INTERVIEW
 
Avocat
Cabinet Gide Loyrette Nouel
Etienne Drouard
"Titre"
Depuis quelque temps, le spam X est de plus en plus présent dans les boîtes mail des internautes. Ce qui n'est pas sans susciter un certain nombre d'interrogations en matière de collecte de données et de protection des mineurs. Etienne Drouard, avocat au sein du département MIT du Cabinet Gide Loyrette Nouel et rédacteur du rapport pour la Commission européenne sur le marketing électronique, revient sur cette pratique, ses sources et sur les moyens juridiques de s'en prémunir.13 mars 2002
 
          

JDNet. Depuis quelque temps, la fréquence des mails à caractère pornographique s'intensifie dans les boîtes des internautes. Comment les spammers se procurent-ils ces adresses ?
Etienne Drouard.
La plupart du temps, les adresses sont collectées sur les forum de discussion ou sur les sites où figurent l'organigramme et les mails d'une équipe. Pour se les procurer, les spammers utilisent des moteurs de recherche d'e-mails qui scannent sur les espaces publics de l'Internet, tout ce qui comporte une arobase et un .com, un .net, ou un .org. Ensuite, le collecteur applique ou non un filtre pour nettoyer le fichier afin d'écarter tout ce qui n'est pas une adresse e-mail. Ce type de pratique n'est pas récente : elle est née dès 1994 aux Etats-Unis. D'ailleurs, beaucoup de ces mails X proviennent des Etats-Unis. Il n'est pas étonnant, non plus, que ce soient les sites X qui utilisent cette technique. Mais ils peuvent également se procurer ces fichiers d'adresses en les achetant ou en les louant. Ce secteur fait partie des services rentables de l'Internet. Il dispose de très gros budgets publicitaires et il est difficile pour une régie publicitaire ou d'un broker de résister longtemps à l'appât d'un client qui gagne de l'argent.

En savoir plus...
Dossier X-business, la cash machine du Web
Opt-In/Opt-out : tribunes
Ne tuez pas l'e-mailing! Par Eric Tenin, PDG de Textis
L'Opt-in ? Incontournable Par Jérôme Stioui, PDG de DirectiNet

La collecte sauvage ou le fait de recevoir des mails non souhaités permettent-ils déjà de porter plainte ?
Oui, tout à fait. La collecte déloyale d'information n'est juridiquement pas autorisée en France. Elle s'effectue en effet à l'insu du titulaire de l'adresse et les fichiers ne sont pas déclarés à la CNIL. La collecte déloyale est sanctionnée en France par l'article 226-18 du code pénal et dans toute l'Union européenne, depuis la directive 95/46 sur la protection des données. Celles-ci est d'ailleurs en train d'être transposée en France. Un projet de loi modifiant la Loi Informatique et Liberté vient de passer à l'Assemblée Nationale en première lecture. Mais en raison des échéances électorales, la poursuite du travail se fera après les élections. Enfin, cette pratique constitue une troisième infraction : l'envoi d'un mail non sollicité. En effet, l'envoi fait suite à une collecte au cours de laquelle les personnes n'ont pas été informées du droit qu'elles ont à s'opposer à la réception de messages de prospection. Tout est déloyal et illégal dans ce genre de pratique.

Justement, au niveau de ce droit d'opposition, n'y a-t-il pas un certain flou aujourd'hui en Europe ?

Aujourd'hui, la loi sur la protection des personnes en matière de prospection électronique est en train de se compléter au niveau européen. Le 6 décembre 2001, le Conseil européen a privilégié la règle du consentement préalable pour l'envoi de mails commerciaux par SMS et a opté pour un modèle hybride mêlant droit d'opposition et consentement pour l'envoi d'e-mails commerciaux. Actuellement, nous en sommes au stade de la position commune qui stipule que, lorsqu'on collecte directement des données auprès d'une personne et qu'on souhaite lui envoyer des offres, le collecteur d'information doit permettre à la personne de s'opposer à recevoir des offres au moment de la collecte et lors de la réception d'un message. Cette position commune exige également le consentement de l'internaute lorsqu'on collecte une donnée pour la transmettre à des tiers qui feront de la prospection commerciale.

