Commission des Communautés européennes Communications Commerciales Non-Sollicitées et Protection des Données (Internal Market DG – Contract n° ETD/99/B5-3000/E/96) Auteurs (ARETE) : Serge Gauthronet Etienne Drouard Janvier 2001 3 Table des matières Pages Introduction 5 PREMIÈRE PARTIE : 9 E-MAIL MARKETING ET SPAMMING : SITUATION GÉNÉRALE, PRATIQUES ET OFFRE DE SERVICES 9 Chapitre I : Situation générale du e-mail marketing et de la communication commerciale non-sollicitée 11 I.1) - Quelques données économiques sur Internet, le marketing et la communication publicitaire I.2) - Le spamming : maladie infantile de l’e-mail marketing I.2.1) - Les trois âges du spamming I.2.2) - Les forces récessives du spamming I. 3) - Du spamming au permission marketing I.3.1) - Les thèses de Seth Godin I.3.2) - L’opt-in e-mail marketing : la difficile marche vers un nouveau standard professionnel 11 14 14 18 24 24 26 Chapitre II : Offre de services et pratiques du e-mail marketing 33 II.1) - Situation du spamming : technologie, services et pratiques risquées 33 II.1.1) - Le spamware II.1.2) - Conseils & prestations ou le spamming version « small business » II.1.3) - Pratiques & risques du spamming aujourd’hui – Illustration 33 36 39 II.2) - Analyse de l’activité des sociétés de permission e-mail marketing – Produits et services II.2.1) - Données générales sur les prestataires de e-mail marketing II.2.2) - Données économiques et modèle de croissance des entreprises de e-mail marketing II.2.3) - Les huit familles de services de l’opt-in e-mail marketing II.2.4) - Les mécanismes d’acquisition et de gestion des données personnelles dans un contexte permissif II.2.5) - Commercialisation et traitements des listes d’adresses II.2.6) - Les moyens technologiques des sociétés de e-mail marketing II.3) - De quel opt-in parle-t-on ? II.3.1) - Le spam : passage obligé de l’opt-in e-mail marketing ? II.3.2) - Pour une interprétation restrictive de l’opt-in Conclusions de la Première Partie 44 44 46 52 55 60 64 66 66 67 71 DEUXIÈME PARTIE : 75 QUELLE PROTECTION EN EUROPE ? 75 Chapitre III : Le cadre juridique européen de la prospection commerciale non sollicitée 77 4 III.1) - Les principes généraux posés par la directive 95/46/CE () III.2) - L’application des principes précisée dans le domaine des télécommunications par la directive 97/66/CE III.3) - La protection des consommateurs en matière de contrats à distance III.4) - La directive 2000/31/CE sur le commerce électronique 78 79 81 82 III.4.1) - Les objectifs exprimés par le législateur communautaire III.4.2) - Le dispositif prévu par le législateur communautaire III.4.3) - L’ambiguïté de la directive du 8 juin 2000, source d’insécurité juridique 82 83 84 Chapitre IV : Le « spamming » n’a pas encore envahi l’Europe 87 IV.1) - Une réaction européenne aux problèmes américains de vie privée IV.2) - Des débats mais peu de situations conflictuelles 87 89 IV.2.1) - Les autorités nationales de contrôle et le « spamming » IV.2.2) - Les juridictions de l’Union européenne et le « spam-ming » 89 93 IV.3) - Des pratiques professionnelles consensuelles et prudentes 94 IV.3.1) - Le constat IV.3.2) - Une double explication : retard industriel et culture européenne IV.3.3) - Les effets de la prudence 94 96 98 IV.4) - Le « spamming » : une tentation sous surveillance 102 Chapitre V : De la confusion des approches à la variété des pratiques 105 V.1) - Une certaine confusion dans les approches… 105 V.1.1) - Confusion entre « spamming » et prospection commerciale non sollicitée V.1.2) - Divergences sur la notion de prospection commerciale non sollicitée 106 107 V.2) - … que n’a pas réparé le grand nombre de textes européens 108 V.2.1) - La directive 97/7/CE du 20 mai 1997 V.2.2) - La directive 95/46/CE du 24 octobre 1995 V.2.3) - La directive 97/66/CE du 15 décembre 1997 V.2.4) - La directive 2000/31/CE du 8 juin 2000 108 108 109 109 V.3) - Une grande variété des pratiques professionnelles 110 V.3.1) - De la case à cocher à la case pré-cochée V.3.2) - Du succès de la case à cocher au « opt-in » 110 111 Chapitre VI : La nécessité d’une clarification 114 VI.1) - L’application du droit actuel 114 VI.1.1) - Prospection d’un internaute avec lequel le prospecteur a eu un contact préalable VI.1.2) - Prospection d’un internaute dont l’adresse e-mail a été fournie par un tiers VI.1.3) - Prospection d’un internaute dont l’adresse e-mail a été collectée dans les espaces publics de l’Internet 114 116 116 VI.2) - Passer du débat sur la régularité d’un envoi commercial au débat sur les conditions de loyauté de la collecte des données 117 VI.2.1) - Le débat s’est limité aux conditions de régularité des envois commerciaux VI.2.2) - Pour un débat sur la loyauté de la collecte 117 118 VI.3) - Validité et acceptabilité du « opt-in » 120 VI.3.1) - Le « opt-in » n’interdit pas la prospection commerciale à l’égard de clients ou de visiteurs VI.3.2) - Le « opt-in » n’interdit pas la cession à des tiers des données fournies par les internautes VI.3.3) - Le « opt-in » n’interdit pas la compilation de listes d’e-mails VI.3.4) - Le « opt-in » interdit la collecte et l’usage déloyaux des données Conclusions de la Deuxième Partie 121 121 121 122 123 Annexes : Annexe 1 : Exemples d’Anti-Spam Policies Annexe 2 : Références et extraits des lois nationales citées dans l’étude et prévoyant le recueil du consentement préalable Annexe 3 : Liste des personnalités et des organismes consultée dans le cadre de l’étude 133 141 150 5 Introduction Depuis quatre ans, le Parlement européen et le Conseil ont adopté des directives majeures assurant un haut niveau de protection de la vie privée des personnes à l’égard des traitements informatiques des données personnelles. Il s’agit de la directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et de la directive 97/66/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications. Alors que les pays membres de l’Union achèvent de transposer les dispositions de ces directives dans leur droit national, les sociétés modernes sont confrontées à la montée d’un enjeu de plus en plus préoccupant lié au développement de l’Internet et du commerce électronique : collecte sauvage de données personnelles, constitution de vastes bases de profils, commerce incontrôlé de l’information, déferlement publicitaire, multiplication de pratiques déloyales, atteintes sérieuses à la vie privée des personnes. La Commission se penche sur ce problème depuis plusieurs années et c’est précisément sur un de ces aspects, l’envoi d’e-mails commerciaux non sollicités (UCE : « Unsollicited Commercial E-mail »), encore appelé le « spamming », qu’elle a souhaité de la part de l’ARETE un éclairage particulier. On dénombre aujourd’hui dans le monde quelque 569 millions de boîtes-auxlettres électroniques, dont 153 millions en Europe (1), soit 1,8 boîtes par internaute. Chaque jour dans le monde, plusieurs centaines de millions de messages commerciaux inondent les boîtes-aux-lettres électroniques des internautes, rappelant que la messagerie n’est pas seulement un outil de communication interpersonnel mais aussi selon l’expression consacrée « a powerful and cost effective business tool » ; un peu sur le même principe que l’exposition à la publicité et au marketing direct, qu’il soit de masse ou « one to one », beaucoup de ces messages n’ont pas été vraiment sollicités de la part de leurs destinataires. Une véritable activité s’est structurée, autour d’une technologie sophistiquée, un savoir-faire astucieux en matière de collecte des adresses e-mail, une offre de service relativement bon marché. La mission que la Commission a confiée à l’ARETE a justement pour premier objectif d’analyser cette activité de e-mail marketing et de spamming et c’est là l’objet de la première partie de cette étude. 1) Sources : Messaging Online – mars 2000. 6 Cette partie comporte deux chapitres : le premier est consacré à une analyse de la situation générale et historique du problème vue des Etats-Unis ; il démontre notamment que le spamming est en quelque sorte une maladie infantile du marketing par e-mail et que sous la pression des acteurs de l’Internet et des stratèges du marketing moderne, le consensus est en passe de remplacer la désinvolture et l’ingérence des communications commerciales non sollicitées. Le deuxième chapitre étudie l’offre de service et les pratiques du spamming et du e-mail marketing ; il analyse en détail le « spamware » c’est à dire l’offre de progiciels et de services clé-en-main permettant notamment de collecter les adresses e-mail dans l’Internet et plus particulièrement dans les espaces publics et les risques juridiques et financiers que courent désormais les aventuriers qui s’y adonnent. Il étudie en profondeur le modèle qui est en passe de dominer l’industrie du marketing et qui est fondé sur une problématique de permission et d’expression de l’opt-in pour l’inscription dans des fichiers commerciaux ou des listes de diffusion. La mise en œuvre de ce nouveau savoirfaire a été plus particulièrement étudiée à travers quelques entreprises américaines, leaders sur leur marché et qui ont été étudiées aux Etats-Unis ou en Europe spécifiquement pour les besoins de cette mission. Ce chapitre se clôt par une réflexion sur le statut réel de l’opt-in. La deuxième partie de l’étude est destinée à établir, en premier lieu, un panorama des cadres légal, réglementaire, administratif, jurisprudentiel, doctrinal et déontologique dans lesquels la prospection électronique non sollicitée se développe ou est amenée à se développer dans les États membres de l’Union européenne en l’état du droit communautaire existant. En second lieu, elle a pour objet de mettre en évidence les similitudes ou divergences existant entre les diverses approches nationales, d’origine publique ou privée, du phénomène. Enfin, les analyses qui précèdent doivent permettre de dégager des réflexions et préconisations sur l’encadrement juridique qui semble le mieux à même de favoriser la sécurité juridique des commerçants électroniques européens et de protéger les droits reconnus en Europe aux internautes. Cette étude, d’abord menée sur quatre États membres de l’Union européenne, a été étendue à l’ensemble des quinze États membres. La méthode de travail initialement retenue lors de la définition de la portée de la présente étude devait consister à examiner en détail la situation existant dans quatre États membres (l’Italie, l’Angleterre, l’Allemagne et la France), retenus en fonction, d’une part, de la taille de leur parc d’internautes et de serveurs en ligne, d’autre part, de leurs différences et leur implication active supposée dans la problématique étudiée, enfin, de l’ancienneté d’une loi de protection des données personnelles ou, au contraire, de la récente implantation d’une telle loi, cette dernière hypothèse laissant supposer une mise en œuvre plus aisée d’une législation spécifique à la prospection électronique. Les premières investigations menées dans l’ensemble des pays membres de l’Union européenne sur le cadre juridique général de la protection des données 7 personnelles et sur la question particulière de la prospection électronique non sollicitée, ont rapidement révélé que les particularismes nationaux n’étaient pas ceux initialement attendus et que l’étude de quatre pays ne permettrait pas d’offrir une vision complète des diversités ou des similitudes existant en Europe. La méthode la plus pertinente est alors très rapidement apparue être celle d’une étude exhaustive du cadre juridique et des pratiques professionnelles propres à chacun des quinze pays membres de l’Union, seule de nature à disposer d’une photographie fiable de la situation européenne. Cette méthode a nécessairement impliqué de procéder dans chaque État membre par la voie de sondages auprès de quelque 170 organismes publics ou privés représentatifs des secteurs professionnels concernés (2), ainsi que d’entretiens directs avec certains acteurs du commerce électronique lorsque des particularités nationales le commandaient. Cette opération s’est déroulée entre la fin de l’année 1999 et l’été 2000. La deuxième partie du présent rapport se présente en 5 chapitres. Les chapitres III et IV reprennent le constat tiré des réponses obtenues qui commandaient de rendre compte de la faible ampleur apparente du phénomène de la prospection électronique non sollicitée en Europe, d’analyser l’action menée par les autorités nationales de protection des données personnelles, d’identifier les pratiques professionnelles, ainsi que la jurisprudence dominante dans l’ensemble des États membres de l’Union. Il s’est agi ensuite de relever une confusion des approches professionnelles, sur les notions concernées, mais également sur le sens et la portée exacts des divers instruments juridiques applicables au niveau communautaire (Chapitre V). Enfin, il est apparu nécessaire qu’une démarche de clarification de la réglementation communautaire existante soit entreprise au lendemain de l’adoption de la directive 2000/31/CE du 8 juin 2000 sur le commerce électronique. C’est la réflexion développée dans le chapitre VI. Dans cette optique, le repositionnement du débat juridique sur les garanties offertes aux internautes en Europe semble inévitable. La directive 2000/31/CE, en ne rappelant pas explicitement aux acteurs du commerce électronique les conditions dans lesquelles une adresse électronique peut être collectée, a créé une confusion générale dans les esprits, préjudiciable à l’ensemble des parties prenantes. Cette confusion devra être levée afin de garantir en Europe la sécurité juridique nécessaire au développement du commerce électronique, au respect des droits des personnes et de la législation en vigueur. Nous remercions vivement tous nos interlocuteurs pour leur amabilité et le temps qu’ils ont bien voulu nous consacrer. 2) Cf. liste détaillées des personnalités sollicitées en Annexe 2 – page 147 9 Première Partie : E-mail marketing et spamming : situation générale, pratiques et offre de services 11 Chapitre I : Situation générale du e-mail marketing et de la communication commerciale nonsollicitée Le marketing interactif trouve avec Internet un terrain d’épanouissement évident que révèlent bien, ainsi que tente de le démontrer la première partie de ce chapitre, les déplacements d’investissements des annonceurs aux Etats-Unis. Il fallait s’attendre cependant à ce que, attirés par la simplicité et la gratuité de la collecte des adresses e-mail, le faible coût global des opérations, le marché soit accaparé dès sa naissance par des acteurs pas toujours très professionnels et peu soucieux du respect de l’étiquette du « net » ni de la vie privée des utilisateurs. C’est ainsi que la deuxième moitié des années 90 s’est caractérisée par une explosion d’initiatives qui portent le détestable nom de spamming. Ce chapitre analyse comment ce phénomène est apparu et comment peu à peu les opérateurs de l’Internet, principalement dans un premier temps les administrateurs de réseaux et les fournisseurs d’accès, sont parvenus à le contenir sinon à le maîtriser ; il examine également comment sous la pression des privacy advocates, les pouvoirs publics américains sont amenés peu à peu à prendre des dispositions coercitives et dans quel état d’esprit, enfin, les vrais professionnels du e-marketing envisagent aujourd’hui au plan théorique l’utilisation de ce média. I.1) - Quelques données économiques sur Internet, le marketing et la communication publicitaire Sur un plan très général, le marketing direct occupe désormais une place prépondérante dans l’activité de communication commerciale des entreprises. Certaines données chiffrées montrent qu’il a détrôné la prédominance des budgets publicitaires traditionnels : ainsi, selon la DMA (The Direct Marketing Association), la dépense en marketing direct aux EtatsUnis s’élève en 1999 à $ 176 milliards, soit 57% du total des dépenses de communication commerciale ($ 308,9 milliards) ; elle devrait atteindre $ 221,5 milliards en 2003. Le tableau ci-dessous permet de visualiser la ventilation de cette dépense suivant les médias utilisés, sachant qu’il faut 12 comprendre les actions de marketing direct dans la presse, à la radio ou à la télévision comme des opérations spécifiques permettant, à travers du « couponning » ou l’offre de n° verts, de générer directement des commandes, des contacts avec prospects ou des visites de consommateurs dans les magasins. Dépense des annonceurs en marketing direct comparée aux dépenses totales de communication publicitaire sur le marché américain (sources : The Direct Marketing Association) Dépenses Marketing Direct Total Dépenses Publicité et Marketing direct Mailing courriers 29.6 29.6 100.0 Marketing téléphonique 46.8 76.8 60.9 Journaux 12.2 34.4 35.6 Magazines 6.2 11.5 53.7 Télévision 12.9 35.4 36.5 Radio 3.8 10.5 36.5 Autres médias 9.7 20.4 47.5 $121.3 $218.7 (En milliards de US $) % de dépense Marketing Direct 1994 Total 55.5% 1999 Mailing courriers 42.2 42.2 100.0 Marketing téléphonique 66.9 110.5 60.5 Journaux 17.4 47.0 37.1 Magazines 8.9 15.9 56.3 Télévision 20.4 51.4 39.6 6.5 15.5 42.0 14.2 26.4 53.7 $176.5 $308.9 Radio Autres médias Total 57.1% La dépense des annonceurs en 1999 dans la catégorie des Autres médias, c’est à dire essentiellement sur les réseaux et les services en ligne, représente un total de plus de $ 26 milliards dont une part majoritaire, $ 14,2 milliards, est allée à des actions de marketing direct de préférence à des campagnes publicitaires. 13 Dans cette catégorie de dépense, le marketing direct interactif représente en 1999, $ 1,3 milliard. Ce chiffre est encore relativement faible mais la DMA prévoit des taux de croissance particulièrement élevés à l’horizon 2004 où il représentera une dépense de $ 8,6 milliards ; le tableau prévisionnel ci-dessous détaille et différencie cette croissance entre le business to business et la communication directe au consommateur final. Il fait ressortir des taux de croissance exceptionnels au cours de ces 5 dernières années, tout à fait caractéristiques des phénomènes qui se manifestent dans le monde de la net-économie. Evolution de la dépense en marketing direct sur des média interactifs aux Etats-Unis (sources : The Direct Marketing Association) (en millions de US $) Total 1994 1998 1999 2000 2004 94-99 $11.0 $742.0 $1,311.0 $2,135.0 $8,614.0 160.2% Business-tobusiness 7.5 469.7 824.6 1,338.6 5,418.2 156.0% Consumer 3.5 272.3 486.4 796.4 3,195.8 168.3% Il est donc fortement plausible que l’on assiste au cours des prochaines années à des transferts d’investissements de plus en plus importants vers le marketing direct sur Internet et plus particulièrement vers le email marketing. Il y a trois raisons principales qui permettent de l’affirmer : le fait tout d’abord que les coûts de campagne sur Internet sont incomparablement plus faibles par rapport aux médias traditionnels : ainsi le prix moyen d’une campagne d’e-mail marketing aux Etats–Unis revient à 10 cents environ l’envoi unitaire, alors que le coût d’un mailing par les services postaux varie entre 50 cents et $ 1 l’unité expédiée. La deuxième raison est que les taux de concrétisation de l’e-mail marketing vont de 5 à 15% comparés à ceux des mailings postaux traditionnels qui ne sont que de 0,5% à 2% (3). Enfin, sur le terrain même de l’Internet, les différentes méthodes de communication commerciale se concurrencent entre elles ; et il est en effet très probable que la préférence des annonceurs va s’affirmer de plus en plus en faveur de l’e-mail marketing au détriment des bannières publicitaires : plusieurs études montrent un écart d’efficacité assez significatif entre le e-mail marketing qui remporte des taux de click-through (4) de l’ordre de 18% alors que celui généré 3) Sources : Forrester Research. 4) Le click-through correspond, dans la terminologie du marketing appliquée à l’Internet, à l’action d’un utilisateur qui clique sur un hyper-lien et accède ainsi directement au site Web de l’annonceur et à son offre commerciale ; le passage à l’acte d’achat est un click-order. 14 par les bannières publicitaires ne cesse de baisser depuis quelque temps et plafonne selon Forrester Research à 0,65% (5) ; selon d’autres sources (Nielsen Netratings – Mars 2000) il est passé de 2,5%, dans le milieu des années 90, à 0,36% en mars 2000. I.2) - Le spamming : maladie infantile de l’e-mail marketing Le e-mail marketing au cours des cinq à six dernières années a été marqué par des pratiques de promotion assez primitives, presque aussi grossières que la distribution de prospectus publicitaires dans les boîtesaux-lettres des quartiers ou sous les essuie-glaces des voitures en stationnement dans la rue. Il s’agit du spamming. Le spamming pour reprendre la définition qu’en donne un récent rapport de la CNIL « (…) est l’envoi massif - et parfois répété - de courriers électroniques non sollicités, le plus souvent à caractère commercial, à des personnes avec lesquelles l’expéditeur n’a jamais eu de contact et dont il a capté l’adresse électronique dans les espaces publics de l’Internet : forums de discussion, listes de diffusion, annuaires, sites web, etc. » (6). Le spamming a connu plusieurs âges mais sous la forte réaction de la communauté des internautes américains en lutte contre le spectre de l’Internet marchand, la pression des « privacy advocates » et les contraintes réglementaires, on observe aujourd’hui sa récession ou à tout le moins sa mutation vers des formes moins inacceptables. I.2.1) - Les trois âges du spamming On peut considérer que le spamming aura eu, comme beaucoup de phénomènes sur Internet, un cycle de vie assez bref de 4 à 5 années pendant lesquelles les choses sont allées très vite ; deux auteurs américains, Alan Schwartz et Simson Garfinkel, respectivement professeur d’université et consultant informaticien, retracent assez bien les événements (7) ; schématiquement il y a trois principaux jalons dans cette courte histoire. 5) Sources : Forrester Research – Mars 1999. Ces données sont confirmées également dans un article récent : Saul Hansell : « So Far Big Brother Isn’t Big Business « – The New York Times On the Web – May 7, 2000. 