Le spamming est un fléau qui touche tout utilisateur, particuliers et entreprises. Ces spams ont un impact économique de poids sur les entreprises (coût de traitement des emails, encombrement des serveurs, etc.), et sont une source majeure de fraudes sur internet : fraude financière, écoulement de produits de contrefaçon, proposition de services illicites, etc.
Pour faire face à cette fraude d’envergure internationale, la France a mis en place un arsenal répressif contre le spamming (mesures législatives, actions gouvernementales, initiatives privées, etc.). Mais la mise en oeuvre de ces mesures sera-t-elle suffisante pour réduire l’ampleur de cette pratique ? Nous procédons ci-après à l’analyse du spamming et aux moyens mis en oeuvre pour sa répression.
1. Le spamming : un phénomène mondial difficile à combattre techniquement et judiciairement
Depuis de nombreuses années, le volume du spamming et les menaces qu'il véhicule (escroqueries, virus, etc.) portent préjudice à tous les acteurs et utilisateurs de l'internet.
1.1 La pratique du spamming
Définition - Le spamming ne doit pas être confondu avec la prospection commerciale par e-mail. Le spamming est illégal ; la prospection commerciale est licite. (1)
Le spamming consiste en l'envoi massif, et parfois répété, de courriers électroniques non sollicités, à des personnes avec lesquelles l'expéditeur n'a jamais eu de contact et dont il a capté les adresses électroniques de façon irrégulière. Ces trois conditions cumulatives doivent être présentes afin que l’emailing soit considéré comme du “spamming”.
Typologie du/des spams - Le spam contient généralement de la publicité. Il peut s’agir d'e-mails adressés par des entreprises ignorant la législation et voyant cette pratique comme un moyen peu coûteux d’assurer la promotion de leurs produits ou services.
Le plus souvent, le spam est frauduleux. Le message est trompeur, ou est porteur de virus informatique, ou encore ne dispose pas d'une adresse valide d'expédition ou de désinscription. De même, il est fréquent que l'expéditeur masque son identité ou usurpe l’adresse e-mail d’un tiers, afin de ne pas être identifié.
Le spamming peut recouvrir plusieurs formes d'escroqueries :
(i) les spams proposant la vente de produits ou médicaments contrefaits, des services de jeux d’argent illicites, etc. ;
(ii) le "phishing" visant à tromper le destinataire en lui faisant croire qu’il s’agit d’un e-mail envoyé par une société de services (ex: une banque), ou via les fraudes “à la nigériane” par l’envoi d’emails de la part de pseudo victimes d’un régime totalitaire proposant au destinataire de l’email de réceptionner de très grosses sommes d’argent contre une commission substantielle, l’objectif du spammeur étant à chaque fois de récupérer les données confidentielles des destinataires (mots de passe, numéro de carte bancaire), ou encore
(iii) le "pump-and-dump" par le biais duquel les spammeurs tentent de tirer profit de l'agitation des marchés financiers. Les fraudeurs adressent de nombreux spams présentant des actions comme étant une “bonne affaire” dans laquelle il faut investir ; ces fausses affirmations ayant pour but de faire grimper artificiellement les cours de ces actions jusqu'au moment où les spammeurs décident de revendre leurs actions. (2)
1.2 L'impact économique du spamming
Le spamming est un phénomène qui touche tous les pays, tous les internautes et toutes les entreprises, quels que soient leurs secteurs d'activité.
Plusieurs études et rapports sur le spamming sont publiés chaque année par des entreprises ou organismes impliqués dans la sécurité des réseaux. Il ressort de ces rapports que (3) :
- Le volume de spams diffusé sur internet au niveau mondial serait passé de 97% des e-mails circulant sur les réseaux en 2008 à 80% en 2011. Selon le rapport Symantec Intelligence de septembre 2011, en août 2011 sur 100% des e-mails échangés en France, près de 78% étaient des spams. Le volume de spam semble donc diminuer. Toutefois, cela qui implique que moins de 20% des e-mails échangés dans le monde seraient désirables/légitimes.
- Le coût financier du spamming pour les entreprises était estimé dans le monde à 20,5 milliards de dollars en 2003, ce coût étant passé à 198,3 milliards de dollars en 2007. En 2011, les menaces informatiques (dont le spamming) représentaient 1,8 milliards d'euros de perte financière pour la France.
