docLibrary of Parliament - Bibliothèque du Parlement
download 
Plainte Transcription
Library of Parliament - Bibliothèque du Parlement
PRB 03-37F LE FLÉAU DU POURRIEL Lalita Acharya Division des sciences et de la technologie Le 10 février 2004 PARLIAMENTARY RESEARCH BRANCH DIRECTION DE LA RECHERCHE PARLEMENTAIRE La Direction de la recherche parlementaire de la Bibliothèque du Parlement travaille exclusivement pour le Parlement, effectuant des recherches et fournissant des informations aux parlementaires et aux comités du Sénat et de la Chambre des communes. Entre autres services non partisans, elle assure la rédaction de rapports, de documents de travail et de bulletins d’actualité. Les analystes peuvent en outre donner des consultations dans leurs domaines de compétence. THIS DOCUMENT IS ALSO PUBLISHED IN ENGLISH LIBRARY OF PARLIAMENT BIBLIOTHÈQUE DU PARLEMENT TABLE DES MATIÈRES Page INTRODUCTION ................................................................................................................. 1 QU’EST-CE QUE LE POURRIEL ET QUEL EST SON VOLUME ANNUEL? .............................................................................. 1 EN QUOI LE POURRIEL EST-IL UN PROBLÈME?......................................................... 2 A. Contenu des messages et considérations d’ordre éthique ou criminel.......................... 2 B. Coût financier................................................................................................................ 3 C. Déplacement des autres courriels et « menaces combinées » ....................................... 4 COMMENT LES POLLUPOSTEURS PROCÈDENT-ILS? ............................................... 4 LA LUTTE AU POURRIEL ................................................................................................. 5 A. Options technologiques................................................................................................. 5 B. Autoréglementation de l’industrie................................................................................. 7 C. Approches juridiques..................................................................................................... 1. Mesures législatives contre le pourriel ....................................................................... a. États-Unis................................................................................................................. b. Union européenne .................................................................................................... c. Canada...................................................................................................................... d. Législation et coopération internationale................................................................. 2. Litiges ......................................................................................................................... 9 9 10 11 12 13 14 LA POSITION DU GOUVERNEMENT FÉDÉRAL CANADIEN SUR LE POURRIEL ..... 15 CONCLUSION ............................................................................................................................. 16 LE FLÉAU DU POURRIEL INTRODUCTION L’Internet et le courrier électronique (ou « courriel ») ont révolutionné la façon de vivre et de faire des affaires de nombreuses personnes dans le monde. Depuis quelques années, par contre, un volume croissant de courriels non sollicités et non désirés, communément appelés « pourriels », a compromis les avantages du courriel et miné la confiance des consommateurs à l’égard des communications électroniques. Le présent document examine les raisons pour lesquelles le pourriel constitue un problème, ainsi que les approches technologiques, juridiques et autres employées afin de résoudre ce problème partout dans le monde. Il aborde la situation au Canada, ainsi que le débat sur la nécessité de mesures législatives canadiennes pour lutter contre la diffusion du pourriel. QU’EST-CE QUE LE POURRIEL ET QUEL EST SON VOLUME ANNUEL? Aucune définition du pourriel ne fait l’unanimité. Certains limitent le terme au courriel en masse non sollicité(1) ou au courriel non sollicité à caractère commercial, tandis que d’autres englobent tout le courriel non sollicité. Une définition plus large comprend tous les messages électroniques non sollicités, indépendamment de leur contenu, de la taille de l’envoi ou de la nature du moyen de communication(2). Le pourcentage de courriel considéré comme du pourriel(3) a connu une véritable explosion ces dernières années, passant de 7 p. 100 en avril 2001 (1) Voir, par exemple, The Spamhaus Project (http://www.spamhaus.org/definition.html). (2) Voir, par exemple, Government of Australia, National Office for the Information Economy, SPAM: Final Report of the NOIE, Review of the Spam Problem and How It Can Be Countered, avril 2003, p. 7 (http://www.noie.gov.au/publications/NOIE/spam/final_report/SPAMreport.pdf). (3) Sauf indication contraire, le mot « pourriel » dans le présent document fait allusion au courriel non sollicité. LIBRARY OF PARLIAMENT BIBLIOTHÈQUE DU PARLEMENT 2 à 60 p. 100 en janvier 2004(4). Une entreprise de logiciels anti-pourriel a prédit que la proportion de courriels considérés comme des pourriels dépassera 75 p. 100 en 2004(5). Le pourriel peut contenir de l’information sur des produits et services légitimes ou illégitimes, y compris des publicités pour de la marchandise générale, des services financiers, des produits et services de santé, de la pornographie, des logiciels et des services éducatifs. Le pourriel sert également à transmettre des messages politiques et religieux. EN QUOI LE POURRIEL EST-IL UN PROBLÈME? A. Contenu des messages et considérations d’ordre éthique ou criminel De façon très générale, de nombreux destinataires de courriels ne veulent pas recevoir de courriels non sollicités, parce que, peu importe leur contenu ou leur but, il