Le spamming consiste en l’envoi massif de courriers électroniques non sollicités, le plus souvent il revêt un caractère publicitaire. Le spamming suppose alors la collecte préalable d’adresses mails. Comment le droit régit-il le spamming ?

I. Définition et position du problème

Défini par la CNIL comme  » l’envoi massif – et parfois répété- de courriers électroniques non sollicités, le plus souvent à caractère commercial, à des personnes avec lesquelles l’expéditeur n’a jamais eu de contact et dont il a capté l’adresse électronique dans les espaces publics de l’Internet : forums de discussion, listes de diffusion, annuaires, sites Web, etc. « , le spamming, ou  » pollupostage « , constitue une dérive du marketing en ligne qui permet aux entreprises de  » toucher  » rapidement, directement et massivement les internautes par le biais de leur boite aux lettres électronique, et de réduire ainsi considérablement l’ensemble des frais qu’il leur faut engager.

Cependant, utilisée massivement depuis 1997, une telle pratique suppose que les entreprises aient préalablement collectées les adresses, auxquelles elles envoient ces courriers non sollicités, conformément aux dispositions des législations de protection des données (loi  » Informatique et liberté  » du 6 janvier 1978, directives européennes du 25 octobre 1995, du 20 mai 1997 et du 15 décembre 1997).

En effet, l’adresse électronique constitue une donnée personnelle au sens de ces législations. Or, bien souvent, cette collecte se fait de façon sauvage au moyen de  » logiciels aspirateurs  » d’adresses présentes sur les listes de diffusion ou les forums de discussion.

La pratique du spamming pose donc deux problèmes au regard des règles relatives à la protection des données personnelles que constituent les adresses e-mail :

– celui des conditions de collecte et d’utilisation de ces données personnelles à des fins de prospection, notamment quand cette collecte a lieu dans les espaces publics de l’Internet

– celui de l’appréciation des moyens mis en œuvre pour permettre aux personnes prospectées de s’y opposer ( » opt-in  » et  » opt-out « )

II. Typologie et conséquences du spamming

Le spamming est susceptible d’affecter trois types de ressources Internet : les forums de discussion, lesmoteurs de recherche et le courrier électronique.

Dans le premier cas, il peut consister en des pratiques de multipostage abusif, Excessive Multi-posting (EMP) et Excessive Cross Posting (ECP), qui vont perturber le fonctionnement des forums de discussion.

Ces pratiques peuvent être identifiées et quantifiées à l’aide d’outils spécifiques, outils permettant de prendre la mesure de la nocivité des envois réalisés en nombre sur les groupes de discussion.

Ainsi, l’envoi d’un même message à plusieurs groupes identifiés pendant une période de 45 jours conduit à retenir la qualification de spamming.

Mais précisons que ce seuil n’est qu’indicatif car d’autres paramètres, tels que la méthode employée ou la quantité de messages envoyés, sont également pris en compte.

Dans une seconde hypothèse, le spamming peut correspondre à une indexation abusive dans les moteurs de recherche. On parle alors d’engine spamming ou de spamdexing.

Pour lutter contre une telle menace, les principaux moteurs de recherche ont mis en place de nombreuses solutions techniques.

A titre d’illustration, le moteur de recherche d’Infoseek procède au déclassement automatique de tout site contenant plus de sept mots identiques.

Enfin, le spamming peut se manifester au travers du courrier électronique qui est devenu le principal vecteur commercial des entreprises actives sur le réseau Internet.

La raison tient simplement au fait que contrairement à la prospection traditionnelle (effectuée par voie postale, téléphonique ou par télécopie) qui faisait peser la totalité des frais de prospection sur l’expéditeur, le courrier électronique ne présente qu’un très faible coût.

Ces entreprises recourent à des techniques aussi diverses que les lettres d’information contenant des hyperliens ou que les messages d’alerte.

En matière de courrier électronique, la qualification de spamming dépendra généralement de deux critères :

– le caractère non sollicité du message envoyé (dont l’objet publicitaire le transforme en message promotionnel non sollicité),

– les charges que ces courriers génèrent au détriment du destinataire et du fournisseur d’accès ( » cost-shifting « ).