1.3 Les actions judiciaires engagées par les entreprises
A ce jour en France, seules quelques sociétés ont engagé des poursuites contre des spammeurs. Plusieurs raisons expliquent ce nombre très limité d’actions judiciaires :
- la difficulté et le coût d'identification du spammeur, la plupart des spams étant difficilement localisables (adresse d'expédition non valide ou expéditeur non identifiable) ;
- le caractère éminemment international du spamming. Si les spams proviennent de l’étranger, et sous réserve de l’identification et de la localisation effective du fraudeur, les procédures judiciaires seront longues, coûteuses et plus complexes, compte tenu des difficultés pour faire exécuter les décisions de justice françaises par certaines juridictions étrangères ;
- enfin, l'absence, jusqu'à récemment, d'un cadre légal spécifique visant à réprimer le spamming en tant que tel. Ceci explique que la plupart de décisions rendues ont condamné les spammeurs sur des fondements juridiques divers (4) :
Le droit des contrats - En 2002 et 2004, des fournisseurs d'accès (FAI) et services de messagerie ont fait condamner leurs abonnés-spammeurs pour avoir procédé à des envois d’emails en masse, en violation des conditions prévues aux contrats de fourniture de services. Outre la résiliation des contrats des abonnés-spammeurs, ces derniers ont été condamnés au paiement de sommes paraissant dérisoires compte tenu des dommages et frais encourus (quelques centaines d’euros et 5.000€ de dommages et intérêts pour atteinte à l'image des services fournis par les FAI).
La contrefaçon de marque - En 2004, un spammeur a été condamné pour contrefaçon de marque, à hauteur de 30.000€. Le tribunal a considéré que l'utilisation, à des fins de prospection commerciale, d'une adresse e-mail reprenant l'une des marques de la société Microsoft dans son extension constituait un usage contrefaisant de ladite marque. En l'espèce, le spammeur avait utilisé la marque Hotmail, appartenant à Microsoft, dans l'adresse électronique dont il se servait pour envoyer en masse des e-mails publicitaires. Or, l'adresse litigieuse n'avait pas été délivrée par Microsoft.
Le délit d'entrave au traitement automatisé de données - En 2002 et 2003, des spammeurs ont été condamnés à, respectivement, 4 et 10 mois d'emprisonnement avec sursis et à 20.000€ et 34.000€ de dommages et intérêts pour délit d’entrave au traitement automatisé de données (réprimé par la loi Godfrain de 1988). Ces spammeurs avaient envoyé un très grand nombre d'e-mails à des salariés de plusieurs entreprises, conduisant à paralyser l'ensemble des boîtes mails des destinataires et saturant ainsi les services de messagerie des sociétés concernées.
Afin d'enrayer ce phénomène, le législateur français a fait évoluer la réglementation en adoptant un cadre légal spécifique qui, complété par des initiatives publiques et privées, a permis la mise en place d'un arsenal répressif.
2. Le renforcement de l'arsenal répressif contre le spamming
En France, pouvoirs publics et acteurs de l'internet mènent depuis quelques années une politique active de lutte contre le spamming.
2.1 Le dispositif légal mis en place
Le spamming est désormais une pratique spécifiquement interdite par la loi et sanctionnée. Plusieurs textes de loi sont applicables suivant le type de fraude incriminée (5) :
La LCEN - Le spamming peut être réprimé sur le fondement des dispositions relatives à la prospection commerciale par e-mail, prévue par la loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004 et codifiée dans le Code des postes et communications électroniques (CPCE) et le Code de la consommation. Ces textes interdisent de procéder à la prospection commerciale sans l'accord préalable du destinataire, sous peine d'une amende de 750€ par e-mail litigieux envoyé.
En outre, l’ordonnance du 24 août 2011 relative aux communications électroniques, a modifié ces dispositions légales afin de renforcer la lutte contre les messages commerciaux non sollicités. L'ordonnance élargit le champ des techniques de communication pouvant être concernées par le spamming et exige des expéditeurs de messages publicitaires qu'ils permettent au destinataire de s'y opposer (par exemple par le biais d'une adresse électronique).
La loi Informatique et Libertés - Le spamming peut être réprimé sur le fondement la loi Informatique et Libertés du 6 janvier 1978, dont les manquements sont sanctionnés civilement et pénalement. Concernant les sanctions pénales, est puni de 5 ans d'emprisonnement et de 300.000€ d'amende le fait de (i) collecter des données personnelles par un moyen frauduleux, déloyal ou illicite ou (ii) procéder à un traitement de données personnelles concernant une personne physique malgré son opposition, lorsque ce traitement répond à des fins de prospection commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes.
