Quels sont vos postes exactement à la Cnil?
Mathias Moulin et Thomas Dautieu : Nous sommes tous deux
juristes dans le pôle nouvelles technologies.
La
CNIL a-t-elle les moyens technologiques et humains des pouvoirs que
la Loi lui confère?
La tâche à accomplir justifierait plus de moyens
humains et techniques, mais nous faisons de notre mieux.
Comment expliquez vous le (très) faible nombre
de condamnations en France pour faits de spamming (deux, à notre connaissance)
? Comment expliquez-vous le montant ridicule des sanctions, au regard
de ce qui est prévu par la loi ? Quelles actions compte prendre l'autorité
à l'égard des procureurs et des juges ?
Ce qui explique le peu d'affaires, c'est tout d'abord le faible nombre
de plaintes portées à la connaissance des juridictions, qui de plus,
il faut bien l'avouer, n'ont peut être pas pleinement conscience de
la gêne occasionnée par la réception de spam. C'est pourquoi la commission
a entrepris un travail de sensibilisation des autorités judiciaires
sur la question. Enfin, chaque internaute victime de spam a la possibilité
de se saisir des autorités judiciaires, donc c'est aussi à l'ensemble
de la communauté de se mobiliser.
Dans la condamnation récente d'un spammeur
français (3.000 euros d'amende), le vrai donneur d'ordre n'a jamais
été inquiété (le spammeur était rémunéré sur le trafic généré sur
un site Web porno). Que propose l'autorité pour "couper la tête du
serpent" ?
En l'espèce, c'était à l'autorité judiciaire de se prononcer et d'identifier
les véritables responsables de l'opération de spam. Il n'est jamais
évident d'identifier les véritables responsables.
Pourquoi ne pas poursuivre l'opération "boîte
à spam" ? C'était bien...
La CNIL n'avait pas les moyens humains et techniques de poursuivre
cette opération, qui se voulait dès le début ponctuelle. Néanmoins,
la loi prévoit de rétablir un dispositif similaire dès l'adoption
du régime d'opt-in.
Rien n'est prévu dans la loi française pour
gêner la commercialisation des outils spamware (collecte d'adresses,
attaque en DHA...). Mon FAI (français) héberge une telle page. Ne
peut-on pas reprendre la proposition australienne d'interdire l'achat
et la vente de tels outils ?
C'est en effet une solution possible, puisque l'utilisation de tels
outils revient forcément à opérer une collecte déloyale d'information.
Pour autant, le code pénal ne prévoit pas l'interdiction de la vente
de tels outils.
Un employeur a-t-il le droit de relever la
boîte mail professionnel de l'un de ses employés sans l'en avertir
? Et peut-il se servir de ce que contient cette boite mail pour affliger
un blâme ou même licencier son employé ?
D'une manière générale, un message électronique est une correspondance
privée protégée par la loi. Pour autant, un employeur peut dans certains
cas (virus...) ou bien faire un filtre sur les pièces jointes, ou
directement prendre connaissance du contenu d'un message. Cependant,
une telle action ne pourrait justifier une sanction disciplinaire
que si le salarié aura été préalablement averti d'un possible contrôle
de ce type.
Une nouvelle loi fédérale américaine vient
de légaliser les envois électroniques sans le consentement préalable
des internautes (opt-out). Un tel message, légal au sens américain,
est illégal au sens européen. Quelles sont les chances réelles d'un
internaute français de se faire entendre ?
Contrairement aux Etats-Unis, l'Europe a décidé d'adopter un régime
d'opt-in dans le cadre des communications électroniques (mails, SMS).
Face au problème toujours plus important du spam, il serait souhaitable
que le régime de l'opt-in soit plus largement applicable.
Maintenant que la boite spam@cnil.fr est
désactivée, comment se plaindre quand on n'a pas une armée d'avocats
?
Il est toujours possible d'envoyer une copie papier du spam reçu.
En attendant la nouvelle boîte à spam.
Finalement, le spam n'est-il pas un marché
comparable aux virus : d'un côté des gens qui polluent, de l'autre
des gens qui se font de l'argent en proposant des solutions anti-pollution
?
