Les stratgies de lutte contre le courrier indsirable - DROIT
Transcription
Les stratgies de lutte contre le courrier indsirable - DROIT
C. HERBIN, LES STRATEGIES DE LUTTE CONTRE LE COURRIER INDESIRABLE, DROIT-TIC, 14 AVRIL 2004 Les stratégies de lutte contre le courrier indésirable Cédric HERBIN CE DOCUMENT PROVIENT DU SITE WWW .DROIT-NTIC.COM -1- C. HERBIN, LES STRATEGIES DE LUTTE CONTRE LE COURRIER INDESIRABLE, DROIT-TIC, 14 AVRIL 2004 Introduction L'essor d'Internet et du courrier électronique a donné lieu, comme toute évolution technologique, à de nombreuses dérives auxquelles le droit, la justice et ses auxiliaires doivent s'adapter afin de réagir de façon adéquate et d'en limiter les excès. Le courrier indésirable (ou spam) est, selon la commission nationale informatique et liberté, « l'envoi massif, et parfois répété, de courriers électroniques non sollicités, à des personnes avec lesquelles l'expéditeur n'a jamais eu de contact et dont il a capté l'adresse électronique de façon irrégulière »1 Il s'agit en pratique de tous ces courriers publicitaires que tout détenteur d'une adresse de courrier électronique reçoit sans l'avoir jamais sollicité. De nombreuses analyses quantitatives ont pu montrer que les conséquences du courrier indésirable sont loin d'être négligeables et que plus de la moitié du flux de courrier électronique mondial est constitué par du courrier indésirable. Le courrier indésirable est un des fléaux qui sont susceptibles de remettre en cause l'utilisation d'Internet par les particuliers et donc de nuire au développement de l'Internet commercial. C'est à ce titre que les sociétés commerciales souhaitent trouver des moyens efficaces de lutte contre le courrier indésirable et notamment par la voie judiciaire. On peut aussi noter que la lutte contre le courrier indésirable a pris un chemin parallèle avec la mise en place de plus en plus fréquente de logiciels destinés à empêcher la réception de courriers électroniques indésirables, cependant si ceux-ci mettent fin à certains désagréments de la réception de ces courriers, l'envoi de ces courriers perdurent. Le courrier indésirable est explicitement prohibé par certaines dispositions légales, cependant le droit propose d'autres outils juridiques moins spécifiques que l'avocat se doit d'analyser afin de juger de l'opportunité d'utiliser telle ou telle disposition dans un souci d'efficacité. Il est évident que la lutte contre le courrier indésirable est à penser à la fois en termes d'efficacité pratique, de dissuasion et de médiatisation afin que la lutte ne se limite pas à l'action en cours mais puisse aussi avoir un effet éducatif à l'échelle nationale. Car si le destinataire de courrier indésirable ne souhaite que la fin de l'envoi d'un courrier, d'autres personnes que sont les professionnels de l'informatique souhaitent que les décisions rendues par les tribunaux puissent avoir un effet de masse, mettant fin au phénomène du courrier indésirable dans son ensemble. Pour remplir ces objectifs, l'idéal est donc d'avoir recours à des mesures rapides et dissuasives privilégiant ainsi le choix de la recherche d'infractions pénales. La procédure pénale étant manifestement plus spectaculaire pour la personne poursuivie et les expéditeurs de courrier indésirable éventuels. De plus, l'image de marque de l'auteur du courrier indésirable est alors remise en cause auprès des clients et prospects éventuels, qui auront beaucoup plus de réticence à avoir recours à un prestataire notoirement condamné pénalement pour l'envoi de courrier indésirable. Les avocats ont à leur dispositions de nombreux outils juridiques afin de lutter contre le courrier indésirable qu'il s'agisse de droit civil ou pénal, de dispositions générales ou spéciales, ... cependant l'analyse et le choix d'un outil ne peut pas être prescrit de manière générale. Il s'agira ici de traiter de l'ensemble des qualifications juridiques dont peuvent faire l'objet le courrier indésirable dans l'optique de pouvoir faire un choix en fonction des objectifs poursuivi par le client. 1 Définition donnée par la CNIL sur son site Internet ( www.cnil.fr) CE DOCUMENT PROVIENT DU SITE WWW .DROIT-NTIC.COM 2 C. HERBIN, LES STRATEGIES DE LUTTE CONTRE LE COURRIER INDESIRABLE, DROIT-TIC, 14 AVRIL 2004 En effet à chaque demandeur correspond une approche différente de l'objectif de la lutte contre le courrier indésirable : Un particulier ou une entreprise pourra simplement souhaiter l'indemnisation du préjudice que lui aura causé la réception de courrier indésirable (perte de temps, de moyens techniques, ...) ; La victime du courrier indésirable ou son prestataire technique pourra souhaiter mettre hors d'état de nuire l'expéditeur du courrier indésirable ; Un prestataire technique pourra aussi avoir cette démarche mais en général sa démarche s'inscrira dans une approche plus globale destinée à dissuader