Concernant les sanctions civiles, la CNIL peut, à la suite de plaintes, (i) prononcer des sanctions contre les personnes procédant à un traitement de données personnelles ne respectant pas la loi (avertissement ou sanction pécuniaire jusqu'à 300.000€) et (ii) dénoncer les infractions au Procureur de la République. Ainsi, en 2008, la CNIL a sanctionné d'une amende de 30.000€, la société CDiscount pour ne pas avoir tenu compte des demandes de désinscription formulées par des internautes ne souhaitant plus recevoir d’e-mails publicitaires de cette société. (6)
La loi Godfrain - Le spamming peut être sanctionné sur le fondement de la loi Godfrain sur la fraude informatique du 5 janvier 1988, punissant le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données (envoi massif de messages provoquant l'impossibilité d'utiliser le système) ou le fait d'introduire frauduleusement des données dans un système de traitement automatisé, ou de supprimer ou modifier frauduleusement les données qu'il contient. Ces agissements sont punis de 5 ans d'emprisonnement et de 75.000€ d'amende.
La LOPPSI 2 - Avec l’entrée en vigueur de la loi d'orientation et de programmation pour la performance de la sécurité intérieure du 14 mars 2011 (LOPPSI 2), le délit d'usurpation d'identité numérique est désormais identifié comme tel et passible d'un an d'emprisonnement et de 15.000€ d’amende. Ce nouveau délit permet de sanctionner les spammeurs qui ont recours à l'usurpation d'identité pour tromper leurs victimes, ou pour leur extorquer des fonds via la pratique du phishing par exemple. (7)
Le projet de loi sur les droits des consommateurs - Enfin, le projet de loi renforçant les droits, la protection et l'information des consommateurs, actuellement en cours de discussion au Parlement, prévoit d'assortir de sanctions administratives dissuasives les manquements aux dispositions du CPCE. La DGCCRF pourra ainsi prononcer des amendes d'un montant maximum de 15.000€ contre les spammeurs identifiés. (8)
Ce dispositif légal est renforcé par des initiatives publiques et privées visant à identifier et à faire sanctionner les spammeurs.
2.2 Les actions publiques et privées contre le spamming
La lutte contre le spam mobilise de nombreux acteurs publics et privés ; leurs actions se matérialisent notamment par la mise en place de plates-formes web de dénonciation du spam. (9)
La liste eRobinson et la boîte à spams - Au début des années 2000, la FEVAD et la CNIL ont mis en place des dispositifs de lutte contre le spamming dénommés respectivement, liste eRobinson et boîte à spams. Ces dispositifs permettaient aux internautes de faire savoir qu'ils ne souhaitaient plus être destinataires de messages non sollicités et de transférer les messages litigieux qu'ils recevaient. Ces actions, ayant abouti à de nombreuses dénonciations, ont depuis été relayées par Signal Spam.
La plate-forme Signal Spam - Cette plate-forme de signalisation nationale a été lancée avec l'aide du Gouvernement en mai 2007. Elle vise à recueillir et traiter les plaintes des internautes puis les redirige, une fois le spammeur identifié, vers les autorités publiques et la CNIL. Sur la base des informations transmises, la CNIL peut ouvrir un dossier de plainte, effectuer des contrôles sur place et sanctionner les spammeurs établis en France. C'est dans ce cadre que la CNIL a procédé, en septembre 2008, à une large campagne de contrôle au sein des entreprises dont les opérations de spamming avaient été identifiées. Depuis la mise en ligne de cette plateforme, plus de 23 millions de spams ont été signalés.
La plate-forme PHAROS - Cette plateforme nationale de signalisation des contenus illicites de l'internet a été créée en 2009 par l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC). En 2010, la plate-forme a traité près de 78 000 signalements. L'OCLCTIC a signé, le 4 mai 2011, une convention de partenariat avec Signal Spam. Les signalements sur cette plate-forme sont, après vérification, orientés vers un service d'enquête. Si le contenu signalé est illicite mais provient de l'étranger, il est transmis à Interpol qui l'oriente vers les autorités judiciaires du pays concerné.
3. Quelles sont les perspectives d'enrayement du phénomène?
Il existe une véritable mobilisation pour lutter contre cette pratique de prospection illicite. Cependant, ces actions seront-elles suffisantes pour endiguer le fléau du spamming ?
L'adoption d'un cadre juridique claire, l'existence de sanctions pénales dissuasives, la multiplication des moyens de lutte et enfin la mobilisation de nombreux acteurs publics et privés en relation avec les forces de l’ordre sont des signes positifs pour la lutte contre le spamming. Toutefois, en dépit de ces actions, le spam représente encore, en France, près de 80% des e-mails circulant sur les réseaux en 2011.
