JDNet. Depuis quelque temps,
la fréquence des mails à caractère pornographique
s'intensifie dans les boîtes des internautes. Comment les spammers
se procurent-ils ces adresses ?
Etienne Drouard.
La plupart du temps, les adresses sont collectées sur les forum
de discussion ou sur les sites où figurent l'organigramme et les
mails d'une équipe. Pour se les procurer, les spammers utilisent
des moteurs de recherche d'e-mails qui scannent sur les espaces publics
de l'Internet, tout ce qui comporte une arobase et un .com, un .net, ou
un .org. Ensuite, le collecteur applique ou non un filtre pour nettoyer
le fichier afin d'écarter tout ce qui n'est pas une adresse e-mail.
Ce type de pratique n'est pas récente : elle est née dès
1994 aux Etats-Unis. D'ailleurs, beaucoup de ces mails X proviennent des
Etats-Unis. Il n'est pas étonnant, non plus, que ce soient les
sites X qui utilisent cette technique. Mais ils peuvent également
se procurer ces fichiers d'adresses en les achetant ou en les louant.
Ce secteur fait partie des services rentables de l'Internet. Il dispose
de très gros budgets publicitaires et il est difficile pour une
régie publicitaire ou d'un broker de résister longtemps
à l'appât d'un client qui gagne de l'argent.
La collecte sauvage ou le
fait de recevoir des mails non souhaités permettent-ils déjà
de porter plainte ?
Oui, tout à
fait. La collecte déloyale d'information n'est juridiquement pas
autorisée en France. Elle s'effectue en effet à l'insu du
titulaire de l'adresse et les fichiers ne sont pas déclarés
à la CNIL. La collecte déloyale est sanctionnée en
France par l'article 226-18 du code pénal et dans toute l'Union
européenne, depuis la directive 95/46 sur la protection des données.
Celles-ci est d'ailleurs en train d'être transposée en France.
Un projet de loi modifiant la Loi Informatique et Liberté vient
de passer à l'Assemblée Nationale en première lecture.
Mais en raison des échéances électorales, la poursuite
du travail se fera après les élections. Enfin, cette pratique
constitue une troisième infraction : l'envoi d'un mail non sollicité.
En effet, l'envoi fait suite à une collecte au cours de laquelle
les personnes n'ont pas été informées du droit qu'elles
ont à s'opposer à la réception de messages de prospection.
Tout est déloyal et illégal dans ce genre de pratique.
Justement, au niveau de ce
droit d'opposition, n'y a-t-il pas un certain flou aujourd'hui en Europe
?
Aujourd'hui, la
loi sur la protection des personnes en matière de prospection électronique
est en train de se compléter au niveau européen. Le 6 décembre
2001, le Conseil européen a privilégié la règle
du consentement préalable pour l'envoi de mails commerciaux par
SMS et a opté pour un modèle hybride mêlant droit
d'opposition et consentement pour l'envoi d'e-mails commerciaux. Actuellement,
nous en sommes au stade de la position commune qui stipule que, lorsqu'on
collecte directement des données auprès d'une personne et
qu'on souhaite lui envoyer des offres, le collecteur d'information doit
permettre à la personne de s'opposer à recevoir des offres
au moment de la collecte et lors de la réception d'un message.
Cette position commune exige également le consentement de l'internaute
lorsqu'on collecte une donnée pour la transmettre à des
tiers qui feront de la prospection commerciale.
Quelles sont les autorités
auprès desquelles on peut porter plainte ?
Pour connaître
la source du fichier, on peut s'adresser à l'expéditeur
du message. S'il ne répond pas, ou si son adresse ne correspond
à rien, les internautes ont deux possibilités. Ils peuvent
porter plainte auprès de la CNIL. Celle-ci se mettra en contact
avec l'émetteur du fichier pour rédiger un rapport sur la
base duquel, soit elle émet un simple avertissement pour non respect
de la loi, soit elle transmet le dossier au parquet qui décide
s'il poursuit. La seconde possibilité est plus directement judiciaire.
Elle consiste à déposer une plainte pénale et à
se constituer partie civile. Le seul frein à cette procédure
vient du fait que la société qui émet les mails se
situe à l'étranger. Si celle-ci est basée en Europe,
il existe des mécanismes qui permettent de transférer les
affaires d'un pays à l'autre. Si la société émettrice
est située en dehors de l'Union européenne, le juge peut
demander des mesures d'instruction et d'enquête à un homologue
étranger. Mais les chances que l'enquête aboutisse sont assez
faibles et les délais sont très longs.