6) Commission Nationale de l’Informatique et des Libertés : « Le publipostage électronique et la protection des données personnelles » - Rapport présenté par Madame Cécile Alvergnat, adopté le 14 octobre 1999. 7) Alan Schwartz & Simson Garfinkel : « Stopping Spam – Stamping out Unwanted Email & News Posting » - O’Reilly – Oct. 1998. 15 Avril 1994 : Le spam sur la Green Card Lottery par Canter & Siegel Laurence Canter et Martha Siegel sont deux avocats de l’Arizona qui ont imaginé fournir une prestation de conseil à tous les candidats à la Green Card Lottery. Il s’agit d’un dispositif très particulier organisé par l’administration américaine en charge de délivrer les visas d’immigration sur le territoire ; tous les candidats éligibles, c’est à dire des hommes ou des femmes originaires de tous les continents, disposant d’un niveau d’éducation secondaire ou d’une expérience professionnelle d’au moins 2 ans au cours des 5 dernières années, doivent pour cela déposer un dossier de demande de visa auprès d’un service spécialisé (The United States National Visa Center, situé à Portsmouth, New Hampshire). Ces demandes, dont le volume dépasse largement le quota annuel de visas délivrés (entre 4 et 5 millions de demandes en moyenne pour 50.000 visas accordés), sont ensuite traitées par un système informatique et tirées au sort. Le dépôt d’une demande de Green Card est gratuit. Sachant que régulièrement entre et 30 et 40% des demandes sont rejetées parce qu’elles sont non conformes, de nombreux cabinets d’avocats font profession de conseil et garantissent à leurs clients une participation au tirage au sort. C’est ainsi que Canter & Siegel en avril 1994 ont posté une publicité dans plus de 6.000 groupes de discussion sur Usenet offrant une assistance à cette démarche moyennant le versement de $ 100 d’honoraires à leur cabinet. Sans le savoir, Canter & Siegel venaient d’inventer ce qu’on appellera plus tard l’EMP (Excessive Multi-posting) (8). Plusieurs dizaines de milliers de personnes qui avaient reçu ce message ont protesté contre leurs auteurs en adressant des e-mails de réponse, jusqu’à saturation de leur fournisseur d’accès, lequel a fini par rompre le contrat. Après quelques tentatives auprès d’autres fournisseurs d’accès, Canter & Siegel ont cru bon devoir faire des émules en publiant « How to Make a Fortune on the Information Superhighway », où ils expliquent notamment comment collecter des adresses à partir des groupes de discussion et inonder les boîtes-aux-lettres avec des messages publicitaires. Canter & Siegel adressèrent leurs derniers spam dans des newsgroups en mars 1995, évidemment pour promouvoir leur livre. Juillet 1995 : Jeff Slaton, le « Spam King » Jeff Slaton, un cadre commercial installé à Albuquerque et spécialisé dans la vente d'espace publicitaire dans les pages jaunes de l’annuaire pour la société US West, a eu l’idée, après, dit-on avoir lu le livre de Canter & Siegel, de tester l’envoi massif de messa8) Cela correspond au fait qu’une même annonce est transmise et stockée autant de fois que le nombre de Usenet Groups auquel elle est adressée. 16 ges publicitaires (« bulk e-mail ») dans des newsgroups scientifiques entre autres : prétextant des relations avec un chercheur des laboratoires de Los Alamos (Nouveau Mexique) récemment retraité, il s’agissait de proposer les plans de la bombe atomique pour la modique somme de $ 18, frais de port non compris. Jeff Slaton racontera plus tard en avoir vendu des milliers de par le monde. Fort de cette expérience, Jeff Slaton proposa ses services de spammeur quelques mois plus tard, facturant $ 495 chaque opération ; des centaines de petits annonceurs, 15 par semaine, dit-on, auraient contracté avec lui, y compris pour des offres sévèrement réglementées, voire interdites, comme les systèmes de vente pyramidale (9). Jeff Slaton est un vrai « pionnier » ; il est l’inventeur de la fausse adresse e-mail et du faux nom de domaine afin de ne pas être repéré ; il comprit également assez vite qu’il fallait offrir la possibilité à ses prospects de pouvoir le contacter et il prit soin d’insérer dans ses messages publicitaires des n° de téléphone correspondant à des boîtes vocales, allant même jusqu’à offrir la possibilité d’exercer un doit d’opt-out ; en réalité il semble que la liste d’opt-out n’ait jamais vraiment existé, bien que Slaton ait tenté à la fin de l’année 1995 de commercialiser un véritable service d’opt-out pour $ 5 par inscription. Une véritable guérilla s’engagea ensuite entre Slaton et des défenseurs du Net, des étudiants en majorité, allant jusqu’à publier dans les newsgroups spécialisés (10), dans des sites dédiés (11) ou dans les premières listes noires (Black-Hole List) (12) le n° de téléphone privé de Slaton, son âge, sa photographie, son adresse, son n° de sécurité sociale, son n° de téléphone personnel et même celui de son supérieur hiérarchique à US West. 1996 : Sanford Wallace et l’affaire Cyber Promotions, Inc. Sanford Wallace, propriétaire de Cyber Promotions, une entreprise installée à Philadelphie, a fait entrer le spamming dans l’ère industrielle en louant sa propre connexion T1 et en opérant sous 9) La vente pyramidale est une technique de distribution de produits dans laquelle des participants obtiennent un revenu en fournissant ces mêmes produits à d'autres participants qui, à leur tour, obtiennent leurs profits de la même manière ; c’est une forme de commercialisation dite à paliers multiples (multi-level marketing) qui repose sur diverses pratiques commerciales déloyales comme : le versement d’un montant en contrepartie du droit de recevoir une rémunération pour avoir recruté de nouveaux participants ; l’achat d’un stock de produits particuliers, condition préalable à la participation ; la vente aux participants de quantités non raisonnables du ou des produits (pratique de consignation abusive de marchandises) ; la non possibilité pour les participants de retourner les produits à des conditions commerciales correctes. De ce fait la vente pyramidale est interdite dans de nombreux pays. 10) Il s’agit des newsgroups suivants : news.admin.net-abuse, news.admin.net-abuse.bulletins, news.admin.net-abuse.policy, news.admin.net-abuse.sightings, news.admin.net-abuse.email, news.admin.net-abuse.usenet. 11) http://com.primenet.com/spamking/ 12) Il s’agit de la liste Realtime Blackhole List at the Mail Abuse Protection System, http://maps.vix.com – Cf. page 18 & 19 17 son propre nom de domaine (cyberpromo.com). Dès le départ la cible privilégiée de Cyber Promotions a été les abonnés d’AOL dont il a collecté les adresses de façon massive (près d’un million) à l’aide d’un outil de « harvesting » développé pour son propre compte ; chaque utilisateur présent sur sa liste recevait entre deux et cinq spams par jour pour des messages toujours aussi discutables du genre « Get Rich Quick » ou des cures d’amaigrissement ; au total, au plus fort de son activité, il ressort que Cyber Promotions traitait jusqu’à 30 millions de e-mails par jour. Comme Slaton, Wallace intervenait dans ces campagnes en tant que prestataire pour des annonceurs pas très regardants quant aux méthodes de communication employées. AOL développa alors son propre système de défense en bloquant systématiquement tous les messages en provenance des trois différentes adresses de Cyber Promotions, ce qui amena Wallace à poursuivre AOL en justice au nom du 1er amendement sur la liberté de communication. Démarre alors une série de procédures devant la justice qui vont durer jusqu'en 1997. Wallace perdit le procès en appel. Quelques semaines plus tard Cyber Promotions était à nouveau devant les tribunaux dans la cadre d’une plainte de trois opérateurs, CompuServe, Prodigy et Concentric Network. Compuserve contestait les pratiques frauduleuses et attentatoires au droit des marques de Cyber Promotions consistant à utiliser le nom de domaine de ces fournisseurs d’accès (« From : ») comme adresses de réponse à ses spams, ce qui était une astuce technique de Wallace pour tromper les filtres anti-spam mis en place par AOL. Des accords furent signés avec les plaignants amenant Cyber Promotions à cesser ses pratiques. Dans le même temps en réalité Wallace avait découvert un nouveau moyen de spammer les abonnés d’AOL en louant pour $ 1.000 par mois plusieurs connexions T1 à différents fournisseurs d’accès. Au début de l’année 1997 Cyber Promotions crée son propre nom de domaine, au nom proprement provocateur de spamford.com ; l’entreprise emploie désormais 7 personnes. Cependant elle va rencontrer de plus en plus de difficultés à trouver un fournisseur d’accès tolérant, pour la bonne et simple raison que Wallace était devenu le personnage le plus détesté de l’Internet et que cela représentait un risque commercial pour les fournisseurs d’accès d’apparaître lié à lui. C’est ainsi que AGIS (Apex Global Information Services), un fournisseur d’accès du Michigan, rompit son contrat avec Cyber Promotions en août 1997 (13) ; deux mois auparavant WorldCom l’avait déjà fait. En mars 1998, une action en 13) AGIS a démarré son activité en 1994 ; c’est un des plus anciens opérateurs de réseau sur Internet (Internet backbone provider). La société a été marquée par sa coopération avec les spammeurs et fait figure de paria de l’Internet ; sans doute cela n’est-il pas étranger au fait qu’elle n’ait pas réussi un tour de table financier et qu’elle soit depuis le mois de février dernier sous la protection du Chapitre 11. 18 justice intentée par une autre ISP (EarthLink Network Inc.) sonne le glas de la carrière de spammeur de Sanford Wallace : ce dernier est en effet amené à négocier un accord de $ 2 millions d’indemnisation pour avoir spammé les abonnés de EarthLink. Le paradoxe est que Wallace s’est aujourd’hui reconverti comme consultant dans des affaires de spamming et qu’il se retrouve notamment à travailler en appui auprès du cabinet d’avocats d’Atlanta (Hunton & Williams) qui défendait Earthlink et qui l’a fait condamner : « (…)Spam is no longer going to work, observe Wallace, spammers of today are almost exclusively hiding behind forgery and using the resources of others. People on the Internet are not going to stand for it. I will give back to the Internet by spending time and effort to help clean up the streets » (14). I.2.2) - Les forces récessives du spamming On peut affirmer que le spamming, tel qu’on a pu le connaître dans le milieu des années 90 aux Etats-Unis est actuellement en voie de récession. Il suffit de consulter les différentes listes noires accessibles en ligne pour constater qu’il s’agit d’un phénomène qui a connu un âge d’or entre 1995 et 1998 et que les inscriptions ont tendance à régresser depuis, grâce notamment au fait que les ISPs ont acquis une meilleure maîtrise des flux sur les serveurs de mails et de news. Ainsi il existe par exemple une base de données mise à jour quotidiennement, Spamhaus.org, qui recense actuellement 68 agences de marketing qui sont encore actives dans le spam sur Internet ou sur Usenet contre 168 qui ont disparu du paysage au cours des deux ou trois dernières années. Il y a deux forces qui exercent un effet quasi mécanique sur le phénomène : l’attitude combative de la communauté des ISPs sur Internet et sur Usenet et celle répressive d’un nombre croissant d’états américains et peut-être prochainement de l’administration fédérale. The Mail Abuse Prevention System et la Realtime Blackhole List (RBL) Les fournisseurs d’accès, dans leur grande majorité, traquent aujourd’hui sans pitié les spammeurs ; parmi leurs différentes modalités d’action, ils se sont organisés à travers un réseau d’administrateurs volontaires fondé par Paul Vixie, un informaticien militant anti-spam, dénommé The Mail Abuse Prevention System (MAPS – Redwood City, Calif.) à l’origine de la Realtime Blackhole List (RBL). Cette liste est un outil de boycott de masse ; elle permet aux administrateurs système des ISPs qui contrôlent 14) Cf. Deborah Scoblionkov : « Spam King Forges Unholy Alliance » - Wired – 11. May.98 19 des milliers de routeurs et de serveurs de mail de s’informer mutuellement et régulièrement des « attaques », c’est à dire des opérations de spamming, dont ils font l’objet et de mettre à l’index les adresses IP et noms de domaine connus pour être à l’origine de courriers commerciaux non sollicités. Ainsi tout abonnement d’un spammeur qui a été résilié est reporté dans la liste de sorte que d’autres ISPs, en l’occurrence les 2.000 ISPs dans le monde abonnés à la RBL, soit environ 1/3 du marché, qui pourraient être approchés par le spammeur sont immédiatement au courant de la vraie nature d’activité du client qu’ils ont en face d’eux et peuvent alors refuser de l’héberger. C’est là un système coopératif de reporting assez classique, très répandu dans la société de l’information pour traquer les fraudeurs. Mais le système MAPS est aussi un filtre qui permet à l’aide d’algorithmes (15) de bloquer automatiquement l’envoi de messages en provenance d’un spammeur identifié ainsi que de l’ISP qui l’héberge et qui est donc considéré comme ne faisant pas le travail d’hygiène du réseau auquel il est présumé devoir se livrer au nom de la sauvegarde des intérêts collectifs de l’Internet. C’est ainsi qu’AOL, MSN ou Real Networks ont figuré à divers moments de leur histoire dans la RBL. Le problème est que, s’agissant d’un filtre automatique, le système MAPS, devenu aujourd’hui très puissant, manque parfois de discernement, si bien que certains ISP innocents qui développent même des politiques anti-spam authentiques, se retrouvent listés dans la RBL ; de plus la suspension d’un ISP a pour conséquence de bloquer la totalité d’un serveur de mail, empêchant parlà des utilisateurs pourtant bien intentionnés d’y accéder. Plusieurs cas sont régulièrement dénoncés dans la presse et la communauté MAPS est parfois accusée de maccarthysme et de se comporter comme une force de police auto-proclamée dont la légitimité repose uniquement sur le nombre croissant de ses membres. La réalité est aujourd’hui que de moins en moins d’ISP ne vont prendre le risque de se retrouver « blacklisté » dans la RBL pour avoir hébergé ou simplement laissé passer une opération de spamming ; John Mozena, fondateur de la CAUCE (dont le MAPS est un des membres), tout en étant nuancé, partage cet avis : « (…) It’s not a solution to spam, but it is a valuable tool both in technical and public relations terms - for domains that want to protect themselves against spam. No one wants to be stigmatized by being on the RBL list » (16). 15) Il s’agit d’un algorithme d’appariement : il suffit de constituer une arborescence DNS composée des adresses IP de domaines spammeurs ou ayant relayé un spam ; si une connexion vient de la machine d'adresse a.b.c.d, le logiciel va regarder si le resource record d.c.b.a.rbl.maps.vix.com existe dans le DNS. 16) Jon Swartz : « Anti-Spam Service or McCarthyism? - Internet group puts some ISPs On a blacklist » - Monday, May 10, 1999 - ©2000 San Francisco Chronicle. 20 Le Usenet Death Penalty (UDP) Usenet est un ensemble d’ordinateurs reliés à différents réseaux, dont Internet, qui véhiculent des articles postés dans des groupes de discussions ; il est régi par des règles de coopération non écrites entre les administrateurs. Les articles postés doivent respecter un format de diffusion standard (RFC-1036) acceptable par tous les réseaux. Par extension, Usenet est aussi la communauté des personnes qui lisent et écrivent des articles dans les groupes de discussions auxquels ils ont accès. Un peu par nature Usenet est depuis longtemps la cible privilégiée des spammeurs qui à la fois y puisent sans retenue des adresses e-mail et inondent les différents groupes de discussion de leurs messages commerciaux non sollicités, souvent d’ailleurs au contenu douteux (pornographie, MMF – Make Money Fast, ventes pyramidales, terrorisme). La Usenet Death Penalty est littéralement une peine de mort prononcée contre les auteurs de messages qui abusent de Usenet et qui font la sourde oreille aux plaintes des utilisateurs et aux avertissements des administrateurs ; le système est animé principalement par Ken Lucke créateur de stopspam.org. L’UDP a pour conséquence, après une période probatoire de 5 jours ouvrés, d’être activée et d’effacer ainsi tous les messages postés par le site incriminé ; des ISPs comme CompuServe ou UUNET en ont été victimes en 1997, ainsi que Netcom qui en a été menacé en 1998. 1997 a été probablement la pire année du spamming sur Usenet puisqu’on estime que 60% de la totalité des messages postés ont été effacés. Comme dans le cas précédent, l’UDP n’est pas une intervention chirurgicale, elle agit techniquement comme un filtre qui ne fait pas de détail : toutes les communications en provenance du site ou de l’ISP listé sont systématiquement effacées et non distribuées. C’est là un moyen de pression considérable pour amener les fournisseurs d’accès à être eux-mêmes vigilants et à ne tolérer ni le spamming, ni les contenus contraires à la morale. Les dispositions réglementaires américaines Il n’existe pas encore de dispositions fédérales condamnant explicitement les UCE sur Internet ; 7 propositions de loi avaient été déjà introduites en 1997 et 1998 ; le tableau ci-dessous permet une vision synthétique de ces différents projets qui ont tous avorté au cours de la 105ème session du Congrès : 21 Propositions de lois fédérales pendantes en 1998 (Sources : The John Marshall Law School - 1998/07/17) (17) Introduced Status Prohibit unsolicited e-mail Enforce ISPs' policies Universal exclusion list Honor opt-out requests Sender ID/false headers Require labels H.R. 1748 (C. Smith) 5/22/98 pending in House prohibit UCE no no no yes no H.R. 2368 (Tauzin) 7/31/97 pending in House no no no no no no H.R. 4124 (Cook) 6/24/98 pending in House no yes possibly yes yes no H.R. 4176 (Markey) 6/25/98 pending in House no sender's ISP only yes yes yes no S. 771 (Murkowski) 5/21/97 pending in Senate no no no yes yes yes S. 875 (Torricelli) 6/11/97 pending in Senate no possibly possibly yes yes no 2/9/98 (amended 5/12/98) passed Senate no no no yes yes no Bill no./ sponsor S. 1618 (McCain) (amendments by Murkowski & Torricelli) 1 1 1 1 H.R. 4124 and S. 771 both refer to Internet standards not yet adopted, which could provide for a universal exclusion list or other method for individuals or ISPs to notify prospective senders of unsolicited e-mail of their preferences or policies. Neuf autres projets de loi ont été déposés au cours de l’année 1999 : Can Spam Act (juin 1999) E-Mail User Protection Act (mai 1999) Inbox Privacy Act of 1999 (mars 1999) Internet Freedom Act (mai 1999) Internet Growth and Development Act of 1999 (mai 1999) Netizens Protection Act of 1999 (octobre 1999) Protection Against Scams on Seniors Act of 1999 (février 1999) Telemarketing Fraud and Seniors Protection Act (mars 1999) Unsolicited Electronic Mail Act of 2000 (octobre 1999 et amendée en mars 2000) Aucune de ces propositions n’a été adoptée mais il y a de fortes chances pour que la plus récente, le Unsolicited Electronic Mail Act of 2000, le soit prochainement ; c’est ce dernier texte qui semble le plus favorable à un contrôle strict du spamming sur le terri17) Sources : The John Marshall Law School, 315 S. Plymouth Court Chicago, Illinois 60604 – le site Web est à l’adresse suivante : http://www.jmls.edu/cyber/statutes/email/ 22 toire américain. Tous ces projets contiennent schématiquement trois dispositions essentielles, les deux premières interdisant la falsification de l’identité des émetteurs de messages commerciaux ainsi que les accès non autorisés et la troisième les obligeant à introduire un dispositif d’opt-out. Devançant l’administration fédérale, de nombreux états américains ont franchi le pas et ont adopté l’année dernière des textes de loi répressifs à l’égard du spamming ; certains ont déjà été utilisés dans le cadre de procédures ouvertes contre des spammeurs ; à noter que plusieurs de ces textes couvrent simultanément la communication commerciale par fax. On présente dans le tableau ci-après (18) les 15 premiers textes votés dans les états américains ; depuis d’autres états ont fait de même ou sont sur le point de le faire : le Colorado (loi adoptée en février 2000), Hawaii (3 lois pendantes, une seule adoptée à ce jour par le sénat), le Maryland, le Vermont et le Wisconsin. Les principales dispositions de ces textes consistent à imposer la présence d’un dispositif d’opt-out ainsi que la prise en compte effective du retrait d’un internaute qui en manifeste la demande ; ils interdisent bien entendu, ce qui est intrinsèque au spam, à savoir la fausse adresse et le maquillage des en-têtes de message ou de leur objet ; quelques-uns imposent la présence d’un label dans l’en-tête indiquant qu’on est en présence d’un message publicitaire (ADV) ou d’une annonce concernant un site réservé aux adultes (ADLT) ; un tiers de ces lois définit le spamming comme l’envoi de messages à des utilisateurs d’Internet sans qu’il y ait eu une demande expresse préalable de leur part. Tous ces textes peuvent certes être discutés et ils le sont notamment au sein de la communauté des privacy advocates qui les trouvent trop timorés et leur reprochent de ne guère offrir de moyens d’action aux personnes elles-mêmes victimes des spammeurs. 18) Sources : David E. Sorkin, Spam Laws, <http://www.spamlaws.com/> juin-99 x x x x x x x x x x x x x x x mai-99 LOUISIANA juil-99 NEVADA juil-97 NORTH CAROLINA juin-99 x OKLAHOMA juin-99 x x x RHODE ISLAND juil-99 x x x TENNESSEE VIRGINIA WASHINGTON juin-99 x x x avr-00 x x x mars-98 x x x WEST VIRGINIA Mars-99 x x x juil-99 x x x x x x x x x x x x juil-99 x x x DELAWARE IDAHO ILLINOIS IOWA avr-00 Falsification de l’objet Identification claire de l'émetteur Falsification des mails transmission informations Utilisation nom de Domaine x l'ISP Policy CONNECTICUT x Relation antérieure / Consentement sept-98 Label CALIFORNIA Fausse adresse Emetteur Date d’adoption du texte Respect Remove request ETATS Opt-out Principales dispositions x Peines encourues Remarques de $5.000 à $10.000 + peines de prison selon la gravité des faits Texte général adapté aux e-mails et aux fax. x de $2.500 à + si faits plus graves Texte général intégrant des malversations diverses (intrusions, virus,…). x x de $100 à $1.000 / bulk mail x $10 /bulk mail - Maxi : $25.000 / jour x x de $10 à $500 / bulk mail Dans la définition du bulk mail, la notion de quantité apparaît (+ de 1000) x x x x x $10 / Bulk Mail avec un maximum de $25.000 / jour $10 / Bulk Mail avec un maximum de $25.000 / jour x x x x x Probablement le texte le plus "technique" juridiquement x x x de $10 à $100 / Bulk Mail avec un maximum de $25.000 / jour x $10 / Bulk Mail avec un maximum de $25.000 / jour Se réfère au Consumer Protection Act. Dans la définition du bulk mail la notion de quantité apparaît. 