11.Le cadre juridique La législation des Etats-Unis en matière de "spam"
Remarque préliminaire : mesure du "spam"
Plusieurs sources permettent de disposer de données chiffrées sur le phénomène du spam :
- la FTC (Federal Trade Commission) analyse régulièrement sa "boîte à spam" appelée UCE (Unsolicited Commercial Email) depuis 1998 ;
- les fournisseurs d’accès internet et de messagerie électronique publient des statistiques concernant l’impact du spam sur leurs abonnés. Certains fournisseurs de technologie anti-spam font de même ;
- des cabinets de consultants indépendants réalisent des études sur l’ampleur du phénomène.
Dispositions "anti-spam"
- Législation "anti-spam"
Au 31 décembre 2003, 36 des 50 États américains avaient adopté une loi spécifique réglementant l’envoi de messages électroniques commerciaux non sollicités, ou "spam".
Parallèlement, en 2003, le Congrès des Etats-Unis a adopté la première loi fédérale visant à combattre le spam : le CAN-Spam Act de 2003 (Controlling the Assault of Non- Solicited Pornography and Marketing Act).
Cette loi fédérale est entrée en vigueur le 1er janvier 2004.
- Niveau fédéral ou étatique
Des lois contre le spam ont été adoptées à la fois au niveau étatique et au niveau fédéral.
Le CAN-Spam Act est une loi fédérale qui préempte les 37 lois étatiques anti-spam existantes, sauf si de telles lois interdisent l’acheminement ou la transmission dans les méls des contenus frauduleux ou trompeurs.
Au niveau des législations anti-spam des États, la majorité d’entre elles retiennent le mécanisme du droit d’opposition a posteriori ("opt-out") à recevoir des courriers électroniques et condamnent la prospection par mail avec une adresse d’expéditeur fausse ou non-valide. Ces dispositions ont fait naître un important contentieux qui a, dans certains cas, été l’occasion de sanctions très lourdes prononcées à l’encontre des spammeurs (cf. 7) Juriprudence).
Cependant, certains Etats, comme la Californie, ont prévu un régime de consentement préalable ("opt-in").
- Approche opt-in ou opt-out
Le CAN-Spam Act est basé sur le modèle de l’opt-out (droit d’opposition a posteriori).
La loi fédérale autorise la transmission des méls commerciaux non sollicités mais impose que chaque mél commercial inclue un mécanisme clairement identifié d’opt-out qui permette aux destinataires d’interdire l’envoi de futurs méls commerciaux à leur adresse électronique.
Ce mécanisme d’opposition peut prendre 2 formes :
- une adresse électronique à laquelle le destinataire peut répondre ;
- un mécanisme de réponse sur internet, par exemple un hyperlien vers une page web qui permet de se désinscrire à une liste.
Ce mécanisme doit fonctionner pendant au moins 30 jours après l’envoi de chaque message et les requêtes "opt-out" doivent être honorées dans les 10 jours ouvrables.
La plupart des méls commerciaux doivent aussi inclure, soit dans l’objet soit dans le corps du message, un label clair mentionnant qu’il s’agit d’une publicité ou d’une sollicitation.
Tous les méls commerciaux doivent aussi contenir l’adresse postale physique de l’expéditeur.
De plus, sont illégales en vertu du CAN-Spam Act :
- la collecte d’adresses électroniques de consommateurs depuis des sites internet ("harvesting of emails") ;
- la génération automatisée d’adresses électroniques possibles pour l’expéditeur ("emails permutations") ;
- l’utilisation de programmes permettant la création de comptes d’adresses électroniques multiples depuis lesquelles l’expéditeur envoie ses messages.
Les courriers électroniques de nature commerciale qui contiennent des références sexuelles doivent inclure dans leur objet un signe ou un avis permettant de mes identifier.
Ces courriers électroniques doivent :
- contenir le signe ou l’avis défini par la FTC ; - respecter les obligations de préciser la nature commerciale du message, de permettre au destinataire de demander de ne plus recevoir d’autres messages de cette nature, et d’indiquer une adresse postale valable.
Le CAN-Spam Act interdit enfin les communications non-sollicitées sur les téléphones mobiles.
- Le Do-Not-Email registry
Le CAN-Spam Act laissait à la FTC la possibilité de créer une liste "Do-Not-Email" qui aurait fonctionné comme une liste rouge téléphonique. Mais le rapport de la FTC, remis en juin 2004 au Congrès, rejette la création de cette liste, arguant qu’elle ne permettrait pas de réduire la quantité de spam que les consommateurs reçoivent, que son effet pourrait même être inverse, et qu’il serait en tout cas impossible d’en assurer l’application effective. La FTC a recommandé de concentrer les efforts de la lutte anti-spam sur la création d’un système performant d’authentification des adresses électroniques qui permettrait d’empêcher les spammeurs de cacher leur routage en vue d’échapper aux filtres anti-spam des fournisseurs d’accès et à l’application de la loi.
- Exceptions ou dérogations
Deux exceptions limitatives ont été prévues dans les dispositions du CAN-Spam Act.