les expéditeurs de courrier indésirable. Comme nous venons de le voir, il est impossible de dire a priori quels sont les choix juridiques les plus pertinents (ceux-ci variant en fonction de la situation de fait), nous ne distinguerons pas ces outils en fonction de leur efficacité. Puisqu'il nous faut tout de même structurer notre propos, nous distinguerons les moyens de lutte contre le courrier indésirable en étudiant les moyens de lutte que l'on peut qualifier de « frontaux » du courrier indésirable (A), c'est-à-dire les moyens juridiques qui visent spécifiquement à lutter contre ce comportement, puis nous verrons les moyens plus stratégiques qui ne sont pas à proprement parler des moyens de lutte contre le courrier indésirable (B) mais qui peuvent servir à en sanctionner les effets. CE DOCUMENT PROVIENT DU SITE WWW .DROIT-NTIC.COM 3 C. HERBIN, LES STRATEGIES DE LUTTE CONTRE LE COURRIER INDESIRABLE, DROIT-TIC, 14 AVRIL 2004 A - La lutte « frontale » : L'interdiction du courrier indésirable Le travail préliminaire du juriste et a fortiori de l'avocat est de rechercher la qualification juridique applicable aux faits qui lui sont soumis, et dans le cas de comportements délictueux de rechercher les textes les sanctionnant. Dans le cas du courrier indésirable, nous allons voir que malgré ce que pense le grand public lorsque l'on parle de nouvelles technologies, la législation existe et prévoit des dispositions réglementant la prospection commerciale par la vole électronique. Les expéditeurs de courriers électroniques indésirables ne doivent donc pas penser être dans ce que d'aucuns appellent un « vide juridique ». La recherche de la qualification juridique du courrier électronique indésirable amène indubitablement à se pencher sur deux législations qui paraissent à l'évidence s'appliquer à ce phénomène: la législation relative à l'informatique et aux libertés (1) et la législation relative aux télécommunications (2). 1 - L'encadrement de la prospection commerciale par la voie électronique par la législation relative aux données à caractère personnel L'avènement du courrier électronique a révolutionné la prospection commerciale en raison de son faible coût, ce qui démultiplié cette prospection (que celle-ci soit sollicitée ou non). Il ne s'agit pas d'une véritable nouveauté, en effet la prospection commerciale par courrier a toujours existée, chacun a pu ainsi recevoir dans sa boite au lettres des prospectus, propositions commerciales, ... Cependant, le courrier électronique est un vecteur de cette prospection qui lui donne une ampleur sans aucune mesure avec celle utilisant la vole du courrier traditionnel, car si dans ce dernier cas le coût de l'envoi d'un prospectus était conséquent, la quasi gratuité du courrier électronique permet aux expéditeurs d'envoyer leurs courriers en masse sans aucune sélection des destinataires. L'envoi de courrier commercial n'est évidemment pas interdit, seul l'envoi de courrier électronique non sollicité peut se voir sanctionné. Le courrier indésirable, comme son nom l'indique n'est pas envoyé à des individus ayant souhaité la réception de ces courriers électroniques à vocation commerciale. L'illicéité du courrier indésirable au regard de la législation relative aux données à caractère personnel peut être qualifiée à deux moments distincts de l'activité d'expédition de courrier indésirable - soit lors de sa phase préparatoire qui est la collecte d'informations nominatives (a) qui sont en l'espèce les adresses de courrier électronique des destinataires, ou bien lors du traitement de ces données (b), les sanctions de ces comportements étant prévus par des dispositions pénales (c) a. La réglementation relative à la collecte de données à caractère personnel Il est évident aussi que l'auteur de ces courriers n'envoie pas un courrier électronique isolé à une seule personne en particulier, mais une série de courriers dans l'espoir que l'un des destinataires soit concerné par l'offre proposée. Il existe différents moyens pour l'expéditeur des courriers indésirables d'obtenir une liste d'adresse de courriers électroniques : L'acquisition auprès d'une société peu scrupuleuse de fichiers commerciaux, ceux-ci ont pu être collectés légitimement mais ils ont été transférés à l'expéditeur de courrier indésirable de façon illicite. Dans la pratique circulent sur des sites étrangers (principalement russes) des fichiers d'adresses de courrier électroniques comportant parfois plusieurs milliers d'adresses pour des prix extrêmement bas. CE DOCUMENT PROVIENT DU SITE WWW .DROIT-NTIC.COM 4 C. HERBIN, LES STRATEGIES DE LUTTE CONTRE LE COURRIER INDESIRABLE, DROIT-TIC, 14 AVRIL 2004 La récupération automatisée d'adresses de courriers électroniques sur Internet (forums de discussions, ...). Des logiciels sont chargés d'ouvrir des pages Internet et de rechercher dans celles-ci toute référence à