Réglementation prise pour sanctionner le spamming: Opt-out et Opt-in

By 14 December 2012

Le cadre juridique du « spamming » en droit compare : une mise en place peu aisée – Partie II :

C’est le second challenge du « spamming » en droit comparé. Dans l’intérêt des utilisateurs et dans un souci de sécurité juridique, la mise en place d’un cadre unifié du « spamming » serait souhaitable au plan international. Toutefois, une telle uniformisation du droit relève aujourd’hui de l’utopie.

D’abord, l’instauration d’une définition commune en droit comparé n’a pas encore abouti. Ensuite, l’encadrement juridique du « spamming » n’est pas définitivement fixé et identique dans le monde, dans la mesure où le « spamming » est un concept jeune et évolutif. Enfin, son encadrement est polémique, car il touche d’autres domaines du droit.

Ces trois difficultés montrent toute la complexité de s’accorder sur un encadrement juridique identique. Elles sont en outre aggravées par la diversité des systèmes juridiques mondiaux. Pour reprendre une distinction classique, l’Europe comporte principalement deux types de systèmes juridiques : d’une part, la famille romano-germanique dérivée pour une grande part du droit romain et du droit canonique, et d’autre part la famille de la common law fondée sur l’équité et les précédents jurisprudentiels. Bien évidemment, certains systèmes sont mixtes et comportent des éléments des deux familles.

Il conviendra de garder présente à l ‘esprit la diversité des systèmes juridiques mondiaux lors de l’étude du cadre juridique du « spamming ». Cette étude conduira à nous intéresser d’abord à la variété et à l’instabilité des cadres mondiaux du « spamming » (Chapitre I), puis aux polémiques issues de ces encadrements (Chapitre II).

Chapitre I – Un cadre juridique varié en constante mutation

L’encadrement juridique du « spamming » est varié et instable. Cette variété découle des deux approches juridiques principales du « spamming » que sont la réglementation et l’autorégulation. Si ces approches sont opposées, elles sont bien évidemment complémentaires. Une telle combinaison de réglementation et d’autorégulation est réalisée en Australie225. Le « spamming » est poursuivi notamment sur le fondement de la propriété, de la vie privée, d’un contrat, de la réalisation d’interférences avec le commerce ou les intérêts économiques, du blocage des services informatiques.

Il conviendra alors d’étudier le préalable de la responsabilisation des acteurs par la réglementation (Section I) puis le complément éducatif des acteurs privés qu’est l’autorégulation (Section II).

Section I – Le préalable de la responsabilisation des acteurs : la réglementation

Selon une opinion communément admise en droit romano-germanique, la loi est la meilleure manière de résoudre un problème juridique. Depuis la Révolution française de 1789, la loi est considérée en France comme revêtue de toutes les vertus. Elle protège ainsi l’individu contre l’arbitraire du pouvoir royal, étatique et du juge. Selon GRENIER, un des rédacteurs du Code napoléon de 1804, la loi « doit rendre les hommes meilleurs »226. La loi ou la norme juridique est édictée par les pouvoirs publics. Elle « est essentiellement et exclusivement une règle de conduite qui s’impose à l’homme vivant en société sous une sanction socialement organisée »227. La réglementation, c’est-à-dire la mise en place de cadre légal, est alors nécessaire dans tous les domaines pour une bonne marche de la société. Le « spamming » ne fait bien sûr pas exception à la règle.

Toutefois, suivant les États, le cadre légal mis en place pour ce dernier varie. Deux systèmes sont prépondérants : l’interdiction de principe de l’envoi de « spam » sauf consentement préalable du destinataire ou l’« opt-in »228 et, l’autorisation de principe de l’envoi de « spam » assortie de la possibilité de s’opposer à l’envoi du message ou l’« opt-out »229. Le premier système favorise le respect de la vie privée de l’Internaute. Et le second est favorable aux publicitaires.

Bien évidemment, il existe des systèmes mixtes combinant l’« opt-in » et l’« opt-out ». C’est le cas de la Finlande230 : suivant la personne destinataire, le « spamming » est interdit ou toléré. Il est interdit envers les particuliers et les groupes de discussion, mais est toléré en direction des professionnels.