est ennuyeux de devoir s’en débarrasser et il faut y mettre le temps. D’autres personnes protestent, parce que le contenu de ces courriels est souvent trompeur, frauduleux ou, de l’avis du destinataire, offensant. Selon certaines estimations, environ 18 p. 100 des pourriels sont des publicités pour des produits ou des services de divertissement pour adultes(6). Comme les polluposteurs ne ciblent généralement pas leur public, il arrive souvent que les destinataires soient des enfants. Les exemples de pourriels trompeurs dans lesquels on propose des stratagèmes malhonnêtes pour s’enrichir rapidement et des prix fictifs sont nombreux(7). Un problème de pollupostage relativement nouveau – le « phishing » (jeu de mot sur l’anglais « fishing », « aller à la pêche ») – comporte le vol de renseignements personnels de nature confidentielle. Les adeptes de cette méthode envoient des courriels qui semblent provenir d’entreprises légitimes. Les courriels dirigent les destinataires vers un site Web (en cliquant sur un URL intégré) où on leur demande de mettre à jour des renseignements personnels (p. ex. des mots de (4) Brightmail, Spam Statistics (http://www.brightmail.com/spamstats.html). (5) Postini, Inc., « Incidence of spam, viruses, and fraudulent email attacks to increase dramatically in 2004 », décembre 2003 (http://www.postini.com/press/pr/pr121703.html). (6) Brightmail, op. cit. (7) Pour voir des exemples de pourriels contenant des manigances trompeuses, voir le tableau de cas à la page consacrée aux pourriels du site Web de la Federal Trade Commission des États-Unis (http://www.ftc.gov/os/2003/05/swnetforcepresschart.pdf). LIBRARY OF PARLIAMENT BIBLIOTHÈQUE DU PARLEMENT 3 passe et des numéros de cartes de crédit) que l’organisme légitime possède déjà. Ce site Web fictif ne sert toutefois qu’à dérober les renseignements personnels des destinataires(8). B. Coût financier Comme la plupart des formes de communication (p. ex. l’envoi de circulaires par la poste) occasionnent des coûts importants à l’expéditeur, celui-ci doit considérer les avantages escomptés à la lumière des frais afférents, c’est-à-dire déterminer la portée de la campagne d’information ou de publicité qui lui permet de dépenser ses ressources de façon efficace. Avec le pourriel, par contre, il ne coûte presque rien à l’expéditeur pour faire parvenir ses messages, et la taille des envois peut être beaucoup plus importante que s’ils étaient acheminés par des modes de communication plus traditionnels. Les frais associés au traitement du pourriel sont plutôt assumés par le fournisseur de services Internet (FSI) et par le destinataire du pourriel. Même si l’information contenue dans une partie des pourriels peut se révéler utile pour un certain nombre de destinataires, ces envois sont le plus souvent indésirables et, par conséquent, filtrés ou supprimés par les destinataires ou par le FSI. L’accroissement du volume des pourriels au cours des dernières années a entraîné une hausse des coûts financiers liés à leur traitement. Une étude européenne réalisée en 2001 estimait que les coûts de connexion des internautes associés uniquement au téléchargement de pourriels par le truchement de la technologie la plus répandue se chiffraient dans le monde à environ 10 milliards d’euros (environ 16,8 milliards de dollars canadiens) par an(9). Les pourriels peuvent également faire augmenter les tarifs d’accès des clients à l’Internet. Les FSI paient une largeur de bande en fonction de son utilisation prévue par la clientèle. Lorsqu’un polluposteur se met à utiliser la largeur de bande d’un FSI, l’accès Internet des clients s’en trouve ralenti. Pour augmenter la vitesse d’accès, le FSI doit, soit acquérir une largeur de bande supérieure, soit investir dans des systèmes visant à bloquer ou à filtrer les pourriels. Dans les deux cas, les coûts liés au traitement des pourriels sont généralement refilés aux clients du FSI. Le traitement des pourriels est également onéreux pour les entreprises. Si l’entreprise ne bénéficie pas d’un service pour filtrer ou bloquer les pourriels (un service qui (8) Consulter le site Web du Anti-Phishing Working Group pour de plus amples renseignements (http://www.antiphishing.org). (9) Serge Gauthronet et Étienne Drouard, Communications commerciales non sollicitées et protection des données, Commission des Communautés européennes, janvier 2001 (http://europa.eu.int/comm/internal_market/privacy/docs/studies/spamstudy_fr.pdf). LIBRARY OF PARLIAMENT BIBLIOTHÈQUE DU PARLEMENT 4 n’est de toute façon pas totalement efficace), les employés peuvent passer un temps considérable à effacer les pourriels de leurs comptes. Même si le temps consacré au traitement des pourriels ne se limite qu’à quelques secondes par message, les pertes de productivité de l’entreprise s’accumulent au fil du temps. Un rapport estimait récemment que les pourriels coûtent aux sociétés environ 20 milliards de dollars américains (ou 27 milliards de dollars canadiens) mondialement chaque année en frais liés à la technologie de l’information (p. ex. une largeur de bande supérieure, des coûts de stockage plus élevés, l’achat de logiciels anti-pourriel et le soutien offert aux utilisateurs de ces logiciels) et en perte de productivité, et que ce coût augmente de près de 100 p. 100 par an(10). C. Déplacement des autres courriels et « menaces combinées » Outre le coût financier associé à leur traitement, les pourriels constituent une menace pour la fiabilité et la sécurité des communications par Internet. Les pourriels peuvent inonder les serveurs de courriel et ainsi réduire ou empêcher la circulation de courriels légitimes. Les « menaces combinées » – le regroupement de virus, de vers ou de chevaux de Troie avec des pourriels – constituent un problème de pollupostage plus récent. En 2003, par exemple, un ver de diffusion massive connu sous le nom de Sobig.C se propageait par