- dans le cadre d’une relation commerciale existante :
c’est-à-dire lorsque l’envoi de méls complète, confirme ou facilite une relation commerciale antérieure entre l’expéditeur et le destinataire (factures, relevés de compte...). Dans ce cas, les messages doivent être véridiques et contenir dans leur en-tête les informations de transmisson mais sont dispensés des exigences de la loi CAN-Spam, et particulièrement du mécanisme de l’"opt-out".
- dans le cadre d’un consentement positif (opt-in) :
c’est-à-dire lorsque le destinataire a donné son accord à l’expéditeur pour recevoir des messages commerciaux. Dans ce cas, le message n’a pas besoin d’inclure les labels d’avertisssement (labels indiquant qu’il s’agit d’une publicité ou d’un message à caractère sexuel) normalement requis par la loi CAN-Spam pour les messages commerciaux. Néanmoins, toutes les autres exigences de la loi CAN-Spam sont maintenues (mécanisme de opt-out, adresse postale physique).
- Sanctions encourues par les auteurs de "spam"
Sanctions pénales
Délits sanctionnés par le CAN-Spam Act :
- la falsification intentionnelle de l’en-tête du message afin de tromper le destinataire ;
- la dissimulation de la source du message ou l’identité de l’expéditeur ;
- l’enregistrement de plus de 5 comptes méls avec de fausses informations dans le but d’envoyer un mél commercial en violation de la loi.
Les sanctions prévues dans le CAN-Spam Act peuvent aller jusqu’à 5 ans de prison.
Sanctions civiles
Le CAN-Spam Act autorise tout procureur général d’un État (attorney general) à intenter une action contre un spammeur, au nom des citoyens de son État.
Les procureurs généraux d’un État sont habilités à enquêter, et à demander des sanctions pécuniaires et/ou les sanctions imposées par la loi, au nom des habitants de leurs États respectifs, pour violation de la loi CAN-Spam.
La loi prévoit des sanctions pécuniaires, jusqu’à 250 dollars par mél illégal avec un plafond fixé à 2 millions de dollars par violation.
Cependant, si la Cour estime que la violation a été commise en connaissance de cause et intentionnellement ou si le "spammeur" a employé des tactiques comme la collecte automatique d’adresses pour générer une liste d’adresses pour une campagne illicite, les montants des sanctions peuvent être triplés.
- Conventions / accords bi ou multilatéraux conclus en matière de lutte contre le spam
Même si la Federal Trade Commission (FTC) a signé quelques accords bilatéraux de coopération avec le Canada, le Royaume-Uni et l’Australie pour la protection des consommateurs, les Etats-Unis n’ont pas encore signé d’accord avec d’autres nations pour combattre le spam.
Néanmoins, en décembre 2003, plusieurs parlementaires anglais et américains ont envoyé une lettre commune à leurs gouvernements respectifs, appelant à un effort bilatéral pour combattre les messages électroniques commerciaux non sollicités.
De plus, un projet de loi en attente devant le Congrès des Etats-Unis devrait faciliter, pour la FTC, le partage des informations à propos des enquêtes sur les pratiques commerciales frauduleuses ou trompeuses avec les institutions étrangères chargées de faire respecter la loi. Même si le spam n’est pas le sujet principal de cette loi, elle devrait faciliter la coopération internationale pour renforcer la législation "anti-spam".
La FTC a également mis en place un groupe de travail constitué de 136 membres représentants de 36 Etats. Ce groupe organise une conférence téléphonique tous les mois au cours de laquelle les membres échangent des informations sur l’évolution du spam, les technologies, les méthodes d’investigations, les cibles et les plaintes déposées.
Le FBI avait déjà mis en place, en collaboration avec les entreprises privées, le projet SLAM-Spam pour lutter contre le spam. Ce projet a permis notamment de lister une centaine de spammeurs importants, d’identifier des sources d’adresses pour les spammeurs, d’identifier les "techniques types" des spammeurs et d’organiser la coopération avec d’autres partenaires au niveau fédéral ou étatique. Le FBI a également rencontré le groupe du G-8 et Interpol.
Autorité indépendante
Autorité indépendante compétente en matière de lutte contre le spam
La Federal Trade Commission (FTC) habituellement chargée de réguler les pratiques commerciales déloyales aux Etats-Unis.
Pouvoirs d’injonction ou de sanction
- Compétence pour faire respecter le CAN-Spam Act d’après le FTC Act ;
- autorisation spéciale pour adopter des règlements pour clarifier ou modifier certaines dispositions du CAN-Spam Act ;
- pouvoir d’enquête sur la faisabilité de la mise en place d’un registre : "Do Not Email" ;
- compétence pour rechercher les sanctions et dédommagements pénaux ou civils, y compris les dommages et intérêts pouvant s’élever jusqu’à 10 000 dollars pour chaque violation.
Les derniers rapports de la FTC relatifs au spam de juin 2005 montrent l’importance grandissante de l’autorité en la matière :
- "the US Safe Web Act" est une recommandation législative adressée au Congrès et dans laquelle la FTC préconise en particulier l’adoption d’une loi intitulée "Undertaking spam, spyware and fraud enforcement with enforcers across borders Act".