Nous ne pensons pas que le spam soit directement relié à la vente
d'outils anti-spam. Il existait avant que l'on développe de telles
solutions, et est plutôt inhérent au développement toujours croissant
de l'utilisation des messageries et du commerce sur Internet. C'est
avant tout le faible coût de ce mode de prospection qui explique l'ampleur
du phénomène.
Nous venons d'interviewer un "spammeur du
dimanche", installé près de Bordeaux, qui a aspiré les adresses des
participants de la dernière Université d'Hourtin. Il nous a confié
être en train d'enregistrer ce fichier auprès de la CNIL, pour le
"légaliser"! Quels contrôles sont effectués lors de la déclaration
de fichiers ?
La déclaration auprès de la CNIL n'est en aucun cas une régularisation
d'une opération de collecte déloyale d'e-mails, comme l'opération
qui vient d'être décrite. Par ailleurs, le déclarant a obligation
d'indiquer l'origine des informations collectées..
Le spam est aujourd'hui présent sur les téléphones
portables. Que pouvons nous faire et avez-vous des solutions juridiques
et techniques ?
Le même régime juridique s'applique aux téléphones portables qu'aux
messageries électroniques. Vous pouvez donc saisir la CNIL ou porter
plainte directement auprès des juridictions, et avertir votre opérateur
téléphonique. A notre connaissance, il n'existe pas de solution technique,
contrairement à l'e-mail. Le phénomène est cependant moindre puisqu'il
est plus difficile de se procurer un numéro de téléphone portable
qu'une adresse électronique.
Les adresses IP peuvent-elles être considérées
comme une information personnelle ?
Tout à fait ! A fortiori avec le passage a l'IPV6, où il n'y aura
plus d'adresse dynamique mais que des adresses fixes.
Quelle est réellement l'étendue des spyware
inclus dans certains logiciels faussement freeware comme Kazaa?
Tant que ce type de spyware ne procède qu'à l'envoi d'informations
anonymes sans les relier à votre identité, il n'y a pas vraiment de
risque. L'objectif est souvent d'afficher via popup des publicités
ciblées. Toutefois, ces dispositifs sont de plus en plus intrusifs
et devraient être soumis au consentement de l'internaute dès lors
qu'il utilise des ressources machines de ce dernier. Une formation
préalable est en tout état de cause un minimum.
Quelle proportion d'entreprises ne déclarent
pas leur bdd à la CNIL?
C'est une obligation légale dont le non respect est sanctionné pénalement.
Nous essayons d'attirer l'attention des entreprises sur cette obligation.
Malheureusement, nous n'avons pas d'outils à notre disposition pour
quantifier le nombre d'entreprises ne respectant pas cette obligation.
Toutefois, les questions informatiques et libertés sont de mieux en
mieux traitées par les entreprises, et le projet de nouvelle loi tend
à alléger ces formalités préalables.
Après sa promulgation, comment allez vous
pouvoir juger de l'impact de la nouvelle loi ?
La philosophie de cette nouvelle loi est, on l'a vu, d'alléger les
déclarations, mais de renforcer les contrôles a posteriori des traitements
faits par les entreprises. De plus, la commission se verra accorder
des pouvoirs de sanction.
Je m'occupe d'un webzine musical (Reggaefrance.com)
qui commence à bien tourner, nous avons été assigné récemment par
un label à cause d'un message qu'un de nos lecteur à déposé sur le
forum (il contenait un lien émule menant vers un DVD musical en téléchargement).
Le label a exigé que nous lui remettions les coordonnées de l'utilisateur.
Quelles sont mes obligations face au respect de leur identité ? Qui
est habilité à me demander ses infos ? Suis-je obligé de les donner
?
Seules les autorités judiciaires peuvent, selon la procédure pénale,
exiger d'un particulier ou d'une entreprise la communication d'informations
à caractère personnel qu'ils possèdent.
Quel est le temps moyen de validation d'une
déclaration via le site de la CNIL ?
Seules les déclarations simplifiées et les déclarations de sites Web
peuvent pour l'instant être effectuées online. La délivrance du récépissé
est donc quasi immédiate. Pour les déclarations ordinaires, tout dépend
de l'importance du dossier. L'instruction se fait dans le mois suivant
la réception.