l’entremise de courriels dotés de pièces jointes qui contenaient le code du virus. La reproduction de Sobig.C a vraisemblablement été favorisée par la technologie du pollupostage, qui a permis une propagation plus rapide et une distribution à l’échelle planétaire(11). COMMENT LES POLLUPOSTEURS PROCÈDENT-ILS? L’envoi de pourriels coûte trois fois rien et constitue une méthode rapide pour les entreprises et les particuliers d’acheminer des publicités pour des produits et services, ainsi que d’autres genres d’information, à des destinataires dont le nombre varie de quelques-uns à plusieurs millions. Les polluposteurs n’ont qu’à avoir accès aux logiciels appropriés pour se mettre à envoyer des messages non sollicités, soit directement, au moyen de leurs comptes (10) L’auteur de l’étude ne donne aucune information à propos du processus d’estimation de ce chiffre. Voir Jonathan B. Spira, Spam E-Mail and Its Impact on IT Spending and Productivity, Basex, décembre 2003 (http://www.basex.com/poty2003.nsf/e67dc0f5617d6e9c85256a99005ea0e7/f8761f74ba37069385256e0 40019f314/$FILE/BasexReport.Spam.pdf). (11) Paul Roberts, « Sobig: Spam, Virus, or Both? Virus writer likely used spamming techniques to spread the worm quickly », PCWorld, juin 2003 (http://www.pcworld.com/news/article/0,aid,111028,00.asp). LIBRARY OF PARLIAMENT BIBLIOTHÈQUE DU PARLEMENT 5 personnels auprès de leur FSI, ou anonymement, par l’entremise de « serveurs relais ouverts » de tiers(12) ou de « serveurs mandataires ouverts »(13) (où le polluposteur et les destinataires ne sont pas des utilisateurs locaux). Dans le cas de la première méthode, les FSI seront portés à fermer les comptes, s’ils s’aperçoivent qu’ils sont utilisés pour des activités de pollupostage, mais cela ne se produit généralement pas avant que des centaines de milliers, voire des millions, de messages aient été envoyés par le polluposteur. En utilisant des serveurs mandataires ouverts ou des serveurs relais ouverts et d’une adresse électronique fictive dans l’en-tête du messageréponse afin d’envoyer des courriels de façon anonyme, les polluposteurs peuvent dissimuler la véritable origine des messages. Dans les régions du monde où la messagerie texte par téléphone mobile (services de messages courts – SMS) est populaire, notamment en Europe et en Asie, les polluposteurs peuvent également envoyer des pourriels de type SMS à des téléphones mobiles. Les polluposteurs obtiennent les adresses électroniques de trois façons : a) en « furetant », une pratique qui consiste à recueillir (à l’aide de programmes automatiques appelés « robots ») les adresses électroniques affichées sur les pages Web et sur les babillards électroniques; 2) en « devinant », une pratique selon laquelle le polluposteur emploie des termes ou des chaînes produites au hasard afin de concevoir des adresses de courriel; et 3) en se procurant des adresses électroniques auprès de courtiers. LA LUTTE AU POURRIEL A. Options technologiques Diverses approches technologiques peuvent diminuer, sans toutefois éliminer, la livraison de pourriels à un FSI, à un réseau d’entreprise ou à un ordinateur personnel à la maison. Au niveau le plus fondamental, les particuliers et les entreprises peuvent rédiger leurs propres programmes ou règles afin de détecter et d’éliminer le pourriel. Bon nombre d’entreprises et de FSI investissent dans des logiciels pourvus de filtres anti-pourriel plus avancés (qui peuvent fonctionner à partir de l’Internet ou d’un serveur ou être installés sur un appareil) vendus par l’un (12) Les serveurs relais ouverts (également appelés relais non protégés ou relais de tiers) sont configurés de façon à accepter et à livrer du courriel de la part de n’importe quel utilisateur de n’importe quel endroit, y compris des tiers qui n’ont aucun lien avec l’organisation qui héberge le serveur. (13) Les serveurs mandataires ouverts sont des ordinateurs mal configurés qui permettent la canalisation de la circulation de pratiquement n’importe quel service de réseau par l’entremise d’un ordinateur hôte. Les polluposteurs ciblent et piratent souvent ces serveurs mandataires non protégés et se servent des ordinateurs pour expédier des quantités énormes de messages de façon anonyme. LIBRARY OF PARLIAMENT BIBLIOTHÈQUE DU PARLEMENT 6 des nombreux fournisseurs de logiciels anti-pourriel, qui continuent de se multiplier depuis quelques années. Il existe différentes sortes de filtres anti-pourriel, y compris des logiciels d’analyse du contenu, qui cherchent des mots clés, et des outils d’analyse de comportements, qui sont à l’affût de constantes telles qu’un nombre important de destinataires ou de copies muettes. Les filtres anti-pourriel les plus nouveaux sont des programmes perfectionnés qui vérifient les messages selon des critères déterminés d’avance dans une base de règles ou des algorithmes statistiques qui « apprennent » les caractéristiques qui différencient les courriels légitimes des pourriels. À un autre niveau, les FSI peuvent adhérer à des listes de « trous noirs » gérées par plusieurs entreprises(14). Ces listes contiennent les adresses IP (Internet Protocol) des réseaux qui expédient ou qui relaient le pourriel. On ajoute les polluposteurs à ces listes, à la suite de plaintes et d’une enquête, puis les FSI peuvent régler leurs serveurs de courrier de façon à ce qu’ils rejettent les messages qui proviennent de ces adresses IP. Le désavantage de ces listes est qu’elles ne sont pas sélectives et que tout le courrier des réseaux qui laissent passer les pourriels est rejeté. Par conséquent, des messages légitimes sont perdus. La réduction du nombre de serveurs relais ouverts et de serveurs mandatés ouverts à l’échelle internationale pourrait également contribuer à ralentir le flux de pourriels. La Federal Trade Commission des États-Unis et des organismes de 26 pays ont annoncé récemment l’offensive « Operation Secure Your