23 24 Ces lois ont cependant en commun une approche pragmatique qui consiste à condamner les spammeurs à des amendes importantes : le tarif moyen est de $ 10 par bulk-mail avec un maximum de $ 25.000 par jour ; compte tenu du fait qu’on est aujourd’hui en présence de petits opérateurs, disposant de ressources financières limitées, on peut estimer qu’il s’agit là d’un moyen relativement dissuasif, voire dans certains cas radical. Ainsi qu’un journaliste de Wired livrait son impression au retour d’un reportage sur une réunion d’experts de l’industrie du sexe sur Internet qui s’est tenue au mois d’août l’année dernière à San Francisco : « (…) Porn sites are beginning to learn that the potential gains of spamming don't outweigh the risk » (19). I. 3) - Du spamming au permission marketing Dans le même temps les professionnels du marketing ou du commerce en ligne, conquis par la révélation du permission marketing, pleins d’espoir dans son efficacité, découvrent le nouveau concept des campagnes ciblées sur des populations volontaires et consentantes ; on ne parle plus aujourd’hui que de opt-in e-mail marketing et les organisations professionnelles du marketing direct se font, lentement, il est vrai, à cette nouvelle idée. I.3.1) - Les thèses de Seth Godin L’état d’esprit général du marketing et de la communication commerciale est en train de changer avec le développement des thèses du « permission marketing ». Dans la lignée de Don Peppers et Matha Rogers avec le marketing one to one, le maître à penser de ce courant est Seth Godin, un informaticien également diplômé en marketing qui a créé Yoyodyne Entertainment Inc., la première société de marketing en ligne à s’être lancée sérieusement dans le e-mail marketing aux Etats-Unis. Seth Godin a vendu Yoyodyne en 1998 à Yahoo pour un montant de $ 30 millions en actions, et il en est devenu viceprésident en charge des questions de marketing direct. Le terme de « permission marketing » a d’ailleurs été déposé par Yahoo. Godin développe dans un livre récent (20) quelques idées force que l’on peut présenter schématiquement de la manière suivante : avec une moyenne de 3.000 expositions quotidiennes à des messages publicitaires, le public américain est aujourd’hui saturé ; son capital 19) Craig Bicknell : « Sites for Hardcore Eyes » Wired News - Aug. 12, 1999. 20) Seth Godin : « Permission Marketing : Turning strangers into Friends, and Friends into Customers » - Simon & Schuster – New York – 1999. 25 temps et sa capacité d’attention sont largement entamés ; le paradoxe est que plus les annonceurs cherchent à se distinguer de ce chaos plus ils engendrent le marasme et la confusion. C’est ce que Seth Godin appelle l’« interruption marketing », celui qui dérange, qui interrompt quelqu’un pendant qu’il est en train de faire quelque chose, regarder un film à la télévision par exemple ou lire un magazine ou encore qui le surprend alors qu’il se promène dans la rue quand soudain quelqu’un apparaît sur son chemin vêtu d’un tee-shirt Banana Republic. Seth Godin n’a de cesse d’alerter les annonceurs quant à l’inefficacité de leur communication publicitaire de masse et au gaspillage financier auquel ils s’exposent ; il les exhorte vivement à regarder du côté du marketing direct, version permission marketing : en d’autres termes, il y a lieu désormais de communiquer avec les consommateurs et les prospects sur la base du volontariat, en construisant peu à peu une relation d’intérêt puis de confiance : « (…) Take your time, explique-t-il. Build trust through frequency. Tell your story patiently to each consumer who is willing to participate to the exchange » (21). Ce concept d’échange renvoie à un phénomène où la communication de données personnelles est au cœur du processus : plus la confiance grandit, plus le consommateur, engagé dans une relation directe, stimulé par des promesses finement adaptées et bien entendu tenues (incentive marketing), est motivé à donner de plus en plus de permission, permission de collecter plus de données sur son style de vie, ses passe-temps, ses centres d’intérêts ; permission pour être sollicité sur de nouvelles catégories de produits ou de services, permission pour recevoir des points cadeaux ou des miles gratuits, un échantillon, un abonnement temporaire, etc. (22). C’est ainsi qu’au fur et à mesure que se construisent ces échanges, l’individu anonyme devient contact, prospect puis un jour client et enfin client fidèle, c’est le stade idéal de la relation participante avec le client, celui que Godin appelle le stade intraveineux, rappelant par-là le niveau de confiance qu’un patient sous perfusion témoigne à l’équipe médicale qui le prend en charge. La création de cette relation nécessite du temps et de la fréquence et si possible dans un schéma de coûts acceptable ; quel média mieux que l’Internet peut offrir cette interactivité et cette progressivité ? Quel contexte de permission plus favorable peut on trouver que celui qui repose sur l’inscription volontaire dans des listes d’opt-in ? Les frais d’acheminement sont extrêmement réduits, les résultats de tests de campagne sont quasi instantanés, les taux de réponse sont quinze fois supérieurs, la relation avec les prospects peut être continue sans pour autant grever les budgets de communication des annonceurs, ni celui du service relation consommateurs, à condition de savoir l’industrialiser suffisamment, l’impression est gratuite. Le permission marketing trouve à travers l’Internet un terrain d’épanouissement et de 21) Ibid. p. 75 22) Ibid. p. 47 26 prospérité naturel. Par opposition, Seth Godin, dans son analyse, est assez critique à l’égard des annonceurs et des publicitaires qui ont cru bon devoir reproduire sur le net le seul modèle de communication commerciale qu’ils maîtrisent bien jusqu’à présent, à savoir celui de l’interruption marketing qui prend la forme dans le meilleur des cas de bannières publicitaires, ou de pop up et dans le pire, parce qu’il se double d’un comportement de voleur à l’étalage (sic), d’actions de spamming. Dans les deux cas ces modes de communication sont voués à l’inefficacité et à l’échec, ils ne font qu’entretenir la confusion ambiante (« the clutter »). Quant au spamming il est clair qu’il est condamné à mort d’avance, par le monde du marketing lui-même, par les opérateurs de réseau, et par le public qui ne sera jamais guère enclin à entrer dans une relation de confiance avec les spammeurs. I.3.2) - L’opt-in e-mail marketing : la difficile marche vers un nouveau standard professionnel La plupart des organisations et syndicats professionnels américains du monde de la publicité et du marketing direct condamnent aujourd’hui explicitement l’UCE ; certains commencent aujourd’hui à emboîter le pas du permission-based marketing et de l’opt-in e-mail, non sans être tiraillés dans des contradictions qui mettront probablement encore un peu de temps à être réglées. L’AIM (Association for Interactive Media) est une filiale indépendante de la DMA qui a été créée en 1993. Son rôle consiste à représenter et défendre spécifiquement l’activité de l’industrie de l’Internet et à promouvoir la création d’un environnement de confiance avec les consommateurs. Ses 350 membres sont parmi les opérateurs de site les plus en vue (dont Yahoo!, Citibank, Internet Shopping Network, The New York Times). Lors de la réunion de son conseil (The Council for Responsible E-mail) en février 2000 à Seattle, l’AIM a adopté un ensemble de lignes directrices qui sont sans équivoque à l’égard du spamming et posent le principe de la préexistence d’une relation commerciale avec les destinataires d’une campagne de marketing : Les opérateurs commerciaux, c’est à dire les sociétés de marketing et les firmes proposant des services de vente directe sur Internet, s’interdisent toute falsification de nom de domaine ainsi que l’utilisation d’adresses IP sans l’accord préalable des parties Les opérateurs commerciaux s’engagent à ne pas falsifier la ligne « subject » de leurs messages commerciaux de telle sorte à tromper les destinataires quant à leur contenu Tout e-mail commercial doit offrir aux destinataires une option d’annulation de leur inscription dans le fichier de l’émetteur ou de son intermédiaire technique ainsi que la possibilité d’entrer en contact avec lui 27 Les opérateurs commerciaux s’engagent à informer les destinataires de leurs messages sur la collecte en ligne des adresses emails et sur la finalité de cette collecte (information en ligne ou via e-mail) Les opérateurs commerciaux s’interdisent la mise en œuvre de méthodes de harvesting d’adresses e-mail dans le but de réaliser des campagnes d’envoi d’UCE sans information préalable des consommateurs ou leur consentement Aucun message commercial ne peut être adressé en masse à des destinataires sans que préexiste une relation commerciale avec eux, celle-ci pouvant être caractérisée notamment par des correspondances antérieures, l’existence de transactions ou de relations avec le service client de l’émetteur ou l’existence d’une permission délivrée à une société tierce. L’AIM diffuse également une étude stratégique qu’elle a commandée au cabinet IMT (Integrating Marketing & Technology) sur le Permission E-mail (23). Cette étude s’appuie sur une série d’interviews auprès de 400 utilisateurs du courrier électronique sur Internet et de 200 opérateurs commerciaux. Elle met en lumière notamment le différentiel d’appréciation et d’impact effectif qu’il peut y avoir entre les UCE et les campagnes de permission marketing. Le public, sans équivoque, ainsi que le montre le graphique ci-dessous n’apprécie pas le spam : Attitudes about Commercial E-mail Permission vs. UCE Source : IMT Strategies 2000 70% Very Positive 60% Somewhat positive 50% Neutral 40% Somewhat negative Very Negative 30% 20% 10% 0% Permission based E-mail 23) IMT : "Permission E-mail: The Future of Direct Marketing". http://www.imtstrategies.com/aim_dma/index.html. Unsolicited commercial E-mail 28 Rien d’étonnant à ce que la réceptivité des consommateurs soit incomparablement plus forte lorsqu’on est en présence de permission email : ainsi que le montrent les statistiques ci-dessous, il ressort que 70% des utilisateurs d’Internet ont cliqué quelques fois, plusieurs fois ou souvent sur des messages commerciaux envoyés dans un contexte de permission, alors que ce taux n’est que de 30% pour les UCE. Frequency of E-mail response 60% 54% Unsolicited offers 50% Permission Email 40% 35% 30% 23% 22% 20% 22% 16% 14% 7% 10% 6% 2% 0% Never Once A few times Several times Often La NAI (Network Advertising Initiative) est un groupe représentant différents prestataires de services de marketing en ligne parmi les plus importants (24/7 Media, AdKnowledge, DoubleClick, Flycast, Engage, Real Media, etc.) qui milite lui aussi en faveur de la création et du renforcement d’un environnement de confiance pour le commerce électronique. Il prend des positions nettes, notamment dans le cadre récent d’auditions par la FTC, quant à l’obligation de ses membres en matière d’information préalable à toute collecte de données personnelles. La DMA (The Direct Marketing Association) s’est dotée depuis plusieurs années de lignes directrices qui définissent à l’intention de ses membres les conditions d’une bonne éthique professionnelle dans le métier du marketing direct et notamment du direct mailing ; on en reprend de manière synthétique, dans l’encadré qui figure à la page suivante, les principales dispositions. Ces lignes de conduite ont bien entendu suivi la progression des techniques utilisées dans le marketing direct et se sont adaptées au fur et à mesure qu’évoluaient le droit 29 Principales dispositions des lignes directrices de la DMA en matière de marketing direct (Sources : The DMA - The DMA Guidelines for Ethical Business Practice Revised August 1999) HONESTY AND CLARITY OF OFFER : All offers should be clear, honest and complete so that the consumer may know the exact nature of what is being offered, the price, the terms of payment (including all extra charges) and the commitment involved in the placing of an order. ACCURACY AND CONSISTENCY : Simple and consistent statements or representations of all the essential points of the offer should appear in the promotional material. ACTUAL CONDITIONS : All descriptions, promises and claims of limitation should be in accordance with actual conditions, situations and circumstances existing at the time of the promotion. DISPARAGEMENT : Disparagement of any person or group on grounds addressed by federal or state laws that prohibit discrimination is unacceptable. DECENCY : Solicitations should not be sent to consumers who have indicated to the marketer that they consider those solicitations to be vulgar, immoral, profane, pornographic or offensive in any way and who do not want to receive them. DISCLOSURE OF SPONSOR AND INTENT : All marketing contacts should disclose the name of the sponsor and each purpose of the contact. No one should make offers or solicitations in the guise of one purpose when the intent is a different purpose. ACCESSIBILITY : Every offer and shipment should clearly identify the marketer’s name and postal address or telephone number, or both, at which the consumer may obtain service. If an offer is made online, an e-mail address should also be identified. MARKETING TO CHILDREN : Offers and the manner in which they are presented that are suitable for adults only should not be made to children. In determining the suitability of a communication with children online or in any other medium, marketers should address the age range, knowledge, sophistication and maturity of their intended audience. Marketers should not collect personally identifiable information online from a child under 13 without prior parental consent or direct parental notification of the nature and intended use of such information online and an opportunity for the parent to prevent such use and participation in the activity. USE OF THE WORD "FREE" AND OTHER SIMILAR REPRESENTATIONS : A product or service that is offered without cost or obligation to the recipient may be unqualifiedly described as "free." PRICE COMPARISONS : Price comparisons including those between a marketer’s current price and a former, future or suggested price, or between a marketer’s price and the price of a competitor’s comparable product should be fair and accurate. USE OF TEST OR SURVEY DATA : All test or survey data referred to in advertising should be valid and reliable as to source and methodology, and should support the specific claim for which it is cited. Advertising claims should not distort test or survey results or take them out of context. TESTIMONIALS AND ENDORSEMENTS : Testimonials and endorsements should be used only if they are: Authorized by the person quoted ; Genuine and related to the experience of the person giving them both at the time made and at the time of the promotion; and not taken out of context so as to distort the endorser’s opinion or experience with the product. USE OF THE TERM « SWEEPSTAKES » : Sweepstakes are promotional devices by which items of value (prizes) are awarded to participants by chance without the promoter’s requiring the participants to render something of value (consideration) to be eligible to participate. The co-existence of all three elements - prize, chance and consideration - in the same promotion constitutes a lottery. It is illegal for any private enterprise to run a lottery without specific governmental authorization. When skill replaces chance, the promotion becomes a skill contest. PERSONAL DATA : Marketers should be sensitive to the issue of consumer privacy and should only collect, combine, rent, sell, exchange or use marketing data. Marketing data should be used only for marketing purposes. 30 de la consommation et la sensibilité de la société américaine à l’égard de la privacy. Elles ont été mises à jour récemment, au mois d’août 1999, pour intégrer notamment des dispositions quant à l’e-mail marketing ainsi que celles en lien avec le Children Online Privacy Protection Act (COPPA). La DMA est un ardent défenseur de l’autorégulation et l’adhésion à l’association implique de la part des sociétés de marketing et de vente directe un principe de conformité et d’application des lignes directrices : « These self-regulatory guidelines are intended to be honored in light of their aims and principles. All marketers should support the guidelines in spirit and not treat their provisions as obstacles to be circumvented by legal ingenuity ». Enfin il convient d’observer que l’action de la DMA en matière de protection de la vie privée des utilisateurs de l’Internet vient de s’enrichir d’un dispositif spécifique et géré par l’association consistant à mettre en œuvre une liste dite de stop-publicté. Ce service s’appelle e-MPS (Electronic Mail Preference Service) ; il a été annoncé en décembre 1999 et lancé officiellement le 10 janvier 2000. Cette liste fonctionne comme un service gratuit permettant à n’importe quel utilisateur d’enregistrer son adresse e-mail dans cette stop-liste en indiquant les catégories de messages pour lesquelles on souhaite exercer l’opt-out (business-to-consumer, business-to-business, ou les deux). De leur côté les opérateurs de marketing direct, moyennant $100 pour les non adhérents à la DMA, peuvent faire expurger leur liste d’adresses email auprès du système e-MPS ; cela s’opère en ligne et ne nécessite que quelques heures seulement. La mise en place de cette liste est sévèrement attaquée par la communauté des militants anti-spam, notamment par les représentants de MAPS, Junkbusters Corp. et de CAUCE ; certains adhérents de la DMA ne sont guère plus solidaires des positions de leur organisation professionnelle. E-MPS suscite trois critiques principales : Ø Le principe de cette liste d’opt-out revient à faire reporter la charge de la défense aux utilisateurs sans une remise en cause du droit quasi universel que se sont arrogé les firmes de marketing ou de vente à distance à communiquer massivement par e-mail, en d’autres termes à pratiquer l’UCE ou l’UBE (Unsollicited Bulk Email). Cela fait dire à certains observateurs que l’approche de la DMA est finalement profondément hostile aux consommateurs ainsi qu’aux opérateurs technologiques de l’infrastructure de l’Internet. Cela explique certaines prises de position radicales de la part notamment de Nick Nicholas, responsable actuel de MAPS, qui prévient les utilisateurs de la liste e-MPS contre le risque qu’ils encourent de se retrouver un jour blacklistés dans la RBL. 31 Ø La DMA n’a pas souhaité rendre le système e-MPS accessible aux ISPs qui pourraient souhaiter exercer un opt-out global pour l’ensemble de leur nom de domaine et de leurs abonnés. La DMA a adopté cette attitude en défendant l’idée que le système fonctionne sur la base de démarches d’opt-out individuelles. De plus, dans l’esprit de la DMA, les ISPs n’ont pas besoin de l’e-MPS au prétexte qu’ils disposent déjà d’outils de détection et filtrage des flux d’UCE. Ø Plus globalement cette initiative de la DMA révèle une mauvaise volonté de la DMA à avancer dans la réflexion sur le permission marketing. Les dirigeants et les adhérents de la DMA manifestent un certain embarras sinon des contradictions par rapport à cette question ; tantôt la DMA avance dans l’idée qu’elle soutient les pratiques d’opt-in marketing, tantôt ses dirigeants prennent des positions publiques pour le moins réservées ; ainsi dernièrement, lors de sa conférence annuelle, Robert Wientzen, Président et CEO de la DMA, faisait une déclaration pour le moins ambiguë : « A relatively new Internet-related issue that impacts our industry and its image is unsolicited commercial e-mail. Well, let me begin by recognizing that bulk unsolicited commercial e-mail is not real popular with consumers. And to date, very few of you are employing it. However, we also feel that most of those who push for an opt-in-only regime have very little understanding of the incredibly negative impact it would have on the future use of email as a marketing tool. So in the end, we cannot let the unsavory, dubiously employed bulk e-mail out there destroy the opportunities of targeted, sophisticated, responsibly used commercial email, which, without doubt, holds promise as a powerful marketing tool. So, the DMA is endeavoring to do just that: preserve unsolicited commercial e-mail as a business communications tool, while also supporting the development of various permission marketing models » (24). 