Quelles sont les autorités auprès desquelles on peut porter plainte ?
Pour connaître la source du fichier, on peut s'adresser à l'expéditeur du message. S'il ne répond pas, ou si son adresse ne correspond à rien, les internautes ont deux possibilités. Ils peuvent porter plainte auprès de la CNIL. Celle-ci se mettra en contact avec l'émetteur du fichier pour rédiger un rapport sur la base duquel, soit elle émet un simple avertissement pour non respect de la loi, soit elle transmet le dossier au parquet qui décide s'il poursuit. La seconde possibilité est plus directement judiciaire. Elle consiste à déposer une plainte pénale et à se constituer partie civile. Le seul frein à cette procédure vient du fait que la société qui émet les mails se situe à l'étranger. Si celle-ci est basée en Europe, il existe des mécanismes qui permettent de transférer les affaires d'un pays à l'autre. Si la société émettrice est située en dehors de l'Union européenne, le juge peut demander des mesures d'instruction et d'enquête à un homologue étranger. Mais les chances que l'enquête aboutisse sont assez faibles et les délais sont très longs.

S'il existe des lois sur la collecte déloyale, en existe-t-il pour sanctionner le contenu du mail ?
S'il est à contenu pornographique, il tombe sous le coup de l'article 227-24 du code pénal sur la protection des mineurs. Cette infraction est assez lourdement sanctionnée puisqu'elle est punie par trois ans d'emprisonnement et par 75 000 euros d'amende.

Au niveau de la loi, existe-t-il des différences de traitement selon que le contenu est dans le corps du mail ou qu'il s'agit seulement de liens ?
Un mail qui contient des liens renvoyant vers un site à caractère pornographique peut tomber sous le coup des règles sur la publicité. Il peut y avoir interdiction dans la mesure où l'émetteur a envoyé un mail à un public dont il ne s'est pas assuré qu'il était majeur. Ensuite, le contenu du site peut être considéré, en soi, comme étant à caractère pornographique et non plus seulement le lien. S'il n'existe pas de mécanisme de filtrage permettant d'identifier l'âge des visiteurs, on peut agir pour mise à disposition d'un contenu pornographique à des personnes mineures. Il est vrai qu'en matière de pornographie, il existe un réel problème sur le contrôle de l'âge. Un mineur peut toujours déclarer qu'il a 18 ans. Et le fait de demander aux internautes, comme aux Etats-Unis, un numéro de carte bancaire pour s'assurer que le client est mineur n'est pas suffisant, car des mineurs peuvent avoir de plus en plus tôt une carte bancaire.

Les dispositifs de protection des mineurs demeurent donc assez limités...
Pas tout à fait. Aujourd'hui, les les fournisseurs d'accès à Internet proposent aux parents des logiciels de filtrage. Ces derniers contiennent une liste des sites à caractère pornographique. Si la réactualisation régulière de cette liste revient aux FAI, il est de la responsabilité des parents d'installer ces logiciels sur leur poste informatique. Il existe donc aujourd'hui des outils technologiques qui ont, dans le porno, plutôt une bonne efficacité, car les listes sont remises à jour fréquemment et parce que les sociétés qui éditent ces logiciels sont de grands éditeurs mondiaux. Mais, vous n'êtes pas à l'abri du site X qui s'est monté la veille, c'est vrai.