Ces spams vont avoir pour conséquences d’engorger le réseau, d’augmenter les délais de connexion lors de la réception des messages et donc les frais supportés par les fournisseurs d’accès forcés de mettre en place un filtrage adapté.

Ceux-ci se retrouvent dans l’obligation de répercuter les coûts sur les offres d’abonnement.

Ainsi, selon une étude commandée par la Commission européenne, les abonnés à l’Internet paieraient, à leur insu, un montant estimé à 10 milliards d’euros par an en frais de connexion, cela uniquement pour recevoir des messages non sollicités.

On comprend donc la nécessité d’une réglementation efficace du spamming.

Le publipostage électronique peut s’effectuer à l’égard de clients ou de visiteurs d’un site web, à l’égard de prospects grâce à des listes d’e-mails fournies par un tiers ou collectées dans les espaces publics de l’Internet.

Seule cette dernière hypothèse pose réellement problème.

Dans le premier cas, la collecte est directe puisque le fichier d’adresse est constitué à partir des mails des internautes avec lesquels le prospecteur s’est trouvé en contact direct. Les règles de protection des données personnelles autorisent alors l’envoi de courriers électroniques de prospection à condition de respecter le droit de chaque internaute de s’opposer à en recevoir ; ceci suppose qu’il ait été informé et mis en mesure d’exercer son droit d’opposition lors de la collecte initiale de ses données personnelles.

Dans le cas où le publipostage se fait à partir de listes d’adresses fournies par un tiers, la collecte est indirecte. L’internaute a communiqué son e-mail à un site qui a ensuite cédé son fichier de mails à un tiers aux fins de prospection.

Là encore, si l’internaute a été informé lors de la collecte initiale de ses données personnelles de cette possibilité et qu’il a été mis en mesure de s’y opposer, alors la collecte sera considérée comme licite.

La dernière hypothèse suppose que l’e-mail de l’internaute ait été capturé dans un espace public (forums de discussion, listes de diffusion…) sans que celui-ci ou le responsable de l’espace diffusant les données n’en ait eu connaissance. Cette collecte déloyale rendrait illicite toute les opérations de traitement ultérieures.

Précisons que la réglementation du spamming est envisagée à travers  » l’opt-in  » (opter pour) et  » l’opt-out  » (opter contre).

L’opt-in oblige les prospecteurs à obtenir le consentement des internautes à recevoir des sollicitations préalablement à tout envoi de courrier électronique.

Quant à  » l’opt-out « , elle est plus avantageuse pour les prospecteurs car ils peuvent directement démarcher les internautes qui ne peuvent s’opposer à l’envoi de sollicitations qu’ a posteriori.

Rappelons les principales législations adoptées en Europe et aux Etats-Unis ainsi que les droits qu’elles accordent aux internautes et obligations qu’elles mettent à la charge des prospecteurs.

III. La réglementation : état des lieux et perspectives

Depuis 1997 la réflexion juridique relative au spamming a beaucoup évolué.

La directive CE du 24 octobre 1995 relative à la protection des données personnelles ne traite pas spécifiquement de la prospection électronique, mais elle s’applique toutefois aux traitements des données personnelles mis en œuvre sur Internet.

Elle reprend en partie le contenu de la loi de janvier 1978 et pose plusieurs principes relatifs à la finalité et à la loyauté de la collecte, à la légitimité du traitement, à l’information des personnes ainsi qu’au droit d’opposition dont elles bénéficient.

Ainsi, son article 6.1(a et b) prévoit que  » les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités « , c’est à dire de façon loyale et licite.

Son article 7 précise qu’un traitement de données ne peut être légitime qu’à la double condition d’être nécessaire au but légitime poursuivi par son responsable et que la personne concernée ait  » indubitablement  » donné son consentement. Ces deux conditions sont appliquées en matière de prospection électronique.

La nature de l’information délivrée aux personnes dans les hypothèses de collecte directe ou indirecte et les droits attachés à chaque type de collecte sont rappelés : finalité et caractère facultatif ou obligatoire de la collecte, destinataires des données collectées, existence d’un droit d’accès et de rectification, existence d’un droit gratuit et sur demande de s’opposer au traitement de ses données à des fins de prospection, possibilité de refuser toute communication ou utilisation de ses données par des tiers.

