Lire/enregistrer le document - DROIT

COURRIELS NON SOLLICITES :
ENFIN VERS UNE APPLICATION EFFECTIVE
DES SANCTIONS ?
M. Michel Gentot, président de la CNIL et Mme Cécile Alvergnat Commissaire rapporteur
PLAN
1. Le travail de la CNIL ...................................................................................................................... 3
1.1 Le travail d’évaluation, d’analyse et de réflexion de la CNIL ..................................................... 3
1.1.1 Le travail d’évaluation......................................................................................................... 3
1.1.2 Le travail d’analyse et de réflexion ..................................................................................... 3
1.2. Les actions de la CNIL.............................................................................................................. 5
1.2.1 Le module pédagogique ...................................................................................................... 5
1.2.2 La répression ...................................................................................................................... 5
2. Les difficultés juridiques spécifiques au ‘spam’ ............................................................................. 8
2.1 Les difficultés de définition et de qualification.......................................................................... 8
2.1.1 L’adresse électronique est-elle une donnée personnelle ? .................................................. 8
2.1.2 La définition du ‘spam’ ........................................................................................................ 9
2.2 Parvenir à un consensus international... ................................................................................. 10
1
La Commission Nationale de L’Informatique et des Libertés1 a tenu jeudi
21 novembre 2002, une conférence de presse pour annoncer les
résultats de son opération ‘Boîte à spam’2 et donner les orientations à
venir de ses actions de lutte contre les ‘pourriels’3. Le président de la
CNIL, Michel Gentot,
a expliqué
qu’après avoir mené un travail
d’analyse et de réflexion, l’autorité administrative indépendante qu’il
dirige entrait dans un combat contre le ‘spam’.
Dès à présent, la Commission annonce la dénonciation au Parquet de
M. Michel Gentot, président de la CNIL et Mme
Cécile Alvergnat Commissaire rapporteur
cinq sociétés4 suspectées de ne pas respecter le principe de loyauté de
la collecte de données personnelles garanti par le jeu des articles 25 de
la loi ‘Informatique et Libertés’5 et 226-18 du Nouveau Code Pénal.
Si le problème de l’envahissement des boîtes de courrier électronique n’est plus nouveau, il se pose néanmoins
chaque jour avec une acuité nouvelle. En effet, le nombre des courriels non-sollicités croît au rythme du
développement de l’usage d’Internet. Désormais, le phénomène ne s’inscrit plus uniquement dans le contexte
des atteintes à la vie privée et à la législation sur les données personnelles, mais se pose également en termes
économiques. Une étude commandée par la Commission européenne en février 2001 révélait que le coût du
‘spam’ pour les internautes se chiffrait à dix milliards d’euros par an6. Parmi ces utilisateurs se trouvent
les salariés de nombreuses sociétés, lesquelles voient désormais dans le ‘spam’ une menace en terme de coût
et de productivité. En outre, le phénomène du ‘spam’ porte gravement atteinte au ‘Graal’ du commerce
électronique : la confiance.
Ainsi, une sorte de consensus s’établit entre les acteurs économiques et les protecteurs de la vie
privée et des données personnelles pour condamner d’une seule voix le ‘spam’. La CNIL, récemment
malmenée par le gouvernement, a profité de cette conjonction favorable pour mener une action forte et
dénoncer au Parquet cinq entreprises.
Jusqu’à présent, le pouvoir de dénonciation des infractions, fondé sur l’article 21-4 de la loi ‘Informatique et
Libertés’ du 06 janvier 1978, n’a été utilisé par la Commission qu’avec une extrême parcimonie. En effet, entre
1978 et 2001, seules dix huit dénonciations ont été effectuées, soit moins d’une par an ! Durant l’été 2002, un
cap avait été franchi avec deux dénonciations7. Dans ce contexte, la transmission de cinq délibérations de la
Commission au Parquet fait figure de révolution !
Cette accentuation de la politique répressive de la CNIL
1
Commission Nationale de L’Informatique et des Libertés (CNIL) : http://www.cnil.fr.