Server » (opération Sécurisez votre serveur). Dans le cadre de cette initiative internationale, les organismes participants ont ciblé des dizaines de milliers de propriétaires ou d’exploitants de serveurs relais ou de serveurs mandataires potentiellement ouverts dans le monde entier, et ils envoient des lettres pour les inciter à fermer ces serveurs et à éviter ainsi de devenir des sources de pourriel à leur insu(15). Le président de Microsoft Corp. a laissé entendre récemment qu’il serait possible d’éradiquer le pourriel d’ici deux ans à l’aide d’une correction technologique. Il a annoncé que son entreprise est à examiner des moyens d’éliminer le pourriel en obligeant, par exemple, les expéditeurs de courriels à payer des frais, à moins que le destinataire y renonce(16). De nombreux (14) Voir, par exemple, The Spamhaus Block List (http://www.spamhaus.org/sbl/index.lasso). (15) U.S. Federal Trade Commission, « FTC and International Agencies Announce ‘Operation Secure Your Server’ », 29 janvier 2004 (http://www.ftc.gov/opa/2004/01/opsecure.htm). (16) CBSNEWS.com, « Gates: Spam To Be Canned By 2006 », 24 janvier 2004 (http://www.cbsnews.com/stories/2004/01/24/tech/main595595.shtml). LIBRARY OF PARLIAMENT BIBLIOTHÈQUE DU PARLEMENT 7 analystes accueillent ces affirmations avec scepticisme, en soutenant qu’aucune technologie antipourriel n’est parfaitement efficace et en soulignant que les polluposteurs créent constamment de nouvelles applications logicielles pour contrer les systèmes anti-pourriel. Par exemple, l’une des toutes dernières méthodes de pollupostage consiste à inclure au hasard du texte rédigé en blanc sur un fond blanc. Invisible pour la majorité des destinataires, ce texte brouille les filtres qui sont à la recherche d’un texte de pourriel typique. B. Autoréglementation de l’industrie La plupart des associations de marketing sur Internet et de marketing direct ont, jusqu’à tout récemment, soutenu que l’autoréglementation de l’industrie devrait suffire pour lutter contre le pourriel. Au pays, l’Association canadienne des fournisseurs Internet (ACFI) est favorable aux « initiatives d’autoréglementation » de ce genre. L’Association laisse entendre que les règlements ou les mesures législatives du gouvernement ne seront jamais assez souples pour suivre le rythme effréné des changements technologiques qui se produisent sur Internet et qu’ils ne pourront jamais s’appliquer d’une administration ou d’un pays à l’autre pour s’attaquer à l’absence de frontières qui caractérise l’Internet. L’Association a produit un document qui expose une série de pratiques équitables à l’intention de ses membres. L’une de ces politiques contient la déclaration suivante : « Aucun fournisseur membre de l’ACFI ne permet sciemment que ses services servent à la transmission massive de courriel-rebut, en particulier de pourriel ou courriel-rebut de nature commerciale, entre des parties qui jusque-là n’avaient aucune relation commerciale. »(17) La plupart des FSI ont effectivement des politiques anti-pourriel et peuvent fermer le compte de tout abonné qu’ils surprennent à exercer de telles activités. Le Code de déontologie et Normes de pratique de l’Association canadienne du marketing (ACM) interdit à ses 800 membres de transmettre des courriels publicitaires sans le consentement du destinataire, à moins que le commerçant ait déjà une relation avec le destinataire (une approche dite « d’inclusion » du marketing). Les membres peuvent envoyer leurs courriels publicitaires à des clients existants, mais ces courriels doivent identifier clairement le commerçant et offrir au destinataire un moyen simple de lui répondre par courriel. (17) Association canadienne des fournisseurs Internet, « Autoréglementation », Les enjeux Internet – Sommaire (http://www.caip.ca/issueset-fr.htm). LIBRARY OF PARLIAMENT BIBLIOTHÈQUE DU PARLEMENT 8 De plus, on interdit aux membres d’envoyer du courriel aux destinataires qui ont indiqué qu’ils ne veulent pas recevoir d’autres communications(18). En janvier 2004, les ministres fédéraux, provinciaux et territoriaux responsables des questions de consommation ont entériné le Code canadien de pratiques pour la protection des consommateurs dans le commerce électronique(19). Ce code volontaire a été élaboré par un groupe de travail formé de représentants d’entreprises canadiennes, du gouvernement et d’organismes de défense des consommateurs. Le Code comprend les « principes » suivants sur l’envoi non sollicité de courriels à caractère commercial : 1) « Le commerçant ne doit pas transmettre de courriel publicitaire au consommateur sans son consentement, sauf si une relation a déjà été établie avec ce dernier. Le seul fait de consulter ou de parcourir le site Web d’un commerçant ne constitue pas l’établissement d’une telle relation. » et 2) « Tout courriel publicitaire provenant du commerçant doit indiquer clairement une adresse électronique de retour et proposer clairement une formalité facile à remplir, qui permet au consommateur d’aviser le commerçant qu’il ne désire pas recevoir de tels messages. » Aux États-Unis, il n’est pas interdit aux membres de la Direct Marketing Association (DMA) d’envoyer des courriels non sollicités, à condition d’avoir purgé au préalable leurs listes des adresses électroniques des personnes qui se sont inscrites à la base de données « e-mail Preference Service » de l’Association. Les commerçants qui ne sont pas membres de la DMA peuvent, eux aussi, avoir accès à la base de données. Les Canadiens qui désirent que leur adresse électronique soit retirée des listes d’envoi peuvent s’inscrire à ce service(20). Les commerçants affiliés à la DMA doivent également inclure, dans chaque courriel, un lien ou un avis permettant aux destinataires d’exiger qu’on ne leur envoie plus de courriel. Dans ce système « d’exclusion », il incombe aux destinataires du pourriel de demander que leur adresse