La directive du 15 décembre 1997 (article 12) complète le dispositif de la directive de 1995 en imposant un consentement préalable exprès des consommateurs pour l’utilisation d’automates d’appels ou de télécopieurs dans des opérations de prospection directe.

Quant aux opérations de prospections autres que celles recourant à des automates d’appels, il appartient aux Etats de choisir entre l’exigence d’un consentement préalable et exprès du destinataire (opt-in) ou un droit d’opposition de la part du destinataire, avec possibilité d’une inscription dans un registre spécifique (opt-out).

Lorsque le choix se porte vers  » l’opt-out « , la directive du 8 juin 2000 impose que des mesures d’accompagnement soient adoptées : identification claire et non équivoque, par l’expéditeur des communications commerciales, de la personne pour le compte de laquelle ces communications sont faites ; identification de la nature commerciale des messages dès leur réception par le destinataire.

La directive européenne du 20 mai 1997, dite  » directive vente à distance « et qui devait être transposée avant ?, consacre le système de  » l’opt-out  » en son article 10 (l’internaute doit choisir de ne pas recevoir de mails), tout en laissant la possibilité aux Etats membres de choisir  » l’opt-in « .

C’est ainsi que l’Allemagne, l’Italie, la Finlande, l’Autriche et le Danemark ont consacré  » l’opt-in  » pour réglementer la pratique du spamming sur leur territoire.

La France n’a d’ailleurs transposé partiellement cette directive que par une ordonnance du 23 août 2001.

Son article 12 introduit un nouvel article L. 121-20-5 du Code de la consommation et consacre le système de  » l’opt-out  » pour la prospection commerciale par courrier électronique non sollicité et dont les modalités d’application seront fixées ultérieurement par un décret pris en Conseil d’Etat.

Cette transposition devance et annule une disposition du projet de loi sur la société de l’information du 18 juin 2001(article 22) qui consacrait  » l’opt-out  » en insérant un nouvel article au Code de la consommation (L. 121-15-1) tout en prévoyant des mesures d’accompagnement.

Cet article 22, reprenant l’article 7 de la directive du 8 juin 2000, exige une identification claire et non équivoque des publicités non sollicitées et des offres promotionnelles adressées par courrier électronique, et cela dès leur réception par leur destinataire.

De plus, sur chaque message non sollicité, une mention doit apparaître et indiquer au destinataire qu’il existe des registres d’opposition lui permettant d’exercer son droit de refuser ces envois.

Enfin, le projet de LSI précise expressément que ces nouvelles dispositions s’appliquent également aux e-mails non sollicités à destination des professionnels.

Le 13 novembre 2001, le Parlement européen adoptait une proposition de directive « concernant le traitement de données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques  » ; il y consacrait le système de  » l’opt-in  » dans son article 13 mais uniquement pour les SMS, se prononçait contre l’emploi des cookies sans le consentement de l’internaute, mais laissait le choix aux Etats quant au système à adopter en matière d’e-mails non sollicités.

Suite à cette proposition, un rapport était rendu mais optait pour le système de  » l’opt-out  » par peur que le système de «  l’opt-in  » ne constitue une entrave au développement du commerce électronique en Europe par rapport aux autres régions du monde.

Le Conseil européen, suite aux vives critiques suscitées par la position du Parlement, a finalement adopté une position commune sur cette directive le 21 janvier 2002 et a pris position en faveur de  » l’opt-in « , les Ministres européens des télécommunications s’étant par ailleurs clairement prononcés pour  » l’opt-in  » le 6 décembre 2001.

Les Etats membres n’ont donc plus le choix entre les deux systèmes.

Selon son article 13  » l’utilisation de (…) courrier électronique à des fins de prospection directe ne peut être autorisée que si elle vise des abonnés ayant donné leur consentement préalable « .

Dès lors que l’adresse de l’émetteur n’est pas clairement précisée ou s’il s’agit d’une fausse adresse, toute communication de cette nature sera formellement prohibée.

Quant aux Etats, ils doivent veiller à ce que les personnes morales soient suffisamment protégées en ce qui concernent les communications non sollicitées.