La ‘boîte à spam’ est désormais fermée. Elle a été remplacé par ‘Halte au spam’.
Voir le site de la CNIL : http://www.cnil.fr/frame.htm?thematic/internet/spam/spam_sommaire.htm
Et l’article de Yves Roumazeilles, ‘La CNIL nous aide, aidons la CNIL ! ‘.
http://www.droit-ntic.com/news/afficher.php?id=74
3
La terminologie pour décrire ce qui est communément qualifié de ‘spam’ n’est pas réellement fixée. D’où la présence de
nombreux néologismes : Dans cette étude, les termes ‘pourriel’, ‘pollupostage’, ‘courriel non sollicité’, ‘spamming’ et ‘spam’
seront employés indifféremment. Notons cependant qu’un simple courriel non sollicité ne saurait être de ce seul fait un ‘spam’.
Les Québécois sont spécialement inventifs, voir :
http://www.olf.gouv.qc.ca/ressources/bibliotheque/dictionnaires/Internet/fiches/8875047.html consulté le 22.11.2002
Voir également sur les questions de terminologie : http://www.users.skynet.be/pierre.bachy/Intern.origine.mots.pdf consulté le
22.11.2002
4
Les cinq sociétés sont : <i>Alliance Bureautique </i>(ABS) (conception/vente de logiciel aspirateurs d’adresses
électroniques), <i>Suniles</i> (tourisme), <i>« Le top 50 du ‘X’ »</i> (promotion de site pornographiques),<i> BV
Communication </i>(Promotion d’un site Internet et des services minitel de rencontre), <i>Great-Meds.com</i> (vente en
ligne de produits pharmaceutiques) .
5
Loi 78/17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Cette loi va être bientôt modifiée en vue de
la transposition de la directive 95/46 du 24 octobre 1995
Consultable en ligne : http://www.droit-ntic.com/index2.php?page=l78complete.inc
6
En ligne sur le site de la Commission : http://europa.eu.int/comm/internal_market/fr/dataprot/studies/index.htm
7
La Commission nationale de l'informatique et des libertés (CNIL) a dénoncé le 9 juillet 2002 la société Impact Net au Parquet.
Le 10 juillet 2002, elle fait de même pour une affaire concernant la divulgation sur Internet d’une liste de francs-maçons de
diverses obédiences.
2
2
préfigure la définition nouvelle de ses pouvoirs, notamment coercitifs, dans le cadre du projet de loi devant
transposer la directive 95/46 du 24 octobre 19958 dans l’ordre juridique français.
Pour prendre toute la mesure de cet événement, il convient d’exposer le travail de la CNIL avant de considérer
les difficultés juridiques spécifiques au ‘spam’.
1. Le travail de la CNIL
La CNIL a adopté le 14 octobre 1999 en séance plénière un rapport sur ‘le publipostage électronique et la
protection des donnés personnelles’. L’évolution tant du cadre juridique9, que du phénomène ont amené la
Commission a ne jamais interrompre son travail sur cette question. La CNIL est donc passée, selon les termes
de son Président, par des phases ‘d’analyse et de réflexion’ pour entamer un combat contre le ‘spam’.
1.1 Le travail d’évaluation, d’analyse et de réflexion de la CNIL
1.1.1 Le travail d’évaluation
Si le ‘‘spam’’ est un problème très concret, il reste néanmoins difficile à quantifier. En effet, qui pourrait
compter les cent quarante milliards de ‘pourriels’ estimés par Jupiter Research10 ?
La CNIL a donc opté pour un système d’évaluation en mettant, du 18 juillet au 20 novembre 2002, à la
disposition du public une adresse électronique à laquelle transmettre les courriels que les internautes
considéraient comme étant des ‘spams’. Cette opération fut menée sous le nom de ‘Boîte à spam’.
Témoignant d’un intérêt nouveau des personnes quant à la protection de leur adresse électronique, dès le
premier jour la CNIL reçu plus de deux mille messages, … pour en comptabiliser plus trois cent vingt mille au
début du mois de novembre. Le travail d’analyse et de réflexion pouvait commencer.
