Pendant trois mois, la Commission Nationale de l'Informatique
et des Libertés (Cnil)
a ouvert une "boîte à spam" destinée à
recueillir les mails non-sollicités que lui renvoyaient les internautes.
350.000 mails plus tard, Thomas Dautieu et Mathias Moulin, deux juristes
de la Commission, font le point sur cette opération de collecte
de mails et sur les cinq entreprises dénoncées à
l'issue de cette "consultation" des internautes. Appartenant
au pôle Internet de la Cnil, composé de trois personnes,
ils ont été au centre de l'opération boîte
à spam et connaissent leur sujet sur le bout des doigts (et des
codes de procédure pénale). Aux vues des questions posées
par les internautes, il semble clair que le spam, et les moyens de lutter
contre lui, soulève encore de nombreuses interrogations. A commencer
par sa définition même.
|
Invités :
Thomas Dautieu et Mathias Moulin, juristes à la CNIL |
|
Date : Lundi
2 décembre, 18h-19h10 |
Nombre de questions
posées : 196 |
Nombre
de questions retenues : 37 |
|
CNIL : Bonjour à tous !
Bonjour, l'adresse spam@cnil.fr n'étant plus disponible,
je voudrais savoir comment faire pour dénoncer ou arrêter les spams que
je reçois encore aujourd'hui ? Merci d'avance !
CNIL : Depuis l'arrêt de la boîte à spam, il est possible de consulter
à partir du site de la Cnil un module pédagogique qui donne des solutions
techniques et juridiques pour limiter la réception de spam. Concrètement,
vous pouvez, entre autre, alerter l'expéditeur du spam, votre FAI, saisir
la Cnil par courrier postal et, en dernier recours, porter plainte directement
auprès du Parquet (un modèle de lettre est disponible sur le site de la
Cnil).
Lorsque vous recevez des plaintes, comment pouvez-vous
savoir s'il s'agit de vrai spam ou non ?
Il n'existe pas de définition juridique exacte du spam. Dans le cadre
de l'opération boîte à spam, lorsque plusieurs centaines d'internautes
se sont plaints de recevoir un mail d'une entreprise avec laquelle ils
n'ont jamais été en contact et dont l'adresse de désinscription était
inexistante ou non valide, tout portait à considérer ces mails comme du
spam.
Pour être efficace, la CNIL devra se doter de
moyens humains considérables. Recrutez-vous actuellement ?
La vocation de la Cnil n'est pas de lutter contre le phénomène du spam
dans son ensemble, mais de mettre à disposition des internautes des outils
pédagogiques et d'alerter l'ensemble des acteurs du secteur sur ce problème.
Cela étant, il est vrai que les effectifs restent de taille très modeste
(environ 70 personnes) face à l'ampleur des questions qu'elle a à traiter.
Pouvez-vous nous donner les noms des sociétes
incriminées... ou du moins leur localisation ?
Dans le cadre de l'opération boîte à spam, cinq entreprises ont été dénoncées
au parquet : ABS (aspirateur de mails), Suniles (tourisme), BV communication
(sites de rencontres), Great-Meds.com (société américaine de produits
pharmaceutiques) et le top 50 du X dont l'auteur est inconnu à ce jour.
Quelles sont les peines encourues par un spammeur
reconnu ?
Dans le cadre d'une collecte déloyale de mails (ce qui est le cas d'une
opération de spam), l'article 226-18 du code pénal prévoit une peine pouvant
aller jusqu'à 5 ans d'emprisonnement et 300 000 euros d'amendes.
Quand vous recevez un spam sur votre boîte perso,
vous faites quoi ?
Personnellement, j'utilise le logiciel SpamNet, outil collaboratif permettant
de filtrer les mails indésirables. Vous trouverez des informations (liens)
sur le site de la Cnil.
Quel est le profil d'un agent de la CNIL dédié
aux Nouvelles Technologies ? Doit-il disposer de compétences spécifiques
? Si oui, lesquelles ?
D'une manière générale, les juristes à la Cnil ont une formation juridique
de niveau bac+5. Pour les secteurs touchant aux nouvelles technologies,
une bonne connaissance des outils et du milieu des NTIC est appréciée ;-)
Comment la Justice pourrait-elle contraindre une
entreprise à cesser ses agissements si elle est située en dehors de la
France, et que les envois sont effectués depuis un autre pays ?
D'un point de vue juridique, il s'agit d'infractions pénales pour lesquelles
le juge français est compétent, à partir du moment où l'infraction vise
un internaute français. En cas de condamnation, le juge français peut
demander l'application de la peine au juge étranger. En pratique, l'affaire
Yahoo a démontré les limites de ce procédé.
Bonjour. En quelques mots, comment mettre en place
et gérer une newsletter en respectant les recommandations de la CNIL ?
Il faut procéder à une collecte loyale des informations : prévenir l'internaute
qui s'inscrit à une newsletter, lui donner le moyen à tout moment de se
désinscrire, le prévenir et lui offrir la possibilité de s'opposer à ce
que ses coordonnées soient cédées à des tiers et l'informer qu'il bénéficie
d'un droit d'accès et de rectification à ses données. Et, enfin, déclarer
à la Cnil le fichier ainsi constitué.