24) H. Robert Wientzen : The DMA 82nd Annual Conference & Exhibition, Toronto - Monday, October 25, 1999 33 Chapitre II : Offre de services et pratiques du e-mail marketing Les changements technologiques et structurels dans nos sociétés sont nécessairement diachroniques ; cela veut dire que, pour le cas de l’activité de prospection commerciale sur l’Internet, le terrain reste occupé par deux séries d’acteurs : ceux qui continuent encore aujourd’hui à pratiquer le spamming avec tous les outils à leur disposition et les risques juridiques et financiers qu’ils encourent ainsi qu’on va le voir dans la première partie de ce chapitre ; et ceux qui tout en les combattant développent une activité professionnelle nettement décalée et qui semblent faire leur les thèses du permission-based-marketing. On analyse successivement ce que représentent ces sociétés sur le marché, leur modèle de croissance, leur offre de produit et de services et leurs modalités de commercialisation, leur technologie. On présente également une discussion sur les enjeux de l’opt-in et de la protection des données personnelles. II.1) - Situation du spamming : technologie, services et pratiques risquées II.1.1) - Le spamware Les spammeurs utilisent deux grandes catégories d’outils : ceux qui leur permettent de récolter les adresses e-mail (harvesting) et les outils de push qui assurent la diffusion en masse des messages commerciaux. Ces logiciels sont regroupés dans une catégorie de progiciels qui porte le nom de spamwares. Ø Les outils de harvesting Il n’y a guère que quelques progiciels de harvesting sur le marché : On Target 98, Post News 2000, et Atomic Harvester 2000. Tous ces produits fonctionnent aussi bien sur le Web que dans les newsgroups. Atomic Harvester 2000 est sans conteste le produit phare, sans que l’on puisse vraiment parler de standard sur ce marché naissant et pour le moins menacé ; son prix de $ 179 est très attractif ; il est parfois offert lorsqu’il est associé en « bundle » avec le produit de diffusion Desktop Server 2000. Il faut également 34 mentionner le logiciel Email Marketing 98, un « système intégré » en quelque sorte, qui permet l’extraction des adresses électroniques dans les newsgroups (collecte des adresses en filtrant l’extraction par des mots-clés, les prénoms ou les noms) et de gestion de mailing pour des listes sollicitées. Le principal argumentaire en faveur de la collecte directe d’adresses e-mail plutôt que l’achat de listes, est que ces dernières comportent beaucoup de données fausses et que les adresses valides sont composées d’internautes usés par une multitude de campagnes recourant toujours aux mêmes listes. Les caractéristiques de ces logiciels sont tout d’abord une relative simplicité d’utilisation. Ils fonctionnent sur le principe d’une navigation automatisée sur des sites Web ainsi que sur les espaces publics de Usenet en utilisant, soit une liste d’URLs spécifiées à l’avance, soit des mots-clés soumis à des moteurs de recherche qui vont permettre de constituer une liste d’URLs pertinentes. Le logiciel opère ensuite une collecte systématique de toutes les adresses e-mail trouvées sur les pages de ces sites ou dans les forums. Prenons l’exemple d’un revendeur de matériel d’équipement de golf qui voudrait se constituer un fichier d’adresses e-mail de prospects : il devra utiliser pour cela une liste de mots clés tels que : « golf, golfers, putting, tee time, golf balls, 9 iron, club house, etc. » qui lui permettront d’atteindre toutes les URLs référencées sous ces termes et d’aspirer alors les adresses qui s’y trouvent. Afin d’accélérer le processus, Atomic Harvester 2000 permet de se connecter sur 15 sites à la fois et de mener les opérations de collecte en parallèle. Ces logiciels peuvent être paramétrés de telle manière à éviter des TLDs sensibles (.mil ou .gov, par exemple) ou a priori non appropriés à la campagne de spamming ; il est également possible de contourner certaines URLs en fonction de motsclés prédéfinis. Enfin ces logiciels savent en principe éviter les pages qui contiennent des « spam traps », mais aucun éditeur ne livre vraiment d’informations précises quant à l’efficacité de cette fonctionnalité, un spam trap pouvant être une adresse e-mail anodine derrière laquelle se cache un administrateur de site ou d’ISP ; de plus ces logiciels ont chacun une signature spécifique, en réalité masquée derrière celle d’un browser, mais que les sites et les fournisseurs de service les plus convoités savent détecter. Les outils de e-mail harvesting comportent enfin des fonctionnalités de dédoublonnage, d’extraction (souvent manuelle) et de sauvegarde des adresses ainsi collectées. 35 Ø Les outils de push Les outils de push sont des moteurs qui permettent de réaliser les envois de masses sans passer par un serveur de mail spécifique ou propre à un ISP. Les produits que l’on trouve couramment sur le marché comme Desktop Server 2000 ou Stealth MassMailer v.3.2, permettent à l’ordinateur sur lequel ils sont installés de se comporter comme un véritable serveur de mails, sans courir le risque en principe de se voir reprocher de saturer la bande passante de l’ISP chez qui l’utilisateur est abonné. Ces moteurs sont dans l’ensemble assez simples d’utilisation, rapides, proposant des fonctionnalités de reporting, permettant de passer outre les filtres mis en place par les fournisseurs d’accès. Stealth MassMailer est un produit complet proposé en promotion à $ 200 (contre un prix tarif de $ 399). Dans l’ensemble ces logiciels sont difficilement disponibles en boutique et s’achètent exclusivement auprès de distributeurs en ligne comme par exemple Bulk Email Software Superstore. Stealth MassMailer présente une capacité d’émission de messages surprenante, soit plus de 250.000 messages à l’heure (avec un modem à 28.8K), sachant que cette performance ne peut être atteinte qu’en utilisant les ressources du réseau d’un ISP ; les capacités d’envoi sur une connexion standard sont de l’ordre de 5.000 messages à l’heure. Utilisé par une petite société qui souhaite conserver l’anonymat et empêcher toute traçabilité de l’origine de ses messages, le logiciel ne nécessite pas de compte de messagerie valide (pop). Une fonctionnalité permet de personnaliser les messages (« Cher John ….») afin d’augmenter le taux de réponses positives (25). Stealth MassMailer permet également une génération aléatoire du champ « From :…. » ainsi que la falsification du username et du nom de domaine durant l’émission des messages (il s’agit d’une option) ; cette falsification se retrouve jusque sur l’en-tête du message reçu qui peut également comporter le nom d’un faux émetteur ; il est possible aussi d’ajouter de fausses informations dans les champs « Received from : », « Received by : », « Date stamp and recipient » de l’en-tête. Stealth MassMailer revendique une capacité à « casser » les filtres anti-bulk-mail, notamment en supprimant l’en-tête des messages adressés aux abonnés d’AOL, population cible particulièrement convoitée par les spammeurs. Tous les logiciels de push comportent enfin des fonctionnalités de suivi des opérations (progression, statut, fichier de logs des erreurs, etc.). 25) Cette fonctionnalité est activable à condition de pouvoir exploiter les adresses de type pré[email protected]. L’extraction de ce type d’adresses est d’ailleurs proposée par les logiciels de harvesting. 36 Il est assez paradoxal que l’on puisse trouver ouvertement sur le marché de tels produits, commercialisés par des distributeurs apparemment officiels, sachant qu’une partie de leurs fonctionnalités correspond à des modalités de détournement de trafic sur Internet désormais interdites dans un nombre croissant d’états américains. Il n’est d’ailleurs pas très aisé de se procurer des informations sur les fonctionnalités détaillées de ces produits, les éditeurs ou les distributeurs préférant offrir un service de téléchargement de l’application associé à un paiement en ligne par carte de crédit ; serait-ce le signe d’une entrée en clandestinité ? Afin de satisfaire à leurs obligations de conseil, ces sociétés prennent tout de même la précaution d’informer leurs clients sur les restrictions à l’égard du spam dans des rubriques spécifiques (Is it legal ? The Bulk e-mail Survival Guide, etc.) ; ces pages font ressortir de façon criante l’illégalité des fonctionnalités proposées par ces moteurs. II.1.2) - Conseils & prestations ou le spamming version « small business » L’offre de services en matière de bulk e-mail se présente schématiquement en deux grandes catégories de prestations : l’hébergement de campagne, c’est ce que l’on pourrait appeler le host-spamming et le courtage de fichiers d’adresses e-mail. On trouve côte à côte dans le small business du e-mail marketing, des professionnels du spamming et pas mal d’offres qui émanent manifestement d’amateurs ou d’opportunistes qui tentent sur le Web de commercialiser leur mauvaise idée. Ø Le host-spamming Il s’agit là de sociétés qui offrent une prestation complète d’hébergement de campagnes de spamming : plusieurs petites affaires en font ouvertement profession sur le net : on peut citer le cas de Web Studios qui facture $ 5 le 1000 pour un mailing et $ 20 le 1000 si le client veut en plus disposer des adresses ou encore Promailing ($ 3 le 1000 pour 50 000 messages et dégressivement au-delà). Certains se font la spécialité d’offrir un service « à l’épreuve des balles », c’est à dire capable d’échapper en principe aux actions répressives des ISPs ; Marketing Masters occupe ce créneau ; le service proposé se nomme Bullet Proof Web Space ; il consiste en un hébergement de campagne sur un site dédié permettant ainsi de minimiser les phénomènes de plaintes ; le tarif est de $ 200 pour la mise en service et $ 200 par mois d’hébergement. Elite Web Hosting offre la même prestation pour $ 1 500/mois. La société affiche un certain niveau de déontologie amenant ses clients à respecter un code de bonne conduite : « Nos Bulk Laws 37 (...) clarifient ce que nos membres pourront et ne pourront pas faire en matière de marketing direct et leur permettront de vérifier que tout e-mail de marketing direct ciblé non sollicité qu’ils émettent est justifié commercialement et conforme aux dispositions légales. Nous soutenons activement à présent les considérations éthiques de la loi anti-spam du Sénateur Murkowski et bien entendu la cause du CAUCE pour libérer l’Internet de la fraude ». L’invocation d’une “No Spam Policy” de la part d’un prestataire de cette catégorie n’est pas très fréquente ; la réalité est probablement que des professionnels responsables commencent à prendre la mesure de la réduction de leurs marges de manœuvre et cherchent à contourner les risques de l’illégalité. Cet exercice n’est pas toujours dénué d’ambiguïtés. Certains de ces prestataires ne peuvent pas être accusés non plus de faillir à leur obligation de conseil ; plusieurs d’entre eux alertent explicitement leurs clients sur les risques d’opérations mal montées ; ces avertissements servent à la fois à dégager leurs responsabilités et à promouvoir l’assistance d’un professionnel : ainsi par exemple, Rod Truit, créateur du service Rod’s Networking Services tente de tempérer les ardeurs irréalistes de ses clients « (…) qui s’imaginent que tous ceux qui recevront un e-mail de promotion de leur obscur produit voudront l’acheter » ; il les met en garde en indiquant qu’ « (...) il n’y a pas de logiciels de Bulk Email qui puisse cacher complètement votre identité ou votre utilisation à travers votre ISP. Nous ne pourrons pas être tenus pour responsable de la fermeture de votre compte. Nous recommandons à tous ceux qui veulent faire du Bulk Email d’utiliser les services d’un professionnel ». Dans le même esprit Net Achievers développe les recommandations suivantes à l’attention des aspirants spammeurs : « Lorsque vous faites un envoi en nombre renseignez avec des adresses électroniques valides les champs “from” et “reply to”, sinon l’envoi en nombre sera bloqué. Pour un envoi en nombre, le texte de votre courrier commercial doit rester très court. Donnez toujours aux destinataires un moyen d’être retirés de votre liste. N’indiquez jamais l’adresse de votre site Web dans le texte de votre envoi en nombre. Ne communiquez votre URL qu’après que les gens aient manifesté de l’intérêt et demandé plus d’information. Lorsque vous envoyez du courrier à vos prospects en utilisant votre logiciel de mailing, assurez-vous d’avoir prêté attention aux réglementations locales, de l’état ou fédérales, qui régissent l’envoi en nombre. L’Internet est un espace qui change constamment et de nombreuses forces sont à l’œuvre pour changer, réglementer et restreindre nos droits sur l’Internet. » 38 Pour Door Net : « le meilleur conseil, c’est qu’une entreprise spécialisée dans l’envoi en nombre, le fasse pour vous. De cette façon vous n’aurez pas à vous soucier de ce que quelqu’un se plaigne de vous auprès de votre ISP. » Ø Les brokers de listes d’adresses e-mail Il existe de nombreuses listes d’adresses e-mail disponibles à la vente en gros sur Internet ; plusieurs sociétés Bulkbarndotcom, Web-Promoters et Bulkers.net proposent en réalité la même offre de services : " Une offre de “Membership” comprenant trois formules d’abonnement à des listes d’adresses. 1ère formule : 300 000 adresses par semaine pour $ 19,95 par mois ; 2ème formule : 500 000 adresses par semaine pour $ 29,95 par mois, 3ème formule : 1 000 000 d’adresses par semaine pour $ 39,95 par mois. A titre de comparaison, Bizzmaker propose 300 000 adresses par semaine pour $ 13.95 par mois, 500 000 adresses par semaine pour $ 22.95 par mois et 1 000 000 d’adresses par semaine pour $ 36.95.) " de l’achat en ligne d’adresses immédiatement téléchargeables : de $ 19,95 pour 300 000 à $ 49,95 pour 1 000 000 d’adresses Internet (sans précision) et pour les adresses AOL de $ 19,95 pour 300 000 adresses à $99,95 pour 4 000 000. En réaction aux empêcheurs de spammer en rond, « (…) bombers, blasters, flamers and just plain old complainers », la société californienne ListGuy a orienté son offre en direction de trois types de listes permettant de continuer à travailler dans un environnement répressif : des opt-in lists, des listes de professionnels en tout genre qui sont à leur compte et cherchent des opportunités commerciales (“harvested business owners and opportunity seekers”), et enfin des “Remove lists” permettant aux clients de nettoyer leurs fichiers de prospects. Dans l’offre de Listguy.com, se trouve un CD-ROM qui contient 11 millions d’adresses “fraîches”, “vérifiées” et “filtrées”, c’est à dire nettoyées des adresses des importuns que sont les anti-spam notoires et de ceux qui ont demandé à être retirés des listes, ainsi que des domaines .gov, .mil et .edu. DB Networks, Door Net, Elite Webhosting proposent également des formules d’abonnement aux mises à jour des Remove Lists. Tous les prestataires présents dans cette activité ne montrent pas le même souci d’hygiène ; les multiples propositions de listes d’adresses e-mail amènent immanquablement à se poser la question de la qualité des adresses elles-mêmes, de leur validité, sans 39 parler du degré de permission réel avec lequel elles ont été recueillies. Les targeted-lists sont présentées la plupart du temps de manière assez vague ; les critères de sélection les plus courants sont le pays, l’état, la ville de résidence, le sexe, les centres d’intérêts, la profession et le domaine d’activité. Les centres d’intérêts se décomposent en une cinquantaine de segments courants qui ne sont pas sans rappeler la structure des grands domaines sur Usenet : Critères courants de sélection des adresses e-mail par centres d’intérêt Adult Oriented Business - Advertising Business - Finance Business - General Business - Home Based Business - Industry Business - International Business - Internet Business - Marketing Business - MLM Business - Opportunity Computer Software Computer Software - Resellers Computer Software - Shareware Computer Software - Web Tools Computers Credit Cards e-Commerce Education e-marketing Entertainment Entrepreneurs E-Zines Food & Drink Games Gardening Health & Beauty Insurance Job Law Literature Miscellaneous Music OnLine Banking OnLine Auctions OnLine Shopping OnLine Stores & Malls Personal Programming Real Estate Religion Science & Technology Small Business - Home Business Social Sciences Software Development Sports & Fitness Travel Webmasters Website Owner - Business WWW Technology II.1.3) - Pratiques & risques du spamming aujourd’hui – Illustration Ainsi que cela ressort au cours du chapitre précédent, le spamming est une activité risquée aux Etats-Unis pour ceux qui continuent à s’y livrer sans retenue ; les spammeurs sont désavoués par la profession, ils courent un risque de dégradation d’image évident auprès du public, qui se double aujourd’hui, ainsi qu’on va le voir à travers les deux cas examinés ci-dessous, d’un risque juridique et financier extrêmement sérieux. Au point qu’on peut se demander si les spammeurs ne sont pas quelque peu sous-informés, à moins qu’il ne s’agisse d’aventuriers inconscients et sans scrupules. 40 L’affaire Benchmark Print Supply Cette affaire très récente illustre d’une manière peu ordinaire les évolutions des différents acteurs de l’Internet que l’on retrouve autour des campagnes de spamming, qu’ils en soient les auteurs ou les victimes. Benchmark Print Supply est une société installée à Atlanta (GA) et fondée par M Sam Khuri. Son activité principale consiste à commercialiser en ligne du toner pour imprimantes laser via un catalogue très complet adressé par e-mail. Les méthodes de marketing direct utilisées sont typiquement celles des spammeurs : fausse adresse e-mail d’émetteur, option de « remove list » inactive. Dès août 1998 Benchmark Print Supply a été identifié et blacklisté ; il subit alors les assauts répétés d’internautes en colère qui le dénoncent auprès de la FTC et qui organisent la saturation de ses différentes lignes téléphonique et de fax ; le harcèlement le poursuit jusqu’à son domicile puisque plusieurs listes publient son adresse et son n° de téléphone personnel (26). Sam Khuri fait la sourde oreille à ces récriminations, en faisant semblant de ne pas savoir de quoi il s’agit ; un témoin rapporte, dans un forum de discussion, qu’il aurait eu une conversation avec sa mère laquelle l’aurait gentiment prévenu que son fils était très nerveux, qu’il était armé et conduisait une Mercedes noire. Sam Khuri a la réputation d’être un spammeur plus tenace que la moyenne. Plusieurs actions judiciaires ont été engagées dans différents états par les fournisseurs d’accès victimes de ses agissements, une des plus récentes date d’octobre 1999 ; elle a été engagée par un portail de Mountain View (CA), Visto Corp. qui gère un portefeuille d’un million d’abonnés. Visto accuse Sam Khuri d’avoir spammé ses abonnés sous une fausse identité, porté un préjudice à sa réputation et saturé ses serveurs de mail (27). Le paradoxe, toutefois, est que la seule procédure qui ait vraiment abouti à un résultat concret à ce jour émane d’un ISP britannique, la société BiblioTech, qui a poursuivi ce spammeur jusque devant l’US District Court de Géorgie. Fondé en 1995 à Fulham, Londres, BiblioTech était initialement un cyber café qui a su profiter de l’extraordinaire développement du réseau pour devenir un vrai fournisseur d’accès qui connaît une forte croissance d’activité. Comme tout fournisseur d’accès important, il constitue la cible privilégiée des spammeurs très actifs en 1997 et 1998. Indépendamment des désagréments auprès de ses usagers, BiblioTech est confronté à des problèmes de gestion technique liés au volume vertigineux de spams reçus quotidien26) http://www.darron.net/benchmarkprintsupply/ http://www.pglwebsdesigns.com/bps.html 27) Carl S. Kaplan : « Company says Junk E-mailer stole its identity » - Cyber Law Journal – New York Times – November 19, 1999 41 nement : selon Chris Verdin, Directeur Financier de la société, BiblioTech serait confronté à des centaines de milliers de spams / heure (28). Si bien que BiblioTech s’est donné comme politique de traquer systématiquement les spammeurs et de les menacer de procès. En janvier 1999, BiblioTech a déjà engagé des poursuites judiciaires auprès de la justice américaine contre 5 spammeurs américains. A l’issue de ces actions, un accord a été trouvé avec 4 spammeurs qui ont accepté de stopper leurs activités. S’ils refusaient, BiblioTech leur demandait 2 millions de $ de dommages. Pour retrouver les spammeurs, BiblioTech embauche alors Sanford Wallace, déjà reconverti dans son métier de consultant antispam et fait appel au cabinet d’avocats d’Atlanta « Arnall Golden & Gregory » et c’est Pete WellBorn qui prend en charge le dossier contre Benchmark Print Supply. Ce cabinet a de nombreuses références dans ce type d’affaires puisque c’était lui qui avait défendu quelques années plus tôt les intérêts de Compuserve contre le même Sanford Wallace et Cyber Promotions que l’on retrouve ici de l’autre côté de la barre. En avril 1999, la proposition de Sam Khury en réponse à la mise en demeure de BiblioTech est rejetée. En effet, le spammeur s’engage à payer des dommages à BiblioTech, accepte de ne plus agir contre les abonnés de l’ISP mais refuse néanmoins de s’engager à ne plus continuer son activité en utilisant d’autres ISP. Cet engagement est insuffisant aux yeux de BiblioTech qui souhaite que le spammeur stoppe définitivement son activité sur l’Internet. Un accord sera finalement trouvé en mars 2000 à travers une transaction extra judiciaire qui a le grand intérêt de ne pas être que financière : Sam Khuri certes a payé des dommages à BiblioTech pour un montant qui n’a pas été révélé, il devra également prendre à sa charge les frais de justice ; mais surtout il devra inclure dans toutes ses futures campagnes, sans exception, une adresse de retour valide et proposer un vrai dispositif permettant la désinscription de sa liste. En cas de récidive, il devra payer $ 1000 pour chaque infraction individuelle constatée, quel que soit l’ISP victime de ses agissements et pas seulement la partie plaignante, à savoir BiblioTech dans le cas présent. Cette action, d’origine européenne, a finalement le grand mérite d’être animée par un esprit de solidarité professionnelle au sein de la communauté des ISPs et de participer à l'hygiène globale de l’Internet. L’affaire des Christian Brothers Les Christian Brothers sont un groupe implanté à New York dans le Queens qui commercialise sur Internet des extraits de graines 28) Tim Richardson : “UK anti-spam minnow takes on US big fish” - The Register – 20/04/99 http://www.theregister.co.uk/ 42 d’abricot, la Laetrile ou vitamine B17, censée constituer un traitement efficace contre le cancer. L’argumentation commerciale est développée dans un climat de conspiration et de persécution ; elle s’appuie sur des explications pseudo scientifiques agrémentées de nombreuses références à la Bible (Et Dieu dit : Voici, je vous donne toute herbe portant de la semence et qui est à la surface de