Un fléau en croissance exponentielle
Le spamming représente quotidiennement quelque 13 milliards de courriels et représente un manque à gagner estimé à plusieurs milliards de francs suisses pour l’économie mondiale. De façon analogue à celle de l’évolution de la puissance de calcul des microprocesseurs, le nombre de pourriel double tous les 18 mois (selon la loi de Moore). Si le spamming représentait 40% du volume de courrier électronique en l’an 2000, il dépassait déjà 40% à fin 2002 et pourrait avoisiner les 90% d’ici aux années 2004-2005. Ce chiffre catastrophique annonce-t-il la fin des messageries électroniques ? S’il n’est pas encore mort, le patient se trouve aux soins intensifs et les médecins à son chevet pourraient bel et bien définitivement perdre le contrôle de la situation au profit des spammeurs. Que faire pour enrayer ce mal alors que la tentation est si grande ? Pour un entrepreneur, il est en effet si facile et si bon marché d’envoyer un message publicitaire à une liste d’internautes. Lorsque l’on sait que les USA, principal marché mondial du spam, comptent quelque 24 millions de petites entreprises le risque est grand de voir votre boîte aux lettres se remplir de publicité électronique non demandée. Une étude du CAUCE (Coalition contre les e-mails commerciaux non sollicités) a même calculé que chaque internaute recevrait 657 pourriels supplémentaires par pourcent des petits entrepreneurs américains qui succomberaient aux sirènes de l’utilisation de ce média publicitaire pratiquement gratuit.
Comment combattre ce fléau?
Le spamming peut être combattu de trois manières différentes. Moyen de prévention le plus célèbre, les filtres de type logiciel ou matériel (pare-feu/firewall) permettent de filtrer et de détruire les pourriels à différents endroits de la chaîne de distribution (directement chez l’opérateur Internet ou dans l’ordinateur de l’internaute). La deuxième voie possible nécessiterait un changement fondamental de l’utilisation d’Internet. Il s’agit en effet de mettre en place un système de tarification de l’envoi de courriers électroniques (à l’instar du timbre pour le trafic postal traditionnel) et de modifier radicalement le fonctionnement d’Internet et de son système de messagerie par l’introduction d’un système d’identification inviolable de l’émetteur de chaque courriel. Ces deux mesures viseraient à diminuer la rentabilité et l’attractivité de l’e-mail par rapport aux autres moyens publicitaires existants. « Last but not least », la troisième voie est d’ordre juridique et vise à condamner et à interdire l’envoi de pourriels.
Filtrer pour mieux respirer
Outil de prévention le plus connu du public, les filtres à pourriels permettent aujourd’hui de filtrer jusqu’à 95% des mails non sollicités. Cette marge d’erreur peut être considérée comme relativement grossière et peut empêcher la réception de courriels attendus et désirés par le destinataire.
Changer les règles de fonctionnement d’Internet
L’argent représente toujours le nerf de la guerre. Selon cette doctrine, le meilleur moyen de détruire le spamming et de détruire sa rentabilité. En partant de ‘hypothèse qu’il coûte aux spammeurs 300 CHF pour l’envoi d’un million de pourriels. Que sur ce million d’internautes, une centaine d’individus répondront favorablement à l’offre commerciale, on parvient à calculer la rentabilité du spamming. Pour que le spammeur rentre dans ses frais, il faudra que ses nouveaux clients génèrent au moins 3 CHF de chiffre d’affaires – un chiffre très facile à atteindre, ce qui explique le succès de ce genre de pratique. L’introduction d’un système d’affranchissement postal électronique permettrait de diminuer l’attractivité du pourriel au bénéfice d’autres types de moyens de communication. Ce changement de paradigme contreviendrait totalement à la philosophie de gratuité pratiquée depuis une trentaine d’années sur le réseau des réseaux et semble très difficile – voire impossible à implanter pour des raisons d’ordre philosophique. Autre moyen possible, l’introduction d’un système de traçabilité des courriels pourrait régler une partie du problème en identifiant les spammeurs. Pour y parvenir, il faudrait impérativement changer le protocole simple (SMTP) d’acheminement des e-mails en place depuis une vingtaine d’années au profit d’une version incluant la traçabilité des messages. En cas de spamming, il deviendrait ainsi possible d’identifier et de condamner le spammeur.