Le monde est actuellement partagé entre ces deux systèmes. Toutefois, aucun d’eux n’est parfait. Pour s’en convaincre, il suffit de penser aux mutations de système opérées dans différents pays. Ainsi, l’Union Européenne, après avoir longuement hésité entre ces deux systèmes, a finalement opté pour l’« opt-in » avec la directive européenne 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Malheureusement, elle n’a pris aucune mesure transitoire pour les pays passants de l’« opt-out » à l’« opt-in »231.

En France, le projet de loi sur la confiance dans l’économie numérique232 a en conséquence prévu que les publicitaires disposant de fichiers de clientèles devront régulariser leur situation dans les six mois. Ainsi, ils pourront envoyer aux clients un courrier électronique avertissant ces derniers de leur droit de s’opposer pour l’avenir à l’envoi de courriers non sollicités. En effet, l’article 12 IV prévoit que « les informations relatives aux clients ou prospects ayant été collectées loyalement pourront être utilisées afin d’offrir à ces derniers la faculté d’exprimer leur consentement à de futures opérations de prospection directe » jusqu’à la date d’entrée en vigueur des dispositions du I et du II.

Au contraire, la Belgique n’a prévu aucune disposition transitoire dans sa loi du 11 mars 2003. La Commission pour la vie privée a alors proposé le 29 octobre 2003 de reprendre la solution française en raccourcissant le délai de mise en conformité à deux mois. La jurisprudence233, quant à elle, a suggéré de permettre aux publicitaires d’utiliser leurs fichiers clients loyalement collectés jusqu’au 31 décembre 2003 sauf manifestation expresse d’un client de ne plus recevoir de messages publicitaires pour l’avenir.

Le choix d’une réglementation adaptée s’avère alors épineux. Toutefois, il est certain que quelle que soit la réglementation prise, celle-ci doit s‘accompagner de mesures coercitives dissuasives. Des amendes dans de nombreux pays sanctionnent ainsi l’envoi d’un « spam » sans tenir compte du refus du destinataire : aux États-Unis234, l’amende peut atteindre plusieurs millions de dollars suivant le volume de messages non sollicités envoyés ; au Japon235, elle est de vingt-quatre mille dollars ; en Angleterre236, elle est de cinq mille livres sterling, soit environ sept mille euros. De plus, le « spamming » a été élevé au rang de délit dans de nombreux pays237. L’emprisonnement du « spammeur » intervient alors en complément de l’amende : il est de cinq ans maximum aux États-Unis, de deux ans maximum au Japon.

La prise de mesures coercitives va en conséquence de pair avec la réglementation du « spamming ». Toutefois, elle n’est pas problématique, dans la mesure où les pays semblent s’accorder sur la qualification de délit. Au contraire, le choix d’une réglementation reste le problème majeur. Avant de s’intéresser aux mutations circonstancielles de cette réglementation (§2), il faudra cerner les diverses approches réglementaires du « spamming » (§1).

§1- Les diverses approches réglementaires

La réglementation prise pour sanctionner le « spamming » peut être de deux types : soit une autorisation de principe, l’« opt-out » (A), soit une interdiction de principe, l’ « opt-in » (B).

A)- L’autorisation de principe : « l’opt-out »

L’« opt-out » est l’autorisation de principe d’envoyer un courrier électronique non sollicité à moins que le destinataire ne s’y oppose expressément. L’opposition du destinataire intervient alors a posteriori. En effet, il manifeste sa volonté de ne recevoir pour l’avenir aucun autre message non sollicité. C’est l’utilisation des fichiers d’adresses qui est ici régulée.

Cette autorisation de principe trouve sa justification dans la liberté du commerce. Ainsi, il s’agit de favoriser le commerce, et notamment le commerce électronique, qui est une source de richesse et développement. L’activité commerciale doit alors être permise dès lors qu’elle ne contrevient pas à la loi et à la volonté exprimée du destinataire de la publicité. Ce système a l’avantage en conséquence de permettre le développement du commerce en ligne. Mais il a l’inconvénient de ne concerner que les messages non sollicités de nature commerciale.

Pour les messages non sollicités de nature non commerciale, le système de l’« opt-out » se justifie par l’intervention de la liberté d’expression. Il s’agit de permettre à tout un chacun d’exprimer librement ses opinions politiques, philosophiques, religieuses ou autres. L’« opt-out » permet alors de garantir la pluralité des opinions. Toutefois, une telle justification n’est pas adaptée aux messages non sollicités de nature non commerciale et non polémique.