1.1.2 Le travail d’analyse et de réflexion
Le premier travail fut de relativiser le volume des messages reçus. En effet, d’une part certains messages
transmis n’étaient pas des ‘spams’, d’autre part certains en contenaient plusieurs. Deux analyses se sont vite
imposées :
. Il s’agit d’un phénomène important.
. Les internautes sont de plus en plus soucieux de faire valoir leur droits ; la protection des données
personnelles est désormais au centre de leurs préoccupations.
8
Le projet de loi est consultable en ligne sur le site de l’Assemblée nationale :
http://www.assemblee-nat.fr/ta/ta0780.asp
9
Directives du 8 juin 2000 et du 12 juillet 2002 notamment
10
Source : Caspam.org, consulté le 21.11.2002 :
http://caspam.org/chiffres_etudes.html
3
La CNIL a ensuite dressé une typologie des ‘spams’ en se fondant notamment, sur la langue de rédaction du
message et sur le secteur d’activité économique de l’expéditeur11. En outre, la Commission effectue une
distinction selon que le destinataire est un particulier ou une entreprise.
Les enseignements ont été que les ‘spams’ en langue anglaise étaient les plus nombreux, ce qui n’est guère
surprenant au regard du caractère profondément anglophone d’Internet. Une disparité sectorielle des ‘spams’
en fonction de la langue de rédaction a également identifiée. Si le ‘pollupostage’ vantant les mérites de services
financiers est l’apanage des pourriels anglophones, la pornographie et l’offre de biens et services sont au
palmarès des ‘spams’ francophones…, que de différences culturelles nous séparent !
Après avoir déterminé parmi ces trois cent mille messages, lesquels ne pouvaient en aucun cas être assimilés à
du ‘spam’, la tâche la plus ardue fut d’identifier les auteurs des ‘pourriels’. La CNIL a ainsi constaté que la
majorité des pollueurs de messagerie électronique sont de petites et moyennes entreprises.
Si la navigation anonyme sur le web est le plus souvent illusoire, l’envoi massif de courriels non-sollicités peut,
quant à lui, passer plus inaperçu. Certes, en remontant tout simplement la chaîne des adresses IP12, il est
possible de retrouver l’émetteur du message. Pourtant, le ‘polluposteur’ ingénieux aura pris soin de recouvrir sa
véritable IP de multiples couches d’IP factices. Dès lors, il faut aller d’un fournisseur d’accès Internet (FAI) à
l’autre pour retrouver l’origine du message. La situation est donc très complexe en présence de trois cent mille
messages, dont certains sont masqués par une dizaine de fausses adresses IP !
La CNIL a cependant réussi à identifier un grand nombre d’expéditeurs et leur a adressé un avertissement sur
le fondement de l’article 21-4 de la loi ‘Informatique et Libertés’.
es
Pourtant, parmi les entreprises dénoncées au Parquet, toutes n’ont pas été identifié comme étant les
expéditeurs. Tel est le cas de la délibération n°02-079 du 24 octobre. Dans cette affaire, la CNIL avait reçu
dans le cadre de la ‘boîte à spam’ plus d’un millier de messages intitulés ‘Le top 50 des sites X’. Il semble que la
Commission ne soit pas parvenue à identifier les auteurs des messages. C’est donc à l’autorité judiciaire qu’il
reviendra d’identifier les auteurs.
Les difficultés et la lourdeur des procédures, tant techniques que juridiques, pour identifier les
auteurs de ‘spam’ interdit donc poursuivre chaque pollueur de messagerie électronique. Face à cet
amer constat, la seule alternative est de condamner lourdement ceux qui sont attrapés. A ce titre, le
Nouveau Code Pénal fourni un arsenal répressif adapté13. Cette stratégie de dissuasion existe déjà en droit de
la concurrence et plaide en faveur de son application au traitement des données personnelles.