La plupart des spams sont envoyés après navigation
sur Internet. Ne pensez-vous pas que c'est tout le système des cookies
et autres applets qu'il faut réformer ?
En matière de collecte automatique d'informations sur les internautes,
la Cnil recommande d'informer les internautes sur ce type de procédé et
de leur donner le moyen de s'y opposer. Il faut distinguer les cookies
qui permettent de collecter des informations nominatives de ceux qui sont
totalement anonymes et qui permettent seulement de collecter des informations
sur la navigation. D'une manière générale la collecte d'informations à
l'insu des internautes est interdite.
Avez-vous des équivalents dans les autres pays
européens ? Quelle coopération ?
Chaque pays de l'Union Européenne est doté de l'équivalent de la Cnil
qui dispose de pouvoirs similaires. Dans le cadre de l'opération boîte
à spam, la Cnil a transférér à ses homologues (Espagne et Italie, entre
autre) les spams originaires de ces pays. Il existe donc bien une coopération
au sein de l'Union Européenne.
Les solutions anti-spam ne sont-elles que logicielles
?
Ce sont les plus efficaces, mais il existe d'autres solutions de "bon
sens" ;-) : faire attention lors de la divulgation de son adresse,
créer des adresses mails exclusivement destinées aux achats, newsletters
ou autres pour préserver son adresse perso ou professionnelle. Mais, une
fois spammé, ce sont les solutions logicielles (Brightmail, Cloudmark,
SpamNet...) qui sont les plus efficaces. Vous pouvez aussi transférer
le mail aux FAI qui ont mis en place un lien "abuse" (de type : abuse@nomduFAI.com/fr).
Bonjour. Comment ce fait-il qu'un grand fournisseur
comme Wanadoo se permet de spammer régulièrement ses abonnés, et cela
sans lien de désinscription et malgré de nombreuses plaintes envoyées,
de toujours continuer. Si un fournisseur d'accès le fait, comment
pouvoir l'interdire aux abonnés ?...
A côté des dénonciations opérées dans le cadre de la boîte à spam, la
Cnil a aussi pris attache avec certaines entreprises à l'origine d'envois
de mails non sollicités. Personnellement, je vous conseille de faire valoir
votre droit d'opposition auprès de Wanadoo et, en cas d'insuccès, d'écrire
à la Cnil qui se chargera d'instruire votre plainte.
Quelle est la responsabilité des hébergeurs (ceux
qui fournisent les machines) ?
Les hébergeurs n'ont aucune responsabilité en la matière. Ils doivent
juste appliquer les décisions de justice, leur demandant par exemple de
fermer l'accès à un site.
Chaque site web d'une société doit-il faire l'objet
d'une déclaration distincte ?
Oui, à partir du moment où chacun de ces sites collecte des informations
nominatives (noms, adresses mails, téléphone, etc.). D'ailleurs, vous
pouvez effectuer cette déclaration sur le site de la Cnil.
A part l'anti spam, quel est votre cheval de bataille
actuellement ?
Dès qu'une donnée personnelle est concernée, la Cnil est compétente. A
ce titre, elle intervient notamment sur les services d'authentification
sur Internet (passeport microsoft ou liberty alliance) ou les nouveaux
procédés techniques comme les webbugs. Elle peut aussi s'occuper des enjeux
liés à la biométrie, aux fichiers d'empreintes génétiques ou encore à
la prospection par SMS.
C'est quoi votre spam favori ? :-)
En général, les spams ne sont pas très drôles. Une petite préférence quand
même pour les spams artisanaux ventant les talents d'un artiste comique
pour les mariages, les fêtes...
Est-il oligatoire, du point de vue de la loi,
de déclarer son site perso à la CNIL ?
Lorsqu'il est procédé à une collecte d'informations personnelles, tout
à fait. Dura lex, sed lex... ;-)
Quel est le plus gros spam recensé à ce jour ?
En français, c'est le "top 50 du X" et en langue anglaise, les scam (escroqueries
promettant des gains d'argent faciles).
Bonjour, on pointe souvant du doigt les sociétés
qui utilisent le "spam" comme outil de communication ! Ne vaudrait il
pas mieux s'attaquer aux éditeurs qui fournissent des outils permettant
le "spam" et les sociétés qui fournissent ces services ?
Tout à fait ! La Commission a dénoncé une entreprise vendant un logiciel
aspirateur de mails. Les autres entreprises de ce secteur sont actuellement
approchées par la Cnil.
Vou avez déjà essayé, vous, de "faire valoir vos
droits" auprès de Wanadoo? Ils ne répondent jamais aux mails...
Envoyez-nous l'ensemble des pièces (21 rue Saint-Guillaume, 75007 Paris)
et la Cnil instruira votre réclamation en prenant contact auprès de Wanadoo.
Que faut-il faire lorsque on reçoit un
spam ? Faut-il essayer de communiquer avec la personne ou faut-il dénoncer
tout de suite sans dialogue ?