Dans le cas particulier des messages non sollicités d’actualité, le droit à l’information permettrait sans doute de justifier ce système. Ce n’est que dans le cas d’un refus postérieur de recevoir pour l’avenir de tels messages que l’envoi cessera.

Le système de l’« opt-out » permet en conséquence de garantir la liberté du commerce, la liberté d’expression et le droit à l’information suivant la nature du message non sollicité envoyé. Il a alors l’avantage de favoriser le commerce en ligne, le pluralisme politique, religieux ou autre, et une juste information du public. Mais si ses avantages sont certains, il a également des inconvénients. Ceux-ci tiennent notamment à sa difficile mise en place238.

En effet, le destinataire ayant la possibilité de s’opposer expressément pour l’avenir à l’envoi de nouveaux messages non sollicités, il faut alors mettre en place un système efficace d’opposition. Bien évidemment, une opposition individuelle au cas par cas serait peu efficace, dans la mesure où ce que l’on cherche à limiter c’est l’envoi de tous les messages non sollicités et non d’un seul. Or, pour un message d’opposition envoyé, des dizaines de messages non sollicités sont envoyés. C’est alors un coup d’épée dans l’eau. Il est donc nécessaire que soit mis en place un registre à dimension internationale. C’est d’autant plus nécessaire que le « spamming » traverse les frontières. Un registre national est de ce fait inadapté et peu efficace. De plus, la mise en place d’un registre international doit être rendue publique afin de pouvoir informer le plus de personnes possible de son existence, et son utilisation doit être simplifiée pour éviter de décourager les personnes ne souhaitant pas recevoir de « spams ».

Après avoir étudié le système de l’« opt-out », il convient maintenant de donner des exemples d’application concrète de ce système. L’« opt-out » est notamment le système adopté au Japon239, aux États-Unis et en Coré du Sud.

Le Can-Spam Act de 2003 prévoit ainsi l’« opt-out ». La Section 3240 relative aux définitions prévoit que le consentement doit être donné clairement par le destinataire, soit en réponse à une sollicitation de l’expéditeur, soit de sa propre initiative. De même, l’émetteur doit d’abord identifier clairement le message comme une publicité ou une sollicitation à moins que le destinataire n’ait donné un consentement affirmatif à le recevoir, puis notifier au destinataire son droit d’opposition postérieur, enfin indiquer une adresse valide de l’émetteur241. De plus, une liste d’adresses regroupant les personnes ne désirant pas recevoir de courriers électroniques non sollicités a été créée : c’est la « Do Not Spam list » qui est gérée par la Federal Trade Commission.

Puis, en Corée du Sud, la loi relative aux télécommunications et à la protection des informations prévoit l’existence d’un droit d’opposition a posteriori et interdit la collecte des courriers électroniques dans les espaces publics de l’Internet sans le consentement des personnes concernées242. Si au départ le système choisi était l’« opt-in », la Corée se dirige désormais vers l’« opt-out » avec la mise en place d’un droit d’opposition a posteriori qui devrait être rédigé dans les messages non sollicités aussi bien en anglais qu’en coréen243.

Après s’être intéressé à l’« opt-out », il convient désormais d’étudier l’ interdiction de principe d’envoyer des messages non sollicités ou l’« opt-in » (B).

B)- L’interdiction de principe : « l’opt-in »

L’« opt-in » est une interdiction de principe d’envoyer des messages non sollicités à moins que le destinataire n’ait consenti préalablement à l’envoi du dit message. L’opposition intervient alors a priori. En effet, le destinataire manifeste dès le départ sa volonté de ne recevoir aucun message. Le problème de la collecte des adresses est alors traité à la source, soit au niveau de cette collecte.

Cette interdiction de principe trouve sa justification dans le respect de la vie privée. Ainsi, il s’agit de protéger la vie privée du destinataire du message non sollicité. L’activité commerciale est alors permise, tout comme l’activité politique notamment, lorsqu’elle a été autorisée par le consentement préalable du destinataire, ou sollicitée. Ce système a en conséquence l’avantage de réduire l’envoi des messages non sollicités en traitant le problème avant l’envoi des dits messages.

De même, il permet notamment aux publicitaires d’obtenir des profils ciblés de clients potentiels. Ainsi, une liste détaillée du profil du destinataire peut être réalisée sur la base de son accord préalable à recevoir tel ou tel type de messages. Par exemple, l’accord d’un Internaute à recevoir des publicités sur des meubles d’inspiration japonaise permet de le définir comme cible d’une telle publicité.