Et lors de la collecte de données, n'y a-t-il pas des mesures à prendre pour éviter que des mineurs soient exposés à des mails X ?
Dans le cas où le collecteur est directement l'éditeur de contenu, il a obligation de connaître l'âge des personnes auxquelles il envoie un mail. Mais cet âge reste purement déclaratif. Aujourd'hui, il n'existe pas encore de système de signature électronique qui permette d'attester qu'une personne qui arrive avec une signature est majeure ou mineure. En plus, cela n'empêchera pas les parents d'autoriser leurs enfants à utiliser une carte avec une signature électronique. Dans le cas où le collecteur est une régie publicitaire ou un site de loterie, soit il écarte toute location de ses fichiers à des sites X et dans ce cas, il n'a pas à demander l'âge des internautes, soit il s'autorise à délivrer ses adresses à un site pornographique, auquel cas, il est impératif qu'il collecte l'âge des internautes. En cas de non respect de ce principe, la société qui a loué le fichier peut être considérée comme complice de l'infraction.

Dans le cas de collecte déloyale, existe-t-il des recours techniques pour se prémunir des mails X ?
Oui, il en existe. Les informaticiens ont mis en place un petit programme baptisé "no robot". Celui-ci est inséré en début de page dans le code HTML. Lorsqu'un moteur de recherche arrive sur cette page pour collecter son contenu, il ne peux pas le faire. Cela permet de protéger du contenu ou des e-mails que vous ne voulez pas voir utiliser. C'est une règle que les grands moteurs de recherche peuvent faire respecter parce qu'ils incluent dans leur moteur cette fonction. Mais ils peuvent aussi ne pas le faire. C'est précisément le cas des sociétés qui collectent illégalement des adresses. Si l'outil existe, il n'a de force que face à des sociétés qui veulent bien respecter l'interdit. Quant au moyen juridique d'agir, il suffit de constater que la collecte a été déloyale.

Y a-t-il déjà eu en France des procès concernant des mails X ?
Non. La seule affaire qui a eu lieu récemment concerne le spamming. Elle a été rendue le 15 janvier 2002 par le juge Gomez, le Président du tribunal de grande instance de Paris. Il s'agissait de l'envoi de mails non sollicités par un abonné de Liberty Surf. Dans ce jugement, le juge définit le spamming comme l'envoi de messages non sollicités par les destinataires. C'est un peu court comme définition. Car le fondement de la décision du juge repose sur la perturbation grave du fonctionnement du réseau. Le cadre juridique qui a été utilisé est la loi Godefrain, c'est-à-dire la perturbation et l'accès frauduleux à un système d'information. Alors qu'au départ, on parle de messages non sollicités et protection des données personnelles, on caractérise finalement le spamming par l'envoi massif et répété de messages électroniques qui gênent la bande passante et perturbent le fonctionnement du réseau. De fait, ce cas ne remet pas précisément en cause le système de collecte des données.

Et en Europe, y a-t-il déjà eu des procès concernant le spam X ?
Sur le X, il n'y a rien en Europe. Sur le spamming de manière générale, il y a eu une sanction en Espagne. Celle-ci ne s'est d'ailleurs pas seulement basée sur la gêne occasionnée sur le réseau, mais également sur la façon dont les données avaient été collectées, puis utilisées. Elle a donné lieu à une amende de 30 000 euros. Il y a également eu une affaire en Autriche, où l'exigence en matière d'e-mailing est celle du consentement. La condamnation s'est élevée à 35 063 euros.

Quelle est la situation aux Etats-Unis, puisque ce pays semble avoir été touché bien avant l'Europe par le spam et en particulier le spam X ?
Le cadre le plus pragmatique pour définir le spamming se trouve effectivement aux Etats-Unis. Ils n'ont pas de loi générale sur la protection des données, mais ils ont vécu le spamming jusqu'en 1999. Celui-ci avait pris une telle ampleur, que les internautes s'en sont plaints et qu'ils ont commencé, avec les grands fournisseurs d'accès, à légiférer sur le sujet. Les américains définissent le spamming par le caractère déloyal de l'envoi. C'est-à-dire, l'utilisation d'un e-mail falsifié, ou l'usurpation de l'identité du titulaire d'une adresse. L'utilisation d'une fonction qui existe dans les serveurs de messagerie et qui permet de relayer des messages est également considérée comme du spamming. La loi américaine peut aller jusqu'à condamner les détenteurs de serveur de messageries pour ne pas avoir inhibé cette fonction. Cette législation n'est pas anodine, puisqu'elle permet, notamment en Californie, de condamner un spammer à une amende de 1.000 dollars par envoi frauduleux. C'est assez dissuasif. Aujourd'hui, il existe 28 lois locales sur le spamming aux Etats-Unis, alors qu'il y a un an et demi, il y en avait 18. Par ailleurs, il existe plusieurs projets de loi fédérale dont un, qui a de grandes chances d'aboutir.