toute la terre, et tout arbre ayant en lui du fruit d'arbre et portant de la semence : ce sera votre nourriture. - Genèse 1:29). La Laetrile s’avère être de l’amygdaline que l’on trouve à l’état naturel à l’intérieur des noyaux de plusieurs variétés de fruits. Le produit a été isolé dans la première moitié du XIXème siècle par deux chercheurs français. Pendant près de 50 ans diverses personnes ont tenté aux Etats-Unis de commercialiser la Laetrile à grande échelle, mais jamais aucune étude scientifique n’a prouvé son efficacité dans le traitement du cancer ; après quelques décès retentissants dans les années 70, notamment celui de l’acteur Steve Mc Queen traité à la Laetrile dans une clinique mexicaine par un dentiste du Texas interdit d’exercice, le produit a été finalement sévèrement condamné, décrédibilisé par une étude du National Cancer Institute et interdit à la vente ; il n’est plus distribué aujourd’hui que sur quelques sites Web, dont celui des Christian Brothers (heavenlyhealing.com, apricotsfromgod.com, canceranswer.com et eatseeds.com). L’enquête a établi que depuis 1997 les Christian Brothers se sont illégalement procuré des listes d’adresses e-mail de membres d’America On Line et leur ont envoyé plus de 20 millions de messages ; ces UCE contenaient des en-têtes frauduleuses laissant entendre que le message émanait d’aol.com ; ils affichaient des liens avec les sites Web où les graines d’abricots, livres et cassettes vidéo afférents étaient en vente. Après avoir reçu des milliers de plaintes de ses membres, AOL a adressé une lettre de sommation aux Christian Brothers en février 1998, sans que cela n’ait un quelconque effet sur le flot de spams qui a continué à inonder les boîtes-aux-lettres des usagers d’AOL. En décembre AOL a alors décidé de poursuivre les Christian Brothers et son représentant légal Jason Vale. Un premier jugement par défaut a été prononcé en juin 1999 contre les Christian Brothers établissant qu’AOL était en droit d’obtenir compensation pour enrichissement injuste, puisque les Christian Brothers ont illégalement utilisé la marque AOL et ont détourné leurs services qui autrement auraient été vendus à des annonceurs. Au cours d’une conversation téléphonique en janvier 2000, M Vale a expliqué froidement à l’avocat d’AOL que les Christian Brothers s’étaient dérobés à l’audience parce qu’ils ignoraient totalement l’action judiciaire en cours, ce qui serait la raison pour laquelle le groupe aurait continué à spammer le réseau d’AOL. Le fait curieux est que lorsque les conseillers d’AOL ont tenté de signifier le jugement par une remise en 43 main propre in situ d’une copie du jugement, Jason Vale l’aurait déchirée et jetée par la fenêtre. Une décision rendue par un juge du Southern District de New York est finalement intervenue fin décembre 1999 : elle établit une injonction permanente d’America Online contre les Christian Brothers, empêchant le groupe d’utiliser le réseau d’AOL et sa marque ; cette injonction est assortie de sanctions potentielles pour outrage et de dommages punitifs. De plus les Christian Brothers sont condamnés à une amende de plus de $ 600.000, se décomposant en $ 17.940 d’indemnité au titre de l’utilisation de ses ressources informatiques, $ 389.020 pour la perte de revenus publicitaires, $ 24.625 d’honoraires d’avocat et $ 200.000 en dommages et intérêts, pour avoir entravé le bon fonctionnement des serveurs de mail d’America Online Inc. par la transmission de millions de messages électroniques non sollicités : « The Defendants' transmission of unsolicited bulk e-mail to AOL has damaged, and, if unabated, will continue to damage, AOL's business, its goodwill, and its relationship with its members," a écrit le juge Pitman. "AOL's valuable trademark and service mark and associated goodwill are diluted and damaged by their wrongful association with junk e-mail and junk e-mailers like The Defendants. » (29) Ces deux cas sont symptomatiques de la situation tendancielle du spamming aujourd’hui aux Etats-Unis : des opérateurs peu scrupuleux, insensibles aux injonctions de la justice, « (…) fly-by-night operators who are essentially judgement proof », ainsi que le rapporte un avocat californien qui a défendu à cinq reprises des fournisseurs d’accès aux prises avec des spammeurs (30). Si bien que la formule consistant à les pénaliser par des dommages et intérêts importants, même si elle n’est pas satisfaisante sur le fond du point de vue du droit à la protection des données personnelles, n’en est pas moins efficace et pourrait à court terme éradiquer le phénomène. A côté de ces manifestations résiduelles rejetées par l’ensemble de la profession, le e-mail marketing se consolide sur un modèle beaucoup plus puissant aux plans financiers et technologiques où les questions de loyauté de collecte des données, de relation volontaire et permissive entre les annonceurs et leurs prospects deviennent centrales. Ces entreprises, la plupart des start-up, sont en train de construire le marketing sur Internet des prochaines années. Leur approche de la protection de la vie privée centrée sur des « opt-in e-mail lists » mérite un examen approfondi. 29) Bruce Balestier : « Big Fine for Spamming AOL Members » - New York Law Journal - December 14, 1999. 30) Carl S. Kaplan – op cit 44 II.2) - Analyse de l’activité des sociétés de permission email marketing – Produits et services Le secteur du e-mail marketing est caractéristique d’une activité émergente liée à la société de l’information et au développement du commerce électronique. Ce chapitre s’appuie plus particulièrement sur l’analyse de trois sociétés choisies pour leur (toute relative) antériorité sur le marché, entre 4 et 5 ans, pour la « surface » de leur activité et leur parc de clients prestigieux mais aussi pour leur engagement fort dans le permission marketing. On observe successivement ici leur situation économique et leur modèle de croissance, ainsi que leurs produits et services. Ces trois sociétés sont : - 24/7 Media : 24/7 Media emploie 470 personnes dans le monde. Elle annonce toucher la moitié des foyers américains équipés d’Internet ; l’entreprise exerce une double activité de régie publicitaire et de e-mail marketing. Son siège est situé à New York dans le quartier de la Silicon Alley ; elle est également en train de s’implanter en Europe. Sa capitalisation boursière atteint $ 430 millions. - MessageMedia : cette société actuellement de 375 personnes (mai 2000) est entièrement dédiée au e-messaging ; elle possède dans son portefeuille des clients tels que Cisco, AOL, Microsoft, Yahoo!, Geocities, CMP Media, Bertelsmann, etc. Son siège est à Boulder dans le Colorado. Le principal investisseur est SOFTBANK ; son implantation en Europe est adossée au groupe Vivendi via sa filiale @Viso. La capitalisation boursière de MessageMedia est de $ 271 millions. - NetCreations : il s’agit d’une entreprise plus petite d’une quarantaine de salariés. Elle travaille pour Dell Computer, Compaq, J. Crew, Ziff-Davis ou Business Week dont elle gère les newsletters. NetCreations possède une base de données de 6 millions d’adresses e-mail (opt-in). Elle est implantée également à New York dans le quartier de West Broadway. Sa valeur sur le Nasdaq est de $ 418 millions. II.2.1) - Données générales sur les prestataires de e-mail marketing Le secteur du e-mail marketing aux Etats-Unis est aujourd’hui structuré autour de différentes activités sur lesquelles environ 50 prestataires de services majeurs se sont plus ou moins spécialisés. A première vue toutes ces entreprises se ressemblent fort ; elles partagent les mêmes valeurs sur le plan professionnel, beaucoup sont cotées au 45 Nasdaq, elles défendent toutes les principes du permission based marketing et de l’opt-in e-mail. En observant de plus près leurs activités, pas une ne se ressemble vraiment ; chaque entreprise, par le jeu de ses opérations de croissance externe, incorpore chaque fois des compétences spécifiques, des clientèles nouvelles et se renforce sur tel ou tel segment professionnel. Schématiquement on peut néanmoins distinguer six activités dominantes : des sociétés centrées sur le métier du marketing direct par email ; par définition les entreprises appartenant à cette catégorie sont toutes des start-up de l’Internet : c’est le modèle de NetCreations Inc., YesMail.com, de BulletMail, de Axciom et de 24/7 Media pour une partie de son activité, comme on va le voir plus loin. des sociétés de marketing incitatif (incentive marketing) qui organisent sur Internet des programmes d’accumulation de points en échange de la participation des usagers inscrits à de la navigation sur des sites, à des jeux, à des concours, et bien entendu à la fourniture de données personnelles pour une exposition à de la communication commerciale ciblée et acceptée. YoyoDyne Entertainment créée par Seth Godin et aujourd’hui incorporée à l’offre Yahoo! appartient typiquement à cette famille, mais aussi MyPoints, Netcentives, Beenz, CyberGold, ClickRewards, Freeride. Des services d’outsourcing de e-mail permission marketing tels que ceux assurés par Exactis.com Inc., une filiale de 24/7 Media et de MessageMedia. Des portails comme XOOM.com, Inc. (www.xoom.com), filiale de la division interactive de la chaîne de télévision NBC (NBCI – NBC Internet), qui gère son propre fichier de 7,5 millions d’abonnés régulièrement sollicités par e-mail pour des offres de commerce en ligne ciblées en fonction de leurs besoins et de leurs centres d’intérêt. Des régies publicitaires, telles que DoubleClick ou Flycast qui parallèlement à leur activité de gestion de campagnes de publicité sur le Web développent désormais une offre de e-mail marketing. Depuis sa fusion avec la firme Abacus, dans le cadre d’un échange d’actions d’une valeur de $ 1 milliard, DoubleClick a en effet lancé deux nouveaux services, DARTmail Publishers et DARTmail Prospects, qui s’appuient sur des listes qualifiées d’adresses d’opt-in e-mail. Des sociétés de mailing traditionnel utilisant les services postaux qui tirent leurs compétences dans le courtage (achat - vente) 46 de listes d’adresses et qui ont élargi leur activité au e-mail marketing. On trouve notamment dans cette catégorie les sociétés Direct Media (filiale de Acxiom) et American List Counsel (ALC). Ces sociétés sont adossées à des groupes puissants et possédant une grande antériorité dans les bases de données marketing ; elles possèdent également leurs propres listes d’adresses qualifiées (40.000 listes et 7 millions d’adresses e-mail pour Direct Media – 110 millions de foyers répertoriés dans les listes d’ALC). Le secteur du e-mail marketing est probablement appelé à se développer ; il est possible notamment qu’il soit peu à peu investi par des grandes sociétés telles qu’IBM, Microsoft, Netscape Communications, ATT ou Hewlett-Packard, toutes gérant des fichiers importants de clients et de prospects et pouvant mobiliser rapidement les ressources nécessaires dans toutes les technologies informatiques de pointe : en ingénierie des bases de données et datamining, dans le workflow et l’e-CRM (Electronic Customer Relationship Management). Le groupe d’édition informatique IDG ne vient-il pas de lancer son propre système (IDG List Services) ? Experian, le groupe spécialisé à l’origine dans le credit reporting (TRW), n’a-t-il pas racheté Metromail en 1998 ? On doit également envisager le développement de l’offre de email marketing de la part des ISPs qui chercheront à saisir, à travers l’ouverture de portails, les opportunités de valorisation de leurs fichiers d’abonnés. Déjà les grands portails, comme Yahoo!, AltaVista, Excite ou NetZero opèrent des services d’opt-in e-mail, souvent outsourcés pour l’instant auprès des prestataires spécialisés. Rosalind Resnick, CEO de NetCreations, déclare qu’un portail gagne environ $ 4 par abonné et par an ; soit un revenu additionnel très appréciable sur des populations de 400.000 noms comme chez NetZero (31). II.2.2) - Données économiques et modèle de croissance des entreprises de e-mail marketing Ainsi qu’on va le voir à travers les 3 cas étudiés plus en détail de 24/7 Media, Message Media et NetCreations, les entreprises de e-mail marketing présentent toutes les caractéristiques des entreprises de la net-économie : activité en plein développement, forte capitalisation, déficit de rentabilité. La plupart adoptent un modèle de croissance externe par rachat de sociétés du même secteur. Situation économique de trois entreprises de e-mail marketing 24/7 Media Inc. affiche des taux de croissance d’activité spectaculaires (+ 331% de croissance des ventes entre 1998 et 1999) 31) Stefani Eads : « From $1,000 to An IPO in Only Four Years - New York entrepreneur Rosalind Resnick finds riches in E-mail direct marketing » – Business Week - August 5, 1999 New York 47 mais, ainsi que le fait ressortir le tableau ci-dessous, des résultats encore très incertains avec $ 43 millions de pertes d’exploitation en 1999. Evolution des résultats de 24/7 Media Inc. (sources : SEC – 10-K 24-03-2000) (en US $) 1999 1998 1997 Ventes : - Network - Email - Consulting and license fees Total des ventes 81,158,000 8,853,000 90,011,000 19,744,000 1,003,000 119,000 20,866,000 1,467,000 69,000 1,681,000 3,217,000 Achats : - Network - Email Total des achats 61,000,000 4,963,000 65,963,000 15,970,000 179,000 16,149,000 1,655,000 14,000 1,669,000 Marge brute 24,048,000 4,717,000 1,548,000 23,396,000 26,730,000 1,891,000 - 8,235,000 9,396,000 2,097,000 - 1,857,000 3,258,000 1,603,000 757,000 232,00 15,097,000 67,114,000 5,000,000 5,722,000 30,450,000 7,707,000 Coûts d’exploitation : - Sales and marketing - General and administrative - Product development - Write-off of property and equipment - Legal costs in connection with claim - Write-off of acquired in-process technology - Amortization of goodwill Total des coûts d’exploitation Perte d’exploitation (43,066,000) (25,733,000) (6,159,000) La structure des ventes montre que l’activité de e-mail marketing contribue encore pour une faible part dans le chiffre d’affaires de l’entreprise : avec $ 8,85 millions en 1999 elle représente à peine 10% du total ; cependant le taux de croissance est très élevé puisqu’il atteint 783% par rapport à 1998, marquant ainsi un démarrage soutenu de cette activité. 24/7 Media Inc. entend s’affirmer encore plus sur ce marché et ses dirigeants prévoient que la part du e-mail marketing pourrait atteindre 17% du chiffre d’affaires réalisé sur l’année 2000. Ce tableau fait également ressortir que la marge brute globale de l’entreprise qui était de 21,6% par rapport aux ventes en 1999, atteint près de 44% sur le e-mail marketing, ce qui signifie qu’on est en présence d’une activité qui présente un potentiel de forte rentabilité. MessageMedia a connu pour sa part l’année dernière une croissance de plus de 600% ; la société commence à commercialiser, sur le marché américain exclusivement pour l’instant, des logiciels de e-mail marketing qui contribuent à hauteur de 10% de son chiffre d’affaires. Avec un peu plus de $ 52 millions de coûts 48 d’exploitation pour $ 10 millions de ventes et $ 5 millions de marge brute, MessageMedia est encore loin de la rentabilité et accuse un déficit d’exploitation cumulé de $ 90 millions. Evolution des résultats de MessageMedia Inc. (sources : SEC – 10-K 20-03-2000) (en US $) Ventes - e-messaging - software licenses - First Virtual Internet Payment System Total des ventes 1999 1998 1997 9,001,161 1,020,383 424,564 - 1,450,598 - 10,021,544 863,226 1,287,790 1,450,598 Achats 4,589,358 97,553 270,416 Marge brute 5,432,186 1,190,237 1,180,182 9,704,452 1,934,486 5,424,110 4,935,931 7,677,527 1,025,000 6,687,177 4,377,688 1,097,716 17,586,691 (16,406,509) Coûts d’exploitation : - Marketing and sales - Research, development and engineering - General and administrative - Restructuring expenses - Write-off of in-process technology - Depreciation and amortization Total des coûts d’exploitation 28,923,515 52,266,425 4,828,277 3,810,073 812,166 1,300,000 2,470,917 15,155,919 Perte d’exploitation (46,834,239) (13,965,682) NetCreations a connu également une croissance très forte en 1999 avec des ventes en augmentation de plus de 500%. En valeur absolue le chiffre d’affaires de NetCreations est deux fois supérieur à celui de MessageMedia ; comme on est en présence d’une société plus petite, aux frais d’exploitation par conséquent moindres, NetCreations est la seule entreprise de cet échantillon à afficher une situation de rentabilité. Comme dans les deux cas précédents, ces entreprises ont un poste achat important ; ce poste correspond, ainsi qu’on va le voir ci-après, à la rémunération des sites Web sur lesquels les adresses e-mail ont été collectées. 49 Evolution des résultats de NetCreations Inc. (sources : SEC – 10-K 20-03-2000) (en US $) 1999 1998 1997 Ventes 20,658,223 3,446,539 1,100,781 Achats 10,464,359 1,509,776 173,124 Marge brute 10,193,864 1,936,763 927,657 2,088,100 492,004 289,904 694,311 1,914,608 195,362 4,892,381 373,746 365,343 23,414 1,254,507 193,554 151,221 9,515 644,194 5,301,483 682,256 283,463 Coûts d’exploitation : - Marketing and sales - Technology, support and development - General and administrative - Depreciation and amortization Total des coûts d’exploitation Résultats d’exploitation Le modèle de croissance externe Les sociétés de e-mail marketing ont chacune leur propre histoire. Celle de NetCreations est typiquement celle d’une start-up : l’entreprise a été créée il y a 5 ans par Rosalind Resnick une journaliste du Miami Herald et Ryan Scott Druckenmiller, un informaticien, qui en sont aujourd’hui les deux principaux dirigeants. A l’origine NetCreations était une agence de conception de site Web, quand elle saisit l’opportunité du marché pour se lancer dans le e-mail marketing ; en 4 ans l’entreprise est passée d’une idée à une introduction en bourse ; le déclic s’est produit quand en novembre 96 le groupe de presse informatique Ziff-Davis demanda à NetCreations de louer une liste de 15.000 adresses e-mail de webmasters qui s’étaient inscrits sur leur site pour recevoir des informations sur des outils d’administration de site Web. Cette campagne fut un succès et Ziff-Davis est resté depuis un client indéfectible de NetCreations. En 1997, après le développement sous la Direction de S.R. Druckenmiller, d’un système automatisé d’enregistrement d’opt-in, PostMasterDirect, NetCreations achevait sa métamorphose et entrait complètement sur le marché du email marketing avec deux cibles : les sites Web qui cherchent à créer leur propre service de opt-in e-mail et les loueurs de listes d’adresses. 24/7 Media est né d’un regroupement en décembre 1997 de deux sociétés de marketing interactif, Petry Interactive et Katz Millennium Marketing. La société témoigne résolument d’une stratégie de croissance externe, c’est à dire que l’entreprise procède sur ses deux marchés de la vente d’espace publicitaire sur Internet 50 comme sur celui du e-mail marketing à des rachats d’entreprises concurrentes et à l’incorporation de leur technologie, de leur portefeuille de clients (annonceurs et sites supports) et de leur liste d’adresses e-mail. C’est ainsi qu’au cours des 15 derniers mois, dans le seul domaine du e-mail marketing, 24/7 Media a procédé à des achats ou à des fusions avec trois entreprises pour un total de plus de $ 560 millions ; la première de ces opérations, avec SIFT Inc. a d’ailleurs été décisive pour l’avancée de 24/7 Media sur le marché du e-mail marketing : Fusions/Acquisitions opérées par 24/7 Media Inc. Entreprises SIFT Inc. Date Mars 1999 Modalités Achat « stock for stock » ($ 22 millions) SIFT devient une filiale à 100% de 24/7 Media Inc. et continue à opérer sous sa propre raison sociale. Siège : Sunnyvale (CA) Activité E-mail marketing : gestion et location d’une liste de 3 millions adresses e-mail (opt-in) Principaux clients : Cahner’s business Information, Cisco Systems, Dell Computer, Dun & Bradstreet, Experian, Hearst Books/Business Publishing, Intel, Netscape Communications, Oracle, RealNetworks, Scholastic Acquisition de la technologie de CRM ConsumerNet Août 1999 E-mail marketing : gestion et courtage d’une base de données de plus de 3 millions d’adresses e-mail (opt-in) Achat ($ 52 millions) 125 sites Web clients de ConsumerNet et membres Fusion intégrale dans 24/7 de la ConsumerNet Alliance (dont : Fox Interactive, Mail GameSpot, Columbia TriStar, BMG, RCA) Acquisition de la technologie de gestion de base de données et de modélisation des comportements d’achat Février 2000 – Effectif en juin 2000 Permission e-mail marketing et prestations de outsourcing – Distribution de newsletters (2 millions d’abonnés à une lettre quotidienne – Infobeat - de Sony Music) et bulletins d’information 75 clients dans le secteur des médias, du ecommerce et des services financiers Technologie propriétaire avancée Exactis.com Transaction « stock for stock » ($ 490 millions) On a même parlé à un instant d’une fusion avec DoubleClick ; les pourparlers existent bel et bien mais rien de très concret pour l’instant n’émerge. La particularité de la nouvelle économie par rapport à l’ancienne est qu’on parle beaucoup, alors que les questions de fusion étaient traditionnellement très secrètes jusqu’au dernier moment. MessageMedia présente un profil sensiblement équivalent ; La société a été constituée en 1994 dans le but de développer un 51 système de paiement sur Internet (FVIPS : First Virtual Internet Payment System). Elle s’est tournée, à la faveur d’une prise de participation majoritaire du groupe financier SOFTBANK dans son capital, vers le e-messaging au cours du 2ème semestre 1998 ; cette opération s’est concrétisée avec l’acquisition de deux sociétés spécialisées dans cette activité, Email Publishing, Inc (Epub) pour un montant de $ 20 millions et Distributed Bits L.L.C. (Dbits) pour un montant de $ 5,5 millions. En août 1999 deux nouvelles sociétés ont été rachetées, Revnet Systems Inc. ($ 41 millions) et Decisive Technology Corporation ($ 39 millions). Le modèle de croissance à l’exportation Les sociétés de e-mail marketing n’ont pas l’intention de rester repliées sur le marché intérieur américain. Elles développent toutes des plans d’expansion mondiale, particulièrement en Europe où on dénombre actuellement 153 millions de boîtes-aux-lettres électroniques. En outre le commerce électronique en Europe est appelé à représenter quelque 36 milliards d’euros en 2000 et atteindre 6,3% du total des échanges en 2004 selon Forrester Research. MessageMedia a créé en octobre 1999 une joint venture avec la société @viso, un incubateur détenu à parts égales par SOFTBANK et le groupe Vivendi, afin d’implanter sa filiale européenne. Son siège est situé à Paris, mais déjà la société a ouvert des bureaux régionaux à Düsseldorf et à Stockholm, tandis que son centre d’opération technique et des équipes de Recherche & Développement ont été installés en Suisse. D’autres bureaux doivent ouvrir prochainement à Munich, Madrid, Amsterdam et Milan. Les effectifs européens devraient atteindre 100 collaborateurs d’ici la fin de l’année. Des lettres d’intention viennent également d’être signées avec eVentures UK et eVentures Holdings Pty Ltd en Australie afin de créer deux filiales nationales de l’entreprise dans ces deux pays. L’implantation à Sydney doit permettre à MessageMedia de développer son activité dans toute la région AsiePacifique. 