En effet, la lutte contre le spamming nécessite la mise en commun des efforts et des moyens ; elle doit être menée simultanément à plusieurs niveaux : politique, législatif, pédagogique, technologique, national, et international. La mobilisation de tous les acteurs concernés est indispensable car elle nécessite une extrême réactivité pour compenser la volatilité des données et des traces dans l'espace numérique.
Les entreprises ont un rôle à jouer dans l’enrayement du spam en adoptant notamment des solutions techniques adéquates permettant de sécuriser leur système d'information (pare-feu, antivirus, filtre anti-spam, dispositif d'alerte, utilisation de codage pour les données sensibles, etc. y compris une mise à jour régulière de ces dispositifs de sécurité). Ces solutions techniques doivent être accompagnées d’une politique pédagogique envers les salariés axée sur les risques technologiques, la nécessité de signaler les incidents de sécurité et de prendre des précautions telles que l’adoption de mots de passe complexes, ou ne pas ouvrir les pièces jointes d'e-mails dont l'expéditeur est inconnu.
* * * * * * * * * * *
(1) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée (loi Informatique et Libertés) et Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN). La prospection commerciale, dont l’objet vise à promouvoir des biens ou des services, est une pratique licite dès lors qu'elle est réalisée à partir d’un fichier d’adresses collectées et traitées dans le respect de la loi Informatique et Libertés et de la loi LCEN. Dans le cadre d’une prospection par emailing publicitaire, chaque message électronique doit obligatoirement préciser l'identité de l'annonceur, et proposer un moyen simple de s'opposer à la réception de nouvelles sollicitations.
(2) Voir article publié sur Solutions-Logiciels.com le 30 août 2011 sur le Rapport Symantec Intelligence d'août 2011.
(3) Voir par exemple les rapports Microsoft 2008 et 2011 sur les données de sécurité ; Rapport sur l'état de la lutte contre le spam en Europe 2009 de l'ENISA (l'agence européenne chargée de la sécurité des réseaux et de l'information) ; Etat des lieux du spam dans le monde selon Kaspersky (article publié le 2 mars 2011 sur Blogdumoderateur.com) ; Rapport Symantec Intelligence d'août et septembre 2011 ; Etude " Monde : Le spam", publiée au Journal du Net le 24 août 2009 ; Article " Retour sur 2010 : l'Internet en chiffres" publié le 13 janv. 2011 sur Clubic.com et article " La France est un des pays les moins ciblés par les cyber-attaques", publié sur Challenges.fr le 13 oct. 2011.
(4) Sur le droit des contrats : TGI Paris, ord. Réf., 15 janvier 2002, P.V c/ Sté Liberty Surf et Sté Free et Trib. com. Paris, 5 mai 2004, Sté Microsoft Corp., SNC AOL France c/ M. K.., RG n° 03/094500 ; Sur la contrefaçon de marque : TGI Paris, ord. réf., 6 avr. 2004, Microsoft Corporation c/ E nov developpement confirmé par TGI Paris, 3e ch., 18 oct. 2006, Sté Microsoft Corp. c/ Sté E-nov Développement, RG n° 04/01810 ; Sur le délit d'entrave : Loi n°88-19 du 5 janvier 1988 sur la fraude informatique (Loi Godfrain) et TGI Paris 24 mai 2002, Monsieur P. c/ Société Lyonnaise Communications ; TGI du Mans, corr., 7 nov. 2003, Proc. De la République, Sté Smith et Nephew c/ L.
(5) Articles L34-5 et R.10-1 CPCE, L.121-20-5 C. conso. et articles 226-18 et 226-18-1, 323-2 et 323-3 et 226-4-1 du Code pénal.
(6) Articles 11, 17, 45 à 47 et 52 loi Informatique et Libertés et Délibération CNIL n°2008-422 du 6 novembre 2008 à l'égard de la société CDiscount.
(7) Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure, dite LOPPSI 2 (art. 2) et article 226-4-1 C. pénal : "Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 € d'amende. Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne".
(8) Projet de loi renforçant les droits, la protection et l'information des consommateurs - article 8 (http://www.assemblee-nationale.fr/13/projets/pl4141.asp).
(9) Question Ass. Nat., 13 septembre 2011, p. 9873 - Industrie, Energie et économie numérique - Internet. Escroquerie. Lutte et prévention - n°105283 du 12 avril 2011. Informations sur les plateformes Signal Spam et Pharos accessibles via https://www.signal-spam.fr/ et https://www.internet-signalement.gouv.fr/.
