JDNet.
Depuis quelque temps, la fréquence des mails
à caractère pornographique s'intensifie
dans les boîtes des internautes. Comment les spammers
se procurent-ils ces adresses ?
Etienne Drouard.
La plupart du temps, les adresses sont collectées
sur les forum de discussion ou sur les sites où
figurent l'organigramme et les mails d'une équipe.
Pour se les procurer, les spammers utilisent des moteurs
de recherche d'e-mails qui scannent sur les espaces
publics de l'Internet, tout ce qui comporte une arobase
et un .com, un .net, ou un .org. Ensuite, le collecteur
applique ou non un filtre pour nettoyer le fichier afin
d'écarter tout ce qui n'est pas une adresse e-mail.
Ce type de pratique n'est pas récente : elle
est née dès 1994 aux Etats-Unis. D'ailleurs,
beaucoup de ces mails X proviennent des Etats-Unis.
Il n'est pas étonnant, non plus, que ce soient
les sites X qui utilisent cette technique. Mais ils
peuvent également se procurer ces fichiers d'adresses
en les achetant ou en les louant. Ce secteur fait partie
des services rentables de l'Internet. Il dispose de
très gros budgets publicitaires et il est difficile
pour une régie publicitaire ou d'un broker de
résister longtemps à l'appât d'un
client qui gagne de l'argent.
La collecte
sauvage ou le fait de recevoir des mails non souhaités
permettent-ils déjà de porter plainte
?
Oui,
tout à fait. La collecte déloyale d'information
n'est juridiquement pas autorisée en France.
Elle s'effectue en effet à l'insu du titulaire
de l'adresse et les fichiers ne sont pas déclarés
à la CNIL. La collecte déloyale est sanctionnée
en France par l'article 226-18 du code pénal
et dans toute l'Union européenne, depuis la directive
95/46 sur la protection des données. Celles-ci
est d'ailleurs en train d'être transposée
en France. Un projet de loi modifiant la Loi Informatique
et Liberté vient de passer à l'Assemblée
Nationale en première lecture. Mais en raison
des échéances électorales, la poursuite
du travail se fera après les élections.
Enfin, cette pratique constitue une troisième
infraction : l'envoi d'un mail non sollicité.
En effet, l'envoi fait suite à une collecte au
cours de laquelle les personnes n'ont pas été
informées du droit qu'elles ont à s'opposer
à la réception de messages de prospection.
Tout est déloyal et illégal dans ce genre
de pratique.
Justement,
au niveau de ce droit d'opposition, n'y a-t-il pas un
certain flou aujourd'hui en Europe ?
Aujourd'hui,
la loi sur la protection des personnes en matière
de prospection électronique est en train de se
compléter au niveau européen. Le 6 décembre
2001, le Conseil européen a privilégié
la règle du consentement préalable pour
l'envoi de mails commerciaux par SMS et a opté
pour un modèle hybride mêlant droit d'opposition
et consentement pour l'envoi d'e-mails commerciaux.
Actuellement, nous en sommes au stade de la position
commune qui stipule que, lorsqu'on collecte directement
des données auprès d'une personne et qu'on
souhaite lui envoyer des offres, le collecteur d'information
doit permettre à la personne de s'opposer à
recevoir des offres au moment de la collecte et lors
de la réception d'un message. Cette position
commune exige également le consentement de l'internaute
lorsqu'on collecte une donnée pour la transmettre
à des tiers qui feront de la prospection commerciale.
Quelles
sont les autorités auprès desquelles on
peut porter plainte ?
Pour
connaître la source du fichier, on peut s'adresser
à l'expéditeur du message. S'il ne répond
pas, ou si son adresse ne correspond à rien,
les internautes ont deux possibilités. Ils peuvent
porter plainte auprès de la CNIL. Celle-ci se
mettra en contact avec l'émetteur du fichier
pour rédiger un rapport sur la base duquel, soit
elle émet un simple avertissement pour non respect
de la loi, soit elle transmet le dossier au parquet
qui décide s'il poursuit. La seconde possibilité
est plus directement judiciaire. Elle consiste à
déposer une plainte pénale et à
se constituer partie civile. Le seul frein à
cette procédure vient du fait que la société
qui émet les mails se situe à l'étranger.
Si celle-ci est basée en Europe, il existe des
mécanismes qui permettent de transférer
les affaires d'un pays à l'autre. Si la société
émettrice est située en dehors de l'Union
européenne, le juge peut demander des mesures
d'instruction et d'enquête à un homologue
étranger. Mais les chances que l'enquête
aboutisse sont assez faibles et les délais sont
très longs.