Le volume et la vitesse de circulation des informations facilitent grandement la création de fichiers pour un coût
très modeste. En effet, acheter un logiciel destiné à extraire les adresses électroniques figurant sur le Net prend
quelques secondes et coûte entre quarante neuf et cent dollars américains
14
! La valeur des fichiers de données
personnelles ne cesse pourtant de croître. La collecte à l’insu des personnes est donc susceptible de présenter
un intérêt important pour les entreprises, comme pour certains particuliers.
Dans un tel contexte, des
sanctions très dissuasives s’imposent pour éviter la généralisation de comportements déloyaux.
11
Pour le détail des statistiques voir le site de la CNIL :
http://www.cnil.fr/frame.htm?thematic/internet/spam/spam_sommaire.htm
12
L’adresse IP (IP : Internet protocol) est un numéro concédé par l’ICANN au fournisseur d’accès Internet (FAI) qui l’attribut à
un ordinateur afin de lui permettre de communiquer sur Internet avec les autres machines. Il s’agit de l’adresse de votre
ordinateur à laquelle les sites webs doivent envoyer les informations que vous demandez.
13
Articles 323-1 et suivants et articles 226-16 et suivants du Nouveau Code Pénal.
14
Pour une illustration parmi d’autres voir :
4
1.2. Les actions de la CNIL
Si la répression est nécessaire, elle n’est rien si elle n’est pas accompagnée de mesures pédagogiques. A cet
égard, le site de la CNIL s’est toujours efforcé de fournir les informations essentielles.
1.2.1 Le module pédagogique
La CNIL a crée un module ‘Halte au spam !’15 dans le but d’expliquer aux internautes comment se prémunir
contre ‘pollupostage’ électronique. Ce module a été réalisé après avoir consulté les principaux acteurs français
concernés16 et comporte trois axes principaux.
‘La CNIL agit’ : Cette partie est consacrée à la transmission au Parquet des cinq délibérations du 24 octobre
2002.
‘La CNIL informe’ : Cette partie est destinée à répondre aux questions que se posent les internautes quant à ce
qu’est réellement un ‘spam’, à la manière dont il est appréhendé par le droit…
‘La CNIL aide’ : Il s’agit de mettre en mesure l’internaute de se prémunir et de lutter contre le ‘spam’. Il est
organisé de manière didactique et concrète en deux parties :
. Comment se prémunir ? Les réflexes anti-spam pour les internautes et les règles à respecter par les
professionnels.
. Comment réagir ? Solutions juridiques et techniques.
1.2.2 La répression
Les fondements d’une répression pénale du ‘pollupostage électronique’ sont multiples, et si tous offrent un
panel de sanction très dissuasif, tous ne sont pas réellement adaptés aux ‘pourriels’. Jusqu’à présent, les actes
de ‘spam’ d’une particulière gravité ont été réprimés par la loi dite ‘Loi Godfrain’ de 1985 relative à la
sécurité des systèmes de traitement automatisés de données (STAD). Pour lutter contre les ‘pourriels
communs’, c’est à dire qui ne portent pas forcément atteinte à un système informatique, force est de constater
que la loi ‘Informatique et Libertés’ dispose d’un arsenal répressif plus adapté et tout aussi dissuasif.
1.2.2.1 La répression des ‘pourriels’ sur le fondement de l’atteinte à un système de traitement
automatisé de données.
La loi ‘Godfrain’ condamne le fait d’accéder et de se maintenir frauduleusement dans un STAD. L’entrave et
l’altération du fonctionnement du système son également prises en considération par la loi. Sont encourues en
cas de violation de ces dispositions des peines d’emprisonnement allant de un à trois ans, et d’amendes allant
de quinze mille à quarante cinq mille euros17. Il est très important de remarquer que la répression de la
criminalité informatique est dérogatoire au droit pénal traditionnel dans la mesure où l’intention
criminelle est présumée par la matérialité des faits.
http://www.worldcatcher.com/buynow.htm , consulté le 21.11.2002
15
http://www.cnil.fr/frame.htm?thematic/internet/spam/spam_sommaire.htm
16
Institut national de la consommation (INC), Association française des fournisseurs d’accès Internet… (AFA), Groupement des
éditeurs de services en ligne (Geste), L’association pour le commerce et les services en ligne (ASCEL), Le Syndicat national de
la communication directe (SNCD), la fédération des entreprises de vente à distance (FEVAD) et la délégation interministérielle à
la famille (DIF).