Tout dépend du spam : si c'est un message d'une société "connue", prenez
contact avec elle. Sinon, dans la mesure où l'utilisation d'un lien de
réponse peut servir au spammeur à valider votre adresse et savoir qu'elle
est active, il vaut mieux utiliser des logiciels de filtre et, en dernier
ressort, porter l'affaire devant la justice (cf. le module sur cnil.fr).
Y-a-t-il des projets de loi visant à rendre l'opt-in
obligatoire en france ?
Dans le cadre du projet de loi sur l'économie numérique, le choix de l'opt-in
a été fait pour tout prospection par courrier électronique, que la personne
démarchée soit une personne physique ou de personne morale.
En parlant avec des potes, je me rends compte
qu'ils appellent "SPAM" un peu n'importe quoi ? La définiton exacte est-elle
un mail non sollicitée, et dans ce cas pourquoi ne pas attaquer Carrefour
en justice pour la pub dans ma boite aux lettres ? En quoi le Net est-il
spécifique dans ce cas ?
La prospection postale coûte de l'argent à l'expéditeur (papier, frais
de port, etc.), la prospection par voie électronique est à la charge de
l'internaute qui réceptionne le message. C'est une différence fondamentale.
Pour la Cnil, un spam est "constitué par l'envoi massif et parfois répété
de courriers électroniques non sollicités, à des personnes avec lesquelles
l'expéditeur n'a jamais eu de contact et dont il a capté l'adresse électronique
de façon irrégulière." Il existe bien une spécificité en la matière propre
au Net.
Bonjour. Concernant le spam "top50X" : sont-ce
les auteurs du spam, le sponsor, ou les deux qui risquent d'être
poursuivi ?
On peut supposer des liens entre les deux. Toutefois, c'est en premier
lieu l'auteur du spam qui sera poursuivi. Il appartient désormais à la
justice de déterminer les responsabilités de chacun.
Quelqu'un peut-il définir opt-in ?
L'opt-in est le recueil du consentement préalable de l'internaute avant
l'envoi d'un courrier électronique (par le biais d'une case à cocher par
exemple). L'opt-out est le fait de manifester sa volonté à ne plus recevoir
de courrier électronique, a posteriori.
Qui sont Mathias Moulin et Thomas Dautieu ?
Nous sommes deux humbles attachés à la direction juridique de la Cnil
(Commission Nationale de l'Informatique et des Libertés) qui, un beau
matin, en ont eu assez de se faire spammer et ont décider d'agir... avec
l'appui de la Commission ;-)
Et le spam sur les téléphones portables
?
Le régime juridique sera le même : consentement préalable de l'abonné
avant toute réception d'un message publicitaire. La Cnil a, en juillet
2002, dénoncé au parquet l'opération "Love SMS" (Quelqu'un t'aime en secret...)
sur la base de la loi "informatique et liberté. Quel que soit le
support, le spam est interdit.
Lorsque quelqu'un porte plainte et que la justice
rend sont verdict, il s'écoule combien de temps ?
C'est très aléatoire et ça ne dépend pas de la Cnil...
Développez-vous vous-même vos outils informatiques
?
Au sein de la Cnil, il existe une direction de l'expertise (ingénieurs
experts informaticiens) chargée de la prospective et d'instruire les dossiers
d'un point de vue technique. Dans ce cadre, ils peuvent être amenés à
expérimenter leurs propres outils ou des outils sur le marché.
Quelle est la directive européenne concernant
le stockage des données consommateurs ?
Concernant la prospection sur Internet, la directive principale est celle
du 12 juillet 2002 dont une partie est en cours de transposition dans
le projet de loi sur l'économie numérique. Dans un cadre général, la protection
des données à caractère personnel est encadrée par la directive du 24
octobre 1995.
Le site "l'Internaute" a-t-il collecté des infos
à l'occasion de ce chat ?
On espère que non ! ;-) Sinon, faites nous le savoir... ;-)
Le site de la Cnil est indisponible tout de suite
: Spam, attaque ?
Il doit être victime de son succès...
Y-a-t'il une durée maximale de conservation des
emails collectés via un site web ?
Tout dépend de la finalité de la collecte : pour une newsletter, jusqu'à
désinscription de la personne, pour une prospection commerciale, la Cnil
recommande une durée maximale de un an ou deux sollicitations restées
sans réponses.
Avez-vous pris contact avant de poursuivre ses
sociétés en justice ? Et quelles etaient leurs réactions ?
Oui. Celles qui se sont manifestées ont considéré comme légitime leur
opération, la justice tranchera.
Pourquoi ne lancez-vous pas une grande campagne
de sensibilisation des webmasters sur le sujet du spam ?
Les services de la Cnil participent fréquemment à des séminaires ou effectuent
des interventions auprès des professionnels ou des universitaires afin
de les sensibiliser à ces problématiques. Elle a, de plus, donné une publicité
maximum au module "Halte au Spam" accessible depuis son site (cnil.fr).
Pourriez-vous vous exprimer sur la mondialisation
?
Vaste débat, c'est la force et la faiblesse de l'Internet que d'avoir
une audience mondiale. Face à ce phénomène, la coopération internationale
apparaît comme la seule solution.