Betty SFEZ - Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Février 2012
Pour faire face à cette fraude d’envergure internationale, la France a mis en place un arsenal répressif contre le spamming (mesures législatives, actions gouvernementales, initiatives privées, etc.). Mais la mise en oeuvre de ces mesures sera-t-elle suffisante pour réduire l’ampleur de cette pratique ? Nous procédons ci-après à l’analyse du spamming et aux moyens mis en oeuvre pour sa répression.
1. Le spamming : un phénomène mondial difficile à combattre techniquement et judiciairement
Depuis de nombreuses années, le volume du spamming et les menaces qu'il véhicule (escroqueries, virus, etc.) portent préjudice à tous les acteurs et utilisateurs de l'internet.
1.1 La pratique du spamming
Définition - Le spamming ne doit pas être confondu avec la prospection commerciale par e-mail. Le spamming est illégal ; la prospection commerciale est licite. (1)
Le spamming consiste en l'envoi massif, et parfois répété, de courriers électroniques non sollicités, à des personnes avec lesquelles l'expéditeur n'a jamais eu de contact et dont il a capté les adresses électroniques de façon irrégulière. Ces trois conditions cumulatives doivent être présentes afin que l’emailing soit considéré comme du “spamming”.
Typologie du/des spams - Le spam contient généralement de la publicité. Il peut s’agir d'e-mails adressés par des entreprises ignorant la législation et voyant cette pratique comme un moyen peu coûteux d’assurer la promotion de leurs produits ou services.
Le plus souvent, le spam est frauduleux. Le message est trompeur, ou est porteur de virus informatique, ou encore ne dispose pas d'une adresse valide d'expédition ou de désinscription. De même, il est fréquent que l'expéditeur masque son identité ou usurpe l’adresse e-mail d’un tiers, afin de ne pas être identifié.
Le spamming peut recouvrir plusieurs formes d'escroqueries :
(i) les spams proposant la vente de produits ou médicaments contrefaits, des services de jeux d’argent illicites, etc. ;
(ii) le "phishing" visant à tromper le destinataire en lui faisant croire qu’il s’agit d’un e-mail envoyé par une société de services (ex: une banque), ou via les fraudes “à la nigériane” par l’envoi d’emails de la part de pseudo victimes d’un régime totalitaire proposant au destinataire de l’email de réceptionner de très grosses sommes d’argent contre une commission substantielle, l’objectif du spammeur étant à chaque fois de récupérer les données confidentielles des destinataires (mots de passe, numéro de carte bancaire), ou encore
(iii) le "pump-and-dump" par le biais duquel les spammeurs tentent de tirer profit de l'agitation des marchés financiers. Les fraudeurs adressent de nombreux spams présentant des actions comme étant une “bonne affaire” dans laquelle il faut investir ; ces fausses affirmations ayant pour but de faire grimper artificiellement les cours de ces actions jusqu'au moment où les spammeurs décident de revendre leurs actions. (2)
1.2 L'impact économique du spamming
Le spamming est un phénomène qui touche tous les pays, tous les internautes et toutes les entreprises, quels que soient leurs secteurs d'activité.
Plusieurs études et rapports sur le spamming sont publiés chaque année par des entreprises ou organismes impliqués dans la sécurité des réseaux. Il ressort de ces rapports que (3) :
- Le volume de spams diffusé sur internet au niveau mondial serait passé de 97% des e-mails circulant sur les réseaux en 2008 à 80% en 2011. Selon le rapport Symantec Intelligence de septembre 2011, en août 2011 sur 100% des e-mails échangés en France, près de 78% étaient des spams. Le volume de spam semble donc diminuer. Toutefois, cela qui implique que moins de 20% des e-mails échangés dans le monde seraient désirables/légitimes.
- Le coût financier du spamming pour les entreprises était estimé dans le monde à 20,5 milliards de dollars en 2003, ce coût étant passé à 198,3 milliards de dollars en 2007. En 2011, les menaces informatiques (dont le spamming) représentaient 1,8 milliards d'euros de perte financière pour la France.