17
Articles 323-1 et suivants du Nouveau Code Pénal.
5
Concrètement, l’auteur d’un ‘pourriel’ peut se rendre coupable d’infractions relevant de la loi Godefrain dans
deux hypothèses :
-
L’envoi d’un nombre excessif de courriels finit par saturer la messagerie électronique qui se
bloque. L’entrave au fonctionnement d’un STAD, qui est alors caractérisée, est passible d’une peine
d’emprisonnement pouvant aller jusqu’à trois ans et d’amende pouvant aller jusqu’à quarante cinq mille
euros aux termes de l’article 323-2 du Nouveau Code Pénal.
-
Pour envoyer des courriels sans être identifié, le plus simple consiste à effectuer l’envoi depuis un autre
ordinateur que le sien ! Il s’agit donc de prendre le contrôle de l’ordinateur d’un tiers.La procédure est
simple et bien rodée : choisir un internaute crédule ou tout simplement mettre en téléchargement sur un
serveur ‘peer to peer’ de type Kazaa, un ‘troyen’18. Il s’agit d’un petit logiciel qui s’installe
automatiquement dans le système d’exploitation de la victime et qui permet au pirate de la retrouver à
chaque connexion afin de prendre le contrôle de son ordinateur. Ces logiciels sont générés par d’autres19
qui sont relativement faciles à se procurer, puis à manipuler.
Heureusement, ce type d’infraction n’est pas constitué par la majorité des ‘pourriels’. Reste qu’il faut cependant
lutter conter les ‘spams’ les plus communs, mais aussi les plus nombreux. A cet égard la Loi ‘Informatique et
Libertés’ dispose d’un arsenal pénal adapté.
1.2.2.2 La répression des ‘pourriels’ et loi ‘Informatique et Libertés’
Le fait de polluer une messagerie électronique est susceptible de constituer une infraction pénale sur le
fondement de la violation de la loi 78/17 du 6 janvier 1978, sanctionnée par les articles 226-16 et suivants du
Nouveau Code Pénal.
L’article 25 de la loi dispose : ‘La collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est
interdite’. Or, le recours à un logiciel destiné à extraire les adresses électroniques présentes sur les sites ne
respecte pas le droit à l’information des personnes et caractérise une collecte déloyale. Les responsables
encourent dès lors des peines d’emprisonnement pouvant aller jusqu’à cinq ans et d’amende pouvant
aller jusqu’à trois cent mille euros sur le fondement de l’article 226-18 du Nouveau Code Pénal.
La violation de l’article 26 de la loi, qui consacre le droit d’opposition est-elle aussi sanctionnée par
l’article 226-18 Nouveau Code Pénal, dans la mesure où, pour pouvoir s’opposer à un quelconque traitement, il
faut avoir connaissance de son existence.
Si l’ordre juridique européen reconnaît également le droit d’opposition20, tel n’est pas le cas de l’ordre juridique
américain, et force est de constater que la législation australienne n’est pas très claire sur ce point. Le
Royaume-Uni, sous influence européenne, est donc parmi les rares pays de Common Law à consacrer
pleinement le droit d’opposition21.
En outre, le fait de constituer un fichier de données personnelles sans respecter les formalités préalables
imposées par l’article 16 de la loi est sanctionné par l’article 226-16 du Nouveau Code Pénal. Les
18
19
20
21
Trojan ou troyen ou cheval de Troie…
Parmi lesquels Subseven, Backorifice…
Article 14 de la directive 95/46 du 254 octobre 1995
Data Protection Act of 1988 : ‘<i>Data shall be proceded fairly and lawfully</i>’
6
peines susceptibles d’être infligées peuvent aller jusqu’à trois ans de prison et quarante cinq mille
euros d’amende.