Est-il légal en France pour une entreprise,
une fois son personnel prévenu, de stocker tous les e-mails entrants
et sortants, et éventuellement faire des recherches et les faire relire
par une personne ni expéditrice ni destinataire ? Où s'arrête le spam
? Si je trouve un mail sur le net, puis-je l'utiliser pour entrer
en contact avec la personne ?
Le stockage d'e-mails passés à titre personnel ne peut se justifier
que pour des motifs de sécurité. Si un filtre en amont est concevable,
une analyse systématique des mails a posteriori paraît disproportionnée
et contraire à la loi. Bien sûr, seule la prospection directe sera
bientôt soumise au principe de consentement préalable au bénéfice
des personnes physiques. Le régime juridique applicable à la prospection
directe destinée à la personne morale n'est, lui, pas encore clairement
défini.
Comment éviter de recevoir tous les messages
du type pardonnez-moi l'expression "penis enlargement" etc. ?
Vous trouverez des éléments d'information dans le module Halte au
spam sur le site de la CNIL. Toutefois, quelques règles de bon sens
: utiliser des adresses mail poubelles lors d'achats ou pour des newsletters,
masquer son adresse e-mail lorsqu'on la met sur sa page perso, sélectionner
soigneusement les sites auxquels on communique son adresse mail...Pour
les newsgroups et les forums, écrire son adresse mail comme suit :
toto-at-nomdedomaine.fr
Vous parlez d'instruction, je crains de
ne pas avoir tout saisi. S'agit-il d'une formalité pour annoncer à
la CNIL l'existence de notre base de données ou s'agit il de faire
VALIDER la base par la CNIL ? Qu'avons nous le droit de faire et qu'avons
nous interdiction de faire en tant que gestionnaire de site ?
La déclaration auprès de la CNIL doit se faire préalablement à la
collecte de toute donnée nominative, notamment à partir d'un site
Web. La collecte et le traitement de ces données doivent respecter
les grands principes de la loi informatique et liberté (loyauté, proportionnalité,
durée de conservation pertinente, information des personnes, etc.).
Comment peut-on lutter contre les spamers
professionnels (e-mails sexy voire franchement hard et autres viagra)
dont l'adresse de l'expéditeur n'est jamais identifiable ?
Une fois spammé, seuls les logiciels de filtrage sont malheureusement
efficaces. En dernier recours, la seule solution est de fermer votre
boîte mail et d'en ouvrir une nouvelle, en étant cette fois ci plus
vigilant.
Avez-vous une solution pour filtrer le spam
?
Il est très facile de trouver sur Internet les logiciels les plus
performants...
Un parti politique "extrême" ou un groupe
religieux demande un devis à un routeur (professionnel du marketing
direct) pour effectuer une opération d'e-mailing sur un fichier fourni
par ce parti... Le professionnel peut-il opposer - comme en Belgique
- un refus de vente ? (il me semble que ces fichiers ne sont pas soumis
à enregistrement - n'est-ce pas là un risque de "recyclage" des fichiers
illégaux ?)
Le routeur, pour sa sécurité juridique, peut demander copie du récépissé
qu'aura délivré la CNIL concernant ce fichier, afin de s'assurer qu'il
aura été déclaré. Enfin, il peut demander à ses "clients" de lui fournir
les éléments prouvant que les personnes qui vont être contactées ont
bien consenti à recevoir de tels messages.
Je suis le petit-fils du président du Libéria
et... Je rigole, mais les arnaques par mail, c'est aussi un gros problème,
non ?
Tout à fait. Le plus surprenant est quand même que certaines personnes
puissent croire gagner des millions de dollars aussi facilement, n'est-ce
pas ? Les autorités hollandaises ont mené une vaste opération et ont
déjà arrêté certains auteurs de ce type de messages.
Que disent les textes actuels sur la responsabilité
des hébergeurs de sites (comme nous) qui offrenr la possibilité à
leur client de créer et de gérer leur forums. Si une plainte est déposée
par un internaute à propos du contenu d'un des forum, qui est fautif
: le client ou l'hébergeur ? (le client ayant déclaré son forum à
la CNIL).