soit retirée des listes des commerçants. Le message doit également révéler l’identité du (18) Association canadienne du marketing, Code de déontologie et Normes de pratique (http://www.the-cma.org/french/ethics.cfm). (19) Groupe de travail sur la consommation et le commerce électronique, Code canadien de pratiques pour la protection des consommateurs dans le commerce électronique, janvier 2004 (http://cmcweb.ca/epic/internet/incmccmc.nsf/vwapj/EcommPrinciples2003_f.pdf/$FILE/EcommPrinciples2003_f.pdf). (20) Voir Direct Marketing Association, Consumer Assistance, « Getting off commercial e-mail lists » L’inscription au service est (http://www.dmaconsumers.org/consumers/optoutform_emps.shtml). gratuite pour les particuliers. Les commerçants sont tenus de verser des droits à la DMA pour avoir accès à la base de données. LIBRARY OF PARLIAMENT BIBLIOTHÈQUE DU PARLEMENT 9 commerçant et la ligne objet doit être « claire, honnête et ne pas induire en erreur »(21). En vertu des mesures législatives fédérales qui ont pris effet aux États-Unis en janvier 2004 (voir la section consacrée aux États-Unis ci-dessous), tous les pourriels de nature commerciale doivent maintenant comporter des consignes d’exclusion et des lignes objet honnêtes. Les plans d’autoréglementation n’ont pas réussi à ralentir le flux des pourriels sur Internet. Les polluposteurs établis à l’étranger qui n’appartiennent pas à des organismes nationaux de marketing ou qui envoient des messages trompeurs ou frauduleux n’ont généralement aucun motif de respecter les lignes directrices des codes de conduite. Pour cette raison, de nombreux territoires se sont tournés vers les mesures législatives en guise d’arme antipourriel supplémentaire. C. Approches juridiques 1. Mesures législatives contre le pourriel Différents pays ont fait appel à au moins une des approches législatives générales suivantes afin de lutter contre le pourriel : 1) interdire le courriel qui comporte une ligne objet ou un en-tête frauduleux ou trompeur; 2) exiger des polluposteurs qu’ils incluent des consignes d’exclusion dans les courriels commerciaux non sollicités pour que les destinataires puissent leur demander de ne pas leur envoyer d’autres messages; 3) exiger que la ligne objet du courriel porte une étiquette, si le message est une publicité non sollicitée; 4) interdire l’envoi de courriels commerciaux non sollicités, à moins que l’expéditeur ait obtenu le consentement du destinataire au préalable (approche « d’inclusion »). On a présenté des mesures législatives anti-pourriel dans plusieurs pays, notamment aux États-Unis, en Australie et dans les États membres de l’Union européenne. Les approches législatives privilégiées par les États-Unis et l’Europe, de même que la situation au Canada, sont abordées ci-après. (21) Direct Marketing Association, DMA Guidelines for Ethical Business Practice, avril 2002 [traduction] (http://www.the-dma.org/library/guidelines/ethicalguidelines#6a). LIBRARY OF PARLIAMENT BIBLIOTHÈQUE DU PARLEMENT 10 a. États-Unis Avant 2003, il n’existait aucune loi fédérale sur le pourriel aux États-Unis, même si on avait déposé plusieurs projets de loi anti-pourriel au Congrès dans les années précédentes(22) et même si 36 États s’étaient déjà dotés d’une quelconque forme de mesures législatives antipourriel(23). La Controlling the Assault of Non-Solicited Pornography and Marketing Act de 2003 (CAN-SPAM Act de 2003)(24) a été adoptée le 16 décembre 2003 et a pris effet le 1er janvier 2004. Cette loi exige que les messages électroniques commerciaux non sollicités soient étiquetés (aucune méthode standard n’est imposée) et qu’ils comportent des consignes d’exclusion ainsi que l’adresse postale physique de l’expéditeur. Elle interdit l’utilisation d’une ligne d’objet trompeuse ou d’un en-tête fictif. La Loi interdit également de relayer des messages électroniques commerciaux par l’entremise d’un ordinateur ou d’un réseau informatique protégé auquel l’expéditeur a eu accès sans autorisation. Elle oblige la Federal Trade Commission à planifier la mise sur pied d’un registre anti-courriel et lui permet de le faire sans y être mandatée. La Loi exige également que la Federal Communications Commission présente des règlements qui visent à protéger les consommateurs contre l’envoi de messages courts (SMS) non désirés à caractère commercial. La Loi remplace les lois des États qui exigent des étiquettes sur les courriels commerciaux non sollicités ou qui interdisent tous les courriels commerciaux, même si des dispositions qui ne font qu’aborder la fausseté et la déception demeurent en place. Les infractions à la Loi peuvent entraîner des amendes ou des peines d’emprisonnement. Certains détracteurs de la loi fédérale américaine l’ont surnommée la « YOUCAN-SPAM Act » (loi qui autorise le pourriel), en soutenant qu’elle légalise le pourriel pour autant que les polluposteurs fournissent aux destinataires un moyen « d’exclusion ». Les critiques font remarquer que la loi fédérale remplace des lois des États qui étaient souvent plus strictes. Par exemple, la Californie et le Delaware avaient tous deux des lois qui interdisaient l’envoi non sollicité de courriel de nature commerciale à partir de ces États ou à destination de personnes habitant ces États(25). (22) Voir le résumé de ces mesures (http://www.spamlaws.com/federal/index.html). (23) Voir le résumé des lois des États américains (http://www.spamlaws.com/state/index.html). (24) Voir la Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003 (the CANSPAM Act of 2003), Public Law 108-187 (http://www.spamlaws.com/federal/108s877enrolled.pdf). (25) Voir, par exemple, The Spamhaus Project, « United States set to Legalize Spamming on 1 January 2004 » (http://www.spamhaus.org/news.lasso?article=150). LIBRARY OF PARLIAMENT BIBLIOTHÈQUE DU PARLEMENT 11 Des analyses récentes de la circulation de pourriels donnent à penser que la