Mathias Moulin et Thomas Dautieu (Cnil) : "Le régime de l'opt-in devrait être plus largement applicable"
Par le Journal du Net (Benchmark Group)
URL : http://www.journaldunet.com/chat/retrans/031211cnil.shtml
Lancer l'impression

Jeudi 11 décembre 2003

En savoir plus

Dossier Spam

Le site
Cnil.fr
Un an après un premier chat sur le JDN (Lire la retranscription du chat du 2 décembre 2002), Mathias Moulin et Thomas Dautieu sont à nouveau venus répondre aux questions des lecteurs du JDN et de L'Internaute. Le spam a bien sûr alimenté la discussion, mais les questions sur les libertés individuelles en matière d'usage des nouvelles technologies, notamment au sein des entreprises, ont été nombreuses.

Quels sont vos postes exactement à la Cnil?
Mathias Moulin et Thomas Dautieu : Nous sommes tous deux juristes dans le pôle nouvelles technologies.

La CNIL a-t-elle les moyens technologiques et humains des pouvoirs que la Loi lui confère?
La tâche à accomplir justifierait plus de moyens humains et techniques, mais nous faisons de notre mieux.

Comment expliquez vous le (très) faible nombre de condamnations en France pour faits de spamming (deux, à notre connaissance) ? Comment expliquez-vous le montant ridicule des sanctions, au regard de ce qui est prévu par la loi ? Quelles actions compte prendre l'autorité à l'égard des procureurs et des juges ?
Ce qui explique le peu d'affaires, c'est tout d'abord le faible nombre de plaintes portées à la connaissance des juridictions, qui de plus, il faut bien l'avouer, n'ont peut être pas pleinement conscience de la gêne occasionnée par la réception de spam. C'est pourquoi la commission a entrepris un travail de sensibilisation des autorités judiciaires sur la question. Enfin, chaque internaute victime de spam a la possibilité de se saisir des autorités judiciaires, donc c'est aussi à l'ensemble de la communauté de se mobiliser.

Dans la condamnation récente d'un spammeur français (3.000 euros d'amende), le vrai donneur d'ordre n'a jamais été inquiété (le spammeur était rémunéré sur le trafic généré sur un site Web porno). Que propose l'autorité pour "couper la tête du serpent" ?
En l'espèce, c'était à l'autorité judiciaire de se prononcer et d'identifier les véritables responsables de l'opération de spam. Il n'est jamais évident d'identifier les véritables responsables.

Pourquoi ne pas poursuivre l'opération "boîte à spam" ? C'était bien...
La CNIL n'avait pas les moyens humains et techniques de poursuivre cette opération, qui se voulait dès le début ponctuelle. Néanmoins, la loi prévoit de rétablir un dispositif similaire dès l'adoption du régime d'opt-in.

Rien n'est prévu dans la loi française pour gêner la commercialisation des outils spamware (collecte d'adresses, attaque en DHA...). Mon FAI (français) héberge une telle page. Ne peut-on pas reprendre la proposition australienne d'interdire l'achat et la vente de tels outils ?
C'est en effet une solution possible, puisque l'utilisation de tels outils revient forcément à opérer une collecte déloyale d'information. Pour autant, le code pénal ne prévoit pas l'interdiction de la vente de tels outils.

Un employeur a-t-il le droit de relever la boîte mail professionnel de l'un de ses employés sans l'en avertir ? Et peut-il se servir de ce que contient cette boite mail pour affliger un blâme ou même licencier son employé ?
D'une manière générale, un message électronique est une correspondance privée protégée par la loi. Pour autant, un employeur peut dans certains cas (virus...) ou bien faire un filtre sur les pièces jointes, ou directement prendre connaissance du contenu d'un message. Cependant, une telle action ne pourrait justifier une sanction disciplinaire que si le salarié aura été préalablement averti d'un possible contrôle de ce type.

Une nouvelle loi fédérale américaine vient de légaliser les envois électroniques sans le consentement préalable des internautes (opt-out). Un tel message, légal au sens américain, est illégal au sens européen. Quelles sont les chances réelles d'un internaute français de se faire entendre ?
Contrairement aux Etats-Unis, l'Europe a décidé d'adopter un régime d'opt-in dans le cadre des communications électroniques (mails, SMS). Face au problème toujours plus important du spam, il serait souhaitable que le régime de l'opt-in soit plus largement applicable.