Mais, si un tel système permet de cibler la clientèle et de préserver la vie privée du destinataire, il reste malgré tout attentatoire à la vie privée, lorsque les publicitaires exploitent et vendent des bases de données détaillées des profils comportementaux des destinataires ; à la liberté d’expression, puisque l’utilisation d’un moyen de communication est interdite par la loi ; et à la liberté du commerce en défavorisant les petites entreprises. En effet, ces dernières ne disposent pas des mêmes moyens que les grandes pour faire de la publicité traditionnelle par affichages et télévision notamment. Cette remarque vaut aussi pour les groupes politiques.

De même, la mise en œuvre du système d’interdiction de principe est peu aisée. Comment l’expéditeur peut-il obtenir le consentement préalable du destinataire ? Le problème qui se pose ici est la réception du consentement préalable sans envoi massif de courriers de sollicitation, dans la mesure où un tel envoi serait contraire au but de l’« opt-in ». Il a alors été proposé244 de recevoir le consentement préalable de deux manières : soit dans le cadre d’une relation individuelle entre le destinataire et l’émetteur, soit par le biais de registres dans lesquels les Internautes intéressés par tel ou tel produit s’inscriraient. De plus, l’« opt-in » peut poser problème, lorsqu’il est forcé. Ainsi, de nombreux sites245, s’ils demandent l’autorisation préalable de l’Internaute, précochent souvent l’option d’acceptation pour recevoir de la publicité notamment. Au contraire, l’option d’acceptation devrait être décochée afin de respecter l’esprit de l’« opt-in ».

Après avoir étudié le système de l’« opt-in », il convient maintenant d’étudier des exemples de son application concrète. C’est notamment le système adopté par l’Union Européenne246 ou l’Australie247 et implicitement par le Canada. Nous ne donnerons ici que les exemples canadien et belge.

D’abord, au Canada bien qu’il n’existe aucune loi spécifique sur le « spamming », la loi de janvier 2001248 prévoit que la collecte et l’utilisation de données à caractère personnel sont soumises au consentement préalable des personnes. Toutefois, cette loi249 ne s’applique qu’aux organisations du secteur privé qui collectent, utilisent ou communiquent des renseignements personnels dans le cadre d’activités commerciales. En outre, son entrée en vigueur s’est faite en trois étapes, la dernière s’étant réalisée en 2004.

Ensuite, la loi sur la société de l’information de mars 2003250 et l’arrêté royal d’avril 2003251 transposent la directive communautaire de 2002. Ils mettent en place l’« opt-in ». Ainsi, selon l’article 14 de la loi, « l’utilisation du courrier électronique à des fins de publicité est interdite, sans le consentement préalable, libre, spécifique et informé du destinataire des messages ». Toutefois, ce système est aménagé, puisque l’arrêté dans son article 1er252 prévoit des exceptions, dans lesquelles le consentement préalable du destinataire n’est pas requis.

Le système de l’« opt-in » a, tout comme celui de l’« opt-out », ses avantages et ses inconvénients. Il est facile de ce fait de comprendre la difficulté du choix offert aux législateurs nationaux et leurs hésitations dans ce choix. C’est justement à ces hésitations que nous allons nous intéresser en examinant les mutations de ces deux approches (§2).

Lire le mémoire complet ==> (Publicité indésirable et nouvelles technologies : Étude du spamming en droit comparé)
Mémoire Pour l’Obtention du D.E.A. de Propriété Intellectuelle CEIPI
Université ROBERT SCHUMAN STRASBOURG III

