|
Seul contre tous
Concernant
le traitement légal du spam, il est d’usage
d’évoquer un certain vide juridique, l’absence
de condamnations ainsi que la passivité des victimes.
Est-ce vrai ? Nous avions eu l’occasion de décrire
l’initiative de M Thierry Bouchard auprès des
Tribunaux de Commerce qui a déjà eu gain de
cause par deux fois. Ce document fait la synthèse
du premier cas, à notre connaissance, dans lequel
un internaute à déposé plainte sur
le fondement de la loi Informatique et Libertés de
1978.
Thomas
Quinot est ingénieur système chez un acteur
de l’industrie logicielle. Il est diplômé
de l’ENST de Paris (Ecole Nationale Supérieure
des Télécommunications). Dans le cadre de
son travail, il est confronté quotidiennement au
problème du spam. A titre personnel, il a entrepris
une croisade dès 1997 contre les spammeurs. Il a
choisit de se battre sur le terrain juridique et ceci sans
même l’aide d’un avocat ! Son objectif
était d’obtenir une jurisprudence, et ceci
sur le fondement de la loi de 1978, et non pas sur d’autres
textes comme la loi Godfrain (intrusion aux systèmes
informatiques).
Pour
se donner un maximum de chances de gagner, Thomas Quinot
se focalise sur les critères suivants : le spammeur
agit depuis le territoire national, les messages ont transité
par un FAI français et les spams ont été
reçus sur l’une de ses adresses personnelles.
Lors
d’une longue interview, il nous a confié les
détails de sa dernière plainte. Il avait reçu
des messages l’incitant à visiter un site Web
pornographique, exploité par
une société française connue.
En février 2002, il saisit le procureur de la république,
en lui adressant un simple exposé des faits. Il laisse
le soin à la justice d’identifier l’émetteur
(Thomas Quinot recommande de porter plainte contre X, ne
serait-ce que pour se protéger d’une éventuelle
erreur d’identification). Deux mois plus tard, il
a l’agréable surprise d’être contacté
et auditionné par les policiers de la BEFTI (Brigade
d’Enquête sur les Fraudes aux Technologies de
l’Information…). Le procureur a donc jugé
recevable sa plainte. Le lieutenant avait déjà
commencé les investigations à partir des éléments
techniques que Thomas Quinot avait joint à sa plainte
: les messages en cause avec leurs entêtes. Ces dernières
comportaient suffisamment d’informations pour permettre
à la brigade d’identifier le fournisseur d’accès
du spammeur. La police à utilisé son droit
de requête auprès de ce FAI pour obtenir son
identité (Art. 53 et suivant du code de procédure
pénale). Thomas Quinot est alors invité a
reformuler sa plainte : il lui faut montrer que son adresse
e-mail lui avait été volée. A ces heures
de loisir, il participe au développement de logiciels
libres. L’adresse en question n’apparaissait
que sur des forums de discussion liés à cette
activité. Plus tard, il apprendra qu’une
perquisition a été menée au domicile
du prévenu. Ce dernier à même
été placé en garde à vue. Aucun
élément de preuve physique n’est trouvé,
la personne ayant eu écho des soupçons à
son encontre.
La BEFTI se concentre désormais sur les autres plaintes
reçues par le service abuse du FAI. Leurs auteurs
sont contactés. Seul deux d’entre eux accepteront
que leur témoignage vienne enrichir la plainte, sans
aller eux-mêmes jusqu’à se constituer
partie civile. Il est estimé que la campagne de spamming
a touché 5.000 boites aux lettres, pour un volume
de 50.000 messages envoyés.
La police se penche également sur le site Web pornographique
dont les messages incriminés font la promotion. Un
contrat liait la société éditrice avec
le prévenu. Celui était
rémunéré selon le nombre de visites
qu’il générait.
Lors de son audition, le prévenu n’a jamais
nié les faits. Ressortissant Bulgare, cet homme âgé
de 24 ans a avoué avoir acheté un CDROM d’adresses
dans son pays d’origine, CDROM qui a vraisemblablement
été détruit.
Une audience est fixée à Mai 2003. Entre temps,
Thomas Quinot dépose des « conclusion de partie
civile », document spécifiant ses préjudices
:
o Préjudice moral pour
inscription dans un fichier (atteinte au droit moral).
o Intrusion dans la vie privée
(réception de messages inopportuns et choquants)
o Préjudice matériel
(mobilisation de ressources informatiques)
Il
demande réparation en dommages et intérêts.
