Le nouveau régime juridique de la prospection commerciale par courrier électronique est désormais effectif avec la publication, ce mardi 22 juin, de la loi pour la confiance dans l’économie numérique (LCEN) [foruminternet.org]. Il est donc temps de faire le point sur l'arsenal juridique - ancien et nouveau - qui est mis à la disposition des acteurs souhaitant réagir contre le spamming.

Si la LCEN ne pose aucune définition du spamming, on peut retenir celle fournie par la CNIL, c’est-à-dire « l'envoi massif, et parfois répété, de courriers électroniques non sollicités, à des personnes avec lesquelles l'expéditeur n'a jamais eu de contact et dont il a capté l'adresse électronique de façon irrégulière » (voir Guillaume Teissonnière, « La lutte contre le spamming : de la confiance en l'économie numérique à la méfiance envers ses acteurs », Juriscom.net, 2 mars 2004).

Conformément à la directive européenne 2002/58 du 12 juillet 2002 relative à la vie privée et aux communications électroniques, le destinataire de spams peut s’opposer à leur réception, dès lors qu’il n’a pas été informé de l’utilisation de ses données personnelles et qu’il n’a pas consenti préalablement à une telle utilisation.

Outre l’hypothèse où des dommages et intérêts pourraient être alloués sur le fondement de l'article 1382 du Code civil dans la mesure où le destinataire de spams établit un préjudice, les acteurs français qui désirent lutter contre les spams pourront piocher dans l’éventail des moyens mis à leur disposition.

I. Signaler auprès des fournisseurs de services Internet de l’expéditeur du spam

Il est tout d'abord possible de signaler l'existence du spam auprès du prestataire qui fournit l’adresse électronique et/ou le prestataire d’accès à Internet. Celui-ci pourra sanctionner l'auteur de spams en cessant de lui fournir ses services. Pour cela, il lui suffit d'appliquer ses "conditions générales d'utilisation" qui interdisent, la plupart du temps, la pratique du spamming.

Un signalement effectué auprès du service « abuse » du fournisseur d’accès à Internet (FAI) du spammeur permettra, si les faits sont vérifiés, de suspendre ou de fermer le compte de l’abonné pour non respect des obligations contractuelles. A cette fin, il conviendra de relever l’adresse IP de l’ordinateur qui a envoyé le message (pour plus d’informations, voir le site de l'AFA [abuse.afa-france.com] consacré au spam).

Le prestataire de service Internet pourra, juridiquement, se fonder sur différents moyens pour faire cesser le spamming.

1. La violation des usages ou des dispositions contractuelles (article 1147 du Code civil)

·         Non respect des usages ou de la Netiquette

Le TGI de Rochefort-sur-Mer a déclaré non fautive, le 28 février 2001, la résiliation du contrat d’accès à Internet d'un spammeur (affaire Monsieur Christophe G. c/ SA France Télécom Interactive [juriscom.net]).

·         Non respect des obligations contractuelles et de la Netiquette

On se rappelle la 1^ère condamnation d’un internaute pour avoir pratiqué le spamming dans l’affaire Monsieur P. V. c/ Sté Liberty Surf et Sté Free [juriscom.net], rendue le 15 janvier 2002, en référé, par le TGI de Paris. Le FAI a pu légalement couper l’accès à Internet de son abonné au motif que celui-ci avait fait « un usage manifeste et répétitif » du spamming.

·         Non respect des obligations contractuelles

Plus récemment, le Tribunal de commerce de Paris a admis, le 6 avril 2004, la résiliation du contrat sans préavis ni mise en demeure, dans l’affaire Microsoft Corp. et AOL France c/ Monsieur K. [juriscom.net], avec une condamnation exemplaire à 22 000 euros (commentaire du jugement, Sandrine Rouja, « Le recours au droit des contrats contre le spamming », Juriscom.net, 8 juin 2004).

2. La contrefaçon de marque (article 716-6 du Code de la propriété intellectuelle)

·         La société E Nov Developpement a été condamnée par le TGI de Paris, le 5 mai 2004 pour avoir utilisé la marque verbale « hotmail » comme extension à l’adresse électronique d’envoi de spams (voir l’ordonnance du 5 mai 2004, Microsoft c/ E Nov Developpement [juriscom.net] et son commentaire, Sandrine Rouja, « Contrefaçon de la marque ''hotmail'' par une société de vente de logiciels de spams », Juriscom.net, 13 mai 2004).