une adresse de courrier indésirable. Les règles relatives à la protection des données à caractère personnel s'imposent aux prospecteurs et n'autorisent donc pas la « collecte sauvage » de données à caractère personnel sur les espaces public de l’Internet à l'insu de l'internaute. L'essai aléatoire d'adresses de courriers électroniques au moyen d'un logiciel spécifique. Un logiciel va essayer d'envoyer un courrier électronique à des adresses générées de façon purement aléatoire, le faible coût de l'envoi de courrier électronique associé à un effet de nombre permet d'obtenir un résultat rentable pour le créateur de ce fichier d'adresses. La loi 78-17 relative à l'informatique, aux fichiers et aux libertés prévoit plusieurs principes généraux relatifs à la collecte des données à caractère personnel2 Le premier principe est celui de loyauté lors de la collecte : « Les données sont collectées et traitées de manière loyale et licite », ceci impose comme nous le verrons par la suite que l'internaute soit informé à la fois de l'existence d'une collecte mais aussi d'informer l'internaute de l'objet de la collecte et de l'utilisation qui en sera faite. Le second principe est celui dit « principe de finalité », il impose que les données soient « collectées pour des finalités déterminées, explicites et légitimes et ne [soient] pas traitées ultérieurement de manière incompatible avec ces finalités. ». Ce principe permet d'empêcher que la personne qui collecte des adresses de courrier électroniques les collecte pour une finalité apparemment légitime puis que le détenteur du fichier d'adresses le réutilise pour une finalité contraire à la volonté de l'internaute. b. Les formalités nécessaires à un traitement Le traitement de données à caractère personnel est une notion extrêmement large, car toute manipulation, collecte, consultation de ces données est considérée comme un traitement, ainsi l'utilisation du fichier d'adresses de courrier électronique aux fins d'envoyer des courriers indésirables sera considéré comme un traitement de données à caractère personnel. Cette qualification de traitement de données à caractère personnel entraîne un certain nombre d'obligations : Déclaration préalable auprès de la commission nationale informatique et libertés : La collecte et l'enregistrement d'adresses électroniques consiste en un traitement automatisés d'informations normatives qui doit, avant sa mise en oeuvre, faire l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés3; L'information préalable des titulaires de l'adresse électronique : La personne qui collecte des informations nominatives (en l'occurrence ici des adresses de courrier électronique) doit informer le futur destinataire des courriers électroniques de l'utilisation qui sera faite de son adresse et lui laisser la possibilité de s'opposer à son traitement4 . Dans l'hypothèse du courrier indésirable les adresses de courrier électronique peuvent, nous l'avons vu, provenir de fichiers vendus par des tiers, dans cette hypothèse l'obligation d'information subsiste5 2 Article 6 de la loi 78-17 relative à l'informatique, aux fichiers et aux libertés Article 22 de la loi 78-17 relative à l'informatique, aux fichiers et aux libertés 4 Article 32.1 de la loi 78-17 relative à l'informatique, aux fichiers et aux libertés: « La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf' si elle l'a été au préalable, par le responsable du traitement ou son représentant : l' De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant; 2' De la finalité poursuivie par le traitement auquel les données ont destinées ; 3' Du caractère obligatoire ou facultatif' des réponses ; 4' Des conséquences éventuelles, à son égard, d'un défaut de réponse ; 5' Des destinataires ou catégories de destinataires des données ; 61 Des droits qu'elle tient des dispositions de la section 2 du présent chapitre ; 70 Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un État non membre de la Communauté européenne. » 5 Article 32.111 de la loi 78-17 relative à l'informatique, aux fichiers et aux libertés: « Lorsque les données à caractère personnel n'ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au 1 dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus lard lors de la première communication des données. » 3 CE DOCUMENT PROVIENT DU SITE WWW .DROIT-NTIC.COM 5 C. HERBIN, LES STRATEGIES DE LUTTE CONTRE LE COURRIER INDESIRABLE, DROIT-TIC, 14 AVRIL 2004 Le droit d'opposition : La personne dont les données à caractère personnel figurent déjà dans un fichier peut s'opposer au traitement de celles-ci6 Assurer la sécurité des informations : Toute personne ordonnant ou effectuant un traitement d'informations nominatives s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés7 c. Sanctions Les infractions aux dispositions de la loi 78-17 relative à l'informatique, aux fichiers et aux libertés ne sont