Aperçu de la situation légale actuelle suisse et européenne
Selon la situation juridique actuelle en Suisse, deux conditions doivent au moins être remplies pour qu’un envoi publicitaire puisse être considéré comme licite : l’émetteur doit utiliser des adresses légalement collectées. Pour ce faire, le propriétaire de l’adresse en question doit avoir préalablement consenti à ce qu’elle soit utilisée à des fins publicitaires par certains annonceurs ou pour certains domaines d’intérêt. Deuxième condition pour l’opération soit légale, les destinataires des messages publicitaires doivent en tout temps avoir un moyen simple de faire valoir leur droit à l’effacement de leur adresse de la base de données concernée.
Malheureusement pour les internautes que nous sommes, les voies juridiques offertes aux personnes désirant s’opposer au spamming sont encore bien limitées. Pour intenter une action contre les annonceurs du secteur privé, il faut suivre la loi du droit civil. Cette voie est ardue parce qu’elle génère bien souvent des frais élevé sans pour autant donner une garantie quant à son issue. Il y a trois ans, le Conseil Fédéral a accepté une motion (cf motion 00.3393) demandant que l’on modifie la législation en vigueur. Dans le cadre de la révision de la loi sur les télécommunications (LTC), il est prévu d’introduire un article correspondant dans la loi fédérale contre la concurrence déloyale (LCD).
La situation dans les pays limitrophes diffère d’une nation à l’autre. La France connaît un régime nettement plus sévère que celui en vigueur en Suisse. Les fichiers d’adresses doivent être communiqués à l’autorité de surveillance et une violation des dispositions réglant la collecte ou la communication licite d’adresses peut entraîner des conséquences pénales (jusqu’à cinq ans de prison et 300'000 Euros d’amende. Au niveau continental, l’Union Européenne a encré le principe du consentement préalable dans sa directive. Ses états membres doivent avoir transposé cette directive dans leur droit national d’ici au 31 octobre 2003. Certains pays (Autriche, Danemark, Finlande et Italie) ont déjà appliqué ce principe.
Faire évoluer la législation en vigueur
La législation doit impérativement évoluer au niveau mondial
L’e-mail étant une nouvelle technologie, les lois actuellement en vigueur ne prennent pas réellement en compte ses particularités. La législation doit donc évoluer pour intégrer les nouvelles technologies. Même si le train est en marche, l’évolution juridique est un phénomène aussi long que complexe. Au niveau mondial, l’Union Européenne a le vent en poupe et est suivie par les Etats-Unis mais le reste du monde semble avoir d’autres soucis plus pressants que la lutte contre le spamming et donc d’autres priorités de modifications d’ordre juridique. A l’heure du village global, les spammeurs pourront donc longtemps délocaliser leurs serveurs sur un territoire « émergent » disposant d’une législation encore tolérable à leur égard et contourner ainsi les lois plus restrictives des pays riches.
Une situation grave mais pas encore désespérée
La lecture de ces lignes ne doit pas nous désespérer. Si la situation n’a jamais été aussi préoccupante elle n’est pas encore désespérée. Pour y parvenir, il faudra selon toute vraisemblance malheureusement limiter la liberté de l’internaute, pour son propre bien, et renoncer définitivement de croire que les lois, coutumes et traditions régissant le cybermonde diffèrent de celles régissant le monde réel dans lequel nous vivons.
Deux cas helvétiques de spamming qui ont défrayé la chronique:
Les campagnes de publicité par courrier électronique en masse (spam) ne cessent de s’intensifier. Notre législation est encore insuffisante pour faire face au harcèlement publicitaire qu’est le spam. Deux affaires nous ont plus particulièrement occupés ces derniers mois. La première a trait à la commercialisation d’un CD-ROM contenant les données personnelles de plus d’un demi- million de personnes résidant en Suisse et la seconde concerne l’envoi répété et massif de publicités non désirés par e-mail en provenance d’une personne domiciliée à Zürich.