II. Porter plainte auprès des autorités judiciaires

La plainte peut-être adressée, soit directement au procureur de la République près du parquet du TGI, soit au commissariat de police ou à la gendarmerie qui pourront la transmettre au procureur.

Le destinataire de spams pourra appuyer son argumentaire sur la violation de trois lois principales.

1. La violation de la loi « Informatique et libertés » du 6 janvier 1978

Parmi les droits introduits par la loi « Informatique et libertés » figurent le droit d’accès et de rectification des données nominatives, ainsi que le droit d’opposition (ce dernier n’est cependant pas à encourager dans la mesure où, dans la plupart des cas, il ne servira qu’à valider auprès du spammeur l’adresse électronique de l’internaute). Cette loi a par ailleurs inséré dans notre Code pénal les articles 226-16 à 226-24, qui sanctionnent notamment le défaut de formalités préalables auprès de la CNIL d’un traitement automatisé d’informations nominatives (les adresses électroniques étant des informations nominatives dès lors qu’elles permettent d’identifier les personnes auxquelles elles s’appliquent), le défaut d’information du titulaire au moment de la collecte des données ou de son consentement lors du traitement des données nominatives.

·         La plainte d’un internaute, Thomas Quinot a ainsi donné lieu au jugement du TGI de Paris, le 6 juin 2003, Ministère public et Monsieur Thomas Quinot c/ Monsieur R. G. V. [juriscom.net]. Son adresse électronique avait été collectée sur un forum de discussion avant d’être vendue en Bulgarie dans un fichier d’adresses. Thomas Quinot a saisi le procureur de la République après avoir reçu un spam promouvant un site à caractère pornographique. Puis, il s’est constitué partie civile pour obtenir des dommages et intérêts, sans même requérir les services d’un avocat. Le juge a retenu le délit de traitement automatisé de données sans déclaration préalable visé par l’article 226-16 du Code pénal.

Si ce jugement est très encourageant, on peut regretter la pusillanimité du magistrat lors du prononcé de la condamnation. L’article 226-16 prévoit des peines de trois ans d'emprisonnement et de 45 000 euros d'amende. Or, en l’espèce, le spammeur a été condamné à 3 000 euros d’amende et à verser 1 000 euros au plaignant à titre d’indemnisation.

D’autre part, le juge a été très prudent concernant le délit de collecte déloyale des informations nominatives puni par l’article 226-18 du Code pénal. Il a considéré que la simple acquisition d’un fichier déjà constitué ne répondait pas à la définition de « collecte » qui implique, selon lui, l’assemblage d’éléments épars (pour plus d’information, on pourra se reporter au site halte-au-spam.com).

2. La violation de la loi Godfrain du 5 janvier 1988 relative à la fraude informatique

Cette loi s’adresse davantage aux entreprises qu’aux particuliers, puisqu’elle réprime les atteintes aux systèmes de traitement automatisé de données, notamment l’accès frauduleux ou la perturbation du fonctionnement d'un système de traitement de données (articles 323-1 à 323-7 du Code pénal).

·         Une condamnation à 4 mois de prison avec sursis et à 20 000 euros de dommages et intérêts a été prononcée par le TGI de Paris, le 24 mai 2002, dans l’affaire Noos, pour entrave au fonctionnement d'un système de traitement automatisé de données (article 323-2 du Code pénal), la volonté de nuire du spammeur ayant paralysé le service de messagerie (Monsieur P. P. c/ Société Lyonnaise Communications [foruminternet.org]).

·         Le 7 novembre 2003, le TGI de Mans, dans l’affaire Smith et Nephew (Proc. de la Rép. et Sté Smith et Nephew c/ L. [juriscom.net]) a condamné un spammeur à 10 mois de prison avec 2 ans de mise à l’épreuve et plus de 30 000 euros de dommages et intérêts, pour avoir accédé frauduleusement à un système d’information par la falsification de l’adresse e-mail du spammeur (article 323-1 du Code pénal) et pour avoir entravé un système de traitement automatisé de données par la saturation des boites de réception de messagerie (article 323-2 du Code pénal).

3. La violation de la LCEN

Rappelons en effet que si loi « Informatique et libertés » de 1978 a institué un droit d’opposition à la prospection par courrier électronique, la LCEN introduit le consentement préalable du destinataire du courrier électronique, non inscrit au Registre du commerce et des sociétés.