1.3 Les actions judiciaires engagées par les entreprises
A ce jour en France, seules quelques sociétés ont engagé des poursuites contre des spammeurs. Plusieurs raisons expliquent ce nombre très limité d’actions judiciaires :
- la difficulté et le coût d'identification du spammeur, la plupart des spams étant difficilement localisables (adresse d'expédition non valide ou expéditeur non identifiable) ;
- le caractère éminemment international du spamming. Si les spams proviennent de l’étranger, et sous réserve de l’identification et de la localisation effective du fraudeur, les procédures judiciaires seront longues, coûteuses et plus complexes, compte tenu des difficultés pour faire exécuter les décisions de justice françaises par certaines juridictions étrangères ;
- enfin, l'absence, jusqu'à récemment, d'un cadre légal spécifique visant à réprimer le spamming en tant que tel. Ceci explique que la plupart de décisions rendues ont condamné les spammeurs sur des fondements juridiques divers (4) :
Le droit des contrats - En 2002 et 2004, des fournisseurs d'accès (FAI) et services de messagerie ont fait condamner leurs abonnés-spammeurs pour avoir procédé à des envois d’emails en masse, en violation des conditions prévues aux contrats de fourniture de services. Outre la résiliation des contrats des abonnés-spammeurs, ces derniers ont été condamnés au paiement de sommes paraissant dérisoires compte tenu des dommages et frais encourus (quelques centaines d’euros et 5.000€ de dommages et intérêts pour atteinte à l'image des services fournis par les FAI).
La contrefaçon de marque - En 2004, un spammeur a été condamné pour contrefaçon de marque, à hauteur de 30.000€. Le tribunal a considéré que l'utilisation, à des fins de prospection commerciale, d'une adresse e-mail reprenant l'une des marques de la société Microsoft dans son extension constituait un usage contrefaisant de ladite marque. En l'espèce, le spammeur avait utilisé la marque Hotmail, appartenant à Microsoft, dans l'adresse électronique dont il se servait pour envoyer en masse des e-mails publicitaires. Or, l'adresse litigieuse n'avait pas été délivrée par Microsoft.
Le délit d'entrave au traitement automatisé de données - En 2002 et 2003, des spammeurs ont été condamnés à, respectivement, 4 et 10 mois d'emprisonnement avec sursis et à 20.000€ et 34.000€ de dommages et intérêts pour délit d’entrave au traitement automatisé de données (réprimé par la loi Godfrain de 1988). Ces spammeurs avaient envoyé un très grand nombre d'e-mails à des salariés de plusieurs entreprises, conduisant à paralyser l'ensemble des boîtes mails des destinataires et saturant ainsi les services de messagerie des sociétés concernées.
Afin d'enrayer ce phénomène, le législateur français a fait évoluer la réglementation en adoptant un cadre légal spécifique qui, complété par des initiatives publiques et privées, a permis la mise en place d'un arsenal répressif.
2. Le renforcement de l'arsenal répressif contre le spamming
En France, pouvoirs publics et acteurs de l'internet mènent depuis quelques années une politique active de lutte contre le spamming.
2.1 Le dispositif légal mis en place
Le spamming est désormais une pratique spécifiquement interdite par la loi et sanctionnée. Plusieurs textes de loi sont applicables suivant le type de fraude incriminée (5) :
La LCEN - Le spamming peut être réprimé sur le fondement des dispositions relatives à la prospection commerciale par e-mail, prévue par la loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004 et codifiée dans le Code des postes et communications électroniques (CPCE) et le Code de la consommation. Ces textes interdisent de procéder à la prospection commerciale sans l'accord préalable du destinataire, sous peine d'une amende de 750€ par e-mail litigieux envoyé.
En outre, l’ordonnance du 24 août 2011 relative aux communications électroniques, a modifié ces dispositions légales afin de renforcer la lutte contre les messages commerciaux non sollicités. L'ordonnance élargit le champ des techniques de communication pouvant être concernées par le spamming et exige des expéditeurs de messages publicitaires qu'ils permettent au destinataire de s'y opposer (par exemple par le biais d'une adresse électronique).
La loi Informatique et Libertés - Le spamming peut être réprimé sur le fondement la loi Informatique et Libertés du 6 janvier 1978, dont les manquements sont sanctionnés civilement et pénalement. Concernant les sanctions pénales, est puni de 5 ans d'emprisonnement et de 300.000€ d'amende le fait de (i) collecter des données personnelles par un moyen frauduleux, déloyal ou illicite ou (ii) procéder à un traitement de données personnelles concernant une personne physique malgré son opposition, lorsque ce traitement répond à des fins de prospection commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes.