S'il existe
des lois sur la collecte déloyale, en existe-t-il
pour sanctionner le contenu du mail ?
S'il
est à contenu pornographique, il tombe sous le
coup de l'article 227-24 du code pénal sur la
protection des mineurs. Cette infraction est assez lourdement
sanctionnée puisqu'elle est punie par trois ans
d'emprisonnement et par 75 000 euros d'amende.
Au niveau
de la loi, existe-t-il des différences de traitement
selon que le contenu est dans le corps du mail ou qu'il
s'agit seulement de liens ?
Un
mail qui contient des liens renvoyant vers un site à
caractère pornographique peut tomber sous le
coup des règles sur la publicité. Il peut
y avoir interdiction dans la mesure où l'émetteur
a envoyé un mail à un public dont il ne
s'est pas assuré qu'il était majeur. Ensuite,
le contenu du site peut être considéré,
en soi, comme étant à caractère
pornographique et non plus seulement le lien. S'il n'existe
pas de mécanisme de filtrage permettant d'identifier
l'âge des visiteurs, on peut agir pour mise à
disposition d'un contenu pornographique à des
personnes mineures. Il est vrai qu'en matière
de pornographie, il existe un réel problème
sur le contrôle de l'âge. Un mineur peut
toujours déclarer qu'il a 18 ans. Et le fait
de demander aux internautes, comme aux Etats-Unis, un
numéro de carte bancaire pour s'assurer que le
client est mineur n'est pas suffisant, car des mineurs
peuvent avoir de plus en plus tôt une carte bancaire.
Les dispositifs
de protection des mineurs demeurent donc assez limités...
Pas
tout à fait. Aujourd'hui, les les fournisseurs
d'accès à Internet proposent aux parents
des logiciels de filtrage. Ces derniers contiennent
une liste des sites à caractère pornographique.
Si la réactualisation régulière
de cette liste revient aux FAI, il est de la responsabilité
des parents d'installer ces logiciels sur leur poste
informatique. Il existe donc aujourd'hui des outils
technologiques qui ont, dans le porno, plutôt
une bonne efficacité, car les listes sont remises
à jour fréquemment et parce que les sociétés
qui éditent ces logiciels sont de grands éditeurs
mondiaux. Mais, vous n'êtes pas à l'abri
du site X qui s'est monté la veille, c'est vrai.
Et lors
de la collecte de données, n'y a-t-il pas des
mesures à prendre pour éviter que des
mineurs soient exposés à des mails X ?
Dans
le cas où le collecteur est directement l'éditeur
de contenu, il a obligation de connaître l'âge
des personnes auxquelles il envoie un mail. Mais cet
âge reste purement déclaratif. Aujourd'hui,
il n'existe pas encore de système de signature
électronique qui permette d'attester qu'une personne
qui arrive avec une signature est majeure ou mineure.
En plus, cela n'empêchera pas les parents d'autoriser
leurs enfants à utiliser une carte avec une signature
électronique. Dans le cas où le collecteur
est une régie publicitaire ou un site de loterie,
soit il écarte toute location de ses fichiers
à des sites X et dans ce cas, il n'a pas à
demander l'âge des internautes, soit il s'autorise
à délivrer ses adresses à un site
pornographique, auquel cas, il est impératif
qu'il collecte l'âge des internautes. En cas de
non respect de ce principe, la société
qui a loué le fichier peut être considérée
comme complice de l'infraction.
Dans le
cas de collecte déloyale, existe-t-il des recours
techniques pour se prémunir des mails X ?
Oui,
il en existe. Les informaticiens ont mis en place un
petit programme baptisé "no robot".
Celui-ci est inséré en début de
page dans le code HTML. Lorsqu'un moteur de recherche
arrive sur cette page pour collecter son contenu, il
ne peux pas le faire. Cela permet de protéger
du contenu ou des e-mails que vous ne voulez pas voir
utiliser. C'est une règle que les grands moteurs
de recherche peuvent faire respecter parce qu'ils incluent
dans leur moteur cette fonction. Mais ils peuvent aussi
ne pas le faire. C'est précisément le
cas des sociétés qui collectent illégalement
des adresses. Si l'outil existe, il n'a de force que
face à des sociétés qui veulent
bien respecter l'interdit. Quant au moyen juridique
d'agir, il suffit de constater que la collecte a été
déloyale.
Y a-t-il
déjà eu en France des procès concernant
des mails X ?
Non.