pas négligeables, la loi prévoit en effet, par un renvoi au Code Pénal, des sanctions pénales8 Les articles 226-16 à 226-24 du Code Pénal prévoient donc des sanctions aux infractions à la loi 78-17 relative à l'informatique, aux fichiers et aux libertés, celles-ci sont assez sévères : Le traitement de données à caractère personnel sans respecter les formalités préalables est sanctionné par cinq ans d'emprisonnement et 300 000 Euros d'amende9. La collecte frauduleuse, déloyale ou illicite de données à caractère personnel est punie de cinq ans d'emprisonnement et de 300 000 Euros d'amende'10. Le traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende11 Le détournement de finalité est sanctionné par cinq ans d'emprisonnement et de 300 000 Euros d'amende12 Le transfert de données à caractère personnel en dehors de la communauté européenne de façon illicite est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende13. On voit donc que les sanctions ne sont pas négligeables, et que le recours à ces dispositions peut constituer un élément très dissuasif à l'égard des expéditeurs de courrier indésirable, en effet une condamnation pénale est plus effrayante et spectaculaire qu'une simple condamnation civile à la réparation d'un préjudice. 2 - Les dispositions du code des postes et télécommunications L'utilisation d'adresses de courriers électroniques dans les opérations de prospection commerciale est subordonnée au recueil du consentement préalable des personnes concernées. Le dispositif juridique applicable a été introduit par l'article 1-2 de la loi du 21 Juin 2004 pour la confiance dans l'économie numérique . 6 Article 38 « Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. Elle a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur. » 7 Article 34 de la loi 78-17 relative à l'informatique, aux fichiers et aux libertés: « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » 8 Article 50 de la loi 78-17 relative à l'informatique, aux fichiers et aux libertés : « Les infractions aux dispositions de la présente loi sont prévues et réprimées par les articles 226-16 à 226-24 du code pénal. » 9 Article 226-16 du Code Pénal 10 Article 226-18 du Code Pénal 11 Article 226-18-1 du Code Pénal 12 Article 226-21 du Code Pénal 13 Article 226-22-1 du Code Pénal CE DOCUMENT PROVIENT DU SITE WWW .DROIT-NTIC.COM 6 C. HERBIN, LES STRATEGIES DE LUTTE CONTRE LE COURRIER INDESIRABLE, DROIT-TIC, 14 AVRIL 2004 Les dispositions applicables sont définies par les articles L. 34-5 du code des postes et des télécommunications et L. 121-20-5 du code de la consommation14. L'application du principe du consentement préalable en droit français résulte de la transposition de l'article 13 de la Directive européenne du 12 juillet 2002 « vie privée et communications électroniques » Les dispositions légales interdisent explicitement d'utiliser l'adresse de courrier électronique d'une personne physique à des fins de prospection commerciale sans avoir préalablement obtenu son consentement. L'expression de ce consentement doit être libre, spécifique et informée. En conséquence, son recueil ne doit pas être dilué dans une acceptation des conditions générales, comme par exemple lors de l'acceptation d'une commande sur un site de vente en ligne dont les conditions générales mentionneraient l'acceptation d'une prospection commerciale. Bien que ses recommandations n'aient pas de caractère normatif on peut noter que la CNIL recommande à cet égard qu'il soit recueilli par le biais d'une case à cocher et considère qu'une case pré cochée est contraire à l'esprit de la loi. Dans tous les cas de figure, chaque message électronique envoyé doit prévoir des modalités de désinscription et préciser l'identité de la personne pour le compte de laquelle le message a été envoyé. Enfin, la loi pour la confiance dans l'économie numérique a aménagé une période transitoire d'une durée de 6 mois à compter de sa publication, à savoir le 22 juin 2004. Ainsi, les entreprises peuvent jusqu'au 22 décembre 2004 adresser, à partir de fichiers constitués dans le respect des dispositions de la loi 78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978, un courrier électronique afin de recueillir le consentement des personnes. L'absence de réponse de celles-ci dans la période des 6 mois équivaudra à un refus d'être démarché. Le non-respect du principe du consentement préalable est sanctionné par une amende de 750 Euros pour chaque message irrégulièrement expédié15. Le recours à ces dispositions est extrêmement intéressant dans l'hypothèse d'un envoi en masse de courrier électronique où la preuve des envois est facile, dans ce cas la sanction financière pourra être extrêmement élevée, puisque les textes prévoient une amende pour chaque courrier indésirable envoyé. 