24/7 Media développe son activité publicitaire et de e-mail marketing dans 27 pays du monde dont 11 états de l’Union européenne (Allemagne, Belgique, Danemark, Espagne, Finlande, France, Italie, Pays-Bas, Portugal, Royaume-Uni et Suède). Cette croissance sur les marchés à l’exportation s’appuie sur des opérations de rachat de sociétés existantes ; c’est ainsi que 24/7 Media Europe a été constituée en janvier 1999 à partir d’une prise de participation majoritaire au sein de InterAd Holdings Ltd ; de même l’implantation au Canada s’est appuyée sur le rachat de la société Clickthrough Interactive et l’activité en Asie sur des accords de 52 coopération avec les forces de vente de la société Chinadotcom. Le siège de l’activité européenne de 24/7 Mail est basé à Londres ; l’objectif est d’offrir aux annonceurs européens et aux brokers de listes d’adresses l’ensemble des services de « permission based e-mail marketing » ainsi que d’étendre la bases de données d’adresses e-mail en collectant des inscriptions volontaires auprès des internautes européens. II.2.3) - Les huit familles de services de l’opt-in e-mail marketing Les sociétés de opt-in e-mail marketing présentes sur le marché américain offrent dans l’ensemble un spectre d’activité assez large avec des points forts qui peuvent varier en fonction de leur origine et des technologies qu’elles maîtrisent ; on recense pas moins de huit familles de services distinctes et le schéma ci-après communiqué par MessageMedia permet d’en comprendre l’enchaînement dynamique : Acquisition de données personnelles en relation avec des sites Web client, c’est à dire des sites support. Cela fonctionne un peu sur le même principe que les sites Web sur lesquels les opérateurs publicitaires sur Internet, typiquement DoubleClick, placent des bannières publicitaires. En d’autres termes, il s’agit de se constituer un réseau de sites à fort trafic sur lesquels la société de emarketing place des formulaires d’opt-in plus ou moins détaillés permettant ainsi de collecter de manière volontaire et déclarative des informations personnelles sur les visiteurs ; ces informations collectées permettent ainsi d’élaborer des listes commercialisables. La prestation à ce niveau peut aussi avoir pour finalité de convertir une liste d’e-mail existante détenue par l’annonceur en une liste de « permission profiles ». Administration et gestion de bases de données coopératives et éventuellement gestion en Facilities Management des bases de données des clients. Il s’agit d’une activité informatique d’exploitation de base d’informations et dans le cas présent d’hygiène des données : gestion des mises à jour, déduplication et éventuellement matching avec des listes Robinson, synchronisation avec une base de données maître, etc. Courtage de base de données à partir de critères sociodémographiques habituels (âge / sexe / revenus / localisation géographique / centre d’intérêts, etc.). Il s’agit d’opérations de location de listes d’opt-in e-mail à des annonceurs ou à des intermédiaires ; il peut s’agir de la liste d’adresses e-mail gérée par la société ou d’autres listes d’opt-in e-mail existant sur le marché avec lesquelles le client sera mis en relation. Exemple concret de dialogue client ( newsletter) (Sources : MessageMedia) Bases des données Rapports et Statistiques 1 8 Envois + ciblés 2 7 choix 1 choix 2 choix 3 Fusion / hygiène 3 6 5 Préférences exprimées Messages entrants 4 Jhkjdf kfd f gf gfd jsghk jdfhsg kjhfsg dqfjghs dfkg dfsglhjsdfkl g Jhkjdf kfd Jhkjdf kfd f gf gfd jsghk f gf gfd jsghk jdfhsg kjhfsg Jhkjdf kfd jdfhsg kjhfsg dqfjghs dfkg gf gfd jsghk dqfjghsfdfkg dfsglhjsdfkl g dfsglhjsdfkl g - choix 1 - choix 2 - choix 3 Optimisation 1er envoi 53 54 Conception de campagne de e-mail marketing : il s’agit d’une prestation de conseil auprès des annonceurs et des entreprises de vente à distance en matière de conception de campagnes de communication et de promotion de produit, de formulaire d’inscription et de clauses d’opt-in, de rédaction de messages, de mise en forme des e-mail et de l’intégration du langage HTML ainsi que d’objets audio ou vidéo, de choix de critères de ciblage et de listes de diffusion, d’organisation du traitement des réponses. Cette aide à la conception peut également inclure une opération de test sur un échantillon restreint de destinataires. Opérations de push (host-e-mailing) : ces opérations peuvent être ponctuelles (stand alone e-mail), ou régulières à travers l’envoi périodique de newsletters aux personnes abonnées selon des paramètres de fréquence définis avec le client. Les sociétés de e-mail marketing sont équipées pour cela de moteurs puissants et ont passé des accords avec des ISP disposant d’une bande passante suffisante (connexion T1) pour héberger des volumes de trafic importants. CRM (Customer Relationship Management) : il s’agit ici d’une activité de front ou middle-office consistant à prendre en charge pour le compte du client annonceur la relation one to one qui s’instaure par e-mail avec les prospects et d’encourager ces derniers à opérer des achats : enrichissement de la base d’informations avec des données personnelles complémentaires, élévation de la relation de confiance, fidélisation, gestion des demandes d’inscription ou d’opt-out, traitement des problèmes de livraison, traitement des questions diverses des utilisateurs et des réclamations, envoi de messages de confirmation, traitement des changements d’adresses e-mail. Cette activité s’appuie sur des applications informatiques dédiées dites de CRM ou d’ERM (E-mail Relationship Management). Suivi et reporting de campagne : tous les sociétés de e-mail marketing se sont dotées d’outils permettant d’opérer un suivi précis de l’efficacité de la campagne et du retour sur investissement pour leurs clients : comptabilisation instantanée des messages reçus, identification des adresses invalides, comptabilisation des click-through sur des liens insérés dans les e-mails ou dans les newsletters. Suivi de facturation : lorsque les sociétés de e-mail marketing utilisent leur base de données coopérative, c’est à dire la base où sont enregistrées les adresses collectées sur des sites Web partenaires à travers divers formulaires d’inscription en ligne, la règle veut que le site Web à l’origine de la collecte de ces données soit rémunéré à chaque utilisation d’adresse e-mail à hauteur de 50% 55 du prix de vente. Cela implique de disposer d’outils informatiques permettant d’opérer un suivi précis de l’origine des informations et de leur utilisation afin de procéder au reversement de royalties. II.2.4) - Les mécanismes d’acquisition et de gestion des données personnelles dans un contexte permissif Les sociétés de e-mail marketing ont acquis un savoir-faire assez pointu dans la constitution de fichiers de données personnelles obtenues de manière volontaire et délibérée de la part de visiteurs de sites Web. Pour cela il convient de s’adosser à un réseau de sites sur lesquels on poste des formulaires d’opt-in que les visiteurs vont remplir afin de recevoir une newsletter, participer à un concours, à un programme ou à une opération promotionnelle quelconque, faire l’objet d’offres commerciales ciblées en fonction de centres d’intérêts qu’ils auront précisés ; autant de bonnes raisons qui peuvent légitimer la collecte explicite de données personnelles par un site Web. A toutes les phases de ce processus de collecte les sociétés de e-mail marketing apportent leur expertise et leur savoir-faire : formalisation de l’optin, infogérance (outsourcing), datamining, valorisation économique de l’information. 24/7 Media gère ainsi un ensemble de 200 sites Web partenaires qui représentent une audience globale de 56% de la population totale des utilisateurs d’Internet aux Etats-Unis ; parmi ces sites, on peut mentionner : - - - - - - NetZero : abonnement à un accès gratuit à Internet avec exposition publicitaire et enregistrement de centres d’intérêts. FastWeb : inscription à un système d’information permettant aux étudiants de recevoir des informations sur les bourses universitaires : 2.500.000 inscrits. PC Drivers HQ : système de rémunération de la navigation sur Internet ; inscription à une liste d’e-mail avec description des caractéristiques du style de vie : 142.800 inscrits, 77% de femmes Guitar.com : inscription à un site dédié aux guitaristes amateurs : téléchargement de fichiers MP3, participation à des concours, groupes de discussion, offres commerciales : 20.600 abonnés. E-diets : inscription à un programme d’amaigrissement personnalisé et à une newsletter spécialisée : 298.000 abonnés, 89% de femmes GotoWorld : inscription à un portail et téléchargement d’un browser permettant de naviguer sur Internet tout en percevant une rémunération de 40 cents à l’heure liée à l’exposition publicitaire (Get Paid to Surf, Chat and Shop!). 1.400.000 abonnés, 60% d’étudiants. Riddler : inscription à un site de jeu en ligne : 526.400 inscrits 56 Parallèlement à ces différentes listes que 24/7 Media gère et commercialise, l’entreprise a constitué ses propres bases de données dont le contenu est en quelque sorte en copropriété avec les sites Web à l’origine de la collecte : - - Mail Alliance : il s’agit d’une base généraliste segmentée en une vingtaine de critères classants par styles de vie : 5,7 millions d’adresses d’opt-in e-mail Hi-Tech Alliance : cette base est composée de consommateurs dans le secteur de la micro informatique, des logiciels et des périphériques : 1,9 millions d’adresses d’opt-in e-mail. En janvier de cette année 24/7 Media a signé un accord sur deux ans avec Naviant, une société de e-marketing spécialisée dans la relation one to one, afin de prendre en infogérance une liste d’adresses e-mail de 5 millions de foyers high tech. Avec ce nouveau contrat, 24/7 Media se trouve désormais responsable de la gestion d’une base de données de plus de 20 millions d’adresses d’opt-in e-mail ; c’est probablement la base de e-mail marketing la plus importante existant aujourd’hui dans le monde. Selon des interlocuteurs de l’entreprise ces bases contiendraient 2 millions d’adresses e-mail d’origine britannique et 4 millions au total pour l’ensemble de l’Europe. NetCreations gère pour sa part une base de données coopérative de 6 millions d’adresses d’opt-in e-mail ; le taux de croissance annoncé pour l’année 2000 est de 20.000 adresses supplémentaires par jour, ce qui devrait permettre à NetCreations d’atteindre 15 millions d’adresses gérées dans moins d’un an. Comme dans le cas précédent cette base de données est constituée à partir de 225 sites tiers sur lesquels s’inscrivent les visiteurs. Parmi ces sites, on trouve notamment : - - - - Internet.com : les visiteurs de l’une ou l’autre des 13 chaînes d’information technologique de ce réseau de sites Web peuvent s’inscrire à des newsletters. CMPNet : il s’agit d’un groupe de presse spécialisé sur les technologies de l’information qui possède une dizaine de sites spécialisés sur lesquels il offre à ses lecteurs la possibilité de s’inscrire à des newsletters de haut niveau (CNET Digital Dispatch, par exemple) ou à des listes de diffusion d’offres commerciales sur des sujets correspondant à leurs centres d’intérêt. Regards.com : ce site offre aux visiteurs qui s’inscrivent la possibilité d’envoyer des cartes de vœux électroniques diverses à leur carnet d’adresses e-mail ; l’inscription permet également de recevoir des e-mail commerciaux de partenaires divers ciblés sur 70 critères de définition des centres d’intérêt. Volition : il s’agit d’un site Web de personnalisation gratuite du contenu d’Internet (The Best Stuff of the Web) sur lequel les visi- 57 teurs s’inscrivent, participent à des jeux, à des concours, peuvent gagner des coupons de réduction ou accumuler des points de fidélité, etc. Ils peuvent également s’abonner gratuitement à un système d’offre commerciale par e-mail. Selon le type de contrat passé avec le site Web et selon le modèle technologique que la société de e-mail marketing met à disposition de ses sites partenaires, ces données sont ensuite gérées de différentes manières : le cas de figure le plus simple est celui où le site Web gère luimême l’opt-in et les données associées ; dans ce cas la société de email marketing est destinataire d’une copie du formulaire. Cette copie peut alimenter la base de données coopérative ou être gérée de façon séparée. Il existe d’autres cas ou le site Web outsource complètement la gestion de l’information auprès de la société de e-marketing, la finalité pouvant aller jusqu’à déléguer toute la communication avec les abonnés inscrits, l’essentiel pour le site Web étant de générer, à travers la collecte et plus tard la commercialisation d’informations personnelles, des revenus qui l’aideront à financer l’existence de son site. On observe alors deux grands modèles de circulation des données ; dans le cas de 24/7 Media, il s’agit de transferts de données périodiques par batch qui sont agrégées dans la base dite Mail Alliance ; dans celui de NetCreations et de son système PostMasterDirect.com il peut s’agir de transfert en temps réel ; MessageMedia déclare également « hoster » les formulaires d’opt-in pour certains clients. Le fonctionnement du système PostMasterDirect.com est assez exemplaire du point de vue de la qualité du consentement recueilli et de la transparence du processus. En effet, lorsque l’on s’abonne par exemple à une newsletter de CNET, l’utilisateur reçoit dans une fenêtre pop up une proposition d’une série de cases à cocher correspondant à des thèmes sur lesquels il accepte de recevoir des offres commerciales ; en bas de cette liste figure un lien permettant d’accéder à la page de « privacy policy » du site ; cette politique est très complète et comporte un avertissement qui concerne l’inscription à une newsletter qui fait ressortir très explicitement le rôle de NetCreations : Opt-in Email Newsletters CNET offers free email newsletters to users in association with NetCreations’ PostMasterDirect, an independent company that creates targeted email newsletters to announce various products and services. When users subscribe to a CNET newsletter, they are given the opportunity to opt in, or join, announcement lists administered by PostMasterDirect. If users choose to opt in for an announcement list, they will receive email newsletters from third parties via PostMasterDirect on topics selected by the users. Users may have their email addresses removed from the opt-in announcement lists at any time by following the instructions printed in the email newsletters. PostMasterDirect’s email tracking system recognizes when a URL in the newsletter is clicked, and records information about the user and the user’s computer, such as the email address registered with PostMasterDirect, the browser, the op- 58 erating system, and the user’s IP address. Use of this information is governed by CNET’s privacy policy and the PostMasterDirect privacy policy. Personally identifiable information will not be used by CNET or PostMasterDirect for any purpose other than to deliver the newsletters. Neither CNET nor PostMasterDirect will provide this information to any third party. Après avoir rempli le formulaire et défini les sujets sur lesquels il souhaite être informé, l’utilisateur valide son inscription, cela constitue son premier acte d’opt-in ; instantanément il reçoit un message de confirmation de la part de PostMasterDirect.com, le but étant de s’assurer que l’opt-in a bien été effectué par la personne elle-même et non pas en son nom par quelqu’un d’autre. Le libellé de cette confirmation se présente dans les termes suivants : De : "Your subscription request" <[email protected]> À : <[email protected]> Envoyé : vendredi 5 mai 2000 06:07 Objet : Activate your CNET.com subscription! [[email protected] /1248] Just one more step! Simply click the link below to activate the CNET.com subscription request you just sent us! http://c.postmasterdirect.com/confirm?E= [email protected] &T=1248 If asked, your codes are E: [email protected] T:1248. Or you can simply reply to this message. (If you do, please don't change the subject line.) In order to protect your privacy, if you do not activate your subscription, we will be unable to send you the information you have requested. So please click the link above right now! When you confirm, you will be subscribed to: CNET.com/Advertising.list CNET.com/Internet_Marketing.list CNET.com/e-commerce.list You can unsubscribe or change the topics you get information about easily, at any time. We hope you enjoy the convenience and we'll see you online! Thanks! CNET.com La réception de ce message mérite trois observations : la première est qu’il porte à nouveau à la connaissance de son destinataire l’existence et la dénomination d’un tiers dans sa relation avec CNET ; ce point n’est pas négligeable et couvre l’éventualité où l’utilisateur n’aurait pas cliqué sur le lien de la « privacy policy » ; la deuxième est que ce message récapitule les newsletters et la liste de diffusion commerciale précise à laquelle il s’est inscrit ; la troisième est qu’aucune communication ne pourra être engagée avec lui à défaut du retour de l’e-mail de confirmation ; c’est quasiment un acte contractuel que l’internaute doit passer avec le site. Aussitôt la confirmation de l’opt-in parvenue chez PostMasterDirect.com, l’abonné reçoit automatiquement un deuxième e-mail de bienvenue : 59 De : "PostMasterDirect.com" <[email protected]> À : <[email protected]> Envoyé : vendredi 5 mai 2000 06:24 Objet : Subscription Welcome!Thank you for your opt-in email confirmation! Welcome to our free service! We strive to bring useful information direct to your email box without spamming, and without compromising your privacy! We do not sell our lists, but we mail on behalf of vendors who want to contact you with interesting news and product information in the only topics you have specified. Note that every message we send will have a header like this one: This mail is never sent unsolicited. This is a PostMasterDirect.com mailing! You have subscribed to receive this information through CNET.com UNSUB ALL: -forward- this entire message to [email protected] (be sure to forward the ENTIRE message, or it will not unsubscribe you!) To review your subscription: http://review.postmasterdirect.com/ MAIL TO LISTS: http://www.PostMasterDirect.com/ 100% OPT-IN™ To review your subscription and preferences, please visit: http://review.PostMasterDirect.com If you are interested in MAILING your product or service information to any of thousands of topical 100% opt-in email lists, please visit: http://www.PostMasterDirect.com/ Ce processus de participation active est exemplaire et montre bien comment dans la pratique les sociétés de e-mail marketing sont en capacité de gérer de façon efficace et automatisée un mécanisme de double opt-in. Pour être complet, il faut cependant observer que tous les systèmes d’opt-in mis en place par les sociétés de e-mail marketing ne développent pas le même luxe de transparence. Dans le cas par exemple de l’inscription sur le site de FastWeb (recherche de bourses d’études), on remarque que la mention en bas du formulaire d’opt-in est assez vague et se contente de faire référence à des « marketing partners », en l’occurrence il s’agit de 24/7 Media, expliquant tout de même que c’est bien parce que cette possibilité existe que FastWeb peut offrir le service de recherche de bourses d’études gratuitement : FastWeb is able to offer its free services, in part, based on the willingness of our users to be reached by our marketing partners. By checking YES below, FastWeb may make the information you supply available to leading companies so you’ll receive free information on college financing and admissions, offers and promotions designed just for students, coupons from campus bookstores, freebies and more. YES! I want to receive this information No, please exclude me La page de « Privacy at FastWeb » apporte quelques précisions supplémentaires quant aux partenaires marketing, indiquant qu’il peut s’agir de “data aggregators, marketers (possibly in the form of list rental) or other organizations”, mais, contrairement au cas précédent, le nom de ce partenaire n’est pas mentionné. Cette page a le mérite toutefois d’indiquer quelles informations seront transmises à ces tiers, et quels sont les tiers qui seront exclus : ”(…) pornography, tobacco or other industries we find to be objectionable or potentially harmful”. 