Maintenant que la boite spam@cnil.fr est désactivée, comment se plaindre quand on n'a pas une armée d'avocats ?
Il est toujours possible d'envoyer une copie papier du spam reçu. En attendant la nouvelle boîte à spam.

Finalement, le spam n'est-il pas un marché comparable aux virus : d'un côté des gens qui polluent, de l'autre des gens qui se font de l'argent en proposant des solutions anti-pollution ?
Nous ne pensons pas que le spam soit directement relié à la vente d'outils anti-spam. Il existait avant que l'on développe de telles solutions, et est plutôt inhérent au développement toujours croissant de l'utilisation des messageries et du commerce sur Internet. C'est avant tout le faible coût de ce mode de prospection qui explique l'ampleur du phénomène.

Nous venons d'interviewer un "spammeur du dimanche", installé près de Bordeaux, qui a aspiré les adresses des participants de la dernière Université d'Hourtin. Il nous a confié être en train d'enregistrer ce fichier auprès de la CNIL, pour le "légaliser"! Quels contrôles sont effectués lors de la déclaration de fichiers ?
La déclaration auprès de la CNIL n'est en aucun cas une régularisation d'une opération de collecte déloyale d'e-mails, comme l'opération qui vient d'être décrite. Par ailleurs, le déclarant a obligation d'indiquer l'origine des informations collectées..

Le spam est aujourd'hui présent sur les téléphones portables. Que pouvons nous faire et avez-vous des solutions juridiques et techniques ?
Le même régime juridique s'applique aux téléphones portables qu'aux messageries électroniques. Vous pouvez donc saisir la CNIL ou porter plainte directement auprès des juridictions, et avertir votre opérateur téléphonique. A notre connaissance, il n'existe pas de solution technique, contrairement à l'e-mail. Le phénomène est cependant moindre puisqu'il est plus difficile de se procurer un numéro de téléphone portable qu'une adresse électronique.

Les adresses IP peuvent-elles être considérées comme une information personnelle ?
Tout à fait ! A fortiori avec le passage a l'IPV6, où il n'y aura plus d'adresse dynamique mais que des adresses fixes.

Quelle est réellement l'étendue des spyware inclus dans certains logiciels faussement freeware comme Kazaa?
Tant que ce type de spyware ne procède qu'à l'envoi d'informations anonymes sans les relier à votre identité, il n'y a pas vraiment de risque. L'objectif est souvent d'afficher via popup des publicités ciblées. Toutefois, ces dispositifs sont de plus en plus intrusifs et devraient être soumis au consentement de l'internaute dès lors qu'il utilise des ressources machines de ce dernier. Une formation préalable est en tout état de cause un minimum.

Quelle proportion d'entreprises ne déclarent pas leur bdd à la CNIL?
C'est une obligation légale dont le non respect est sanctionné pénalement. Nous essayons d'attirer l'attention des entreprises sur cette obligation. Malheureusement, nous n'avons pas d'outils à notre disposition pour quantifier le nombre d'entreprises ne respectant pas cette obligation. Toutefois, les questions informatiques et libertés sont de mieux en mieux traitées par les entreprises, et le projet de nouvelle loi tend à alléger ces formalités préalables.

Après sa promulgation, comment allez vous pouvoir juger de l'impact de la nouvelle loi ?
La philosophie de cette nouvelle loi est, on l'a vu, d'alléger les déclarations, mais de renforcer les contrôles a posteriori des traitements faits par les entreprises. De plus, la commission se verra accorder des pouvoirs de sanction.

Je m'occupe d'un webzine musical (Reggaefrance.com) qui commence à bien tourner, nous avons été assigné récemment par un label à cause d'un message qu'un de nos lecteur à déposé sur le forum (il contenait un lien émule menant vers un DVD musical en téléchargement). Le label a exigé que nous lui remettions les coordonnées de l'utilisateur. Quelles sont mes obligations face au respect de leur identité ? Qui est habilité à me demander ses infos ? Suis-je obligé de les donner ?
Seules les autorités judiciaires peuvent, selon la procédure pénale, exiger d'un particulier ou d'une entreprise la communication d'informations à caractère personnel qu'ils possèdent.