14 Qui reproduit l'article L.34-5 du Code des Postes et Télécommunications Article R. 10- 1 du code des postes et des télécommunications : « Le fait d’utiliser, dans des opérations de prospection directe, des données à caractère personnel contenues dans les listes d'abonnés ou d'utilisateurs du service téléphonique au public relatives aux personnes ayant exprimé leur opposition, par application des dispositions du 4 de l'article R. 10, quel que soit le mode d'accès à ces données, est puni, pour chaque correspondance ou chaque appel, de l'amende prévue pour les contraventions de la quatrième classe, sans préjudice de l'application du premier alinéa de l'article 226-18 du code pénal. La prospection directe des personnes physiques en violation des dispositions du premier alinéa de l'article L. 33-4-1 est punie, pour chaque communication, de l'amende prévue pour les contraventions de la quatrième classe, sans préjudice de l'application du premier alinéa de l'article 226-18 du code pénal. » 15 CE DOCUMENT PROVIENT DU SITE WWW .DROIT-NTIC.COM 7 C. HERBIN, LES STRATEGIES DE LUTTE CONTRE LE COURRIER INDESIRABLE, DROIT-TIC, 14 AVRIL 2004 B – La lutte stratégique : les autres moyens de lutte contre le courrier indésirable D'autres moyens plus stratégiques peuvent être utilisés afin de lutter contre le Courrier indésirable, il s'agit ici soit de réparer un préjudice soit de mettre hors d'état de nuire l'expéditeur de courrier indésirable le plus rapidement, le plus efficacement et le plus spectaculairement possible. Ces choix peuvent s 1 inscrire dans une démarche plus large de lutte contre le phénomène du courrier indésirable dans son ensemble. Les différentes actions seront distinguées selon leur fondement civil (1) ou pénal (2), cette distinction qui peut sembler artificielle dans le cadre de notre propos est cependant fondée dans le sens où le choix d'une procédure pénale peut être dictée par son exemplarité et la volonté de marquer les esprits alors que le recours à la vole civile est orientée vers une politique de réparation. 1 – Les actions civiles a. Le recours à la responsabilité contractuelle Un des moyens stratégique de mettre hors de nuire l'expéditeur de courrier indésirable est de lui supprimer ses moyens techniques d'envoyer les courriers électroniques indésirables. Les spammeurs ont recours à deux prestataires : le fournisseur d'accès à Internet et le fournisseur d'adresse de courrier électronique, ces deux prestataires ne faisant parfois qu'un. Or la relation qui lie le prestataire et le client est une relation contractuelle, basée sur l'acceptation des conditions générales d'utilisation pour le fournisseur de courrier électronique et sur l'acceptation du contrat de fourniture d'accès pour le fournisseur d'accès à Internet. Les prestataires techniques ont l’habitude d'insérer dans leurs contrats une clause limitant l'utilisation de leurs prestations et notamment interdisant l'utilisation des comptes souscrits chez eux aux fins d'envoi de courrier indésirable, de plus ces contrats font référence à un « code de conduite de l'Internet » (appelé la Netiquette) qui prohibe lui aussi l'envoi de courrier indésirable. Des décisions de justice en 200116 et 200217 ont déjà reconnu la licéité d'une telle solution, notamment en se basant sur l'article 1135 du Code Civil18 , dans ces deux affaires les expéditeurs des courriers électroniques indésirables n'étaient pas les défendeurs à l'action, mais les demandeurs, reprochant à leurs prestataires techniques d'avoir mis fin aux contrats les liants au motif qu'ils pratiquaient l'envoi de courrier indésirable. Les juges n'ont pas fait droit à ces demandes et ont validé la rupture du contrat, mais dans l'affaire du 15 janvier 2002, les juges sont allés plus loin en acceptant la demande reconventionnelle en dommages et intérêts de ses fournisseurs d'accès à Internet. L'expéditeur de courriers indésirables était poursuivi par les sociétés Microsoft et AOL. Celles-ci invoquaient la violation des clauses respectives des contrats les liant avec l'expéditeur de courrier indésirable. L'expéditeur avait ouvert plusieurs comptes lui permettant d'envoyer des courriers électroniques auprès des deux sociétés précitées. Apres plusieurs plaintes d'internautes recevant des courriers indésirables provenant d'adresses de courriers électroniques fournies par la société Microsoft par l'intermédiaire de son service « Hotmail » et par la société AOL dans le cadre de sa fourniture d'accès à Internet, la société Microsoft a souhaité agir à l'encontre de l'expéditeur de ces courriers indésirables. Il a tout d'abord obtenu du président du tribunal de grande instance de Nanterre que la société AOL qui fournissait l'accès à Internet à l'expéditeur des courriers indésirables lui communique l'ensemble des éléments d'identifications en sa possession. 