Concernant les sanctions civiles, la CNIL peut, à la suite de plaintes, (i) prononcer des sanctions contre les personnes procédant à un traitement de données personnelles ne respectant pas la loi (avertissement ou sanction pécuniaire jusqu'à 300.000€) et (ii) dénoncer les infractions au Procureur de la République. Ainsi, en 2008, la CNIL a sanctionné d'une amende de 30.000€, la société CDiscount pour ne pas avoir tenu compte des demandes de désinscription formulées par des internautes ne souhaitant plus recevoir d’e-mails publicitaires de cette société. (6)
La loi Godfrain - Le spamming peut être sanctionné sur le fondement de la loi Godfrain sur la fraude informatique du 5 janvier 1988, punissant le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données (envoi massif de messages provoquant l'impossibilité d'utiliser le système) ou le fait d'introduire frauduleusement des données dans un système de traitement automatisé, ou de supprimer ou modifier frauduleusement les données qu'il contient. Ces agissements sont punis de 5 ans d'emprisonnement et de 75.000€ d'amende.
La LOPPSI 2 - Avec l’entrée en vigueur de la loi d'orientation et de programmation pour la performance de la sécurité intérieure du 14 mars 2011 (LOPPSI 2), le délit d'usurpation d'identité numérique est désormais identifié comme tel et passible d'un an d'emprisonnement et de 15.000€ d’amende. Ce nouveau délit permet de sanctionner les spammeurs qui ont recours à l'usurpation d'identité pour tromper leurs victimes, ou pour leur extorquer des fonds via la pratique du phishing par exemple. (7)
Le projet de loi sur les droits des consommateurs - Enfin, le projet de loi renforçant les droits, la protection et l'information des consommateurs, actuellement en cours de discussion au Parlement, prévoit d'assortir de sanctions administratives dissuasives les manquements aux dispositions du CPCE. La DGCCRF pourra ainsi prononcer des amendes d'un montant maximum de 15.000€ contre les spammeurs identifiés. (8)
Ce dispositif légal est renforcé par des initiatives publiques et privées visant à identifier et à faire sanctionner les spammeurs.
2.2 Les actions publiques et privées contre le spamming
La lutte contre le spam mobilise de nombreux acteurs publics et privés ; leurs actions se matérialisent notamment par la mise en place de plates-formes web de dénonciation du spam. (9)
La liste eRobinson et la boîte à spams - Au début des années 2000, la FEVAD et la CNIL ont mis en place des dispositifs de lutte contre le spamming dénommés respectivement, liste eRobinson et boîte à spams. Ces dispositifs permettaient aux internautes de faire savoir qu'ils ne souhaitaient plus être destinataires de messages non sollicités et de transférer les messages litigieux qu'ils recevaient. Ces actions, ayant abouti à de nombreuses dénonciations, ont depuis été relayées par Signal Spam.
La plate-forme Signal Spam - Cette plate-forme de signalisation nationale a été lancée avec l'aide du Gouvernement en mai 2007. Elle vise à recueillir et traiter les plaintes des internautes puis les redirige, une fois le spammeur identifié, vers les autorités publiques et la CNIL. Sur la base des informations transmises, la CNIL peut ouvrir un dossier de plainte, effectuer des contrôles sur place et sanctionner les spammeurs établis en France. C'est dans ce cadre que la CNIL a procédé, en septembre 2008, à une large campagne de contrôle au sein des entreprises dont les opérations de spamming avaient été identifiées. Depuis la mise en ligne de cette plateforme, plus de 23 millions de spams ont été signalés.
La plate-forme PHAROS - Cette plateforme nationale de signalisation des contenus illicites de l'internet a été créée en 2009 par l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC). En 2010, la plate-forme a traité près de 78 000 signalements. L'OCLCTIC a signé, le 4 mai 2011, une convention de partenariat avec Signal Spam. Les signalements sur cette plate-forme sont, après vérification, orientés vers un service d'enquête. Si le contenu signalé est illicite mais provient de l'étranger, il est transmis à Interpol qui l'oriente vers les autorités judiciaires du pays concerné.
3. Quelles sont les perspectives d'enrayement du phénomène?
Il existe une véritable mobilisation pour lutter contre cette pratique de prospection illicite. Cependant, ces actions seront-elles suffisantes pour endiguer le fléau du spamming ?
L'adoption d'un cadre juridique claire, l'existence de sanctions pénales dissuasives, la multiplication des moyens de lutte et enfin la mobilisation de nombreux acteurs publics et privés en relation avec les forces de l’ordre sont des signes positifs pour la lutte contre le spamming. Toutefois, en dépit de ces actions, le spam représente encore, en France, près de 80% des e-mails circulant sur les réseaux en 2011.