Le texte prévoit notamment la possibilité pour la FTC de partager avec des autorités étrangères des informations confidentielles obtenues au cours d’enquêtes relatives à la protection du consommateur. Il vise à optimiser en toute sécurité l’usage des informations détenues par un tiers.
La loi renforcerait ses pouvoirs en lui permettant d’agir en cas d’affaire transfrontalière et de participer aux réseaux internationaux contre le spam.
- "Subject line labeling as a weapon against spam" est un rapport adressé au Congrès dans lequel la FTC ne recommande pas l’obligation d’indiquer la nature publiciataire d’un message électronique dans l’entête.
Recours
- Recours : collectifs ou individuels
Les particuliers destinataires de messages commerciaux non sollicités n’ont pas le droit de poursuivre les "spammeurs" en justice sur le fondement du CAN-Spam Act.
Leur seul recours est de porter plainte auprès du procureur général de leur Etat ou auprès de la FTC.
Les seules personnes privées qui peuvent intenter une action contre les "spammeurs" sont les fournisseurs d’accès à internet (FAI), pour recouvrer les pertes causées par les "spammeurs". Cependant, les sanctions pécuniaires accordées au niveau pénal sont bien inférieures à celles obtenues par les procureurs généraux d’Etat.
Il faut noter que les organisations de droit privé à but non lucratif ne sont pas habilitées à agir dans le cadre de la défense de l’intérêt des destinataires de "spam".
- Juge compétent
En droit interne, les actions contre un "spammeur" peuvent être engagées dans n’importe lequel des cent tribunaux d’instance fédéraux (federal district courts) situés sur le pays. Dans tous les cas où le procureur général d’un État a des raisons de penser que l’intérêt d’un ressortissant de cet Etat a été ou est menacé ou affecté par un acte constituant une violation du CAN-Spam Act, il peut intenter contre le spammeur une action civile au nom du ressortissant de l’Etat.
- Loi applicable
En droit interne, la loi CAN-Spam est applicable à tout message électronique envoyé depuis l’étranger à un internaute domicilié aux Etats-Unis.
Investigation
Moyens d’investigation pour identifier et lutter contre les auteurs de spam
Les consommateurs et les commerçants peuvent soumettre leurs plaintes à propos des méls commerciaux non sollicités directement à la FTC par internet.
La FTC peut décider d’enquêter et éventuellement d’engager une action, si elle a connaissance d’importantes et nombreuses plaintes concernant un spammeur particulier. Des sites sont mis à la disposition des consommateurs pour qu’ils puissent enregistrer leurs plaintes contre les messages électroniques illégaux. (exemple : http://www.atg.wa.gov/).
Autres initiatives
L’ASTA (Anti-Spam Technical Alliance), regroupement de 6 fournisseurs d’accès majeurs dont 5 américains (Yahoo !, Earthlink, Comcast, AOL, Microsoft), propose des recommandations via notamment un guide de bonnes pratiques de juin 2004.
L’ASTA recommande aux consommateurs l’installation de systèmes de protection contre les virus (pour limiter les zombies). Elle préconise aussi aux fournisseurs d’accès internet la fermeture des relais ouverts, du port 25 (serveur SMTP ou simple mail tranfer protocol), le contrôle du trafic sortant et le blocage des générateurs de création automatique de comptes emails.
Les associations œuvrant pour la protection des données privées (tel que "Consumer Union" ou "Electronic Privacy Information Center") tentent de convaincre le Congrès d’adopter le système de l’opt-in. "Consumer Union" est également favorable à une expérience de la liste Do-Not-Email avec un système de codage.
Cependant, le CAN-Spam Act a reçu le soutien de l’association du marketing direct ("Direct Marketing Association").
Jurisprudence
- La Cour supérieure de l’Ontario s’est pour la première fois prononcée sur une affaire de spamming le 9 juillet 1999. Elle a refusé de condamner un prestataire de services canadien qui avait fermé le compte d’hébergement d’une société cliente gérant un site ayant procédé à un envoi massif de courriers non sollicités. La Cour s’est fondée sur les principes de la "Netiquette" qui, selon elle, exclue l’envoi de courriers massifs, à moins que le fournisseur de services ne l’ait contractuellement prévu.
- La Cour suprême californienne a par ailleurs confirmé que la loi anti-spam en vigueur dans cet état ne contrevenait pas à la Constitution américaine (avril 2002).
- Dans l’Etat de Californie, une société internet a été condamnée à verser près de 4 millions de dollars de dommages et intérêts à Microsoft par une décision du 16 juillet 2003. Ses spams, envoyés aux utilisateurs de messageries MSN et Hotmail, détournaient les marques déposées par l’éditeur américain.
- De même un spammeur a été condamné le 4 novembre 2004 à 9 ans de prison dans l’État de Virginie pour avoir expédié des centaines de milliers de spam.
- Cependant un arrêt du juge du Maryland du 15 décembre 2004 a considéré la loi anti-spam de son état comme anti-constitutionnelle, au motif qu’elle ne pouvait pas réguler un commerce qui s’exerce hors des limites de l’État.
Partager la page