16 Tribunal de Grande Instance de Rochefort sur Mer, 28 février 2001 (cf Annexe 2) Tribunal de Grande Instance Paris, 15 janvier 2002 (cf Annexe 2) 18 Article 113 5 du Code Civil : « Les conventions obligent non seulement à ce qui y est exprimé, mais encore à toutes les suites que l'équité, l'usage ou la loi donnent à l'obligation d'après sa nature » 17 CE DOCUMENT PROVIENT DU SITE WWW .DROIT-NTIC.COM 8 C. HERBIN, LES STRATEGIES DE LUTTE CONTRE LE COURRIER INDESIRABLE, DROIT-TIC, 14 AVRIL 2004 Une fois l'auteur de ces courriers identifiés, la société Microsoft a saisi le tribunal de Commerce de Paris sur le fondement de la responsabilité contractuelle et réclamait des dommages et intérêts sur ce fondement, la société AOL intervenue volontairement à l'instance a formulé les mêmes demandes. Le tribunal de commerce dans son jugement du 5 mai 2004 a fait droit aux demandes de la demanderesse et de l'intervenante volontaire condamnant ainsi l'expéditeur du courrier indésirable sur le fondement de sa responsabilité contractuelle au versement de la somme de 5.000 € de dommages et intérêts à chacun des demandeurs, à l'interdiction de l'utilisation des adresses de courriers électroniques des sociétés demanderesses aux fins de courrier indésirable, à la publication du jugement. Outre la condamnation financière qui, nous venons de le voir, peut être importante, la responsabilité contractuelle a l'avantage d'être mis en oeuvre par un prestataire et la rupture du contrat par celui-ci mets l'expéditeur de courrier indésirable dans l'impossibilité matérielle de continuer son comportement. Bien sur, l'auteur pourra avoir recours à un nouveau prestataire, mais le coût de ces changements de prestataires constitue un frein à l'activité d'expédition de courrier indésirable justement basé sur le coût quasi nul de l'opération. b. La responsabilité délictuelle La lutte contre le courrier électronique indésirable provoque des dommages au destinataire et aux prestataires techniques intermédiaires, Justifiant ainsi le recours à la responsabilité délictuelle. En vertu du principe de non cumul des actions en responsabilité civile contractuelles et délictuelles, cette action sera fermée dans l'hypothèse que nous venons de voir. L'action en responsabilité délictuelle pourrait donc être utilisée par la victime d'un envoi de courriers électroniques, dans l'hypothèse où celui-ci aurait causé un préjudice réparable. La jurisprudence ne s'est pas prononcée sur l’hypothèse d'une telle responsabilité, cependant on ne voit pas pour quelle raison elle pourrait être exclue, la doctrine considère elle aussi que c'est une hypothèse envisageable19 2 – Les infractions pénales Outre les infractions pénales spécifiques qui ont fait l'objet de notre propos précédemment, deux autres infractions peuvent être envisagées, il s'agit de la contrefaçon et des atteintes aux systèmes de traitement automatisés de données résultant de la loi Godfrain Ces infractions ont, nous l'avons vu pour les autres infractions à caractère pénal, l'avantage d'être dissuasives car impressionnantes et effrayantes pour la personne poursuivie. De plus, en termes d'image, elles constituent le choix le plus efficace, les clients préférant éviter d'être associés à une société ayant fait l'objet d'une condamnation pénale. Le choix des dispositions pénales permet donc, à terme, de provoquer la disparition des individus pratiquant l'envoi de courrier indésirable. a. La contrefaçon de marque Les violations du droit d'auteur peuvent aussi servir de moyen de lutte contre le courrier indésirable, d'autant que les dispositions relatives à la contrefaçon prévoient des procédures rapides. Deux hypothèses peuvent donner lieu à une procédure de contrefaçon: La première hypothèse qui a donné lieu à une ordonnance du juge des référés du Tribunal de Grande Instance20 de concerne une hypothèse particulière où l'expéditeur de courrier indésirable usurpe une adresse 19 Lamy Droit de l'Informatique et des Réseaux 2002, n°2677 CE DOCUMENT PROVIENT DU SITE WWW .DROIT-NTIC.COM 9 C. HERBIN, LES STRATEGIES DE LUTTE CONTRE LE COURRIER INDESIRABLE, DROIT-TIC, 14 AVRIL 2004 e-mail. La société Microsoft exploite le site « Hotmail » qui permet à tout un chacun de créer une adresse de courrier électronique terminant par « @hotmail.com ». Le service « Hotmail » reçoit régulièrement des plaintes de personnes recevant des courriers indésirables provenant de personnes utilisant un compte de courrier électronique « Hotmail » et après vérification mets fin à la fourniture de l'adresse de courrier électronique litigieuse. En l'espèce la société Microsoft avait reçu des plaintes à l'encontre d'une adresse « Hotmail » qui interpella la société car il s'avérait qu'il s'agissait d'une fausse adresse de courrier électronique « Hotmail ». Cette adresse étant fausse, la société Microsoft ne pouvait donc mettre fin à la fourniture de cette adresse. Dans un souci d'image, cette utilisation était extrêmement préjudiciable car elle laissait croire que la société