Quel est le temps moyen de validation d'une déclaration via le site de la CNIL ?
Seules les déclarations simplifiées et les déclarations de sites Web peuvent pour l'instant être effectuées online. La délivrance du récépissé est donc quasi immédiate. Pour les déclarations ordinaires, tout dépend de l'importance du dossier. L'instruction se fait dans le mois suivant la réception.

Est-il légal en France pour une entreprise, une fois son personnel prévenu, de stocker tous les e-mails entrants et sortants, et éventuellement faire des recherches et les faire relire par une personne ni expéditrice ni destinataire ? Où s'arrête le spam ? Si je trouve un mail sur le net, puis-je l'utiliser pour entrer en contact avec la personne ?
Le stockage d'e-mails passés à titre personnel ne peut se justifier que pour des motifs de sécurité. Si un filtre en amont est concevable, une analyse systématique des mails a posteriori paraît disproportionnée et contraire à la loi. Bien sûr, seule la prospection directe sera bientôt soumise au principe de consentement préalable au bénéfice des personnes physiques. Le régime juridique applicable à la prospection directe destinée à la personne morale n'est, lui, pas encore clairement défini.

Comment éviter de recevoir tous les messages du type pardonnez-moi l'expression "penis enlargement" etc. ?
Vous trouverez des éléments d'information dans le module Halte au spam sur le site de la CNIL. Toutefois, quelques règles de bon sens : utiliser des adresses mail poubelles lors d'achats ou pour des newsletters, masquer son adresse e-mail lorsqu'on la met sur sa page perso, sélectionner soigneusement les sites auxquels on communique son adresse mail...Pour les newsgroups et les forums, écrire son adresse mail comme suit : toto-at-nomdedomaine.fr

Vous parlez d'instruction, je crains de ne pas avoir tout saisi. S'agit-il d'une formalité pour annoncer à la CNIL l'existence de notre base de données ou s'agit il de faire VALIDER la base par la CNIL ? Qu'avons nous le droit de faire et qu'avons nous interdiction de faire en tant que gestionnaire de site ?
La déclaration auprès de la CNIL doit se faire préalablement à la collecte de toute donnée nominative, notamment à partir d'un site Web. La collecte et le traitement de ces données doivent respecter les grands principes de la loi informatique et liberté (loyauté, proportionnalité, durée de conservation pertinente, information des personnes, etc.).

Comment peut-on lutter contre les spamers professionnels (e-mails sexy voire franchement hard et autres viagra) dont l'adresse de l'expéditeur n'est jamais identifiable ?
Une fois spammé, seuls les logiciels de filtrage sont malheureusement efficaces. En dernier recours, la seule solution est de fermer votre boîte mail et d'en ouvrir une nouvelle, en étant cette fois ci plus vigilant.

Avez-vous une solution pour filtrer le spam ?
Il est très facile de trouver sur Internet les logiciels les plus performants...

Un parti politique "extrême" ou un groupe religieux demande un devis à un routeur (professionnel du marketing direct) pour effectuer une opération d'e-mailing sur un fichier fourni par ce parti... Le professionnel peut-il opposer - comme en Belgique - un refus de vente ? (il me semble que ces fichiers ne sont pas soumis à enregistrement - n'est-ce pas là un risque de "recyclage" des fichiers illégaux ?)
Le routeur, pour sa sécurité juridique, peut demander copie du récépissé qu'aura délivré la CNIL concernant ce fichier, afin de s'assurer qu'il aura été déclaré. Enfin, il peut demander à ses "clients" de lui fournir les éléments prouvant que les personnes qui vont être contactées ont bien consenti à recevoir de tels messages.

Je suis le petit-fils du président du Libéria et... Je rigole, mais les arnaques par mail, c'est aussi un gros problème, non ?
Tout à fait. Le plus surprenant est quand même que certaines personnes puissent croire gagner des millions de dollars aussi facilement, n'est-ce pas ? Les autorités hollandaises ont mené une vaste opération et ont déjà arrêté certains auteurs de ce type de messages.