La législation suisse consacre le principe dit de «l’opt-out» (par opposition au principe dit de «l’opt-in»). Cela signifie que la publicité par e-mail est par principe admise, sauf en cas de refus exprès du destinataire. La Suisse est en train de revoir sa législation afin de la rendre plus contraignante à l’encontre des publicités non désirées adressées par la voie du e-mail. Au niveau européen, ce principe est déjà devenu obligatoire pour la publicité par appels téléphoniques avec sélection automatique et par voie de SMS.
Affaire du CD-ROM Black Book 2000
Il s’agit d’un CD-ROM baptisé «Black Book 2000» produit aux USA et commercialisé en Suisse. Grâce à plusieurs tabelles de présélection, celui-ci donnait accès aux noms, prénom, profession, adresse e-mail et postale d’environ 500’000 personnes résidant en Suisse. Après enquête, le préposé fédéral à la protection des données a pu constater que ces données n’avaient pas toujours été collectées de manière licite. Des adresses e-mail ont notamment été extraites de la banque de données du service d’enregistrement des noms de domaines helvétiques Switch, contrairement aux finalités explicites de cette dernière. D’autres adresses e-mail ont été tirées du site Internet d’une personne ayant expressément exclu son utilisation à des fins publicitaires. Enfin, certaines données personnelles ont été collectées, alors même que la personne s’y était publiquement. Par ailleurs, le CD-ROM faisait figurer la mention «opt-in» aux côtés des données, alors même que le consentement exprès des personnes concernées n’avait pas été obtenu en amont. De surcroît, le CD-ROM comportait une multitude de données personnelles fausses, ce qui contrevient au principe de l’exactitude des données. Le diffuseur du CD-ROM en Suisse a considéré pour sa part, qu’il n’y avait pas de collecte illicite. Selon lui, les données en cause avait été réunies à partir de différents espaces publics (site Internet et forum de discussion). De plus, lesdites données avaient été réunies grâce à l’utilisation d’un moteur de recherche particulier. Celui-ci était soit disant capable de repérer le refus d’une personne quant à l’utilisation de ses données personnelles à condition que ladite personne ait exprimé ce refus par Metatags (programmation dans le code source). En outre, le moteur de recherche en question était standard pour la communauté des utilisateurs d’Internet. Enfin, il est précisé sur le CD-ROM lui-même qu’il ne doit pas servir d’instrument de spam.
Bien que l’activité de spam n’ait pu être démontrée, le préposé fédéral à la protection des données a estimé que le CD-ROMn’était pas conforme à la législation suisse sur la protection des données. Dans sa recommandation adressée au vendeur dudit CD-ROM en Suisse, le préposé a demandé qu’il ne soit plus commercialisé dans sa version actuelle, que les données collectées de manière illicite soient supprimées dans la prochaine version, que les droits des personnes concernées soient respectés, que les inexactitudes soient supprimées et enfin, qu’il soit donné suite au droit d’accès.
Affaire de la vente d’articles par spam
Depuis des années, une personne domiciliée à Zurich entreprend régulièrement des
campagnes de publicité par e-mail pour différents produits. Les e-mails contiennent
un talon-réponse où figure son adresse pour les commandes. En revanche l’identité de l’expéditeur du spam lui-même n’apparaît jamais clairement. Cependant, il ne fait nul doute qu’il s’agit de la même personne, celle-ci n’ayant jamais nié son rôle dans l’expédition desdites publicités (le spammeur). Or lorsqu’une personne destinataire
d’un tel spam exerce son droit d’accès, le spammeur refuse d’y donner suite. Il considère ,en effet, que les adresses e-mail ne sont pas des données personnelles et qu’en conséquence, ses publicités ne tombent pas sous le coup de la loi. Le préposé a réaffirmé que l’utilisation d’adresses e-mail représente un traitement de données personnelles tombant sous le coup de la loi sur la protection des données. De plus, les adresses e-mail constituent des données personnelles, y compris en cas d’utilisation d’un pseudonyme. En effet, une adresse e-mail se rapporte nécessairement à une personne donnée qui, si elle n’est pas immédiatement identifiée, reste pour le moins identifiable. Le préposé fédéral à la protection des données a demandé au spammeur de garantir les droits des personnes concernées à savoir de supprimer de son fichier d’adresses leurs données personnelles et de permettre l’exercice du droit d’accès.