nouvelle loi n’a eu aucune incidence directe sur les taux de pourriels aux États-Unis. Selon trois fournisseurs de filtres anti-pourriel, seulement entre 1 et 10 p. 100 des pourriels expédiés à des adresses aux États-Unis dans la semaine qui a suivi l’entrée en vigueur de la Loi en janvier 2004 répondaient aux exigences d’étiquetage de la Loi. De plus, un fournisseur a indiqué que la quantité de courriels envoyés durant cette période a en fait augmenté(26). Selon certains analystes, une application rigoureuse s’impose pour que la Loi ait un quelconque effet. b. Union européenne En juillet 2002, le Parlement européen et le Conseil des Communautés européennes ont adopté une directive(27) qui vise à assurer un degré commun de protection dans l’ensemble des États membres de l’Union européenne (UE) contre les communications électroniques non sollicitées (les télécopies, les appareils téléphoniques automatisés et les courriels, y compris les messages SMS) envoyées dans le but de faire du marketing direct. La directive est une approche « d’inclusion » selon laquelle on interdit aux commerçants d’expédier du courriel sans avoir obtenu au préalable le consentement des destinataires, à moins d’avoir déjà établi une relation avec ces destinataires. Le courriel publicitaire doit clairement identifier l’expéditeur et fournir une adresse valide où le destinataire peut demander que l’on mette fin aux communications de ce genre. La directive de l’UE vise les « personnes physiques » (c.-à-d. les particuliers); les États membres sont également tenus de veiller à ce que les intérêts légitimes des autres abonnés (p. ex. les entreprises) soient suffisamment protégés par les lois nationales. La directive devait être mise en œuvre par les États membres de l’UE avant le mois d’octobre 2003. En novembre 2003, toutefois, la Commission européenne intentait des procédures pour infraction contre neuf États membres qui n’avaient pas intégré la directive de l’UE à leur code de droit national(28). (26) Grant Gross, « Is the CAN-SPAM Law Working? Only a small percentage of unsolicited e-mail complies with the new law, studies show », PCWorld, 13 janvier 2004 (http://www.pcworld.com/news/article/0,aid,114287,00.asp). (27) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement de données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (http://europa.eu.int/eur-lex/pri/fr/oj/dat/2002/l_201/l_20120020731fr00370047.pdf). (28) Commission européenne, « La Commission engage des procédures d’infraction contre neuf États membres pour défaut d’adoption des nouvelles règles en matière de protection de la vie privée applicables aux réseaux et services numériques », 5 décembre 2003 (http://europa.eu.int/rapid/start/cgi/guestfr.ksh?p_action.gettxt=gt&doc=IP/03/1663|0|AGED&lg=FR&display). LIBRARY OF PARLIAMENT BIBLIOTHÈQUE DU PARLEMENT 12 c. Canada Il n’existe actuellement aucune loi fédérale au Canada qui cible le pourriel de façon précise, bien que les bulletins d’informations laissent entendre que le gouvernement songe à présenter des mesures législatives(29). La plupart des pourriels envoyés au Canada, bien que contrariants, ne sont pas illégaux. Par contre, l’envoi de pourriels frauduleux ou qui impliquent un accès non autorisé à des ordinateurs, un usage non autorisé d’ordinateurs ou un méfait à l’égard de données informatisées peut être visé en vertu du Code criminel. En outre, la Loi sur la concurrence renferme des dispositions qui interdisent les fausses représentations et les pratiques de marketing trompeuses, y compris celles sur Internet. Enfin, la Loi sur la protection des renseignements personnels et les documents électroniques établit des règles qui régissent la collecte, l’utilisation et la divulgation de renseignements personnels dans le cadre d’activités commerciales; considérées comme des renseignements personnels, les adresses électroniques sont donc assujetties aux dispositions de la Loi. Deux projets de loi sur le pourriel d’initiative parlementaire ont été présentés au cours de la 37e législature. Le projet de loi S-2 : Loi visant à empêcher la diffusion sur l’Internet de messages non sollicités(30) a été déposé au Sénat le 3 février 2004(31). Si elle était adoptée, cette loi permettrait au ministre de l’Industrie de former un conseil autonome, auquel tous les FSI devraient appartenir, qui déterminerait les normes d’éthique pour ses membres ainsi que les normes relatives au filtrage du pourriel(32). Le projet de loi exige que le Ministre dresse et conserve une liste « anti-pourriel » confidentielle. L’envoi d’un courriel non sollicité à une adresse qui figure sur cette liste ou l’envoi d’un courriel dont l’adresse est fictive ou qui contient de faux renseignements sur n’importe quels biens et services annoncés serait passible d’une amende. Quant au pourriel frauduleux, au pourriel destiné aux enfants ou au pourriel qui contient de la pornographie juvénile ou dont le contenu est sexuellement explicite, la loi proposée prévoit des sanctions plus sévères, y compris l’emprisonnement. (29) La Presse canadienne, « Industry minister willing to consider law against unsolicited e-mails », 4 février 2004. (30) Projet de loi S-2 : Loi visant à empêcher la diffusion sur l’Internet de messages non sollicités (http://www.parl.gc.ca/37/3/parlbus/chambus/senate/bills/public/pdf/s-2_1.pdf). (31) Initialement présenté en tant que projet de loi S-23 en septembre 2003 au cours de la 2e session de la 37e législature. (32) Le projet de loi définit le pourriel comme « un ou plusieurs messages non sollicités envoyés et reçus sur l’Internet, à l’exception des messages qu’une personne envoie à une autre personne avec qui elle a des relations commerciales ou personnelles ». LIBRARY OF PARLIAMENT BIBLIOTHÈQUE DU PARLEMENT 13 Le projet de loi C-460 : Loi modifiant le Code criminel (courriel non sollicité)(33) a été déposé à la Chambre des communes le 