S'il existe des lois sur
la collecte déloyale, en existe-t-il pour sanctionner le contenu
du mail ?
S'il est à
contenu pornographique, il tombe sous le coup de l'article 227-24 du code
pénal sur la protection des mineurs. Cette infraction est assez
lourdement sanctionnée puisqu'elle est punie par trois ans d'emprisonnement
et par 75 000 euros d'amende.
Au niveau de la loi, existe-t-il
des différences de traitement selon que le contenu est dans le
corps du mail ou qu'il s'agit seulement de liens ?
Un mail qui contient
des liens renvoyant vers un site à caractère pornographique
peut tomber sous le coup des règles sur la publicité. Il
peut y avoir interdiction dans la mesure où l'émetteur a
envoyé un mail à un public dont il ne s'est pas assuré
qu'il était majeur. Ensuite, le contenu du site peut être
considéré, en soi, comme étant à caractère
pornographique et non plus seulement le lien. S'il n'existe pas de mécanisme
de filtrage permettant d'identifier l'âge des visiteurs, on peut
agir pour mise à disposition d'un contenu pornographique à
des personnes mineures. Il est vrai qu'en matière de pornographie,
il existe un réel problème sur le contrôle de l'âge.
Un mineur peut toujours déclarer qu'il a 18 ans. Et le fait de
demander aux internautes, comme aux Etats-Unis, un numéro de carte
bancaire pour s'assurer que le client est mineur n'est pas suffisant,
car des mineurs peuvent avoir de plus en plus tôt une carte bancaire.
Les dispositifs de protection
des mineurs demeurent donc assez limités...
Pas tout à
fait. Aujourd'hui, les les fournisseurs d'accès à Internet
proposent aux parents des logiciels de filtrage. Ces derniers contiennent
une liste des sites à caractère pornographique. Si la réactualisation
régulière de cette liste revient aux FAI, il est de la responsabilité
des parents d'installer ces logiciels sur leur poste informatique. Il
existe donc aujourd'hui des outils technologiques qui ont, dans le porno,
plutôt une bonne efficacité, car les listes sont remises
à jour fréquemment et parce que les sociétés
qui éditent ces logiciels sont de grands éditeurs mondiaux.
Mais, vous n'êtes pas à l'abri du site X qui s'est monté
la veille, c'est vrai.
Et lors de la collecte de
données, n'y a-t-il pas des mesures à prendre pour éviter
que des mineurs soient exposés à des mails X ?
Dans le cas où
le collecteur est directement l'éditeur de contenu, il a obligation
de connaître l'âge des personnes auxquelles il envoie un mail.
Mais cet âge reste purement déclaratif. Aujourd'hui, il n'existe
pas encore de système de signature électronique qui permette
d'attester qu'une personne qui arrive avec une signature est majeure ou
mineure. En plus, cela n'empêchera pas les parents d'autoriser leurs
enfants à utiliser une carte avec une signature électronique.
Dans le cas où le collecteur est une régie publicitaire
ou un site de loterie, soit il écarte toute location de ses fichiers
à des sites X et dans ce cas, il n'a pas à demander l'âge
des internautes, soit il s'autorise à délivrer ses adresses
à un site pornographique, auquel cas, il est impératif qu'il
collecte l'âge des internautes. En cas de non respect de ce principe,
la société qui a loué le fichier peut être
considérée comme complice de l'infraction.
Dans le cas de collecte déloyale,
existe-t-il des recours techniques pour se prémunir des mails X
?
Oui, il en existe.
Les informaticiens ont mis en place un petit programme baptisé
"no robot". Celui-ci est inséré en début
de page dans le code HTML. Lorsqu'un moteur de recherche arrive sur cette
page pour collecter son contenu, il ne peux pas le faire. Cela permet
de protéger du contenu ou des e-mails que vous ne voulez pas voir
utiliser. C'est une règle que les grands moteurs de recherche peuvent
faire respecter parce qu'ils incluent dans leur moteur cette fonction.
Mais ils peuvent aussi ne pas le faire. C'est précisément
le cas des sociétés qui collectent illégalement des
adresses. Si l'outil existe, il n'a de force que face à des sociétés
qui veulent bien respecter l'interdit. Quant au moyen juridique d'agir,
il suffit de constater que la collecte a été déloyale.
Y a-t-il déjà
eu en France des procès concernant des mails X ?
