Atelier francophone «Lutte contre le spam»

Transcription

1 1 Atelier francophone «Lutte contre le spam» Rabat, les 21 et 22 mars 2006, Institut National des Postes et Télécommunications La problématique européenne par l'harmonisation législative du droit à la protection des personnes à l'égard du traitement des données personnelles Monsieur Bernard PEYRAT conseiller à la Cour de cassation, membre de la Commission nationale de l informatique et des libertés (CNIL), France

2 1- Tout spam est une intrusion dans la vie privée, qui porte donc atteinte à un droit fondamental, opérée au moyen d un traitement de données à caractère personnel 2- La protection des droits fondamentaux à l égard du traitement de données et son application aux sollicitations par voie électronique 3-La mise en œuvre des règles en France et sur le plan européen 2 4- Les enjeux au sein de la Francophonie et sur le plan mondial

3 I Tout spam est une intrusion dans la vie privée L intrusion est particulièrement odieuse Leur nombre : dû au coût très faible pour l émetteur La gène et le coût sont pour la personne qui est le récepteur : c est elle qui paie d accès au réseau internet Opérée au moyen d un traitement automatisé de données à caractère personnel Les e mail sont des données personnelles: nom@xxx.fr Collectées notamment dans les parties publiques d internet ou par cession de données ou par piratage de serveur de messagerie Exploitées par un robot numérique qui envoie vers ces e mail les sollicitations 3 => Il s agit d une atteinte aux libertés individuelles et à un droit fondamental

4 4 II Les principes de la protection des libertés et droits fondamentaux à l égard du traitement de données (Dir 95/46) et leur application aux sollicitations par voie électronique 1. les obligations Responsabilité de ceux qui créent les traitements=>l émetteur d un spam qui s identifie faussement commet une infraction Loyauté et transparence: on ne peut collecter et exploiter des données à l insu des personnes => La collecte d e mail dans les parties publiques d internet est interdite Finalité explicite et légitime Consentement de la personne,ou Contrat,ou Obligation légale,ou Intérêt du responsable dans la mesure ou l intérêt ou les droits et libertés des personnes ne prévalent pas=>quelle base pour les sollicitations par voie électronique? Le consentement Pas d utilisation de données collectées pour une finalité à d autres fins sans consentement de la personne

5 5 II - La protection des libertés et droits fondamentaux à l égard du traitement de données 1. les obligations (suite) Proportionnalité Sécurité des traitements et des données assurer la confidentialité (y compris des communications), assurer l intégrité (y compris des communication), assurer l authentification des accès aux données => Quid des logiciels PC et serveur sur le marché et serveurs? Règles plus strictes contre les risques de discrimination pour les données sur les opinions, la religion, la santé, l origine raciale: Pas de collecte de ces données sans le consentement des intéressés, dérogations strictement encadrées Assurer la poursuite de la protection en cas de transfert de données à l étranger Sanctions

6 II - La protection des libertés et droits fondamentaux à l égard du traitement de données 2.les droits 6 Droit de chacun à l information (finalité, qui est destinataire des données ) Droit de chacun à l accès et à la rectification des données erronées qui le concerne Droit de chacun de s opposer pour des motifs légitimes en toute autre circonstances En matière de prospection: droit de s opposer dès la collecte des données et sans justification à la prospection (par poste), consentement préalable pour la prospection par des moyens électroniques (automates d appels, e mail, SMS) Art 13 de la DIR 2002/58/CE Sanctions

7 II - les principes sont simples mais parfois délicats à appliquer, la clef : 3. l autorité indépendante Exemple: comment bien appliquer le principe de proportionnalité, combien de temps conserver les données si l État ou l entreprise sont juges et parties? Exemple : de nouvelles technologies apparaissent, internet, RFID, nanotechnologies appliquées au traitement de l information les principes sont - ils adaptés? Suffisants? 7 L autorité indépendante, avec l expérience, après études et consultation de toutes les parties prenantes est un régulateur efficace.

8 II- 3. l autorité indépendante (suite) 8 Ses missions: informer, contrôler, veille technologique, coopérer avec ses homologues étrangers/flux transfrontières Ses pouvoirs: Reconnaître la conformité de codes de conduite Avis préalable ou autorisation des traitements «à risques particuliers» (téléservices par exemple) Instruction des plaintes Investigations Mise en demeure/sanctions administratives Saisir la justice (sanctions pénales)

9 III- La mise en œuvre des règles 1- au plan national En France, la CNIL 1999 après étude Précise par recommandation les règles en matière de sollicitation par mél informe informe les acteurs de ces règles et les utilisateurs des pratiques à éviter et des mesures techniques à prendre : : le phénomène devient endémique (??) : la CNIL ouvre pendant trois mois une «boite à spam» 1. Pour connaître et mobiliser En recevant facilement les plaintes : + de En mesurant et rendant public le phénomène» 7% au bénéfice d acteurs français» 0,2 % d autres pays européens» 8% au bénéfice d acteurs asiatiques» 84,8 au bénéfice d acteurs nord américains Conclusion : un spam est avant tout à destination nationale, l arrosage à l étranger est un dégât collatéral, si chacun fait «son» ménage les destinataires des autres pays seront saufs

