La CNIL définit le publipostage électronique comme “l'envoi de messages électroniques à un ou plusieurs destinataires dont le nombre peut varier de quelques dizaines à plusieurs centaines de milliers, voire plusieurs millions. Il repose sur la collecte préalable d'adresses électroniques (e-mails) auxquelles seront adressées des messages électroniques” (rapport du 14 octobre 1999, "le publipostage électronique" et la protection des données personnelles”)

Le spam, toujours selon la CNIL, est “l'envoi massif -et parfois répété- de courriers électroniques non sollicités, le plus souvent à caractère commercial, à des personnes avec lesquelles l'expéditeur n'a jamais eu de contact et dont il a capté l'adresse électronique dans les espaces de l'internet : forums de discussion, listes de diffusion, annuaires, sites web, etc.”.

Le spam n’est toutefois pas lui-même une notion juridique. Il ne peut donc être sanctionné que lorsqu’il correspond exactement à l’un des comportements réprimés par la loi. Plusieurs textes de droit français sont susceptibles de s’appliquer.

• L’article L 34-5 du Code des postes et des communications électroniques interdit “la prospection directe au moyen d'un automate d'appel, d'un télécopieur ou d'un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d'une personne physique qui n'a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen”.
  La notion de consentement préalable est par ailleurs définie par l’alinéa 2 de cet article comme “toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe”.
  L’alinéa 3 de l’article définit la prospection directe comme étant “l'envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services”.
  L’alinéa 4 prévoit toutefois une exception à l’obligation de recueillir le consentement préalable du prospect, lorsque “les coordonnées du destinataire ont été recueillies directement auprès de lui, dans le respect des dispositions de la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, à l'occasion d'une vente ou d'une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d'ambiguïté, la possibilité de s'opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l'utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque fois qu'un courrier électronique de prospection lui est adressé”.
  

• La loi du 6 janvier 1978, modifiée par une loi du 6 août 2004, prévoit encore, notamment, que la collecte de données à caractère personnel (dont les adresses électroniques, selon la CNIL et les instances communautaires), doit être loyale (article 6,1° de la loi de 1978 modifiée : “Les données sont collectées et traitées de manière loyale et licite”). Plusieurs informations doivent également être communiquées à la personne dont les informations sont collectées (article 32). Le fichier automatisé d'adresses électroniques doit en outre être déclaré à la CNIL (article 22). La personne dont les informations sont collectées bénéficie toujours d’un droit d’opposition pour des motifs légitimes, cette légitimité n’ayant pas être rapportée si l’opposition concerne l’utilisation de ses coordonnées à des fins de prospection, notamment commerciale (article 38).
  • Le non respect de ces droits d’opposition est sanctionné par l’article 226-18-1 du Code pénal (CP).
  • L’article 226-18 du CP punit de cinq ans d'emprisonnement et de 300 000 euros d'amende “Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite”.
  • L’article 226-16 du CP punit de cinq ans d'emprisonnement et de 300 000 euros d'amende “Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi”.
  • L’alinéa 2 de l'article R. 10-1 du Code des postes et des communications électroniques prévoit que “la prospection directe des personnes physiques en violation des dispositions du premier alinéa de l'article L. 34-5 est punie, pour chaque communication, de l'amende prévue pour les contraventions de la quatrième classe, sans préjudice de l'application du premier alinéa de l'article 226-18 du code pénal”.

• ensuite, l'article 323-2 du NCP, issu de la loi de 1988 sur les atteintes aux systèmes de traitement automatisé de données (TAD), punit de cinq ans d’emprisonnement et 75.000 euros d’amende le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données. Les juges n’ont toutefois admis son application que pour des faits de mail bombing (TGI Paris, 24 mai 2002).

* Dans tous les cas, des dommages et intérêts pourraient être obtenus sur la base de l'article 1382 du Code civil, dès l'instant où la victime subit un préjudice direct du fait des spams diffusés;

* Les juges ont déjà admis que les prestataires de services Internet pouvaient couper les accès ou résilier le compte de leur abonné, pour faits de spam (TGI Rochefort sur Mer, 28 février 2001 ; TGI Paris, 15 janvier 2002), et ont pu décider de leur allouer des dommages et intérêts, sur un fondement contractuel et pour atteinte à l’image, pour des faits similaires (Tribunal de commerce de Paris, 8° ch., 5 mai 2004).

• Un billet d'humeur sur le SPAM
• Un article d'Eric Labbé (Université de Montréal) sur le “spamming et son contrôle”
• Voir les mesures de prévention mises en oeuvre par le CRU pour éviter les abus liés aux listes de diffusion