Microsoft, pourtant saisie de plaintes, laissait perdurer un compte de courrier électronique utilisé aux fins d'envoi de courrier indésirable. Au mieux le grand public pouvait penser la société Microsoft incompétente ou laxiste, au pire elle pouvait considérer que la société Microsoft cautionnait ou participait à l'envoi de ces courriers indésirables. C'est alors que s'est imposé le choix d'une action en référé aux fins d'interdiction d'utilisation de la marque « hotmail » dans l'adresse de courrier électronique de l'auteur du courrier indésirable. Le point juridique le plus important étant de savoir si l'utilisation d'une marque dans l'adresse électronique était constitutif d'une contrefaçon de marque, en effet la mesure de référé interdiction exige que l'action au fond par le demandeur apparaisse sérieuse21 En l'espèce le juge des référés a fait droit à la demande de la société Microsoft et a prononcé l'interdiction pour l'auteur du courrier indésirable d'utiliser le terme « hotmail » sous astreinte. La seconde hypothèse est le cas où l'expéditeur de courrier indésirable contreferait une marque dans le courrier. C'est le cas notamment de bien des courriers indésirables proposant la vente de logiciels de marque ou de médicaments. Dans cette hypothèse l'article L.716- 1 du code de la propriété intellectuelle22 trouve donc à s'appliquer et qui sanctionne notamment, La reproduction, l'usage ou l'apposition d'une marque, pour des produits ou services identiques23 S'il peut en résulter un risque de confusion dans l'esprit du publie La reproduction, l'usage ou l'apposition d'une marque pour des produits ou services similaires et l'imitation d'une marque et l'usage d'une marque imitée, pour des produits ou services identiques ou similaires24 Le recours aux infractions de contrefaçon de marque prévues par les articles L.716-1 à L.716-16 du Code de la Propriété Intellectuelle est donc efficace en terme de preuve et de vitesse. 20 Ordonnance du 6 avril 2004, cf Annexe 2 Article L.716-6 du Code de la Propriété Intellectuelle: « Lorsque le tribunal est saisi d'une action en contrefaçon, son président, saisi et statuant en la forme des référés, peut interdire, à titre provisoire, sous astreinte, la poursuite des actes argués de contrefaçon, ou subordonner cette poursuite à la constitution de garanties destinées à assurer l'indemnisation du propriétaire de la marque ou du bénéficiaire d'un droit exclusif d'exploitation. La demande d'interdiction ou de constitution de garanties n'est admise que si l'action au fond apparaît sérieuse et a été engagée dans un bref délai à compter du jour où le propriétaire de la marque ou le bénéficiaire d'un droit exclusif' d'exploitation a eu connaissance des faits sur lesquels elle est fondée. Le juge peut subordonner l'interdiction à la constitution par le demandeur de garanties destinées à assurer l'indemnisation éventuelle du préjudice subi par le défendeur si l'action en contrefaçon est ultérieurement jugée non fondée. » 22 Article L. 716-1 du Code de la Propriété Intellectuelle: « L'atteinte portée au droit du propriétaire de la marque constitue une contrefaçon engageant la responsabilité civile de son auteur. Constitue une atteinte aux droits de la marque la violation des interdictions prévues aux articles L. 713-2, L. 713-3 et L. 713-4. » 23 Article L.713-2 du Code de la Propriété Intellectuelle -. « Sont interdits, sauf autorisation du propriétaire: a) La reproduction, l'usage ou l'apposition d'une marque, même avec l'adjonction de mots tels que: 'formule, façon, système, imitation, genre, méthode", ainsi que l'usage d'une marque reproduite, pour des produits ou services identiques à ceux désignés dans l'enregistrement; b) La suppression ou la modification d'une marque régulièrement apposée. » 24 Article L.713-3 du Code de la Propriété Intellectuelle -. « Sont interdits, sauf autorisation du propriétaire, s'il peut en résulter un risque de confusion dans l'esprit du public: a) La reproduction, l'usage ou l'apposition d'une marque, ainsi que l'usage d'une marque reproduite, pour des produits ou services similaires à ceux désignés dans l'enregistrement ; b) L'imitation d'une marque et l'usage d'une marque imitée, pour des produits ou services identiques ou similaires à ceux désignés dans l'enregistrement. » 21 CE DOCUMENT PROVIENT DU SITE WWW .DROIT-NTIC.COM 10 C. HERBIN, LES STRATEGIES DE LUTTE CONTRE LE COURRIER INDESIRABLE, DROIT-TIC, 14 AVRIL 2004 En effet, la preuve de l'infraction est apportée par la preuve des droits du demandeur sur la marque (dépôt de marque) et la preuve de la contrefaçon résulte du simple constat de sa reproduction. Les procédures d'urgence prévues par le code de la propriété intellectuelle et notamment le référé interdiction permettent de faire constater rapidement la contrefaçon et de mettre fin à l'utilisation illicite de la marque. L'inconvénient