La CNIL rappelle les règles du spam

La Commission Nationale de l’Informatique et des Libertés vient de rendre public son dernier rapport, intitulé « Le publipostage électronique et la protection des données personnelles ». D’emblée, Cécile Alvergnat, commissaire à la CNIL et rapporteur du document, précise que « l’étude a en fait porté sur un problème plus large que le spam, pour couvrir toutes les formes de publipostage, comme par voie postale, fax ou téléphone, pour voir les règles, déjà connues, qui s’appliquent à ces moyens ». Ensuite, pour savoir si les règles, en l’occurrence la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, et la directive européenne du 24 octobre 1995 sur la protection des données personnelles, peuvent s’appliquer, il a fallu se demander « si une adresse mail était ou non une information nominative. La réponse est oui : avec une adresse mail, on peut connaître le nom, la société, et le pays d’origine de l’internaute », explique Cécile Alvergnat.

Si les moyens « classiques » de publipostage prennent tous en compte un droit d’opposition et une exigence du consentement, il n’en va malheureusement pas de même avec le courrier électronique. La CNIL rappelle dans ses conclusions que deux cas de collecte d’e-mail sont licites: lorsque l’internaute a lui-même laissé son adresse sans s’opposer explicitement à la réception de mail et en cas de cession de fichiers, sous la réserve que l’internaute ait accepté que son nom circule (en ayant coché une case, par exemple). Tous les autres cas sont illicites, notamment la collecte sauvage d’adresses électroniques dans les forums, ou sur les sites contenant des formulaires ou des inscriptions. Cécile Alvergnat précise que les utilisateurs victimes de spam peuvent avertir la CNIL, laquelle est habilitée à effectuer une vérification, voire à saisir le Procureur de la République, en cas de malhonnêteté avérée. « Inutile de changer la loi, ou d’en rajouter une », martèle-t-elle, « la loi de 1978 interdit explicitement la collecte à l’insu des intéressés. ». On sait malheureusement que l’opportunité des poursuites, la difficulté de remonter les pistes, et la relative faiblesse du préjudice personnel freinent bien souvent l’action des particuliers.

La CNIL réaffirme aussi les principes posés par la directive européenne du 24 octobre 1995 : respect de la finalité des lieux de discussion et des listes, respect du consentement et de la transparence : pas de collecte à l’insu des personnes et respect du droit d’opposition. Encore faudrait-il que cette directive soit transposée en droit français.

Enfin, la CNIL envoie des recommandations aux acteurs de la Toile. Aux webmestres, elle recommande un affichage clair à l’entrée du site, expliquant loyalement comment seront utilisées les données éventuellement laissées par les internautes. A tous les responsables d’espaces publics, elle recommande l’adoption de chartes (lesquelles existent, soit dit en passant, depuis la création du net : c’est la Netiquette). Enfin, la CNIL appelle les consortiums de normalisation du net W3C et IETF à la reconnaissance dans le langage HTML de balises spéciales, « no_robot ». Incluses dans le code source des pages Web, elles interdisent aux robots récolteurs d’adresses l’accès au site. Ultime recommandation du rapport : le projet de protocole P3P (Platform for Privacy Preference), qui permettra à l’internaute de définir ses propres filtres de sites, devrait inclure un filtre prenant en compte la politique de protection des données des sites.

« Ce rapport a pour nous une valeur particulière », conclut Cécile Alvergnat, « en ce qu’il a pris en compte des avis très divers : associations d’internautes, de fournisseurs d’accès, de professionnels ou d’organismes de régulation. Ce document n’est donc pas qu’une réflexion de juristes ».

Un rapport qui n’apporte, certes, rien de nouveau, mais qui a le mérite de réaffirmer des principes et la loi et d’inviter à une utilisation plus avisée du réseau.

Pour en savoir plus : Le rapport de la CNIL (format PDF)