La loi ‘Informatique et Liberté’ dispose, par le biais de la section ‘Des atteintes aux droits de la personne
résultant des traitements informatiques ’
du Nouveau Code Pénal22 d’un arsenal répressif important, mais
jusqu’alors peu utilisé. Or, son application au ‘spam’ n’est pas sans poser des difficultés juridiques spécifiques.
(M. Michel Gentot, président de la CNIL et Mme Cécile Alvergnat Commissaire rapporteur)
22
Nouveau Code Pénal, Livre II, Titre deuxième chapitre VI section 5
7
2. Les difficultés juridiques spécifiques au ‘spam’
Les difficultés relèvent de deux ordres distincts, d’une part les questions de définition et de qualification, d’autre
part la nécessité d’agir dans un contexte international.
2.1 Les difficultés de définition et de qualification
2.1.1 L’adresse électronique est-elle une donnée personnelle ?
Dans le cadre d’une recherche de responsabilité d’un ‘spammeur’, le moyen opposé pour éviter le jeu de la loi
de 1978 et des articles 226-16 et suivants pourrait consister à nier le caractère personnel des données traitées.
Or, force est de constater que si certaines adresses sont directement nominatives, d’autres sont composées de
pseudonymes indéchiffrables sans l’aide du prestataire de service de courrier électronique qui a collecté les
informations nominatives lors de l’ouverture du compte de messagerie électronique.
L’article 4 de la loi dispose : ‘ Sont réputées nominatives au sens de la présente loi les informations qui
permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques
auxquelles elles s'appliquent, que le traitement soit effectué par une personne physique ou par une personne
morale ’.
La notion d’identification indirecte appelle une précision. En effet, une adresse électronique souscrite avec de
fausses informations et composée d’un pseudonyme est de nature à rendre l’identification incroyablement
lourde et complexe. Prenons l’exemple de l’adresse [email protected], admettons que nous cherchions à
identifier son titulaire. Première étape, contacter Hotmail pour demander la communication des informations
relatives au compte [email protected]. Sans Commission rogatoire, il n’y a que peu de chances que la
requête aboutisse. Imaginons que Hotmail nous donne les informations, … mais que celles-ci soient fausses. Il
nous faut dès lors formuler une nouvelle requête pour obtenir communication des données de connexions se
rapportant à l’ouverture du compte et peut-être déterminer l’adresse IP de l’ordinateur depuis lequel le compte
a été ouvert. En effet, cette adresse IP, à supposer quelle ne soit pas fausse elle aussi24,
permettra au
fournisseur d’accès à qui elle a été concédé par l’ICANN, d’identifier la personne à laquelle il l’avait attribuée…
Pourtant, la notion d’identification est à la base de la définition. Il est dès lors difficile de soutenir que
toutes les adresses électroniques sont nominatives ; certaines le sont, d’autres ne le sont pas.
Les conséquences de ce constat ne sont par très importantes en pratique. En effet, peu importe que toutes
les adresses électroniques contenues dans un fichier ne soient pas des données personnelles. Dès
lors que certaines le sont, la loi de 1978 a vocation à être appliquée. Or, la plupart des adresses
électroniques sont directement nominatives ou permettent l’identification indirecte quand le titulaire a fourni
des informations exactes le concernant lors de la souscription de son compte.
23
C’est un exemple… n’écrivez pas à cette adresse.
Ce qui arrive rarement car au moment de l’inscription, il ait généralement procédé à une vérification de l’adresse IP pour
s’assurer qu’elle ne correspond pas à celle d’un proxy en vogue. (Quand vous surfer par le biais d’un proxy, c’est son adresse IP
qui est visible, mais pas la votre)
24
8
Les fichiers d’adresses électroniques étant soumis à la loi ‘Informatique et Libertés’, il convient désormais de
s’interroger sur la définition même du ‘spam’.
2.1.2 La définition du ‘spam’
Le ‘spam’ n’est pas défini dans la loi, et force est de reconnaître que nombre d’idées fausses circulent25.