de cette méthode est qu'il est extrêmement facile pour l'expéditeur de courrier indésirable de recommencer son forfait avec une autre adresse de courrier électronique imposant de multiples demandes auprès du juge des référés. Cependant, il est probable qu'une condamnation soit suffisamment dissuasive pour mettre fin à l'envoi de courrier indésirable par une majorité d'expéditeur de ce genre de messages. b. Les atteintes à un système de traitement automatisé de données La loi dite « Godfrain » a introduit dans le code pénal des dispositions destinées à lutter contre ce qu'il est convenu d'appeler le « piratage informatique ». Il est vrai qu'a priori, même si le comportement de l'auteur de l'envoi de courrier indésirable semble illicite, on n'est pas forcement enclin à assimiler celui-ci à un pirate informatique. Cependant deux situations sont susceptibles de faire basculer le « simple » envoi de courrier indésirable en infraction relevant des articles 323-1 et suivant du Code Pénal. L'accès frauduleux à un système de traitement automatisé des données L'utilisation, à l'insu des personnes, de leur matériel informatique est sanctionnée par l'article 323-1 du Code pénal25. L'hypothèse à laquelle fait référence cet article est l'accès non autorisé à un système informatique. Or les expéditeurs de courrier indésirable ont très souvent recours à ces méthodes afin de s'assurer d'un certain anonymat. En effet, les serveurs destinés à envoyer le courrier électronique sont situés chez les fournisseurs d'accès à Internet, or ceux-ci conservent les identifications des utilisateurs. Pour éviter cette possibilité d'identification, les expéditeurs de courrier électronique recourent au piratage informatique. En théorie pour l'envoi d'un courrier électronique il est nécessaire d'utiliser le serveur d'envoi de courrier électronique de son fournisseur d'accès à Internet ou de son fournisseur de service de courrier électronique en utilisant les codes fournis lors de la souscription du service. Les expéditeurs de courrier 'indésirable vont s'introduire frauduleusement dans un autre serveur d'envoi de courrier électronique soit en utilisant des codes récupérés frauduleusement, soit en utilisant des failles dans la sécurité du dit serveur. Ainsi l'identification de l'expéditeur sera erronée, compliquant la recherche de l'auteur du courrier indésirable. Le recours à cette méthode d'envoi de courrier électronique par l'expéditeur de courrier indésirable permettra donc de le sanctionner sur le fondement de l'accès frauduleux à un système de traitement automatisé de données. 25 Article 323-1 du Code Pénal : « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende. » CE DOCUMENT PROVIENT DU SITE WWW .DROIT-NTIC.COM 11 C. HERBIN, LES STRATEGIES DE LUTTE CONTRE LE COURRIER INDESIRABLE, DROIT-TIC, 14 AVRIL 2004 L'entrave au fonctionnement d'un système de traitement automatisé des données Dans un arrêt du Tribunal de Grande Instance du Mans26 le tribunal a condamné pour entrave au fonctionnement d'un système de traitement automatisé de données à l'article 323-2 du Code pénal27, l'auteur d'un envoi massif de courriers indésirables. Cependant pour que cette infraction soit constituée il est indispensable que l'envoi de courrier indésirable ait eu pour conséquence une altération du fonctionnement des serveurs (ralentissement, diminution de bande passante, ... ) Il s'agit ici d'une hypothèse plus spécifique qui est le « mail bombing » qui consiste à un envoi massif de courrier électronique parfois avec l'objectif de surcharger le serveur de courrier électronique. 26 Tribunal de Grande Instance Mans, 07 novembre 2003, Cf Annexe 2 Article 323-2 du Code Pénal : « Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000 euros d'amende. » 27 CE DOCUMENT PROVIENT DU SITE WWW .DROIT-NTIC.COM 12 C. HERBIN, LES STRATEGIES DE LUTTE CONTRE LE COURRIER INDESIRABLE, DROIT-TIC, 14 AVRIL 2004 Conclusion Nous avons pu voir que le phénomène du courrier indésirable n'échappe absolument pas aux dispositions légales. Celles-ci sont très variées et offrent ainsi au Juriste et à l'avocat une palette importante permettant de lutter contre le courrier indésirable avec des effets très variables selon les dispositions choisies. La lutte contre le courrier indésirable vu par l'oeil des grandes sociétés informatiques vise à privilégier l'aspect pénal comme il en ressort dans le cadre de ce propos. En effet, les dispositions pénales permettent au delà de la simple sanction financière, d'obtenir une sanction symbolique et médiatique afin d'affirmer une volonté de lutte contre le phénomène dans son ensemble. Cependant, les actions purement civiles ne sont pas à exclure lorsque l'objectif recherché est plus spécifiquement la réparation d'un préjudice, sans volonté particulière d'exemplarité de la décision. CE DOCUMENT PROVIENT DU SITE WWW .DROIT-NTIC.COM 13