'une formalité pour annoncer à la CNIL l'existence
de notre base de données ou s'agit il de faire VALIDER
la base par la CNIL ? Qu'avons nous le droit de
faire et qu'avons nous interdiction de faire en
tant que gestionnaire de site ?
La déclaration auprès de la CNIL doit se faire préalablement
à la collecte de toute donnée nominative, notamment
à partir d'un site Web. La collecte et le traitement
de ces données doivent respecter les grands principes
de la loi informatique et liberté (loyauté, proportionnalité,
durée de conservation pertinente, information des
personnes, etc.).
Comment peut-on lutter
contre les spamers professionnels (e-mails sexy
voire franchement hard et autres viagra) dont l'adresse
de l'expéditeur n'est jamais identifiable ?
Une fois spammé, seuls les logiciels de filtrage
sont malheureusement efficaces. En dernier recours,
la seule solution est de fermer votre boîte mail
et d'en ouvrir une nouvelle, en étant cette fois
ci plus vigilant.
Avez-vous une solution
pour filtrer le spam ?
Il est très facile de trouver sur Internet les logiciels
les plus performants...
Un parti politique "extrême"
ou un groupe religieux demande un devis à un routeur
(professionnel du marketing direct) pour effectuer
une opération d'e-mailing sur un fichier fourni
par ce parti... Le professionnel peut-il opposer
- comme en Belgique - un refus de vente ? (il me
semble que ces fichiers ne sont pas soumis à enregistrement
- n'est-ce pas là un risque de "recyclage" des fichiers
illégaux ?)
Le routeur, pour sa sécurité juridique, peut demander
copie du récépissé qu'aura délivré la CNIL concernant
ce fichier, afin de s'assurer qu'il aura été déclaré.
Enfin, il peut demander à ses "clients" de lui fournir
les éléments prouvant que les personnes qui vont
être contactées ont bien consenti à recevoir de
tels messages.
Je suis le petit-fils du
président du Libéria et... Je rigole, mais les arnaques
par mail, c'est aussi un gros problème, non ?
Tout à fait. Le plus surprenant est quand même que
certaines personnes puissent croire gagner des millions
de dollars aussi facilement, n'est-ce pas ? Les
autorités hollandaises ont mené une vaste opération
et ont déjà arrêté certains auteurs de ce type de
messages.
Que disent les textes actuels
sur la responsabilité des hébergeurs de sites (comme
nous) qui offrenr la possibilité à leur client de
créer et de gérer leur forums. Si une plainte est
déposée par un internaute à propos du contenu d'un
des forum, qui est fautif : le client ou l'hébergeur
? (le client ayant déclaré son forum à la CNIL).
Cette question n'est pas de la compétence de la
CNIL, et nous vous renvoyons sur le projet de loi
relatif à la confiance dans l'économie numérique,
qui modifie le régime de responsabilité des hébergeurs.
Avez-vous une idée du coût
que représente le spam en France (bande passante,
temps perdu...) ?
En Europe, on estime le coût du spam à plus de 10
milliards d'euros, sans compter les désagréments
subis par les personnes victimes de cette pratique
!!!
Quelle est l'obligation
légale de conservation des fichiers de log d'un
serveur Web, au bout de combien de temps doit-on
les détruire ?
Il n'existe pas, à la différence des FAI, d'obligation
légale de conservation des fichiers log pour les
serveurs Web. Pour autant, une durée de conservation
de trois mois à des fins de sécurité paraît proportionnée.
Combien de mails vous recevez
chaque jour sur votre boîte ? (je suis curieux,
je sais).
Perso ou professionnels ?
Les deux (perso et pro).
Environ 25. J'ai trois comptes mail : un professionnel,
un à titre de test et d'inscription à des
newsletters, commerce électronique... Et un pour
mes amis et la famille.
Utilisez-vous votre messagerie
pro pour des mails perso ?
Bien sûr. Mais de manière raisonnable.
Combien de spams recevez-vous
?
Sur une adresse mail fermée récemment, cela allait
jusqu'à 25 spams par jour.
La définition du spam évolue-t-elle?
Pas vraiment,
aussi bien dans la forme que dans le fond.
Quels sont exactement les
moyens technologiques dont vous disposez à la CNIL
pour identifier les spammeurs ?
Nous avons une cellule d'expertise informatique
comportant des informaticiens compétents. En tout
état de cause, ce n'est pas notre mission première
d'identifier l'auteur des infractions. C'est le
rôle des autorités judiciaires.
A quoi pensez-vous le matin
en relevant votre boîte mail ?
Ouf, je n'ai toujours pas de spam !
Que deviennent les plaintes
de la Cnil?
Concernant les affaires dénoncées à la justice,
trois ont été classées et deux sont toujours en
cours instruction. Pour les réclamations reçues
par la CNIL en général, nous entrons en contact
avec les personnes mises en cause et procédons à
l'instruction des dossiers, afin d'obtenir les réponses
que nous communiquerons au plaignant, ou à la justice
le cas échéant.
Discutez-vous régulièrement
avec les Cnil étrangères (international) au sujet
du spam pour améliorer la lutte ?
Il y a régulièrement des séances de travail au sein
des institutions européennes sur la question du
spam, et en général sur toutes les questions relatives
à la vie privée.
Le peer-to-peer enfreint-il
les règles légales de la Cnil ?
En tant que tel, le P2P n'est pas une problématique
de protection de la vie privée, mais plutôt de la
protection des droits d'auteurs. Toutefois, au regard
des législations en préparation concernant la protection
des droits d'auteur, cela pourrait le devenir, dès
lors que les majors pourront effectuer du tracking
des internautes via leur adresse IP.
Les entreprises ont-elles
le droit de contrôler le surf des employés? Par
exemple de voir s'ils vont sur leur messagerie perso ?
L'utilisation d'Internet par un salarié peut donner
lieu à un contrôle, sous réserve d'en informer les
salariés au préalable. Cependant, ce contrôle ne
doit pas aboutir à un examen détaillé des sites
contrôlés. Concernant cette problématique délicate,
la CNIL a préconisé la création d'une charte d'utilisation
des ressources informatique et d'un poste de délégué
à la protection des données personnelles dans l'entreprise.
Quels sont les pays les
efficaces en matière de lutte anti-spam?
En termes de spammeurs poursuivis et de montants
d'amendes, ce sont paradoxalement les Etats-Unis.
Mais c'est chez eux que le phénomène prend le plus
d'ampleur.
Globalement, à la Cnil,
vous êtes plutôt : 1. Optimistes 2. Inquiets 3.
Découragés 4. Autre sentiment (à préciser)?
S'agissant du spam, combatifs et en attente des
nouvelles dispositions. D'une manière générale,
optimistes.
Mathias Moulin et Thomas Dautieu : Merci
pour vos questions. A l'année prochaine si le JDN
veut toujours de nous ! Bon surf, et ne communiquez
pas vos adresses e-mail à n'importe qui n'importe
comment...