2 février 2004(34). Ce projet de loi vise à modifier le Code criminel afin de créer deux nouvelles infractions : l’envoi de courriel électronique commercial non sollicité (sauf s’il existe déjà une relation d’affaires) et la vente d’adresses électroniques sans le consentement préalable des personnes concernées. Le projet de loi prévoit une peine d’emprisonnement, une amende ou les deux peines pour une personne reconnue coupable de l’une ou l’autre de ces infractions. Plusieurs associations de protection des consommateurs (p. ex. la Canadian Coalition Against Unsolicited Commercial Email in Canada) ont réclamé une loi fédérale afin d’aider à atténuer le problème du pourriel. Certains groupes de marketing direct laissent maintenant entendre que l’autoréglementation ne peut suffire à lutter contre le pourriel. L’ACM considère que la voie législative pourrait être une « option », à condition qu’il y ait harmonisation avec les lois des autres pays et de l’ensemble des provinces. L’Association fait également remarquer que la coopération internationale s’avère nécessaire, puisque les activités des polluposteurs se font souvent à l’extérieur du Canada, ce qui soulève des questions d’ordre juridique(35). Aux États-Unis, la DMA, qui s’opposait initialement à d’éventuelles mesures législatives anti-pourriel, s’est déclarée en faveur de la CAN-SPAM Act. Les détracteurs de la volte-face de la DMA prétendent que cette dernière a appuyé cette loi uniquement parce que celle-ci reflète ses règles anti-pourriel existantes, qui n’interdisent pas aux membres d’envoyer du courriel non sollicité à caractère commercial. d. Législation et coopération internationale Les mesures législatives présentées dans plusieurs pays du monde ne sont pas uniformes et les différences entre les lois nationales compromettent leur efficacité. À titre d’exemple, la loi américaine permet que l’on envoie du courriel commercial non sollicité à n’importe qui, sauf lorsque le destinataire demande explicitement de ne plus en recevoir. En revanche, la directive de l’UE exige le consentement préalable du destinataire avant l’envoi de (33) Projet de loi C-460 : Loi modifiant le Code criminel (courriel non sollicité), (http://www.parl.gc.ca/PDF/37/2/parlbus/chambus/house/bills/private/c-460_1.pdf). (34) Initialement présenté avec le même numéro en octobre 2003 au cours de la 2e session de la 37e législature. (35) Réponse de l’ACM au document de discussion d’Industrie Canada Télémercatique : Offrir un choix au consommateur et créer des possibilités d’affaires (http://www.the-cma.org/media/downloads/March%2027%20submission.pdf). LIBRARY OF PARLIAMENT BIBLIOTHÈQUE DU PARLEMENT 14 n’importe quel message de publicité directe. Selon les analystes, puisque la plupart des pourriels proviennent des États-Unis(36) et que la loi américaine est moins restrictive que la directive de l’UE, les habitants de l’UE continueront de recevoir d’importantes quantités de pourriels en provenance des États-Unis. Comme l’Internet ne connaît pas de frontières, les lois peuvent contribuer à faire diminuer la quantité de pourriels, sans toutefois les éliminer. Les polluposteurs d’un pays risquent de ne pas respecter les lois des autres pays, et il peut être difficile de retracer, d’identifier et ainsi de mettre en accusation les polluposteurs qui enfreignent les lois du pays en envoyant leurs messages par l’entremise de serveurs mandataires ouverts situés à l’étranger. Des efforts internationaux sont déployés afin de diminuer le flux de pourriels, du moins de pourriels trompeurs. En 2002, par exemple, la Federal Trade Commission des ÉtatsUnis, huit organismes d’État chargés de l’application de la loi et quatre organismes canadiens se sont unis dans le cadre de l’initiative Netforce afin de cibler les pourriels trompeurs et la fraude sur Internet. Les organismes se sont concentrés sur différentes arnaques – des enchères frauduleuses aux sites offrant des « remèdes » contre le cancer – et ils ont expédié des lettres rappelant que l’envoi de pourriels trompeurs est interdit par la loi(37). 2. Litiges Les polluposteurs ont fait l’objet de poursuites dans plusieurs territoires, le plus souvent par des FSI dont les serveurs ont été congestionnés par du pourriel ou par des tiers dont le nom ou les ressources ont été utilisés sans permission(38). La plupart de ces poursuites ont eu lieu aux États-Unis, et un certain nombre d’entre elles ont porté fruit(39). La nouvelle loi anti- (36) En mars 2003, 58,4 p. 100 des pourriels reçus dans le monde provenaient des États-Unis, suivis de la Chine (5,6 p. 100), du Royaume-Uni (5,2 p. 100), du Brésil (4,9 p. 100) et du Canada (4,1 p. 100). Conférence des Nations Unies sur le commerce et le développement, Rapport sur le commerce électronique et le développement, 2003, p. 27 (http://www.unctad.org/en/docs//ecdr2003_en.pdf). Le rapport lui-même est rédigé en anglais, mais un aperçu général produit en français est disponible (http://r0.unctad.org/ecommerce/docs/edr03_en/overview_fr.pdf). (37) U.S. Federal Trade Commission, « International Netforce Launches Law Enforcement Effort », 2 avril 2002 (http://www.ftc.gov/opa/2002/04/spam.htm). (38) David Sorkin, « Technical and Legal Approaches to Unsolicited Electronic Mail », University of San Francisco Law Review, vol. 35, hiver 2001, p. 325 à 384. (39) Voir la description de cas choisis sur les sites de SpamLaws (http://www.spamlaws.com/cases/) et d’AOL (http://legal.web.aol.com/decisions/dljunk/otherarchive.html). LIBRARY OF PARLIAMENT BIBLIOTHÈQUE DU PARLEMENT 15 pourriel adoptée aux États-Unis confère un droit d’action au civil à la Federal Trade Commission, aux procureurs généraux des États et aux FSI, mais pas aux particuliers. Au Canada, quelques poursuites relatives aux pourriels ont fait les manchettes. En 1999, par exemple, un FSI établi à Toronto a intenté un procès contre un abonné qui avait envoyé