Néanmoins, le texte prévoit que lorsque les coordonnées électroniques d’un client sont obtenues directement, c’est à dire dans le respect de la directive de 1995, par une personne dans le cadre d’un achat d’un produit ou d’un service, ladite personne peut exploiter ces coordonnées à des fins de prospection directe pour des services ou produits analogues.

Mais il existe une condition : les clients doivent avoir la faculté de s’opposer, sans frais et de manière simple, à une telle exploitation lors de leur collecte ou de chaque message.

Ce texte est le premier à différencier le régime applicable à l’utilisation du courrier électronique à des fins de prospection directe selon que les adresses ont été obtenues directement ou non par l’expéditeur des messages.

Le Parlement européen a réaffirmé le principe de l’opt-in pour l’envoi de « communications non sollicitées effectuées à des fins de prospection directe ».

Le texte doit ensuite passer devant le Conseil des ministres pour être définitivement approuvé puis, il sera publié au Journal Officiel vers fin juillet 2002. Les Etats membres disposeront alors d’un délai de 15 mois pour transposer la directive dans leur législation nationale.

Quant aux Etats-Unis, la situation n’est guère différente. Trois Etats américains (Washington loi du 25/03/1998 ; Californie li du 26/09/1998 et Névada en 1999) prohibent et sanctionnent d’une lourde peine d’amende l’envoi de courriers électroniques à caractère commercial non sollicités par leurs destinataires.

Outre le Telephone Consumer Protection Act (1991)qui prohibe la prospection non sollicitée par voie de télécopie et que certains souhaitent voir étendu aux courriers électroniques, il nous faut évoquer le Unsolicited commercial Eletronic Mail Act of 2000 (17 juin 2000) qui retient le système de  » l’opt-out « .

Notons qu’un projet de loi visant à lutter contre l’envoi de courriers non sollicités sera soumis au vote du Comité du Sénat en charge du Commerce le 16 mai 2002 ; Ce projet prévoit l’obligation pour les entreprises de e-marketing de faire figurer sur ces courriers une adresse e-mail valide, afin de permettre à leurs destinataires de proscrire le cas échéant ce type de messages, et ce sous peine de sanctions pénales.

De même, le projet se prononce en faveur de la prohibition de la pratique qui consiste à faire figurer des titres à caractère trompeur, et sans relation avec le contenu du message, afin d’inciter le destinataire à en prendre connaissance.

Il prévoit également le renforcement des pouvoirs de la Federal Trade Commission (FTC) : elle pourra infliger aux entreprises fautives des amendes pouvant aller jusqu’à $30 par e-mail envoyé, et au maximum de $1 500 000.

Quant aux Procureurs, ils pourront engager des poursuites judiciaires contre ces entreprises.

La législation américaine a décidé d’imposer une amende de 10 $US par pourriel, avec un plafond de 500 000 $US. Une proposition de loi a été votée en mai 2002 par le Sénat américain, et approuvée unanimement par les Démocrates et les Républicains.

IV. Jurisprudence récente

A) France

Pour la première fois en droit français la pratique du spam a été condamnée par une ordonnance de référé du TGI de Paris (15 janvier 2002).

Le juge Jean-Jacques Gomez (affaires « Yahoo » et « J’accuse » ) a estimé cette pratique  » déloyale et gravement perturbatrice  » et contrevenant ainsi au contrat passé entre l’auteur du spam et son fournisseur d’accès à internet.

En l’espèce, l’internaute spammeur avait engagé une action contre ses FAI (Free et Liberty-Surf) pour rupture unilatérale de contrat, ces derniers ayant coupé ses accès Internet devant l’importance des spams constatés. L’internaute a donc été condamné à payer la somme de 1524 euros à ses FAI pour procédure abusive.

Cette décision semble s’inscrire dans le cadre de plusieurs directives européennes qui devraient interdire ce type de pratique.

Une affaire dont les faits sont similaires avait déjà été jugée par le TGI de Rochefort sur Mer le 28 février 2001.

En l’espèce, un internaute intentait une action contre son FAI pour rupture unilatérale de son contrat.