___________________________________________
225 Jeremy MALCOM, « Recent Developments in Australian Spam Law » http://www.isoc-au.org.au/Spam/SpamLaw.pdf
226 Cours de droit comparé de l’Université de Grenoble, « Première partie : le droit romano-germanique », consultable sur http://www.upmf-grenoble.fr/cours/droitcomp/Partie%201a.htm
227 DUGUIT Léon
228 « Communications commerciales, Questions particulières », Les Cahiers du CRID numéro 19, page 131s, spécialement page 141, numéro 261
229 Id., spécialement page 140
230 Ibid., spécialement page 150
231 Thiébault VERBIEST, « De l’opt-out à l’opt-in : la jurisprudence et la Commission Vie Privée stigmatisent l’absence de régime transitoire », http://www.droit-technologie.org/1_2.asp?actu_id=858
232 http://www.assemblee-nat.fr/12/ta/ta0089.asp
233 Tribunal de commerce de Nivelles, le 26 novembre 2003 : « Il faut donc conclure de cet article de la loi que le législateur autorise implicitement les sociétés de publicité électronique à prendre un premier contact avec toutes les personnes qui figureraient dans leur fichier avant l’entrée en vigueur de la nouvelle loi du 11 mars 2003 (ces personnes étant présumées avoir tacitement accepté de recevoir des messages publicitaires sous l’ancien régime puisqu’elles renseignent leur adresse électronique sur un site web ou l’avaient communiquées d’une autre manière à ces sociétés de publicité ou à leurs employés) mais que ces sociétés se voient interdire tout autre envoi dès réception d’un avis de refus de publicités ‘pour l’avenir’. » Thiébault VERBIEST, art. cit.
234 CAN-SPAM Act de 2003 http://www.spamlaws.com/federal/108s877.html
235 The Law for Appropriate Transmission of Specified Emails (Law No. 26 of 2002) http://www.law.duke.edu/journals/dltr/articles/2002dltr0021.html
236Legalbiznext, « Spam : Le Royaume-Uni se dote d’un texte répressif », http://www.legalbiznext.com/cgi-bin/news/viewnews.cgi?category=all&id=1067968907
237 Après l’Italie, la Grande-Bretagne est le deuxième pays européen à élever au rang de délit le « spamming ».
238 « Communications commerciales, Questions particulières », Les Cahiers du CRID numéro 19, page 131s, spécialement pages 158 et 159
239 Supra page 17
240 « SEC. 3. DEFINITIONS AFFIRMATIVE CONSENT- The term `affirmative consent’, when used with respect to a commercial electronic mail message, means that–(A) the recipient expressly consented to receive the message, either in response to a clear and conspicuous request for such consent or at the recipient’s own initiative; and (B) if the message is from a party other than the party to which the recipient communicated such consent, the recipient was given clear and conspicuous notice at the time the consent was communicated that the recipient’s electronic mail address could be transferred to such other party for the purpose of initiating commercial electronic mail messages. »
241 « SEC. 5. OTHER PROTECTIONS FOR USERS OF COMMERCIAL ELECTRONIC MAIL.(a) REQUIREMENTS FOR TRANSMISSION OF MESSAGES- INCLUSION OF IDENTIFIER, OPT-OUT, AND PHYSICAL ADDRESS IN COMMERCIAL ELECTRONIC MAIL- (A) It is unlawful for any person to initiate the transmission of any commercial electronic mail message to a protected computer unless the message provides– (i) clear and conspicuous identification that the message is an advertisement or solicitation ; (ii) clear and conspicuous notice of the opportunity under paragraph (3) to decline to receive further commercial electronic mail messages from the sender; and (iii) a valid physical postal address of the sender. (B) Subparagraph (A)(i) does not apply to the transmission of a commercial electronic mail message if the recipient has given prior affirmative consent to receipt of the message. »
242 CNIL, « Halte aux spam !, La situation en France, en Europe et dans le Monde », http://www.cnil.fr/index.php?id=1272
243 Spam Report 2003, « Other anti-spam regulation », http://www2.dcita.gov.au/ie/publications/2003/04/spam_report/anti-spam
244 « Communications commerciales, Questions particulières », Les Cahiers du CRID numéro 19, page 131s, spécialement page 160, numéro 302
245 Consultez l’exemple cité sur Caspam.org, « Carton rouge », http://caspam.org/carton_rouge.html
246 Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.
247 Spam Act 2003 No. 129, du 12 décembre 2003, An Act about spam, and for related purposes, consultable sur le site du gouvernement australien http://scaleplus.law.gov.au/html/pasteact/3/3628/top.htm, Spam (Consequential Amendments) Act 2003 No. 130, 2003, An Act to deal with consequential matters relating to the enactment of the Spam Act 2003, and for related purposes, http://scaleplus.law.gov.au/html/comact/11/6736/top.htm
248 Loi de 2001 sur la protection des renseignements personnels et les documents électroniques, http://laws.justice.gc.ca/fr/P-8.6
249 Voir l’avis 2/2001du groupe de travail 29 sur la protection des données à caractère personnel sur cette loi, http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2001/wp39fr.pdf