Non. La seule affaire
qui a eu lieu récemment concerne le spamming. Elle a été
rendue le 15 janvier 2002 par le juge Gomez, le Président du tribunal
de grande instance de Paris. Il s'agissait de l'envoi de mails non sollicités
par un abonné de Liberty Surf. Dans ce jugement, le
juge définit le spamming comme l'envoi de messages non sollicités
par les destinataires. C'est un peu court comme définition. Car
le fondement de la décision du juge
repose sur la perturbation grave du fonctionnement du réseau. Le
cadre juridique qui a été utilisé est la loi Godefrain,
c'est-à-dire la perturbation et l'accès frauduleux à
un système d'information. Alors qu'au départ, on parle de
messages non sollicités et protection des données personnelles,
on caractérise finalement le spamming par l'envoi massif et répété
de messages électroniques qui gênent la bande passante et
perturbent le fonctionnement du réseau. De fait, ce cas ne remet
pas précisément en cause le système de collecte des
données.
Et en Europe, y a-t-il déjà
eu des procès concernant le spam X ?
Sur le X, il n'y
a rien en Europe. Sur le spamming de manière générale,
il y a eu une sanction en Espagne. Celle-ci ne s'est d'ailleurs pas seulement
basée sur la gêne occasionnée sur le réseau,
mais également sur la façon dont les données avaient
été collectées, puis utilisées. Elle a donné
lieu à une amende de 30 000 euros. Il y a également
eu une affaire en Autriche, où l'exigence en matière d'e-mailing
est celle du consentement. La condamnation s'est élevée
à 35 063 euros.
Quelle est la situation aux
Etats-Unis, puisque ce pays semble avoir été touché
bien avant l'Europe par le spam et en particulier le spam X ?
Le
cadre le plus pragmatique pour définir le spamming se trouve effectivement
aux Etats-Unis. Ils n'ont pas de loi générale sur la protection
des données, mais ils ont vécu le spamming jusqu'en 1999.
Celui-ci avait pris une telle ampleur, que les internautes s'en sont plaints
et qu'ils ont commencé, avec les grands fournisseurs d'accès,
à légiférer sur le sujet. Les américains définissent
le spamming par le caractère déloyal de l'envoi. C'est-à-dire,
l'utilisation d'un e-mail falsifié, ou l'usurpation de l'identité
du titulaire d'une adresse. L'utilisation d'une fonction qui existe dans
les serveurs de messagerie et qui permet de relayer des messages est également
considérée comme du spamming. La loi américaine peut
aller jusqu'à condamner les détenteurs de serveur de messageries
pour ne pas avoir inhibé cette fonction. Cette législation
n'est pas anodine, puisqu'elle permet, notamment en Californie, de condamner
un spammer à une amende de 1.000 dollars par envoi frauduleux.
C'est assez dissuasif. Aujourd'hui, il existe 28 lois locales sur le spamming
aux Etats-Unis, alors qu'il y a un an et demi, il y en avait 18. Par ailleurs,
il existe plusieurs projets de loi fédérale dont un, qui
a de grandes chances d'aboutir.
Quelles sont les sanctions
qu'encourent en France les spammers X ?
En matière
de collecte déloyale, les spammers
tombent sous le coup de l'article 226-18 du code pénal. A ce titre,
ils encourent 5 ans d'emprisonnement et une amende de 304.898 euros. Cet
article a été appliqué une fois de manière
assez sévère, en 1997, pour une affaire concernant une société
qui avait collecté des adresses dans l'annuaire et notamment, l'adresse
de personnes sur liste orange. Cette entreprise a été condamnée
à 15.244 euros, et son dirigeant à 6.098 euros alors que
l'incrimination pouvait monter à 304.898 euros. Il s'agissait pourtant
d'une infraction qui portait sur un fichier de 20 millions de personnes
utilisé plusieurs fois. C'est dire que, lorsque l'on saisit le
juge, le problème est moins dans la rédaction du texte que
dans la façon dont on l'applique.
Qu'est-ce que vous préférez
dans Internet ?
L'instantané, l'abondance
et la précision de l'information. Ensuite, le fait qu'il n'existe pas
de frontières, que l'innovation y est constante et qu'i n'y ai jamais
de routine : le rêve pour un avocat !
Et ce que vous détestez
le plus ?
Les sites au format
flash, lourds et pompeux, idéal quand on n'a rien à dire. Enfin, lorsqu'on
le régule au "café du commerce" en réduisant l'internaute à une
vache à lait ou à un criminel : dans les deux cas, on oublie l'Etat de
droit.
Quels sont vos sites préférés
?
Maporama.fr,
pour ses services complets de cartes, d'itinéraires et de météorologie.
Hersys.com, un site
de matériel informatique en ligne avec de très bons prix
et où on est livré aussitôt. Enfin, millemercis.fr,
pour la qualité de ses services en matière de relation clients.