Délibération 02-075 du 24 octobre 2002

COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES - CNIL

infractions à la loi du 6 janvier 1978

Délibération portant dénonciation au parquet d’infractions à la loi du 6 janvier 1978

La Commission nationale de l’Informatique et des libertés,
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, pris ensemble le décret d’application n° 78-774 du 17 juillet 1978 ;
Après avoir entendu Madame Cécile ALVERGNAT en son rapport et Madame Charlotte-Marie PITRAT, Commissaire du Gouvernement en ses observations ;

Dans la continuité de son rapport sur « Le publipostage électronique et la protection des données personnelles », adopté en séance plénière le 14 octobre 1999, la Commission nationale de l’informatique et des libertés a décidé, en juillet 2002, d’ouvrir une boîte à lettres électronique (spamcnil.fr) spécialement dédiée à la réception de courriers électroniques non sollicités, plus couramment appelés « spams », que les internautes auraient reçus et qu’ils y auraient transférés.

La Commission a, dans son rapport précité, défini la pratique du spamming comme étant : « l’envoi massif – et parfois répété – de courriers électroniques non sollicités, le plus souvent à caractère commercial, à des personnes avec lesquelles l’expéditeur n’a jamais eu de contact et dont il a capté l’adresse électronique dans les espaces publics de l’internet : forums de discussion, listes de diffusion, annuaires, sites web, etc. ».

Le développement de ce type d’opérations trouve sa source dans les caractéristiques propres au réseau internet : en effet, à la différence des autres types de prospection, la captation des coordonnées personnelles y est aisée, en même temps que le coût final de la prospection est principalement supporté par les personnes démarchées en ce que la réception de tels messages augmente le temps de connexion au réseau.

La Commission ne peut que relever le caractère néfaste de telles opérations qui portent atteinte à la tranquillité des personnes démarchées et jettent le discrédit sur les utilisations légales de ce type de prospection.

De plus, les personnes titulaires d’une adresse électronique bénéficient des dispositions protectrices de la loi du 6 janvier 1978. En effet, une adresse électronique est une information nominative au sens de l’article 4 de la loi du 6 janvier 1978 qui précise : « Sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou indirectement, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale ». Ainsi, une adresse électronique est directement nominative lorsque le nom de l’internaute figure dans le libellé de l’adresse et, lorsque tel n’est pas le cas, indirectement nominative dans la mesure où toute adresse électronique peut être associée à un nom.

Depuis l’ouverture de la boîte à lettre électronique spamcnil.fr, le 10 juillet dernier, la Commission a reçu environ 650 messages d’internautes transférant un courrier électronique émanant de la société ALLIANCE BUREAUTIQUE SERVICE. Les courriers électroniques reçus par les internautes comportaient un message commercial provenant de cette société alors que les intéressés indiquent n’avoir jamais été en contact avec cette dernière.

Les conditions dans lesquelles cette opération de prospection est effectuée sont manifestement contraires aux dispositions de la loi « informatique et libertés ».

Il s’avère, d’une part, que la société ALLIANCE BUREAUTIQUE SERVICE utilise, afin de collecter les adresses électroniques des personnes qu’elle prospecte, un outil appelé ‘robot-mail’ que cette société propose elle-même à la vente. L’utilisation d’un tel outil qui permet de collecter des adresses électroniques figurant dans les espaces publics de l’internet (forums de discussion, pages personnelles ou d’entreprises, etc.) et de se constituer ainsi, à moindre coût, des fichiers de prospects est en totale opposition avec l’article 25 de la loi ‘informatique et libertés’ qui énonce : « La collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite ».

D’autre part, certaines des personnes démarchées ont indiqué qu’elles n’avaient pu exercer de manière effective le droit d’opposition qu’elles tiennent de l’article 26 de la loi du 6 janvier 1978 et de l’article 14 de la directive CE n° 95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Il ne leur a pas été possible de s’opposer à la réception de nouveaux messages en provenance de cette même société dans la mesure où le lien de désinscription n’a pas fonctionné.

Ces pratiques relèvent ainsi, et à double titre, de l’article 226-18 du Code pénal qui prévoit : « Le fait de collecter des données par un moyen frauduleux, déloyal ou illicite, ou de procéder à un traitement d’informations nominatives malgré l’opposition de la personne, lorsque cette opposition est fondée sur des raisons légitimes, est puni de cinq ans d’emprisonnement et de 300.000 euros d’amende ».

Enfin, et en tout état de cause, la Commission observe que l’opération qui consiste, pour une entreprise à constituer un fichier d’adresses électroniques à des fins de prospection commerciale, aurait dû être déclarée, avant sa mise en oeuvre, à la CNIL en application de l’article 16 de la loi du 6 janvier 1978.

Or, la société ALLIANCE BUREAUTIQUE SERVICE n’a pas, préalablement à la mise en oeuvre du traitement automatisé d’informations nominatives lui servant de support à son opération de prospection, satisfait aux obligations de déclaration auprès de la Commission
Les faits portés à la connaissance de la CNIL paraissent, à ce stade, suffisamment établis et constituent une atteinte caractérisée aux dispositions dont elle a pour mission d’assurer l’application.

En conséquence,

DECIDE, en application des dispositions de l’article 21-4° de la loi du 6 janvier 1978, de dénoncer au Parquet :

– l’opération de collecte illicite et déloyale d’informations directement ou indirectement nominatives – en l’espèce les adresses électroniques des personnes démarchées – et la mise en oeuvre de traitements automatisés d’informations nominatives malgré l’opposition, fondée sur des raisons légitimes, des personnes titulaires desdites adresses, fait susceptible de constituer l’infraction visée par l’article 226-18 du Code pénal,

– la mise en oeuvre de traitements automatisés d’informations nominatives – en l’occurrence, la mise en oeuvre et la constitution de fichiers d’adresses électroniques à des fins de prospection commerciale – sans qu’il ait été procédé à la déclaration préalable prévue par la loi, fait susceptible de constituer l’infraction visée à l’article 226-16 du Code pénal,
et TRANSMET AU PARQUET la présente délibération accompagnée de certains des messages transmis par les internautes et plaintes mettant en cause la société ALLIANCE BUREAUTIOUE SERVICE.

Le Président, Michel GENTOT