10 III- 1 au plan national (suite) En France (suite) 2. Pour poursuivre de manière exemplaire des contrevenants Elle transmet les qq cas liés au contenu aux autorités compétentes Elle coopère avec les homologues européens/spam transfontalier Elle n a pas à cette époque encore le pouvoir de sanction et saisit la justice= Des succès et des échecs: nécessité d une prise de conscience des autorités judiciaires,difficultés transatlantiques ,pour des raisons de coûts, la boite à spam a été fermée fin 2002 et est en cours de remplacement par «signal spam» en coopération avec les autres autorités et le secteur privé (FAI ) l intérêt de Signal Spam : la poursuite des quelques infractions d acteurs européens, la poursuite d auteurs ou bénéficiaires non européens sur la base du droit pénal: collecte déloyale, fraude informatique et surtout la stimulation des Etats qui n agissent pas sur la base de la révélation des statistiques par pays

11 11 III- La mise en œuvre des règles 2- au plan européen Le groupe européen des cnils A recommandé le consentement (opt in) comme choix harmonisé pour le droit des personnes pour les sollicitation par voie électronique par e mail Fax et SMS => Inséré à l art. 13 de la directive complémentaire de 2002/58 adoptée le 12 juillet 2002 mais seulement pour sollicitation commerciale : A donné une interprétation détaillée de cette disposition pour en faciliter la transposition dans les législation nationale, avis n 5 du 2 février 2004 Estime qu il convient de considérer que les mêmes règles d appliquent au plan national quelque soit la nature de la sollicitation commerciale, politique ou caritative A élaboré avec les autres autorités compétentes un accord de coopération adopté le 1er décembre 2004 =>Dir 95/46 + Dir 2002/58 = très peu de spam au bénéfice d acteurs européens

12 12 IV- Les enjeux au sein de la Francophonie et sur le plan mondial 1. La francophonie La déclaration du sommet de Ouagadougou en novembre 2004 Parce que - la numérisation des données prend aujourd hui une ampleur inégalée, alors que - les technologies de l information sont ambivalentes, transversales et leur accélération continue - Il y a autant de chance pour le développement économique, social et culturel que de risques pour les libertés individuelles Les chefs d Etat et de gouvernement sont convenus «d attacher une importance particulière à la protection des libertés et droits fondamentaux des personnes, notamment de leur vie privée, dans l utilisation des fichiers et traitements de données à caractère personnel». Ils ont appelé «à créer ou consolider les règles assurant cette protection» et encouragé «la coopération internationale entre les autorités indépendantes chargées dans chaque pays de contrôler le respect de ces règles».

13 IV- 1. Les enjeux au sein de la francophonie Dès lors, pour répondre à l appel de Ouagadougou : 13 en élaborant le cadre juridique des TICS (cf. programmes nationaux en cours d élaboration dans de nombreux pays du Sud) il convient dans les pays francophones d élaborer le cadre général «informatique et libertés» et d inclure le choix de la protection des personnes par le consentement en matière de sollicitation par voie électronique, quelqu en soit la nature (commerciale, politique, caritative..) et quelqu en soit la modalité: fax, e mail, SMS C est le projet, selon nos informations, déjà dans certains autres pays francophones

14 14 IV- 2. Les enjeux sur le plan mondial - 43 pays dont l Australie ont fait le choix de la protection générale «informatique et libertés», et presque autant celui du consentement pour les sollicitations par voie électroniques comme EU - USA: pas de législation générale informatique et libertés, et contre le spam, l opt-out: «je vous spam et vous pouvez ensuite vous opposer à la poursuite de la sollicitation» fondé sur une certaine vision de la protection du consommateur - Le SMSI Genève-Tunis: conclusions insuffisantes - lutte anti spam: législation, mais sur quel fondement: consentement ou «opt out»? et coopération - Pour la protection de la vie privée et des données personnelles: au choix soit la loi, soit les codes de conduite, soit la technique et on ne parle pas de coopération Alors que ce devrait être cumulatif

15 15 Conclusions Le choix de l approche juridique «informatique et libertés» est fondamental au plan national et stratégique au plan mondial dans le prolongement des textes adoptés au SMSI: le spam n est que la face visible la plus mafieuse ( 1 million de spam diffusé rapporte 200 dollars à celui qui a fait l opération depuis un pays pauvre pour le compte de ) des questions «informatique et libertés» dans la société de l information (commerce et administration électronique ) La Francophonie a déjà opter au plan politique pour l approche par la protection des droits fondamentaux,mais les textes sont encore attendus dans de nombreux pays Les autorités indépendantes francophones en charge «d informatique et des libertés» sont ouvertes à toute coopération - en phase pré-législative (sensibilisation, expertise ) cf Burkina Faso, Sénégal. - en phase post législative (coopération entre autorités et association des autorités indépendante en cours de création) De plus une action sur le plan industriel est indispensable contre les «trous» des logiciels du marché Dans l attente de «l assainissement»: logiciels de filtrage

16 Documentation - Site internet de la cnil : dossier complet Halte au spam réalisé avec les associations de défense des consommateurs et celles des professionnels de l internet et du commerce : définitions, à ne pas confondre avec nouvelles formes de spam, comment s en prémunir bonnes pratiques, ce qu il ne faut pas faire, solutions techniques, solutions juridiques) - Directive européenne générale «informatique et libertés» 95/46 du 24 octobre 1995 JOCE- L 281/31 du Directive européenne complémentaire «communication électronique et vie privée»2002/58/ce du 12 juillet 2002, JOCE L 201/37 du Avis 5/2004 du groupe des cnils européennes dit G 29 du 27 février 2004, site de la commission européenne - Accord de coopération entre autorités européennes compétentes du 1er décembre

17 Merci de votre attention 17