Il demande également que les ressources mobilisées
pour le dossier lui soient défrayées (ce qui
correspond normalement au remboursement des frais encourus
dans le cadre du procès selon l’article 475-1
du code de procédure pénale). A ce stade,
l’infraction principale reprochée au prévenu
est la constitution illégale d’un fichier d’informations
nominatives.
Les conclusions remises par le prévenu s’appuient
sur une méconnaissance de la loi Informatique et
Libertés. De plus il soutient qu’en Bulgarie,
ce type d’envois est légal. La traduction d’un
texte de loi Bulgare sur ce point sera écarté,
car il sera jugé incompréhensible.
Lors de l’audience, le juge revient sur l’adresse
électronique sur laquelle les messages ont été
reçus. Il veut s’assurer qu’elle ne pouvait
en aucun cas avoir été récupérée
légalement. Les débats laissent apparaître
un certain flou dans l’interprétation du code
pénal qui évoque la collecte d’informations
nominatives. En particulier, il n’est pas clair que
l’importation du CDROM puisse être assimilée
à une collecte.
Finalement, le juge retiendra l’exécution d’un
traitement automatique d’informations nominatives
(l’envoi d’un courriel à un ensemble
d’adresses électroniques figurant dans un fichier
non déclaré à la CNIL). Au titre de
l’article 226-16 du code pénal,
le spammeur a été condamné à
une amende de 3.000 euros. Par contre, l’importation
d’un fichier déjà constitué n’a
pas été jugée délictueuse. Elle
aurait pu constituer un recel du délit de collecte,
mais il aurait fallu que cette collecte soit elle-même
illégale en Bulgarie.
En sus, l’émetteur a du verser au plaignant
800 euros de dommages et intérêts et 200 euros
pour frais de procédure (« frais irrépétibles
», au titre de l’article 475-1 du code de procédure
pénale).
Même
si les peines sont très éloignées des
maxima prévus par la loi, Thomas Quinot s’estime
satisfait par le caractère pénal de la sanction.
Trois autres plaintes avaient été déposées,
celle qui vient d’être décrite est la
seule qui ait donné lieu à un jugement pour
l’instant. Lorsqu’il fait le bilan, Thomas Quinot
nous confie que la procédure « mobilise temps,
ressources et énergie ».
Si
ce dossier est exemplaire, car il démontre qu’un
simple citoyen peut obtenir gain de cause auprès
de la justice française dans un cas de spamming,
nous pouvons faire plusieurs remarques :
• Seul l’exécutant
des basses œuvres a été inquiété.
Le véritable donneur d’ordre, la société
française qui a finalement profité de l’opération,
n’a jamais été inquiétée.
Elle avait en effet pris soin de faire figurer dans le contrat
une mention interdisant explicitement le recours à
la pratique du spamming… Que d’hypocrisie !
La toute nouvelle loi fédérale américain
CAN-SPAM est bien moins angélique, puisqu’elle
autorise la poursuite de toute entité « ayant
bénéficié » de la campagne incriminée.
En reprenant l’analogie de Monsieur Jean-Michel
Yolin, la situation présente quelques ressemblance
avec la prostitution. Il conviendrait de s’en prendre
au modèle économique, et donc à la
véritable origine du fléau.
• Il est dommage de relever
que la détention et l’utilisation d’un
fichier d’adresses emails collectées de façon
déloyale et illégale au vu de la loi française
n’ait pas été retenues dans ce dossier.
Le juge a en effet estimé que la collecte correspond
à l’assemblage de données éparses
– le délit de collecte déloyale n’a
donc pas été retenu. L’origine géographique
du CDROM utilisé renforce l’intérêt
des nouveaux textes issus des directives de 2002 concernant
la publicité électronique et de 1995 concernant
la protection de la vie privée. Les pays de l’Europe
de l’Est qui vont bientôt intégrer l’Union
européenne devront s’aligner sur ces dispositions.
L’idéal serait qu’ils anticipent, afin
d’éviter la délocalisation des spammeurs
nord-américains chez eux. Ne
peut-on imaginer une opération de police, à
l’échelle européenne, dans l’esprit
des opérations « cybersweep » dirigées
par le F.B.I ?