60 During the registration process, FastWeb asks you whether information about you can be sent to other organizations that have products, services and opportunities useful to students and their parents. FastWeb understands how important your information is to you. Therefore, FastWeb does not share any information that can be tied to you without your permission. If you give your permission, information about you may be shared with colleges, universities, data aggregators, marketers (possibly in the form of list rental) or other organizations. This information may include, but may not be limited to name, street address, email address, telephone number, or other data you provide during your visit to FastWeb. Information will not be shared with companies and organizations involved with pornography, tobacco or other industries we find to be objectionable or potentially harmful. You will receive email periodically to notify you of additional FastWeb opportunities. If you specifically provide FastWeb with permission, you may also receive some commercial emails. You can update your personal information by clicking on the « Update Profile » link in your Message Center or on the bottom of any email message you receive from FastWeb. Il faut enfin remarquer que quelques programmes de permission marketing comportent des cases d’opt-in pré-cochées, c’est le cas notamment des formulaires d’inscription postés sur les sites de BigFoot, de Dreamlife ou de Theglobe.com, trois sites dont les formulaires d’opt-in sont gérés en relation avec 24/7 Media. On ne peut s’empêcher de considérer que cette pratique n’est guère conforme avec l’esprit de permission marketing car elle n’apporte pas la garantie du consentement du client, celuici pouvant très bien avoir pu sauter la ligne sans l’avoir lue. On court alors le risque que les messages commerciaux envoyés soient perçus comme des spams étant donné que leur destinataire est persuadé quant à lui de ne jamais les avoir sollicités. Tous ces systèmes et tous les messages qu’ils sécrètent comportent bien évidemment des liens d’opt-out qui permettent de se désinscrire aisément des listes d’enregistrement. 24/7 Media explique recevoir quelques demandes d’opt-out quotidiennes, ainsi que des demandes de précisions de la part de certaines personnes qui souhaitent savoir où, c’est à dire sur quel site, et quand leur opt-in a été enregistré ; quelques demandes individuelles concernent également la nature exacte et l’étendue des informations personnelles détenues dans les bases de données. Une personne de l’équipe de 24/7 Media est en charge de traiter ces demandes. II.2.5) - Commercialisation et traitements des listes d’adresses Les sociétés de e-mail marketing ont pour vocation de commercialiser les listes d’adresses e-mail, qu’il s’agisse des listes coopératives ou des listes propres à chaque site partenaire. Cette commercialisation peut s’opérer de deux manières différentes : Courtage : le courtage consiste à louer l’utilisation des listes gérées par les sociétés de e-mail marketing à des annonceurs, à des 61 sociétés concurrentes ou à des opérateurs de vente en ligne. Pour des raisons pratiques l’utilisation de ces listes dans le cadre de campagnes d’e-mail marketing est assurée par la société ellemême qui pratique ainsi une forme de host-mailing, très analogue à ce que l’on rencontre dans le publipostage traditionnel. E-mail Service Bureau (ESB) : il s’agit ici pour la société de e-mail marketing d’apporter de la valeur ajoutée à l’opération de mailing proprement dite en prenant en charge les différentes phases de l’opération, notamment le traitement des retours et des demandes d’informations émanant des clients, ainsi que la gestion de programme de fidélisation. Toutes les sociétés offrent ce niveau de prestation en s’appuyant sur des outils de CRM qui permettent de construire pas à pas la relation one to one. A travers sa stratégie de croissance externe, 24/7 Media a ainsi acquis à travers AwardTrack un outil propriétaire de CRM particulièrement bien adapté au suivi des opérations d’incentive marketing (émission, échange, rachat, conversion de points ou de miles). La tarification appliquée est bien entendu variable suivant la nature et l’étendue de la demande. En général une prestation standard conduite sur les fichiers Analyse comparative des coûts de campagne de coopératifs comprend marketing direct cinq opérations : la (sources : 24/7 Media) location des adresses Direct Mail Opt-in Email proprement dites, la programmation d’un Design $2,500 $2,500 lien dans le message Print $6,000 -sur le site de l’annonFulfillment $4,500 -ceur, l’opération de push des messages, Postage $9,500 -le suivi des clickList Cost $4,500 $12,000 through et le bilan de Total $27,500 $14,500 la campagne ; le tarif est calculé sur une Average Response 6-10 12-48 Time weeks hours base CPM identique à celle pratiquée par les régies publicitaires ; le prix de référence s’élève pour le e-mail marketing professionnel à $ 200 le mille, soit 20 cents l’unité. 24/7 Media pratique ces prix mais avec une ristourne de $ 20 le mille pour les membres de la Mail Alliance, c’est à dire pour les sites clients également collecteurs d’adresses. Ce chiffre n’est évidemment pas à comparer avec les tarifs de « hard-discounters » à $ 5 le mille, que pratiquent les brokers tendance spam (32). Le tableau ci-dessus montre bien que le prix d’une campagne de e-mail marketing reste très compétitif comparé au coût d’une opération de publipostage tradition32) Cf. page 38 62 nel qui revient environ deux fois plus cher, pour des délais de mise en œuvre cinq fois plus longs. A ce tarif standard il convient d’ajouter la facturation des sélections diverses qui peuvent être demandées : par noms de domaine et par zones géographiques, par caractéristiques socio-démographiques (genre / classe d’âge / statut matrimonial / nombre d’enfants), par tranches de revenus, par positions occupées dans les entreprises, par niveaux de diplôme, par centres d’intérêts. Les sélections par centres d’intérêts semblent inépuisables dans le degré de finesse qu’il est possible d’atteindre ; mais elles ne font finalement que refléter la précision de l’information collectée à travers les formulaires (33). NetCreations déclare pouvoir segmenter ses 6 millions d’adresses en plus de 3.000 catégories différentes. La base Mail Alliance de 24/7 Media contient quant à elle 35 champs d’information déclarative et plus de 260 champs d’informations qui sont ajoutés à ces enregistrements à travers des traitements informatiques, sur lesquels les interlocuteurs de la mission sont restés très discrets. Sous l’éclairage de la protection des données, certains éléments de qualification de fichier sont incontestablement de nature sensible quand ils permettent d’identifier, sans déroger aux règles de la permission, des groupes ethniques, des groupes religieux, des fumeurs, des diabétiques ou des cancéreux. Les listes d’adresses e-mail contiennent également des données comportementales à haute valeur ajoutée, particulièrement lorsqu’il s’agit de données concernant les achats en ligne effectués au cours des derniers mois (1 mois, 3 mois, 6 mois, 12 mois) ; dans de nombreux cas il s’agit d’une information non pas collectée de manière déclarative mais rapportée par des opérateurs commerciaux partenaires de la société de e-mail marketing auprès desquels les prospects ont effectué des achats. Toute sélection particulière sur ces données complémentaires permettant de mieux qualifier la population ciblée a un coût supplémentaire au mille ; plus les sélections demandées sont sophistiquées plus elles sont chères ; la sélection la plus prisée et la plus coûteuse con- 33) On peut préciser à ce titre que le site FastWeb, par exemple, collecte dans son formulaire de candidature à une bourse d’études un niveau de précision d’informations impressionnant sur des sujets sensibles, notamment sur les pathologies dont les étudiants pourraient souffrir (AIDS related, Amputee, Arthritis, Asthma, Attention Deficit Disorders –ADD, Blind Visually/impaired, Blood-Bleeding disorders, Cancer, Cerebral Palsy, Cystic Fibrosis, Dyslexia, Emotional, Epileptic, Hearing, Learning disabilities, Multiple Sclerosis, Neurological disorders, Primary Immune Deficiency Disease, Respiratory, Speech Impairment) ; FastWeb s’intéresse également aux religions pratiquées (Assembly Of God, Baha’i, Baptist, Buddhism, Byzantine Rite, Catholic, Christian, Christian Science, Church of Brethren, Church of Christ, Congregational Christian Churches, Disciple of Christ, Eastern Orthodox, Episcopal, Evangelical Covenant, Evangelical Lutheran, Free Methodist Church, Free Will Baptist, Greek Orthodox, Hindi, Islam, Jehovah’s Witness, Jewish, Judeo-Christian, Lutheran, Mennonite, Methodist, Mormon, Pentecostal, Presbyterian, Protestant, Quaker, Roman Catholic, Seven Day Adventist, Sikh, Southern Baptist, Unitarian, United Church of Christ, United Methodist, United Presbyterian). 63 cerne la propension à effectuer des achats en ligne. La politique tarifaire de 24/7 Media se présente de la manière suivante : Tarification des sélections dans la base Mail Alliance de 24/7 Media (sources 24/7 Media) State, SCF Zip Gender Age Credit Card Product Select Enhancements Lifestyle Run Charges Last 12 Month Buyers Last 6 Month Buyers Last 3 Month Buyers Last 1 Month Buyers Postal Address + $ 5.00/M + $ 5.00/M + $ 5.00/M + $ 5.00/M + $10.00/M + $10.00/M + $10.00/M + $10.00/M + $6.00/M + $5.00/M + $10.00/M + $15.00/M + $20.00/M + $75.00/M Enfin, ces sociétés commissionnent les sites collecteurs d’adresses email ; en d’autres termes cela signifie que chaque fois qu’une adresse est utilisée, le site qui en est à l’origine est rémunéré sur une base variable mais qui est souvent de 50% du prix de vente. Ces coûts bien évidemment pèsent dans les résultats des sociétés de e-marketing ; en se reportant aux tableaux financiers présentés précédemment dans ce rapport (34), on constatera qu’ils représentent près de $ 5 millions chez 24/7 Media en 1999, $ 4,5 chez MessageMedia et un peu plus de $ 10 millions chez NetCreations. Cette dernière entreprise a d’ailleurs mis au point un système sophistiqué qui permet de départager deux sites collecteurs qui pourraient revendiquer la propriété d’une seule et même adresse : la règle consiste à ne rémunérer que le site Web dont la liste d’adresses e-mail a la préférence du client. Il apparaît par ailleurs que NetCreations consent, dans un nombre limité de cas, ICQ notamment, des avances sur recettes aux sites Web 34) Cf. pp. 46 - 49. 64 II.2.6) - Les moyens technologiques des sociétés de e-mail marketing Les sociétés de e-mail marketing sont des entreprises où la maîtrise de la technologie et l’innovation jouent un très grand rôle ; elles communiquent d’ailleurs assez peu sur leur technologie, sachant qu’on est là en présence d’un moyen de différenciation sur un marché assez concurrentiel. Schématiquement les centres d’opération présentent une architecture technique spécifique qui repose sur trois systèmes principaux : un SGBD (Système de Gestion de Base de Données) Les bases de données sont la plupart du temps construites avec Oracle en environnement Unix. Ces bases constituent l’entrepôt de données proprement dit, là où l’on va retrouver les adresses email, les informations déclaratives associées ainsi que toutes les autres données acquises ou calculées, notamment les données RFM (Récence, Fréquence, Montants), permettant d’opérer les traitements de datamining et de déterminer des cibles en fonction de typologies de comportement. Les SGBD nécessitent des processeurs puissants ; c’est la raison pour laquelle, par exemple, le centre informatique de NetCreations est équipé de 3 serveurs DEC (Compaq aujourd’hui) clusterisés fonctionnant à base de processeurs Alpha. un moteur de « push » Les moteurs d’envoi d’e-mail sont constitués la plupart du temps d’une batterie de 50 à 100 serveurs Intel (Compaq Proliant, par exemple) fonctionnant en environnement Linux (Red Hat Software) et reliés à un backbone Internet (T1) via des routeurs Cisco. Ce sont ces mêmes moteurs qui récupèrent les retours de formulaires d’opt-in remplis par les prospects. Grâce à cette architecture les sociétés de e-mail marketing disposent de capacités d’émission de messages phénoménales : 24/7 Media a ainsi une capacité d’émission de plus de 10 millions de messages par jour ; NetCreations a envoyé en 1999 146 millions de messages à la demande d’annonceurs de marketing direct tels que Dell Computer, Compaq, Ziff Davis ou J. Crew. Exactis, pour sa part, filiale de 24/7 Media, a envoyé 675 millions de messages l’année dernière pour 75 clients principaux dans les secteurs du commerce électronique et des services financiers ; au total Exactis a une capacité actuelle d’émission de 30 millions d’e-mails par jour qui va être portée prochainement à 100 millions d’e-mails par jour. 65 Un système de CRM Le système de CRM est constitué de serveurs et de postes de travail en réseau permettant de gérer tous les aspects de la relation avec la clientèle, y compris pour certaines sociétés, des platesformes de paiement électronique ; ces systèmes sont souvent couplés avec des call centers et des systèmes CTI. L’objectif est bien évidemment d’automatiser le plus possible ce dialogue, au risque, si cela n’est pas fait, de devoir aligner des effectifs de téléopérateurs importants pour traiter les retours de campagnes. L’ensemble de ces systèmes doit être en capacité de fonctionner sans interruption à toute heure du jour et de la nuit. Ils sont donc hautement sécurisés : back up des données en technologie peer-to-peer (PPRC), redondance des équipements, redondance des connexions sur les backbones Internet, multiples firewalls. Sur le plan organisationnel, il convient de remarquer le cas particulier de 24/7 Media dont toute la technologie est sous contrat d’infogérance avec principalement Global Center aux USA pour une redevance annuelle de $ 500.000, PLC en UK, UUNet en Australie et Digital Islands à Hongkong. Le rachat d’Exactis prévoit cependant de conserver l’organisation technologique en l’état avec un centre informatique prochainement installé à Denver dans le Colorado. Les responsables de 24/7 Media assurent que Global Center n’a pas accès aux données et que ce prestataire est évidemment lié par un contrat de confidentialité et d’exclusivité. MessageMedia, de son côté, après avoir hésité entre Amsterdam, Barcelone et Dublin, vient d’implanter son centre technique dans le canton de Vaud (Suisse) entre Genève et Lausanne ; le choix de cette implantation répond à des considérations géographiques et de facilités d’infrastructure, ainsi que de sécurité des données ; en même temps cela permet à MessageMedia de se prévaloir d’une capacité à fournir un service de proximité et de s’affranchir des incertitudes qui pèsent sur le statut des flux de données personnelles entre l’Europe et les Etats-Unis. A ce jour 50 serveurs ont été implantés dans ce centre pour rapidement monter à 100 serveurs (Sun, Dell, HP) ; la capacité de stockage est de 1,5 Terabyte et le centre dispose de ses propres accès à un backbone Internet ; toutes les opérations d’origine européenne, et notamment les campagnes de marketing menées pour le compte des clients seront gérées à partir de ce centre de production. Ces serveurs bénéficient de toute l’expertise technique acquise par l’entreprise aux Etats-Unis au cours de ces dernières années ; ils vont prendre le relais des installations américaines. Une équipe de 50 ingénieurs et techniciens multilingues vont travailler cette année dans le centre à la fois sur des programmes de R&D et sur une problématique 66 de service client ; l’effectif doit croître jusqu’à une centaine de collaborateurs pour la fin 2001. Sur le plan des applicatifs enfin, on est présence, dans tous les cas, de logiciels propriétaires développés par les équipes techniques de ces sociétés de e-marketing. NetCreations emploie ainsi 11 informaticiens sur 40 salariés, 24/7 Media, 50 informaticiens sur 470 salariés, auxquels il faut ajouter les 86 informaticiens de sa filiale Exactis. Afin de protéger les droits, certains de ces logiciels sont brevetés, ce qui n’empêche pas la multiplication de procédures judiciaires en cours entre ces sociétés : une procédure en « infringement patent » existe par exemple entre DoubleClick et 24/7 Media à propos du système Target-it ; une autre a été déclenchée en octobre 98 par Exactis contre EPub, filiale de MessageMedia ; à son tour MessageMedia engageait 10 jours plus tard une procédure à l’encontre d’Exactis pour le même motif. II.3) - De quel opt-in parle-t-on ? La plupart des sociétés de e-mail marketing professionnelles pratiquent une politique de marketing consensuel qui s’appuie sur des exigences fortes en matière d’opt-in. Toutefois, force est de constater que ces sociétés ne sont pas à l’abri d’interprétations et de dérapages qui pourraient les entraîner sur la pente glissante de l’UCE. Plus précisément, on doit prendre conscience que l’opt-in ne tuera pas le spam, pour deux raisons essentielles : on peut craindre en effet que l’amorce d’une relation de permission doive nécessairement passer par une campagne qui peu ou prou ressemblerait à du spam ; par ailleurs, tout le monde étant aujourd’hui en train de s’aligner sur l‘opt-in, il y a le risque que les principes fondamentaux en soient quelque peu galvaudés. II.3.1) - Le spam : passage obligé de l’opt-in e-mail marketing ? Formulée ainsi cette question a quelques relents de provocation ; en réalité elle vaut la peine d’être posée car le vrai problème pour les opérateurs de vente directe est bien d’amorcer la relation permissive et l’on ne connaît malheureusement guère d’autres moyens que ceux consistant à provoquer le public, susciter son attention, l’inciter à entrer en contact par toutes sortes de « teasings » bien connus des publicitaires. En d’autres termes, et Seth Godin lui-même en convient, il y a de forts risques que le permission marketing ne puisse faire complètement abstraction de l’interruption marketing dans son processus de mise en œuvre initiale ; il explique les choses ainsi : « (…) But the first step is still to interrupt the consumer. That’s one reason there will always be especially acceptable Interruption Marketing media. We 67 need to get that initial attention. Sometimes you’re lucky enough that a stranger comes to you of his own accord. There will always be a few people who straggle onto your Web site, for example, or potential customers who call your toll-free number or walk into your store. These are the freebies. Most of the time, however, you’ve got to use the tried-and-true interruptive techniques to reach large numbers of people. Using measurable techniques, marketers can choose television, radio, print, direct mail, or electronic media to grab the attention of consumers. But without some way to grab attention of a stranger, the permission process never starts » (35). Comment donc se faire connaître sur le net ? La tentation à l’évidence peut être le e-mail marketing ciblé ; le risque est alors de s’adresser à un broker de listes d’adresses et d’envoyer son offre en masse, par millions, avec l'espoir que dans tout ce bruit quelques-uns entendront le message et accrocheront. Cette formule n’est cependant guère socialement acceptable et contraire aux règles d’éthique affichées de plus en plus par les organisations professionnelles qui défendent le principe de la « user’s prior acceptance » ; la seule qui le soit vraiment, non sans réserves, est celle de la publicité appliquée à l’Internet, c’est à dire l’affichage de bannières publicitaires ciblées sur des profils de centres d’intérêts et de styles de vie compatibles avec l’offre de produits ou services de l’annonceur. La bannière publicitaire peut alors permettre de drainer des click-through sur un site Web et d’engager la relation d’opt-in e-mail à partir du remplissage de formulaires par les visiteurs. II.3.2) - Pour une interprétation restrictive de l’opt-in Tous les opérateurs commerciaux et de marketing direct sur Internet sont en train actuellement de s’aligner sur l’opt-in. Le plus étonnant est que cette observation est valable également pour les sites pornographiques qui pourtant se sont copieusement adonnés au spamming au cours des dernières années ; il est ainsi de plus en plus fréquent de trouver dans sa boîte-aux-lettres des e-mail que l’on aurait sans hésiter qualifiés de spam il y a encore quelques mois, précédés de l’avertissement suivant : « You've received this message because while visiting a partner website, you opted in to receive special online offers and discounts. » ou encore : « This newsletter is being sent to an opt-in mailing list. This message is sent in compliance with all known local and International laws and it complies with the proposed United States Federal Requirements for commercial email. WE HONOR ALL REMOVE REQUESTS: If you wish to be removed from any future mailings please send an email to [email protected] We assure you that you will receive no further mailings ». Cela amène inévitablement à s’interroger sur la qualité de l’opt-in et à se demander 35) Seth Godin – op. cit. Cf. page 72 68 si demain les annonceurs, quels qu’ils soient, ne vont pas avoir une fâcheuse tendance à développer une conception pour le moins extensive de la notion d’opt-in, rappelant ici les excès bien connus de la société américaine de l’« affirmative action ». A l’extrême cette conception extensive semble s’appuyer dans certains cas sur le simple fait, par exemple, qu’un visiteur d’un site a cliqué par inadvertance sur un bouton OK dans une boîte de dialogue lui demandant s’il souhaitait ajouter ce site à ses favoris ; rien n’est plus simple en effet de jouer sur les mots et de placer une obscure disposition dans la page introuvable des conditions d’utilisation d’un site dans lequel l’opérateur va indiquer en petits caractères que le fait de « bookmarquer » son site légitime le déferlement par la suite d’e-mail publicitaires. De façon plus anodine, on peut se demander si le fait de s’être inscrit un jour dans une liste d’amateurs de plongée sousmarine pour recevoir des offres commerciales sur du matériel, justifie de recevoir des propositions de séjour dans tous les scuba diving centers du globe. En réalité la notion d’opt-in mérite d’être approfondie sérieusement ; si l’on veut qu’il soit efficace et authentique, un véritable statut de l’opt-in doit être défini. Il convient également de se pencher sur le concept de partenaire auquel les