La doctrine de la CNIL nous apprend que : ‘Le spamming ou spam est l’envoi massif, parfois répété de courriers
électroniques non-sollicités, à des personnes avec lesquelles l’expéditeur n’a jamais eu de contact et dont il a
capté l’adresse électronique de façon irrégulière’.
Les critères français du ‘spam’ sont donc :
. Un envoi qui doit être massif
. Qui peut être répété, mais ce n’est pas une condition obligatoire.
. L’expéditeur doit n’avoir jamais été en relation avec le destinataire.
. L’adresse électronique doit avoir été captée de façon irrégulière.
Cette définition distingue le ‘spam’ d’un simple courriel non sollicité en ajoutant des conditions
supplémentaires à la qualification, notamment au regard de la loyauté de la collecte. En revanche, aucune
considération ne doit être portée au contenu du message lui-même.
Cette définition du ‘spam’ se rapproche de l’esprit de l’article 13 de la directive 2002/58 CE du 12 juillet 2002,
mais se distingue de la conception du ‘spam’ dans l’esprit des internautes. En effet, dans l’inconscient collectif
de la communauté internaute française, le ‘spam’ se résume simplement à un courriel non sollicité.
Un consensus existe donc au niveau européen sur la définition du ‘spam’. Ce dialogue entre les
autorités de protection des données personnelles des Etats membres26 et le travail du groupe de l’article 2927
explique ce rapprochement des ordres juridiques européens. Toutefois, l’importance des pourriels en langue
anglaise accroît la nécessité de raisonner en prenant en compte d’autres ordres juridiques, notamment
américain.
L’encombrement des boîtes de courrier électronique est aussi un problème pour les Américains. Pourtant, si
vingt-six Etats se sont dotés d’une législation en la matière28, aucune disposition fédérale ne vient donner une
cohésion à l’ensemble de l’ordre juridique américain dans le domaine du ‘spam’.
L’ampleur et le coût des pourriels amène cependant la Federal Trade Commission (FTC) à réagir29.
L’originalité de cette intervention, pour un européen, consiste à voir à une institution ayant en
charge la régulation du commerce entreprendre une mission qui relève en Europe d’autorités
indépendantes, spécifiquement dédiées à la protection des données personnelles.
25
A cet égard voir l’article de www.cecurity.com, ‘<i>E-mailing : Le catalogue des idées reçues</i>’ :
http://www.cecurity.com/site/html/article-e-mailingexamencritiqu.php , consulté le 21.11.2002.
A ce titre la CNIL a transmis les résultats de son opération ‘Boîte à spam’ aux quatorze autres autorité de protection des
données personnelles en Europe.
27
Sur le groupe dit de l’article 29 de la directive 95/46 voir :
http://europa.eu.int/comm/internal_market/fr/dataprot/wpdocs/index.htm , consulté le 22.11.2002
28
Dont les Etats de Californie, de Washington, du Nevada….
29
Sur la politique de la FTC en matière de ‘spam’ voir : <i>’La FTC poursuit les auteurs de pourriels déloyaux’</i> :
http://www.droit-ntic.com/news/afficher.php?id=100
26
9
Il ne faut pourtant pas s’indigner trop vite d’une telle situation qui, par des moyens différents, pourrait aboutir
à la condamnation des même comportements qu’en Europe. En l’absence de législation fédérale spécifique, la
FTC doit se fonder sur le ‘Fair practice principle’, sorte de principe général de loyauté. Conformément à la
tradition américaine, il s’agit d’être libéral tout en condamnant sévèrement les abus les plus graves.
Se pose pourtant la question de savoir si une collecte déloyale en Europe l’est aussi aux Etats-Unis.
Or, il semble que la réponse à cette interrogation soit négative. En effet, la simple collecte, à l’insu de la
personne, de son adresse électronique est légale et n’est pas considérée comme une entorse au ‘fair practice
principle’. Pour être reconnue déloyale, une collecte doit par exemple être effectuée par un logiciel qui prétend
filtrer les ‘spams’, mais qui a été conçu pour collecter les adresses électroniques.