La seule affaire qui a eu lieu récemment concerne
le spamming. Elle a été rendue le 15 janvier
2002 par le juge Gomez, le Président du tribunal
de grande instance de Paris. Il s'agissait de l'envoi
de mails non sollicités par un abonné
de Liberty Surf. Dans ce jugement, le
juge définit le spamming comme l'envoi de messages
non sollicités par les destinataires. C'est un
peu court comme définition. Car le fondement
de la décision
du juge repose sur la perturbation grave du fonctionnement
du réseau. Le cadre juridique qui a été
utilisé est la loi Godefrain, c'est-à-dire
la perturbation et l'accès frauduleux à
un système d'information. Alors qu'au départ,
on parle de messages non sollicités et protection
des données personnelles, on caractérise
finalement le spamming par l'envoi massif et répété
de messages électroniques qui gênent la
bande passante et perturbent le fonctionnement du réseau.
De fait, ce cas ne remet pas précisément
en cause le système de collecte des données.
Et en Europe,
y a-t-il déjà eu des procès concernant
le spam X ?
Sur
le X, il n'y a rien en Europe. Sur le spamming de manière
générale, il y a eu une sanction en Espagne.
Celle-ci ne s'est d'ailleurs pas seulement basée
sur la gêne occasionnée sur le réseau,
mais également sur la façon dont les données
avaient été collectées, puis utilisées.
Elle a donné lieu à une amende de 30 000
euros. Il y a également eu une affaire en Autriche,
où l'exigence en matière d'e-mailing est
celle du consentement. La condamnation s'est élevée
à 35 063 euros.
Quelle
est la situation aux Etats-Unis, puisque ce pays semble
avoir été touché bien avant l'Europe
par le spam et en particulier le spam X ?
Le
cadre le plus pragmatique pour définir le spamming
se trouve effectivement aux Etats-Unis. Ils n'ont pas
de loi générale sur la protection des
données, mais ils ont vécu le spamming
jusqu'en 1999. Celui-ci avait pris une telle ampleur,
que les internautes s'en sont plaints et qu'ils ont
commencé, avec les grands fournisseurs d'accès,
à légiférer sur le sujet. Les américains
définissent le spamming par le caractère
déloyal de l'envoi. C'est-à-dire, l'utilisation
d'un e-mail falsifié, ou l'usurpation de l'identité
du titulaire d'une adresse. L'utilisation d'une fonction
qui existe dans les serveurs de messagerie et qui permet
de relayer des messages est également considérée
comme du spamming. La loi américaine peut aller
jusqu'à condamner les détenteurs de serveur
de messageries pour ne pas avoir inhibé cette
fonction. Cette législation n'est pas anodine,
puisqu'elle permet, notamment en Californie, de condamner
un spammer à une amende de 1.000 dollars par
envoi frauduleux. C'est assez dissuasif. Aujourd'hui,
il existe 28 lois locales sur le spamming aux Etats-Unis,
alors qu'il y a un an et demi, il y en avait 18. Par
ailleurs, il existe plusieurs projets de loi fédérale
dont un, qui a de grandes chances d'aboutir.
Quelles
sont les sanctions qu'encourent en France les spammers
X ?
En
matière de collecte déloyale,
les spammers tombent sous le coup de l'article 226-18
du code pénal. A ce titre, ils encourent 5 ans
d'emprisonnement et une amende de 304.898 euros. Cet
article a été appliqué une fois
de manière assez sévère, en 1997,
pour une affaire concernant une société
qui avait collecté des adresses dans l'annuaire
et notamment, l'adresse de personnes sur liste orange.
Cette entreprise a été condamnée
à 15.244 euros, et son dirigeant à 6.098
euros alors que l'incrimination pouvait monter à
304.898 euros. Il s'agissait pourtant d'une infraction
qui portait sur un fichier de 20 millions de personnes
utilisé plusieurs fois. C'est dire que, lorsque
l'on saisit le juge, le problème est moins dans
la rédaction du texte que dans la façon
dont on l'applique.
Qu'est-ce
que vous préférez dans Internet ?
L'instantané,
l'abondance et la précision de l'information. Ensuite,
le fait qu'il n'existe pas de frontières, que l'innovation
y est constante et qu'i n'y ai jamais de routine : le
rêve pour un avocat !
Et ce que
vous détestez le plus ?
Les
sites au format flash, lourds et pompeux, idéal quand
on n'a rien à dire. Enfin, lorsqu'on le régule
au "café du commerce" en réduisant l'internaute à une
vache à lait ou à un criminel : dans les deux cas, on
oublie l'Etat de droit.
Quels sont
vos sites préférés ?
Maporama.fr,
pour ses services complets de cartes, d'itinéraires
et de météorologie. Hersys.com,
un site de matériel informatique en ligne avec
de très bons prix et où on est livré
aussitôt. Enfin, millemercis.fr,
pour la qualité de ses services en matière
de relation clients.
|