• Si un cas identique
se représentait dans le futur, une autre infraction
s’ajouterait, liée aux obligations de la LCEN
: celle liée au non respect du consentement préalable
d’une personne physique.
Thomas
Quinot avait engagé trois autres procédures,
dont l’une est encore en cours. La seule aide –
mais capitale – qu’il a reçue, vient
de la CNIL. Ses juristes lui ont en effet indiqué
les textes de loi qui pouvaient être appliqués
contre le spam. Un autre dossier, majeur, va prochainement
associer plusieurs plaignants. Elle concernera la filiale
d’une très grande société française
qui reste sourde aux demandes de désinscription,
malgré neuf mois de tentatives répétées…
Ce droit figure pourtant depuis 1978 dans le code français.
Un simple début ?
Cette
condamnation a été obtenue sur le fondement
de la loi de 1978, trop peu souvent appliquée. Nous
ne retenons donc pas les jurisprudences liées d’avantage
au non-respect des CGU (Clauses Générales
d’Utilisation), par lesquels des internautes avaient
vu leur accès fermés par leur FAI.
Ce
dossier peut être complété par contre
par ceux issus des cinq dénonciations effectuées
par la CNIL courant 2002, à l’occasion de son
opération « Boîte à spams ».
Le dossier le plus intéressant concerne une PME française,
accusée d’aspirer des adresses électroniques
sur la Toile, à l’aide d’un outil de
sa création. Suite au reproche de l’autorité
de contrôle, le responsable de cette entreprise a
cherché à contourner l’obstacle, en
interprétant la loi Informatique et Libertés.
Lors d’une interview téléphonique, il
nous a déclaré avoir modifié son produit
de façon à ne jamais constituer de fichier
: l’adresse collectée donne lieu à l’émission
immédiate d’un message à but commercial.
Toujours est-il que, selon la CNIL, il y aurait bien collecte
déloyale. Le jugement devrait intervenir prochainement.En
attendant, l'auteur de ces collectes poursuit ses envois
!
La
CNIL avait également épinglé en juillet
2002 un prestataire qui avait adressé à plusieurs
internautes entre les deux tours de l’élection
présidentielle une enquête se présentant
sous la forme d’un sondage politique . Les personnes
contactées n’étaient pas informées
que les données les concernant, ainsi que leurs réponses,
pouvaient être communiquées à des tiers.
Le message permettait également de parrainer d’autres
internautes. Là encore, aucune mention d’information
n’était présente. La mission de contrôle
mettra en évidence un fichier comportant près
de 20.000 réponses (dont les intentions de vote),
associées dans plus de la moitié des cas aux
adresses électroniques des internautes. Le gérant
de l’entreprise incriminée a contesté
le caractère nominatif du fichier, malgré
le fait que de nombreuses adresses étaient associées
au nom, civilité, année de naissance et catégorie
socio-professionnelle. La Commission a dénoncé
cette entreprise au Parquet, sur base de collecte déloyale
(infraction à l’article 226-18 du code pénal)
et suite à la mise en œuvre d’un traitement
automatisé d’informations nominatives faisant
apparaître les opinions politiques des personnes sollicitées,
sans que leur consentement exprès ait été
préalablement recueilli (infraction à l’article
226-19 du code pénal). Le fait que le fichier constitué
n’ait pas été déclaré
et que les fichiers utilisés – bien que déclarés
- aient été détournés de leur
finalité, constitue des circonstances aggravantes.
En
janvier 2004, les filiales françaises d’AOL
et de Microsoft ont porté plainte au civil contre
une PME du sud de la France (présenté un peu
rapidement par la Presse comme un « VPCiste »),
pour fait de spamming. Cette entreprise était dans
le collimateur de la CNIL depuis un certain temps, suite
aux nombreuses plaintes d’internautes.
Les
cas cités ici sont tous « franco-français
». Ils pourraient, dans un très proche avenir,
être étendus à l’échelle
européenne, une fois les directives transposées.
Mais nous attendons avec grande impatience de constater
que la coopération internationale porte réellement
ses fruits… à quand la condamnation d’un
spammeur américain suite à la plainte d’un
internaute du vieux continent ?
|
Thomas Quinot
|