Le spamming représente quotidiennement quelque 13 milliards de courriels et représente un manque à gagner estimé à plusieurs milliards de francs suisses pour l’économie mondiale. De façon analogue à celle de l’évolution de la puissance de calcul des microprocesseurs, le nombre de pourriel double tous les 18 mois (selon la loi de Moore). Si le spamming représentait 40% du volume de courrier électronique en l’an 2000, il dépassait déjà 40% à fin 2002 et pourrait avoisiner les 90% d’ici aux années 2004-2005. Ce chiffre catastrophique annonce-t-il la fin des messageries électroniques ? S’il n’est pas encore mort, le patient se trouve aux soins intensifs et les médecins à son chevet pourraient bel et bien définitivement perdre le contrôle de la situation au profit des spammeurs. Que faire pour enrayer ce mal alors que la tentation est si grande ? Pour un entrepreneur, il est en effet si facile et si bon marché d’envoyer un message publicitaire à une liste d’internautes. Lorsque l’on sait que les USA, principal marché mondial du spam, comptent quelque 24 millions de petites entreprises le risque est grand de voir votre boîte aux lettres se remplir de publicité électronique non demandée. Une étude du CAUCE (Coalition contre les e-mails commerciaux non sollicités) a même calculé que chaque internaute recevrait 657 pourriels supplémentaires par pourcent des petits entrepreneurs américains qui succomberaient aux sirènes de l’utilisation de ce média publicitaire pratiquement gratuit.
Comment combattre ce fléau?
Le spamming peut être combattu de trois manières différentes. Moyen de prévention le plus célèbre, les filtres de type logiciel ou matériel (pare-feu/firewall) permettent de filtrer et de détruire les pourriels à différents endroits de la chaîne de distribution (directement chez l’opérateur Internet ou dans l’ordinateur de l’internaute). La deuxième voie possible nécessiterait un changement fondamental de l’utilisation d’Internet. Il s’agit en effet de mettre en place un système de tarification de l’envoi de courriers électroniques (à l’instar du timbre pour le trafic postal traditionnel) et de modifier radicalement le fonctionnement d’Internet et de son système de messagerie par l’introduction d’un système d’identification inviolable de l’émetteur de chaque courriel. Ces deux mesures viseraient à diminuer la rentabilité et l’attractivité de l’e-mail par rapport aux autres moyens publicitaires existants. « Last but not least », la troisième voie est d’ordre juridique et vise à condamner et à interdire l’envoi de pourriels.
Filtrer pour mieux respirer
Outil de prévention le plus connu du public, les filtres à pourriels permettent aujourd’hui de filtrer jusqu’à 95% des mails non sollicités. Cette marge d’erreur peut être considérée comme relativement grossière et peut empêcher la réception de courriels attendus et désirés par le destinataire.
Changer les règles de fonctionnement d’Internet
L’argent représente toujours le nerf de la guerre. Selon cette doctrine, le meilleur moyen de détruire le spamming et de détruire sa rentabilité. En partant de ‘hypothèse qu’il coûte aux spammeurs 300 CHF pour l’envoi d’un million de pourriels. Que sur ce million d’internautes, une centaine d’individus répondront favorablement à l’offre commerciale, on parvient à calculer la rentabilité du spamming. Pour que le spammeur rentre dans ses frais, il faudra que ses nouveaux clients génèrent au moins 3 CHF de chiffre d’affaires – un chiffre très facile à atteindre, ce qui explique le succès de ce genre de pratique. L’introduction d’un système d’affranchissement postal électronique permettrait de diminuer l’attractivité du pourriel au bénéfice d’autres types de moyens de communication. Ce changement de paradigme contreviendrait totalement à la philosophie de gratuité pratiquée depuis une trentaine d’années sur le réseau des réseaux et semble très difficile – voire impossible à implanter pour des raisons d’ordre philosophique. Autre moyen possible, l’introduction d’un système de traçabilité des courriels pourrait régler une partie du problème en identifiant les spammeurs. Pour y parvenir, il faudrait impérativement changer le protocole simple (SMTP) d’acheminement des e-mails en place depuis une vingtaine d’années au profit d’une version incluant la traçabilité des messages. En cas de spamming, il deviendrait ainsi possible d’identifier et de condamner le spammeur.