En effet, la lutte contre le spamming nécessite la mise en commun des efforts et des moyens ; elle doit être menée simultanément à plusieurs niveaux : politique, législatif, pédagogique, technologique, national, et international. La mobilisation de tous les acteurs concernés est indispensable car elle nécessite une extrême réactivité pour compenser la volatilité des données et des traces dans l'espace numérique.
Les entreprises ont un rôle à jouer dans l’enrayement du spam en adoptant notamment des solutions techniques adéquates permettant de sécuriser leur système d'information (pare-feu, antivirus, filtre anti-spam, dispositif d'alerte, utilisation de codage pour les données sensibles, etc. y compris une mise à jour régulière de ces dispositifs de sécurité). Ces solutions techniques doivent être accompagnées d’une politique pédagogique envers les salariés axée sur les risques technologiques, la nécessité de signaler les incidents de sécurité et de prendre des précautions telles que l’adoption de mots de passe complexes, ou ne pas ouvrir les pièces jointes d'e-mails dont l'expéditeur est inconnu.
* * * * * * * * * * *
(1) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée (loi Informatique et Libertés) et Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN). La prospection commerciale, dont l’objet vise à promouvoir des biens ou des services, est une pratique licite dès lors qu'elle est réalisée à partir d’un fichier d’adresses collectées et traitées dans le respect de la loi Informatique et Libertés et de la loi LCEN. Dans le cadre d’une prospection par emailing publicitaire, chaque message électronique doit obligatoirement préciser l'identité de l'annonceur, et proposer un moyen simple de s'opposer à la réception de nouvelles sollicitations.
(2) Voir article publié sur Solutions-Logiciels.com le 30 août 2011 sur le Rapport Symantec Intelligence d'août 2011.
(3) Voir par exemple les rapports Microsoft 2008 et 2011 sur les données de sécurité ; Rapport sur l'état de la lutte contre le spam en Europe 2009 de l'ENISA (l'agence européenne chargée de la sécurité des réseaux et de l'information) ; Etat des lieux du spam dans le monde selon Kaspersky (article publié le 2 mars 2011 sur Blogdumoderateur.com) ; Rapport Symantec Intelligence d'août et septembre 2011 ; Etude " Monde : Le spam", publiée au Journal du Net le 24 août 2009 ; Article " Retour sur 2010 : l'Internet en chiffres" publié le 13 janv. 2011 sur Clubic.com et article " La France est un des pays les moins ciblés par les cyber-attaques", publié sur Challenges.fr le 13 oct. 2011.
(4) Sur le droit des contrats : TGI Paris, ord. Réf., 15 janvier 2002, P.V c/ Sté Liberty Surf et Sté Free et Trib. com. Paris, 5 mai 2004, Sté Microsoft Corp., SNC AOL France c/ M. K.., RG n° 03/094500 ; Sur la contrefaçon de marque : TGI Paris, ord. réf., 6 avr. 2004, Microsoft Corporation c/ E nov developpement confirmé par TGI Paris, 3e ch., 18 oct. 2006, Sté Microsoft Corp. c/ Sté E-nov Développement, RG n° 04/01810 ; Sur le délit d'entrave : Loi n°88-19 du 5 janvier 1988 sur la fraude informatique (Loi Godfrain) et TGI Paris 24 mai 2002, Monsieur P. c/ Société Lyonnaise Communications ; TGI du Mans, corr., 7 nov. 2003, Proc. De la République, Sté Smith et Nephew c/ L.
(5) Articles L34-5 et R.10-1 CPCE, L.121-20-5 C. conso. et articles 226-18 et 226-18-1, 323-2 et 323-3 et 226-4-1 du Code pénal.
(6) Articles 11, 17, 45 à 47 et 52 loi Informatique et Libertés et Délibération CNIL n°2008-422 du 6 novembre 2008 à l'égard de la société CDiscount.
(7) Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure, dite LOPPSI 2 (art. 2) et article 226-4-1 C. pénal : "Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 € d'amende. Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne".
(8) Projet de loi renforçant les droits, la protection et l'information des consommateurs - article 8 (http://www.assemblee-nationale.fr/13/projets/pl4141.asp).
(9) Question Ass. Nat., 13 septembre 2011, p. 9873 - Industrie, Energie et économie numérique - Internet. Escroquerie. Lutte et prévention - n°105283 du 12 avril 2011. Informations sur les plateformes Signal Spam et Pharos accessibles via https://www.signal-spam.fr/ et https://www.internet-signalement.gouv.fr/.
Betty SFEZ - Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Février 2012