En savoir plus...
Dossier X-business, la cash machine du Web
Opt-In/Opt-out : tribunes
Ne tuez pas l'e-mailing! Par Eric Tenin, PDG de Textis
L'Opt-in ? Incontournable Par Jérôme Stioui, PDG de DirectiNet

Quelles sont les sanctions qu'encourent en France les spammers X ?
En matière de collecte déloyale, les spammers tombent sous le coup de l'article 226-18 du code pénal. A ce titre, ils encourent 5 ans d'emprisonnement et une amende de 304.898 euros. Cet article a été appliqué une fois de manière assez sévère, en 1997, pour une affaire concernant une société qui avait collecté des adresses dans l'annuaire et notamment, l'adresse de personnes sur liste orange. Cette entreprise a été condamnée à 15.244 euros, et son dirigeant à 6.098 euros alors que l'incrimination pouvait monter à 304.898 euros. Il s'agissait pourtant d'une infraction qui portait sur un fichier de 20 millions de personnes utilisé plusieurs fois. C'est dire que, lorsque l'on saisit le juge, le problème est moins dans la rédaction du texte que dans la façon dont on l'applique.

Qu'est-ce que vous préférez dans Internet ?
L'instantané, l'abondance et la précision de l'information. Ensuite, le fait qu'il n'existe pas de frontières, que l'innovation y est constante et qu'i n'y ai jamais de routine : le rêve pour un avocat !

Et ce que vous détestez le plus ?
Les sites au format flash, lourds et pompeux, idéal quand on n'a rien à dire. Enfin, lorsqu'on le régule au "café du commerce" en réduisant l'internaute à une vache à lait ou à un criminel : dans les deux cas, on oublie l'Etat de droit.

Quels sont vos sites préférés ?
Maporama.fr, pour ses services complets de cartes, d'itinéraires et de météorologie. Hersys.com, un site de matériel informatique en ligne avec de très bons prix et où on est livré aussitôt. Enfin, millemercis.fr, pour la qualité de ses services en matière de relation clients.

 
Propos recueillis par Anne-Laure Béranger

PARCOURS
 
Chargé de mission à la CNIL de 1996 à 1999 pour les secteurs télécommunications, internet et relations internationales, Etienne Drouard est avocat au sein du département MIT (Médias Informatique et télécommunication) du cabinet Gide Loyrette Nouel. Il est notamment spécialisé dans les questions de gestion des bases de données, de e-CRM, de cyber-surveillance et de protection des données personnelles. Durant l'année 2000, il a rédigé un rapport pour la Commission européenne sur le marketing électronique et a été sollicité à titre d'expert par le Congrès américain dans le cadre d'un projet de loi fédérale sur ce sujet. Il a également rédigé le code de déontologie de l'AFRC (Association française des centres de relation client) et a assisté le SNCD (syndicat nationale de la communicatio directe) dans l'élaboration d'un code de déontologie sur le e-mailing. Depuis juin 2001, il préside la Commission juridique du GESTE (Groupement des éditeurs de services en ligne).

   
 
  Nouvelles offres d'emploi   sur Emploi Center
Chaine Parlementaire Public Sénat | Michael Page Interim | 1000MERCIS | Mediabrands | Michael Page International