Cette question n'est pas de la compétence de la CNIL, et nous vous
renvoyons sur le projet de loi relatif à la confiance dans l'économie
numérique, qui modifie le régime de responsabilité des hébergeurs.
Avez-vous une idée du coût que représente
le spam en France (bande passante, temps perdu...) ?
En Europe, on estime le coût du spam à plus de 10 milliards d'euros,
sans compter les désagréments subis par les personnes victimes de
cette pratique !!!
Quelle est l'obligation légale de conservation
des fichiers de log d'un serveur Web, au bout de combien de temps
doit-on les détruire ?
Il n'existe pas, à la différence des FAI, d'obligation légale de conservation
des fichiers log pour les serveurs Web. Pour autant, une durée de
conservation de trois mois à des fins de sécurité paraît proportionnée.
Combien de mails vous recevez chaque jour
sur votre boîte ? (je suis curieux, je sais).
Perso ou professionnels ?
Les deux (perso et pro).
Environ 25. J'ai trois comptes mail : un professionnel, un à
titre de test et d'inscription à des newsletters, commerce électronique...
Et un pour mes amis et la famille.
Utilisez-vous votre messagerie pro pour des
mails perso ?
Bien sûr. Mais de manière raisonnable.
Combien de spams recevez-vous ?
Sur une adresse mail fermée récemment, cela allait jusqu'à 25 spams
par jour.
La définition du spam évolue-t-elle?
Pas vraiment, aussi bien
dans la forme que dans le fond.
Quels sont exactement les moyens technologiques
dont vous disposez à la CNIL pour identifier les spammeurs ?
Nous avons une cellule d'expertise informatique comportant des informaticiens
compétents. En tout état de cause, ce n'est pas notre mission première
d'identifier l'auteur des infractions. C'est le rôle des autorités
judiciaires.
A quoi pensez-vous le matin en relevant votre
boîte mail ?
Ouf, je n'ai toujours pas de spam !
Que deviennent les plaintes de la Cnil?
Concernant les affaires dénoncées à la justice, deux ont été classées
et trois sont en instruction. Pour les réclamations reçues par la
CNIL en général, nous entrons en contact avec les personnes mises
en cause et procédons à l'instruction des dossiers, afin d'obtenir
les réponses que nous communiquerons au plaignant, ou à la justice
le cas échéant.
Discutez-vous régulièrement avec les Cnil
étrangères (international) au sujet du spam pour améliorer la lutte
?
Il y a régulièrement des séances de travail au sein des institutions
européennes sur la question du spam, et en général sur toutes les
questions relatives à la vie privée.
Le peer-to-peer enfreint-il les règles légales
de la Cnil ?
En tant que tel, le P2P n'est pas une problématique de protection
de la vie privée, mais plutôt de la protection des droits d'auteurs.
Toutefois, au regard des législations en préparation concernant la
protection des droits d'auteur, cela pourrait le devenir, dès lors
que les majors pourront effectuer du tracking des internautes via
leur adresse IP.
Les entreprises ont-elles le droit de contrôler
le surf des employés ? Par exemple de voir s'ils vont sur leur messagerie
perso?
L'utilisation d'Internet par un salarié peut donner lieu à un contrôle,
sous réserve d'en informer les salariés au préalable. Cependant, ce
contrôle ne doit pas aboutir à un examen détaillé des sites contrôlés.
Concernant cette problématique délicate, la CNIL a préconisé la création
d'une charte d'utilisation des ressources informatique et d'un poste
de délégué à la protection des données personnelles dans l'entreprise.
Quels sont les pays les efficaces en matière
de lutte anti-spam?
En termes de spammeurs poursuivis et de montants d'amendes, ce sont
paradoxalement les Etats-Unis. Mais c'est chez eux que le phénomène
a plus d'ampleur.
Globalement, à la Cnil, vous êtes plutôt
: 1. Optimistes 2. Inquiets 3. Découragés 4. Autre sentiment (à préciser)?
S'agissant du spam, combatifs et en attente des nouvelles dispositions.
D'une manière générale, optimistes.
Mathias Moulin et Thomas Dautieu : Merci pour vos questions.
A l'année prochaine si le JDN veut toujours de nous ! Bon surf, et
ne communiquez pas vos adresses e-mail à n'importe qui n'importe comment...