Que disent les textes actuels sur la responsabilité des hébergeurs de sites (comme nous) qui offrenr la possibilité à leur client de créer et de gérer leur forums. Si une plainte est déposée par un internaute à propos du contenu d'un des forum, qui est fautif : le client ou l'hébergeur ? (le client ayant déclaré son forum à la CNIL).
Cette question n'est pas de la compétence de la CNIL, et nous vous renvoyons sur le projet de loi relatif à la confiance dans l'économie numérique, qui modifie le régime de responsabilité des hébergeurs.

Avez-vous une idée du coût que représente le spam en France (bande passante, temps perdu...) ?
En Europe, on estime le coût du spam à plus de 10 milliards d'euros, sans compter les désagréments subis par les personnes victimes de cette pratique !!!

Quelle est l'obligation légale de conservation des fichiers de log d'un serveur Web, au bout de combien de temps doit-on les détruire ?
Il n'existe pas, à la différence des FAI, d'obligation légale de conservation des fichiers log pour les serveurs Web. Pour autant, une durée de conservation de trois mois à des fins de sécurité paraît proportionnée.

Combien de mails vous recevez chaque jour sur votre boîte ? (je suis curieux, je sais).
Perso ou professionnels ?

Les deux (perso et pro).
Environ 25. J'ai trois comptes mail : un professionnel, un à titre de test et d'inscription à des newsletters, commerce électronique... Et un pour mes amis et la famille.

Utilisez-vous votre messagerie pro pour des mails perso ?
Bien sûr. Mais de manière raisonnable.

Combien de spams recevez-vous ?
Sur une adresse mail fermée récemment, cela allait jusqu'à 25 spams par jour.

La définition du spam évolue-t-elle?
Pas vraiment, aussi bien dans la forme que dans le fond.

Quels sont exactement les moyens technologiques dont vous disposez à la CNIL pour identifier les spammeurs ?
Nous avons une cellule d'expertise informatique comportant des informaticiens compétents. En tout état de cause, ce n'est pas notre mission première d'identifier l'auteur des infractions. C'est le rôle des autorités judiciaires.

A quoi pensez-vous le matin en relevant votre boîte mail ?
Ouf, je n'ai toujours pas de spam !

Que deviennent les plaintes de la Cnil?
Concernant les affaires dénoncées à la justice, deux ont été classées et trois sont en instruction. Pour les réclamations reçues par la CNIL en général, nous entrons en contact avec les personnes mises en cause et procédons à l'instruction des dossiers, afin d'obtenir les réponses que nous communiquerons au plaignant, ou à la justice le cas échéant.

Discutez-vous régulièrement avec les Cnil étrangères (international) au sujet du spam pour améliorer la lutte ?
Il y a régulièrement des séances de travail au sein des institutions européennes sur la question du spam, et en général sur toutes les questions relatives à la vie privée.

Le peer-to-peer enfreint-il les règles légales de la Cnil ?
En tant que tel, le P2P n'est pas une problématique de protection de la vie privée, mais plutôt de la protection des droits d'auteurs. Toutefois, au regard des législations en préparation concernant la protection des droits d'auteur, cela pourrait le devenir, dès lors que les majors pourront effectuer du tracking des internautes via leur adresse IP.

Les entreprises ont-elles le droit de contrôler le surf des employés ? Par exemple de voir s'ils vont sur leur messagerie perso?
L'utilisation d'Internet par un salarié peut donner lieu à un contrôle, sous réserve d'en informer les salariés au préalable. Cependant, ce contrôle ne doit pas aboutir à un examen détaillé des sites contrôlés. Concernant cette problématique délicate, la CNIL a préconisé la création d'une charte d'utilisation des ressources informatique et d'un poste de délégué à la protection des données personnelles dans l'entreprise.

Quels sont les pays les efficaces en matière de lutte anti-spam?
En termes de spammeurs poursuivis et de montants d'amendes, ce sont paradoxalement les Etats-Unis. Mais c'est chez eux que le phénomène a plus d'ampleur.

Globalement, à la Cnil, vous êtes plutôt : 1. Optimistes 2. Inquiets 3. Découragés 4. Autre sentiment (à préciser)?
S'agissant du spam, combatifs et en attente des nouvelles dispositions. D'une manière générale, optimistes.

Mathias Moulin et Thomas Dautieu : Merci pour vos questions. A l'année prochaine si le JDN veut toujours de nous ! Bon surf, et ne communiquez pas vos adresses e-mail à n'importe qui n'importe comment...

[Rédaction, JDNet]