Cette rupture faisait suite à la constatation d’un envoi massif de messages publicitaires en direction des forums de discussion, par cet internaute, et dans le but de développer ses activités commerciales; cet envoi fut d’ailleurs dénoncé par de nombreux utilisateurs.

Sommé de respecter les usages en vigueur et de stopper cette pratique sous peine de voir son contrat interrompu «  immédiatement et sans préavis « , l’internaute a pourtant persisté, pensant que le spamming à l’encontre des forums de discussion n’était pas prohibé.

Le tribunal va pourtant débouter le demandeur au motif que l’usage constitue une source de droit et qu’à ce titre il  » s’impose à celui qui se livre à une activité entrant dans son champ d’application  » ; c’est donc à bon droit que le FAI pouvait résilier de façon unilatérale le contrat le liant à son abonné.

Les juges visent l’article l’article 1135 du Code Civil qui prévoit que «  les conventions obligent non seulement à ce qui y est exprimé, mais encore à toutes les suites que l’équité, l’usage ou la loi donnent à l’obligation d’après sa nature « .

Notons que contrairement au TGI de Paris, l’internaute n’avait pas été condamné pour procédure abusive par le TGI de Rochefort sur Mer.

B) Etats-Unis et Canada

La Cour supérieure de l’Ontario s’est pour la première fois prononcée sur une affaire traitant du spamming en 1999 (Cour supérieure de l’Ontario, aff. 1267632 Ontario Inc. c. Nexx Online Inc, 09/07/1999).

Dans ce cas, un prestataire de services canadien (Nexx Online) prend la décision de fermer le compte d’hébergement d’une société cliente (Ontario Inc)gérant un site, au motif que ce site avait procédé à un envoi massif de courriers non sollicités (plus de 200 000 par jour) grâce aux service d’un autre prestataire.

Or, le contrat d’hébergement les liant renvoyait expressément aux règles de la  » Netiquette  » qui prohibe une telle pratique.

La société Ontario Inc décide donc de poursuivre son prestataire Nexx Online pour non respect de ses obligations contractuelles. Analysant les termes dudit contrat, le juge constate qu’aucune clause apparente n’interdisait au client de distribuer des courriers commerciaux non sollicités.

Cependant, la Cour relève l’existence de deux clauses par lesquelles le client s’engage par l’une, à respecter la  » Netiquette « , et par l’autre à accepter l’adjonction de nouvelles conditions contractuelles. Or, le prestataire de services avait informé son client, quelques mois avant la constatation de la pratique interdite, qu’il n’accepterait aucune distribution de courriers commerciaux non-sollicités à l’aide de ses services.

La  » Netiquette  » constitue un ensemble de règles de savoir vivre que se doivent de respecter les utilisateurs d’Internet, à savoir  » un code en évolution, non écrit et basé sur les principes de bon voisinage pour un développement ordonné de l’Inforoute.  »

Cette affaire a permis au juge, malgré l’absence de jurisprudence canadienne, de conférer une force juridique aux règles non-écrites de la « Netiquette » en matière de spamming en les déduisant d’un ensemble de documents, dont l’article d’un auteur américain, mais surtout de principes résultant de la jurisprudence dégagée par les tribunaux aux Etats-Unis.

Selon cette jurisprudence, l’envoi de courriers non sollicités en grand nombre s’avère contraire aux principes de la  » Netiquette « , sauf si le fournisseur de services prévoit, par contrat, un tel envoi.

Précisons que 18 Etats ont dores et déjà adopté une législation visant à lutter contre le spamming, la Californie condamnant même les auteurs de spams à une amende de 58 euros par message non sollicité envoyé.

La Cour Suprême californienne a d’ailleurs récemment confirmé que la loi anti-spam en viguer dans cet Etat ne contrevient pas à la Constitution américaine (avril 2002).

Quant à la juridiction canadienne, elle a conclu sur le fait que  » la pratique du spamming, au mépris de la déontologie en vigueur sur le Réseau, a justifié la déconnexion du site.  »

Précisons qu’en application de l’article 1434 du code civil québecois, la  » Netiquette  » pourrait s’imposer aux parties contractantes même en l’absence de clauses y faisant expressément référence.

ARTICLES EN RELATION

• Protection de la correspondance
• Que faire quand on est victime de spamming ?