Aperçu de la situation légale actuelle suisse et européenne
Selon la situation juridique actuelle en Suisse, deux conditions doivent au moins être remplies pour qu’un envoi publicitaire puisse être considéré comme licite : l’émetteur doit utiliser des adresses légalement collectées. Pour ce faire, le propriétaire de l’adresse en question doit avoir préalablement consenti à ce qu’elle soit utilisée à des fins publicitaires par certains annonceurs ou pour certains domaines d’intérêt. Deuxième condition pour l’opération soit légale, les destinataires des messages publicitaires doivent en tout temps avoir un moyen simple de faire valoir leur droit à l’effacement de leur adresse de la base de données concernée.
Malheureusement pour les internautes que nous sommes, les voies juridiques offertes aux personnes désirant s’opposer au spamming sont encore bien limitées. Pour intenter une action contre les annonceurs du secteur privé, il faut suivre la loi du droit civil. Cette voie est ardue parce qu’elle génère bien souvent des frais élevé sans pour autant donner une garantie quant à son issue. Il y a trois ans, le Conseil Fédéral a accepté une motion (cf motion 00.3393) demandant que l’on modifie la législation en vigueur. Dans le cadre de la révision de la loi sur les télécommunications (LTC), il est prévu d’introduire un article correspondant dans la loi fédérale contre la concurrence déloyale (LCD).
La situation dans les pays limitrophes diffère d’une nation à l’autre. La France connaît un régime nettement plus sévère que celui en vigueur en Suisse. Les fichiers d’adresses doivent être communiqués à l’autorité de surveillance et une violation des dispositions réglant la collecte ou la communication licite d’adresses peut entraîner des conséquences pénales (jusqu’à cinq ans de prison et 300'000 Euros d’amende. Au niveau continental, l’Union Européenne a encré le principe du consentement préalable dans sa directive. Ses états membres doivent avoir transposé cette directive dans leur droit national d’ici au 31 octobre 2003. Certains pays (Autriche, Danemark, Finlande et Italie) ont déjà appliqué ce principe.
Faire évoluer la législation en vigueur
La législation doit impérativement évoluer au niveau mondial
L’e-mail étant une nouvelle technologie, les lois actuellement en vigueur ne prennent pas réellement en compte ses particularités. La législation doit donc évoluer pour intégrer les nouvelles technologies. Même si le train est en marche, l’évolution juridique est un phénomène aussi long que complexe. Au niveau mondial, l’Union Européenne a le vent en poupe et est suivie par les Etats-Unis mais le reste du monde semble avoir d’autres soucis plus pressants que la lutte contre le spamming et donc d’autres priorités de modifications d’ordre juridique. A l’heure du village global, les spammeurs pourront donc longtemps délocaliser leurs serveurs sur un territoire « émergent » disposant d’une législation encore tolérable à leur égard et contourner ainsi les lois plus restrictives des pays riches.
Une situation grave mais pas encore désespérée
La lecture de ces lignes ne doit pas nous désespérer. Si la situation n’a jamais été aussi préoccupante elle n’est pas encore désespérée. Pour y parvenir, il faudra selon toute vraisemblance malheureusement limiter la liberté de l’internaute, pour son propre bien, et renoncer définitivement de croire que les lois, coutumes et traditions régissant le cybermonde diffèrent de celles régissant le monde réel dans lequel nous vivons.
Deux cas helvétiques de spamming qui ont défrayé la chronique:
Les campagnes de publicité par courrier électronique en masse (spam) ne cessent de s’intensifier. Notre législation est encore insuffisante pour faire face au harcèlement publicitaire qu’est le spam. Deux affaires nous ont plus particulièrement occupés ces derniers mois. La première a trait à la commercialisation d’un CD-ROM contenant les données personnelles de plus d’un demi- million de personnes résidant en Suisse et la seconde concerne l’envoi répété et massif de publicités non désirés par e-mail en provenance d’une personne domiciliée à Zürich.