Il est pourtant permis de se demander si, en pratique, les cinq entreprises dénoncées par la CNIL seraient
également poursuivies outre-Atlantique. En effet, l’extermination des abus les plus graves est une priorité pour
tous les ordres juridiques.
Reste que nous sommes encore loin d’un consensus avec les Etats-Unis sur le contenu de la loyauté.
2.2 Parvenir à un consensus international...
L'accroissement du volume, de la vitesse de circulation des informations et des traitements qui leur sont
appliqués, mis en relation avec la prédominance de l’anglais sur Internet, amène à penser qu’aucune solution
juridique ne sera efficace dans la lutte contre le ‘spam’ en l’absence d’un consensus international pour
condamner d’une seule voix tel ou tel comportement.
Cette question est mise en exergue par la dénonciation au Parquet par la CNIL d’une société américaine, GreatMeds.com.
En
matière
répressive,
les
Etats,
soucieux
de
préserver
leur
souveraineté,
s’accrochent
désespérément au principe de territorialité : Chaque Etat se reconnaît compétent dès lors qu’un
élément de l’infraction est rattachable à son ordre juridique. Dès lors, l’exécution d’une décision prise
par les juridictions françaises à l’encontre d’une société basée aux Etats-Unis dépend du bon vouloir des
autorités américaines et inversement.
Un tel contexte n’est guère propice une condamnation effective du ‘spam’. Les questions se rapportant
à la vie privée des personnes ou à la protection des données personnelles sont pétries par l’Histoire, la culture
et le mode de vie des peuples. S’entendre est dès lors très complexe. Pourtant, tel est le défi que lance le
progrès technique aux différents ordres juridiques. Les données personnelles prennent chaque jour une
importance croissante dans notre vie quotidienne. La société de demain reposera donc plus encore sur l’usage
d’informations, notamment à caractère personnel. L’impact des atteintes à la vie privée et à la protection des
données personnelles pourrait faire vaciller l’ensemble de l’économie numérique…
Les branches du droit récentes et fortement marquées par l’influence de l’économie sont propices au
rapprochement des ordres juridiques. Le droit de la concurrence ou le droit de la propriété intellectuelle en sont
des illustrations. Le cas de la protection des données personnelles et de la vie privée est quelque peu
différent. En effet, il s’agit de dispositions dont les fondements sont anciens mais qui sont
désormais fortement influencées par l’économie.
10
Le peuple américain est aussi soucieux que les populations européennes de ne pas voir sa messagerie
électronique prise d’assaut par les pourriels. L’industrie du marketing, lobby puissant, commence à condamner
ouvertement le ‘spam’, tout en donnant une définition restrictive. La communauté commerçante sent elle aussi
que les pourriels ont des conséquences négatives sur son image et sur la confiance.
Bientôt, américains et
européens devront choisir entre camper sur leurs positions et ne jamais avoir de réel contrôle sur le
phénomène du ‘spamming’, ou faire des concessions réciproques et conserver une chance dans la lutte contre
les pourriels déloyaux.
Jusqu’à présent, les condamnations sur le fondement de la violation d’une disposition de la loi ‘Informatique et
Libertés’ ont été rares et surtout, les peines prononcées incroyablement faibles30. Les nouveaux enjeux autour
de la gestion des données personnelles appellent une réaction rapide et forte afin de faire cesser des
comportements qui, pour le moment, se généralisent. En l’absence de réaction judiciaire, il est à craindre que
le mouvement de violation des droits des personnes s’amplifie et, en pratique, que le niveau de protection soit
faible, l’application des textes restant théorique. La CNIL a donc pris une initiative importante en faveur d’une
évolution répressive. C’est désormais à l’autorité judiciaire d’affirmer sa volonté d’appliquer les sanctions
prévues par le code pénal.
30
Pour une illustration voir : ‘Scientologie, données personnelles & condamnation pénale’
http://www.droit-ntic.com/news/afficher.php?id=54
11