Ajoutons que le Code de la consommation peut être invoqué en ce qui concerne la publicité trompeuse (article L 121-1). La LCEN, quant à elle, insère un article L. 121-15 dans le Code de la consommation, selon lequel « les publicités […] adressé[e]s par courrier électronique, doivent pouvoir être identifié[e]s de manière claire et non équivoque dès leur réception par leur destinataire, ou en cas d'impossibilité technique, dans le corps du message ».

Si nous sortons du champ d’application de ces trois lois principales, on peut noter un procédé original mis en place l’année dernière sur le site de L'Observatoire national des professions libérales. Ce site mentionnait que toute réception de spams serait facturée 7,62 euros hors taxes pour traitement administratif. Ce système a été validé par le tribunal de commerce puisqu’il a délivré une injonction de payer à deux spammeurs qui sont passés outre une mise en demeure de paiement.

Outre-atlantique un système de certification des expéditeurs est à l’essai (voir Jérôme Thorel, « Le principe du "spammeur-payeur" fait ses premiers pas » ZDNet.fr, 15 juin 2004).

D’autre part, lorsque le « message est susceptible d'être vu ou perçu par un mineur », l'article 227-24 du Code pénal sanctionne de 3 ans d'emprisonnement et de 75 000 euros d'amende « le fait soit de […] diffuser par quelque moyen que ce soit et quel qu'en soit le support un message à caractère violent ou pornographique ou de nature à porter gravement atteinte à la dignité humaine, soit de faire commerce d'un tel message ».

III. Saisir l’autorité administrative compétente

L’article 22 de la LCEN donne compétence à la CNIL (Commission Nationale de l’Informatique et des Libertés), dans le cadre de la loi du 6 janvier 1978, en matière de lutte contre les spams. Elle peut recevoir par tous moyens les plaintes relatives aux spams et peut ainsi dénoncer spammeurs au parquet ou procéder à des avertissements après enquête.

Notons qu’un projet de loi, adopté le 29 avril 2004 par l'Assemblée nationale en deuxième lecture, relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et qui modifie la loi « Informatique et libertés » du 6 janvier 1978, confère à la CNIL un pouvoir de sanction pécuniaire à l’égard des responsables de traitement de données. Ce projet doit transposer dans notre droit interne la directive 95/46 CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel.

Par ailleurs, ce projet de loi introduit un article 226-22-1 dans le Code pénal qui sanctionne le fait « de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l'objet ou destinées à faire l'objet d'un traitement vers un État n'appartenant pas à la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes » ou par la CNIL.

Cas où les spams sont émis en dehors de la France

L’article 25 de la directive 95/46 pose le principe que les données à caractère personnel ne peuvent être transférées que vers un pays tiers qui « assure un niveau de protection adéquat » des droits et libertés des personnes, au regard de « la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées » (voir à ce sujet le site de la Commission européenne [europa.eu.int]). Les Etats membres peuvent déroger à ce principe sous certaines conditions, notamment si la personne concernée a donné son consentement à un tel transfert.

L’internaute pourra saisir les autorités compétentes du pays de la Communauté européenne ou du pays tiers concerné

La directive 95/46 institue l’obligation de confier la surveillance de l’application de la directive à une ou plusieurs autorités nationales de contrôle, similaire à la CNIL française. Ces autorités pourront être saisies « par toute personne, ou par une association la représentant, d'une demande relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel » (article 28-4).

Le site de la Commission européenne propose l’adresse des 15 autorités compétentes des Etats membres qui composaient l’Union européenne avant le 1^er mai 2004 (voir "Protection des données dans l'Union européenne", Europa.eu.int, pages 14 et 15).

En ce qui concerne les spams émis depuis les Etats-Unis, on peut alerter la « Federal Trade Commission » du Bureau de protection du consommateur au département du commerce américain directement sur son site, à l’aide d’un formulaire en ligne (voir "Consumer complaint form", [rn.ftc.gov]), ou bien en lui adressant directement un courrier électronique (UCE@FTC.GOV).

Enfin, le site de la Direction du développement des medias [ddm.gouv.fr], services du Premier ministre, brosse le tableau des juges compétents lorsqu’un élément d’extranéité intervient.

S’il reste certains moyens juridiques qui n’ont pas encore été invoqués devant les tribunaux parmi toute cette panoplie mise à la disposition de l’internaute pour lutter contre les spams, à mesure que les litiges se multiplient, on pourra peut-être espérer voir peu à peu la proportion de spams diminuer. Internautes, vous pouvez d’ores et déjà vous défendre !