La législation suisse consacre le principe dit de «l’opt-out» (par opposition au principe dit de «l’opt-in»). Cela signifie que la publicité par e-mail est par principe admise, sauf en cas de refus exprès du destinataire. La Suisse est en train de revoir sa législation afin de la rendre plus contraignante à l’encontre des publicités non désirées adressées par la voie du e-mail. Au niveau européen, ce principe est déjà devenu obligatoire pour la publicité par appels téléphoniques avec sélection automatique et par voie de SMS.
Affaire du CD-ROM Black Book 2000
Il s’agit d’un CD-ROM baptisé «Black Book 2000» produit aux USA et commercialisé en Suisse. Grâce à plusieurs tabelles de présélection, celui-ci donnait accès aux noms, prénom, profession, adresse e-mail et postale d’environ 500’000 personnes résidant en Suisse. Après enquête, le préposé fédéral à la protection des données a pu constater que ces données n’avaient pas toujours été collectées de manière licite. Des adresses e-mail ont notamment été extraites de la banque de données du service d’enregistrement des noms de domaines helvétiques Switch, contrairement aux finalités explicites de cette dernière. D’autres adresses e-mail ont été tirées du site Internet d’une personne ayant expressément exclu son utilisation à des fins publicitaires. Enfin, certaines données personnelles ont été collectées, alors même que la personne s’y était publiquement. Par ailleurs, le CD-ROM faisait figurer la mention «opt-in» aux côtés des données, alors même que le consentement exprès des personnes concernées n’avait pas été obtenu en amont. De surcroît, le CD-ROM comportait une multitude de données personnelles fausses, ce qui contrevient au principe de l’exactitude des données. Le diffuseur du CD-ROM en Suisse a considéré pour sa part, qu’il n’y avait pas de collecte illicite. Selon lui, les données en cause avait été réunies à partir de différents espaces publics (site Internet et forum de discussion). De plus, lesdites données avaient été réunies grâce à l’utilisation d’un moteur de recherche particulier. Celui-ci était soit disant capable de repérer le refus d’une personne quant à l’utilisation de ses données personnelles à condition que ladite personne ait exprimé ce refus par Metatags (programmation dans le code source). En outre, le moteur de recherche en question était standard pour la communauté des utilisateurs d’Internet. Enfin, il est précisé sur le CD-ROM lui-même qu’il ne doit pas servir d’instrument de spam.
Bien que l’activité de spam n’ait pu être démontrée, le préposé fédéral à la protection des données a estimé que le CD-ROMn’était pas conforme à la législation suisse sur la protection des données. Dans sa recommandation adressée au vendeur dudit CD-ROM en Suisse, le préposé a demandé qu’il ne soit plus commercialisé dans sa version actuelle, que les données collectées de manière illicite soient supprimées dans la prochaine version, que les droits des personnes concernées soient respectés, que les inexactitudes soient supprimées et enfin, qu’il soit donné suite au droit d’accès.
Affaire de la vente d’articles par spam
Depuis des années, une personne domiciliée à Zurich entreprend régulièrement des
campagnes de publicité par e-mail pour différents produits. Les e-mails contiennent
un talon-réponse où figure son adresse pour les commandes. En revanche l’identité de l’expéditeur du spam lui-même n’apparaît jamais clairement. Cependant, il ne fait nul doute qu’il s’agit de la même personne, celle-ci n’ayant jamais nié son rôle dans l’expédition desdites publicités (le spammeur). Or lorsqu’une personne destinataire
d’un tel spam exerce son droit d’accès, le spammeur refuse d’y donner suite. Il considère ,en effet, que les adresses e-mail ne sont pas des données personnelles et qu’en conséquence, ses publicités ne tombent pas sous le coup de la loi. Le préposé a réaffirmé que l’utilisation d’adresses e-mail représente un traitement de données personnelles tombant sous le coup de la loi sur la protection des données. De plus, les adresses e-mail constituent des données personnelles, y compris en cas d’utilisation d’un pseudonyme. En effet, une adresse e-mail se rapporte nécessairement à une personne donnée qui, si elle n’est pas immédiatement identifiée, reste pour le moins identifiable. Le préposé fédéral à la protection des données a demandé au spammeur de garantir les droits des personnes concernées à savoir de supprimer de son fichier d’adresses leurs données personnelles et de permettre l’exercice du droit d’accès.