du pourriel, à l’encontre des règles du fournisseur. Le polluposteur aurait expédié environ 600 000 courriels sur une période de deux semaines dans le cadre d’une manigance lucrative. Le tribunal a tranché en faveur du FSI(40). Dans un autre cas, qui remonte également à 1999, un FSI de l’Ontario a été poursuivi par un client pour avoir interrompu son service. Le FSI avait mis fin au service du client en alléguant que ce dernier avait envoyé jusqu’à 200 000 courriels publicitaires non sollicités par jour. Le juge a rejeté la requête du client exigeant que le FSI rétablisse le service en déclarant que le courriel commercial en masse non sollicité est une violation des principes de la « Nétiquette », sauf si cette pratique est expressément permise dans le contrat applicable(41). LA POSITION DU GOUVERNEMENT FÉDÉRAL CANADIEN SUR LE POURRIEL Industrie Canada a produit un document de politique sur le pourriel en 1997(42). À cette époque, le pourriel n’était pas un problème grave et le document avait été conçu principalement dans le but d’informer. Le gouvernement fédéral estimait alors qu’une combinaison de cadres stratégiques et législatifs, de solutions technologiques, d’initiatives de sensibilisation des consommateurs et de pratiques responsables par les acteurs de l’industrie de l’Internet suffisait pour combattre la malveillance et les activités criminelles en matière d’informatique et de pourriel. Par contre, au milieu 2002, on a estimé que le volume de pourriel constituait au moins 30 p. 100 de la circulation globale de courriel et qu’il continuait de s’accroître rapidement. Industrie Canada a alors entamé des discussions avec certains acteurs de l’industrie, y compris (40) Joaquim Menezes, « Ontario court sends spammer a message », Computing Canada, avril 1999. (41) Dan Goodin, « It’s OK to cancel spam accounts », CNETnews.com, juillet 1999 (http://news.com.com/2100-1023-228210.html?legacy=cnet). (42) Industrie Canada, « L’Internet et le courrier électronique en vrac non sollicité », L’Économie numérique au Canada, document de discussion, juillet 1997 (http://e-com.ic.gc.ca/epic/internet/inecicceac.nsf/vwapj/SPAM_1997fr.pdf/$FILE/SPAM_1997fr.pdf). LIBRARY OF PARLIAMENT BIBLIOTHÈQUE DU PARLEMENT 16 les commerçants et les FSI, concernant les méthodes possibles de lutte contre le problème du pourriel. En janvier 2003, Industrie Canada a publié un document de discussion sur le pourriel(43) et l’a expédié à un petit nombre d’organismes représentant les FSI, les industries de la technologie de l’information, les entreprises et les consommateurs. Le document soulevait un certain nombre de questions sur les politiques gouvernementales, l’observation des lois en place, les technologies des réseaux, les pratiques commerciales de l’industrie, ainsi que l’éducation et la sensibilisation des consommateurs. D’autres consultations gouvernementales sont prévues à ce sujet en 2004. CONCLUSION Le courriel non sollicité et non désiré – le pourriel – est devenu un problème de taille ces dernières années, tant pour les particuliers que pour les sociétés qui utilisent l’Internet. Parmi les enjeux : le contenu douteux d’une grande proportion du pourriel; le coût financier de son traitement; le déplacement du courriel légitime par le pourriel; et la menace qu’il constitue pour la fiabilité et la sécurité de l’Internet. Des approches de la réglementation du pourriel axées sur le marché ont peu fait pour en freiner le flux, et les particuliers et les entreprises doivent payer, soit indirectement (p. ex. perte de productivité), soit directement (p. ex. technologies antipourriel), pour y faire front. On a conçu une panoplie de technologies anti-pourriel, mais aucune d’entre elles n’est parfaitement efficace, et les polluposteurs créent continuellement de nouvelles applications pour échapper aux systèmes anti-pourriel. Au cours des dernières années, les gouvernements des quatre coins du monde ont commencé à présenter des mesures législatives afin de tenter de gérer le pourriel. Le gouvernement fédéral canadien n’a déposé aucun texte de loi qui cible expressément le pourriel, mais deux projets de loi anti-pourriel d’initiative parlementaire ont été déposés en 2004. L’énoncé de principes le plus récent du gouvernement fédéral sur le pourriel laisse entendre que les lois, les technologies et les pratiques de l’industrie en place sont suffisantes pour lutter contre le pourriel. Industrie Canada, en revanche, tient des consultations avec des groupes intéressés au sujet du pourriel et passe en revue sa politique sur ce problème. Même si des mesures (43) Industrie Canada, « Télémercatique : Offrir un choix au consommateur et créer des possibilités d’affaires », L’Économie numérique au Canada, document de discussion, janvier 2003 (http://ecom.ic.gc.ca/epic/internet/inecic-ceac.nsf/vwapj/SPAM_2003fr.pdf/$FILE/SPAM_2003fr.pdf). LIBRARY OF PARLIAMENT BIBLIOTHÈQUE DU PARLEMENT 17 législatives peuvent aider à diminuer la quantité de pourriel qui provient de certains territoires, les polluposteurs (surtout ceux qui envoient des messages trompeurs, frauduleux ou offensants) continueront vraisemblablement de déjouer le système en expédiant du pourriel à partir de territoires où les lois sont moins restrictives ou inexistantes et pour lesquels le repérage et la poursuite des polluposteurs ne constituent pas une priorité, ou en passant par de tels territoires. Il est douteux qu’un seul front d’attaque puisse réduire de façon importante la circulation des pourriels dans le monde. Une approche polyvalente comportant des technologies anti-pourriel, la collaboration de l’industrie, des lois harmonisées dans l’ensemble des territoires, des sanctions sévères pour le pourriel illégal, la coopération transfrontalière et la sensibilisation des consommateurs constitue probablement la seule façon de régler le fléau du pourriel à l’échelle internationale.