opérateurs de sites font très souvent référence à propos d’offres commerciales connexes qui pourraient être faites à un visiteur qui s’inscrit dans une liste de diffusion. Qu’est-ce qu’un partenaire ? Dans quelle mesure l’offre proposée répond au critère de sérieux sur lequel le site collecteur d’informations s’est engagé ? De quel moyen de contrôle dispose-ton ? Force est de constater qu’on trouve rarement de réponses à ces questions. On trouve toutefois une disposition intéressante dans les « 10 règles du Permission Marketing » chez MessageMedia consistant à prévenir le destinataire dans le chapeau du message de l’identité de la société qui héberge et cautionne l’envoi de l’e-mail commercial (36). Cette pratique de transparence gagnerait à être systématisée. Les sociétés de e-mail marketing, soucieuses de se différencier par rapport aux usurpateurs et de les écarter du marché, ne s’y sont pas trompées ; elles ont conçu des règles strictes et sans ambiguïtés dans leur anti-spam policy dans lesquelles elles s’imposent par exemple d’indiquer dans l’entête du message précisément l’origine de l’opt-in du destinataire ; cette politique est notamment appliquée par Exactis (37) et NetCreations. MessageMedia pour sa part développe une 36) Cf. Annexe 1: Anti-Spam policies – Ten Rules for Permission-based E-mail marketing : “(…) make sure you control the mailings, and that your brand "introduces" other brands. Example: "Because you opted to receive promotional offers of our valued partners, we at ABC Corp are please to give you a special offer from XYZ Corp." 37) Cf. Annexe 1: Anti-Spam policies – plus particulièrement celle de Exactis (3- Additionnal Principles – Cf. 131) Du Spam au Double Opt-In (Sources : MessageMedia) SPAM Adresses récupérées de sources inconnues OPT-OUT • Clients existants • Ils ne vous ont pas donné la permission d ’utiliser leur adresse, mais vous la possédez OPT-IN Une case cochée (par le client) vous donne la permission d ’envoyer des mails OPT-IN Confirmé Une case cochée vous donne la permission, et vous avez validé l’adresse Inconvénients : • Pas de résultats • Génère des plaintes • Vous risquez la liste noire des FAI • Nombreuses plaintes • Spirale infernale • (imaginez si toutes les sociétés qui vous connais sent..) N’est pas infaillible : utilisation possible d ’adresses fictives • Aucun • 100% des • adresses vérifiées • Clientèle fidèle ACCEPTABILITE 69 70 réflexion intéressante à l’aide de l’infographie de la page précédente et qui lui sert de support pédagogique dans ses relations avec ses clients : ce schéma permet de définir une gradation d’acceptabilité dans le niveau de permission acquis de la part du client pour l’envoi de messages publicitaires et fait nettement ressortir que le fait de pouvoir se prévaloir d’une relation commerciale antérieure n’est pas suffisant pour s’autoriser à adresser des propositions commerciales. MessageMedia applique par-là les principes d’analyse comportementale du marketing qui reposent sur les trois lettres-clés RFM, à savoir, Récence, Fréquence et Montants et les transpose dans le contexte de l’opt-in e-mail marketing à travers les concepts d’antériorité et de valeur : imaginons, par exemple, qu’un internaute, au hasard de sa navigation, achète un jour une cravate à $ 39.50 sur le site de jcrew.com, cela ne donne pas le droit à J. Crew d’accabler ce petit client une ou plusieurs fois par semaine de propositions commerciales, quand bien même il s’agirait de super-promotions sur des cravates en soie naturelle. De grands sites commerciaux, leaders du commerce en ligne, comme Amazon, Barnes & Noble, CD Now ou Travelocity, feraient bien de s’inspirer de ces pratiques pour modérer leurs ardeurs à l’égard de leurs clients occasionnels. Sur le plan pratique cette politique amène les sociétés de e-mail marketing a être très exigeantes quant à la qualité des listes d’opt-in email. Ainsi il est très fréquent qu’elles demandent à leurs clients qui viennent avec leurs propres listes de fournir les éléments d’information permettant d’apprécier le contexte dans lequel les opt-in ont été recueillis. Si des doutes subsistent, ces sociétés ont pris l’habitude de tester aussi la qualité des opt-in sur un échantillon restreint de destinataires ; lorsque les tests provoquent des réactions négatives de la part des destinataires la campagne est ajournée et la liste est nettoyée de toutes les adresses dont les opt-in sont improbables. 71 Conclusions de la Première Partie Pour conclure cette première partie, on peut identifier trois grandes séries de risques attachés au développement du e-mail marketing : l’un se situe dans le champ de la science politique et concerne l’alternative embarrassante et peu opérante entre l’opt-in et l’opt-out sur laquelle se cristallisent les choix réglementaires que les états européens entendent faire en matière de communication commerciale sur l’Internet ; l’autre est de nature sociologique et tient à la perte progressive de contrôle par l’homme de sa propre identité sous la pression des traitements informatiques massifs de données personnelles que réalisent les entreprises de e-marketing. Le troisième enfin est un risque industriel et laisse planer le spectre d’un phénomène d’entropie dont le réseau mondial pourrait être la victime à plus ou moins court terme si aucun mécanisme sérieux de régulation ne voyait le jour. Ce risque est aussi financier et c’est en partie l’internaute qui en supporte les coûts. L’enfermement du débat dans une problématique de choix entre l’opt-in et l’optout oppose en réalité deux conceptions d’un même problème qui est de savoir à quelles conditions un internaute peut faire l’objet de sollicitations commerciales ; l’un comme l’autre renvoient à des dispositifs techniques plus ou moins protecteurs de la vie privée mais qui correspondent au déplacement d’un curseur sur une même échelle de gradation. Pour des pays qui affirment l’ambition de se doter d’un haut niveau de protection des données personnelles, on voit mal l'avantage qu’il pourrait y avoir à se contenter du niveau minimum que représente l’opt-out, sauf à céder à la pression des intérêts industriels d’un autre âge, qui protègent des entreprises dont les pratiques professionnelles sont en train de montrer leurs limites et sont d’ores et déjà caduques à la lumière du marketing consensuel. Assimiler l’opt-out à un compromis entre la protection de la vie privée et la liberté du commerce est une grossière exagération : si l’on peut se permettre une image, l’opt-out revient finalement à donner à l’internaute une éponge pour assécher un flot d’e-mail commerciaux qui ne tarirait jamais, à moins qu’elle ne serve au bout du compte à essuyer la sueur de son front ; l’opt-in lui donne en plus l’accès à la vanne qui lui permet de contrôler l’étiage de l’inondation. Quant à la liberté du commerce, on peut difficilement imaginer que quelque législateur que ce soit accepte sa préservation par un sacrifice de la vie privée des citoyens. Au bout du compte le débat opt-in versus opt-out fait resurgir une interrogation déjà tranchée par la directive générale d’octobre 1995 qui très clairement établit deux droits fondamentaux : celui du respect du principe de finalité au nom duquel une adresse e-mail rendue publique dans un groupe de discussion ou même communiquée à un opérateur de vente directe dans un contexte bien précis, n’autorise en aucun cas qui que ce soit à se 72 l’approprier à d’autres fins ; par ailleurs, la directive consacre le droit d’opposition de la personne, étant entendu que ce droit s’exerce a priori ; l’optout revient à considérer que les boîtes-aux-lettres sont libres de droits ; il n’est que l’expression d’une opposition a posteriori de l’internaute, après que le préjudice initial ait été subi. Cette vision est donc contraire à la directive générale. Les traitements de données de marketing en général créent une situation de perte de contrôle de l’individu sur sa propre identité. En effet, et le e-mail marketing n’échappe pas à cette règle, le propre de l’ingénierie du marketing consiste à accumuler le maximum de données sur les prospects de manière à cibler de façon très précise les campagnes de communication et les offres promotionnelles ; il apparaît qu’il existe ainsi un lien très direct entre la qualité des fichiers et le taux de transformation d’une campagne. Cette loi conduit tous les professionnels du marketing à construire de vastes entrepôts de données et à développer des traitements de modélisation qui sans cesse vont permettre de réduire le niveau d’incertitude quant au comportement des consommateurs face aux offres avec lesquelles ils vont être sollicités dans leurs boîtes-aux-lettres. Cela passe par des processus de collecte de données personnelles élargis à tous les domaines possibles et signifie que les opérateurs de sites Internet ne se contentent guère des seules données transmises délibérément par un visiteur à travers un formulaire, aussi précis soit-il. Quand on a, par exemple, la possibilité de savoir précisément quel est le comportement général d’achat de tel ou tel internaute, il s’agit d’une information déterminante dont personne n’a vraiment envie de se priver. Ainsi vont les données personnelles, de matchings en enrichissements successifs, des identités composites se constituent par addition de bribes d’informations : celles que l’on fournit aux uns et aux autres, celles que l’on sécrète involontairement à travers sa navigation, ses achats, ses prises de position dans des espaces publics. Chaque individu possède ainsi un double virtuel reconstruit et la question que tout le monde se pose inconsciemment est de savoir quelle est l’architecture de ce double, correspond-il à l’image que l’on se fait de soi, est-il conforme à celle que l’on a envie de communiquer aux autres ? Quand bien même ce double ne serait que la résultante d’une somme de données d’opt-in, le profil individuel fécondé par des modèles de traitements informatisés est-il nécessairement consenti et accepté ? Toute la vraie problématique de la protection de la vie privée sur Internet renvoie en réalité à cette série de questions. L’opt-in dans des listes de diffusion ou de prospection, est un moyen de contrôle parmi d’autres de ce double, il permet de le façonner quelque peu, mais reconnaissons qu’il est bien imparfait et que jamais un individu ne contrôlera totalement l’alchimie à laquelle ses données personnelles sont soumises dans le secret des salles blanches. On peut enfin se livrer à quelques projections statistiques et financières. Il existe aujourd’hui 234 millions d’internautes dans le monde et le parc utilisateurs atteindra probablement 300 millions à la fin de l’année 2000 ; si l’on part de l’hypothèse que, peu ou prou, tous les opérateurs de e-mail marketing vont se doter de moteurs capables de transmettre 100 millions d’e-mails par jour, quel ne va pas être le risque de saturation des internautes ? Si 200 sociétés en effet sont équipées de tels moyens, on peut calculer que 20 milliards d’e-mails 73 commerciaux seraient acheminés quotidiennement sur l’Internet, soit une moyenne d’un peu plus de 60 e-mails reçus par chaque internaute, représentant un temps de téléchargement d’environ une heure à technologie constante et sans prendre en compte le fait que les e-mails commerciaux vont avoir de plus tendance à incorporer des objets photographiques ou vidéo. N’y a-t-il pas là un risque réel d’entropie de l’Internet si des mesures ne sont pas prises rapidement pour introduire le niveau de régulation nécessaire ? Une interprétation extrêmement rigoureuse du concept d’opt-in apparaît comme une mesure de survie. Pour ce qui est enfin de l’évaluation de la charge financière supportée par la communauté des internautes, on peut se livrer à quelques calculs et projections. En partant de l’idée qu’un internaute moyen, disposant d’un abonnement forfaitaire de 12 € pour 10 heures de connexion par mois (communications téléphoniques comprises) et d’un équipement standard (hors Internet rapide), parvient à charger environ 180 Ko à la minute, on obtient un coût qui peut représenter dans le pire des cas jusqu’à 30 € par an pour le chargement d’une petite quinzaine de messages quotidiens représentant entre 500 et 800 Ko au total. Cela revient à une dépense globale très significative si l’on raisonne à l’échelle du parc utilisateur de toute une nation. Au plan mondial, sur une base de 400 millions d’internautes, le chargement de messages publicitaires dans le contexte technologique actuel donnerait une dépense globale que l’on peut situer au bas mot autour de € 10 milliards pour les seuls coûts supportés par les internautes. Le deuxième problème est celui du temps passé par l’internaute à faire le tri entre les messages commerciaux et les messages personnels ou professionnels qu’il souhaite lire et traiter. Il ne s’agit pas seulement d’un simple click de souris pour détruire les messages non-sollicités, il faut encore bien s’assurer de leur nature réelle et c’est cette opération qui est la plus délicate ; qui n’a pas un jour par inadvertance supprimé un message important pensant que c’était une publicité ? Remarquons au passage que ce problème se pose aussi avec le courrier traditionnel. Le temps nécessaire à cette prise de connaissance peut être assez considérable, de l’ordre de 3 à 4 secondes, estiment A Schwartz et Simson Garfinkel (38), « (…) but those seconds add up quickly : one million people clicking Delete corresponds to roughly a month of wasted human activity. Or put another way, if you get six spam messages a day, you’re wasting two hours each year deleting spam. » (39). Il serait assez hasardeux de vouloir valoriser ce gaspillage de temps si l’on reste dans le champ de la vie privée. Par contre la question prend une tournure différente dans le monde du travail : si l’on veut bien prendre en compte le fait que les adresses e-mails professionnelles ne sont pas à l’abri des campagnes de e-marketing, bien au contraire, les entreprises pourraient légitimement s’interroger sur le coût que représente le temps passé par leurs salariés connectés à Internet à consulter et nettoyer régulièrement leur boîte-aux-lettres 38) op.cit. 39) Ibid. page 5 74 électronique de tous les messages publicitaires qu’ils peuvent recevoir. N’oublions jamais qu’un des grands succès de la technologie de l’Internet, que d’ailleurs personne n’a jamais vraiment vu, est de permettre d’introduire la communication publicitaire jusque sur le poste de travail de plusieurs dizaines de millions de salariés d’entreprise. 75 Deuxième Partie : Quelle protection en Europe ? 77 Chapitre III : Le cadre juridique européen de la prospection commerciale non sollicitée Il peut paraître paradoxal de rappeler par ce premier chapitre le cadre juridique européen applicable à la protection des personnes à l’égard de la prospection commerciale non sollicitée et d’intituler le présent rapport « quelle protection en Europe ? ». Cependant, ce choix n’est pas destiné à interrompre l’analyse dès la fin du présent chapitre. Il est destiné à rappeler que les quatre étapes qui se sont succédées dans l'élaboration du cadre juridique actuellement applicable à la prospection commerciale non sollicitée ont été marquées par des débats qui transparaissent de manière apparemment différente dans chacune des directives concernées, mais qui poursuivent pourtant une même logique. Dès lors, le sens de cette succession de textes et leur contenu effectif doivent être rappelés en préalable à toute analyse, afin de mettre en perspective avec la législation communautaire existante la très récente proposition de directive de la Commission européenne concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, laquelle consacre des développements novateurs à la prospection commerciale non sollicitée (COM[2000] 385, 12 juillet 2000). L'initiative récente de la Commission européenne permet de mettre en perspective les constats tirés de ces enquêtes. Elle ouvre avec opportunité un débat qui semblait s'être récemment refermé avec l’adoption de la directive 2000/31/CE sur le commerce électronique. La légitimité de cette initiative et ses effets probables seront ici analysés à la lumière du cadre juridique qui l’a précédé. Il ne fait aucun doute que cette initiative nourrit considérablement l’intérêt de la question à laquelle tente de répondre le présent rapport. 78 III.1) - Les principes généraux posés par la directive 95/46/CE (40) Il n’est pas contesté que l’adresse électronique (e-mail) est une donnée à caractère personnel au sens de l’ensemble des législations nationales et communautaires de protection des données personnelles, notamment l’article 2 [a] de la directive du 24 octobre 1995 (41), dans la mesure où elle permet dans bien des cas d’identifier le nom ou le prénom et/ou l’adresse professionnelle de son titulaire et, en tout état de cause, se rapporte à une personne physique. Il n’est pas besoin d’ajouter que, même dans les pays dépourvus d’une législation générale de protection des données personnelles, tels que les États-Unis, l’adresse électronique relève de la sphère privée et son usage du droit à la tranquillité (« right to be left alone »). La directive 95/46 du 24 octobre 1995, qui devait être transposée en droit interne par les États membres de l’Union européenne avant le 25 octobre 1998, prévoit notamment en ses articles 6, 7, 10, 11 et 12 que des données personnelles ne peuvent être traitées par voie informatique qu’à condition qu’elles aient été collectées et traitées de manière loyale et pour des finalités précises ayant un fondement légitime. L’article 7 définit les conditions auxquelles doit satisfaire un traitement de données personnelles pour être légitime. Deux de ces conditions peuvent s’appliquer à la prospection électronique. Celle prévue à l’article 7[a] : un traitement peut être considéré comme légitime si la personne concernée a indubitablement donné son consentement. Celle prévue à l’article 7[f] : le traitement « est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée ». L’article 6.1.[a] pose le principe que les données doivent être collectées et traitées loyalement. L’article 10 prévoit de surcroît qu’en cas de collecte directe auprès des personnes, celles-ci doivent être informées de la finalité de la collecte, des destinataires des informations collectées, du caractère facultatif ou 40) Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. 41) Directive 95/46/CE du 24 octobre 1995, article 2 [a] : « Définitions : aux fins de la présente directive, on entend par « données à caractère personnel », toute information concernant une personne physique identifiée ou identifiable ("personne concernée"); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ». 79 obligatoire de la collecte et de l’existence du droit d’accès et de rectification. L’article 11 prévoit, quant à lui, que lorsque les données personnelles n’ont pas été collectées directement auprès de la personne concernée, le responsable du traitement doit l’en informer dès l’enregistrement des données ou, si une cession à des tiers est envisagée, lors de la première communication de ces données à un tiers. Enfin, la directive 95/46/CE prévoit (article 14) deux catégories de droit d’opposition visant des situations distinctes. D’une part, les personnes peuvent s’opposer, sur demande et gratuitement, au traitement à des fins de prospection commerciale des données qui les concernent. D’autre part, les personnes doivent être informées par le responsable du traitement que leurs données sont susceptibles d’être communiquées à des tiers. Cette information doit leur être apportée préalablement à la communication de leurs données. Les personnes peuvent s’opposer, le cas échéant, gratuitement, à la transmission de leurs données à des tiers. III.2) - L’application des principes précisée dans le domaine des télécommunications par la directive 97/66/CE (42) La directive 97/66/CE du 15 décembre 1997 relative à la protection des données à caractère personnel dans le secteur des télécommunications, qui devait être transposée en droit interne par les États membres de l’Union européenne avant le 25 octobre 1998, n’évoque pas expressément la prospection par courrier électronique. Elle vise cependant deux catégories de procédés de prospection dans son article 12. La directive 97/66/CE prévoit, en premier lieu, que « l'utilisation de systèmes automatisés d'appels sans intervention humaine (automates d'appel) ou de télécopieurs (fax) à des fins de prospection directe ne peut être autorisée que si elle vise des abonnés ayant donné leur consentement préalable ». On se bornera à relever, à ce stade, que cette caractéristique de « systèmes automatisés sans intervention humaine » est très proche, sinon identique, à celles de la prospection par courrier électronique. 42) Directive 97/66/CE/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications. 80 En second lieu, elle prévoit que, s’agissant des autres modes de prospection par la voie des télécommunications, les États membres « prennent les mesures appropriées pour faire en sorte que, sans frais pour l'abonné, les appels non sollicités par celui-ci et effectués à des fins de prospection directe […] ne soient pas autorisés, soit sans le consentement des abonnés concernés, soit à l'égard des abonnés qui ne souhaitent pas recevoir ces appels, le choix entre ces deux solutions étant régi par la législation nationale ». Convenons que cette directive n’évoque pas explicitement la prospection commerciale par courrier électronique. Cependant, il convient de relever qu’à ce jour, cinq États membres connaissent un régime de consentement préalable obligatoire avant tout envoi d’une communication commerciale non sollicitée. Quatre d’entre eux, l’Autriche, le Danemark, la Finlande et l’Italie ont, à l’occasion de la transposition en droit interne de la directive 97/66/CE, choisi de viser la prospection par courrier électronique au titre des procédés de prospection sans intervention humaine qui ne peuvent être utilisés qu’avec le consentement préalable des personnes. S’agissant de l’Autriche, l’entrée en vigueur en août 1999 de la section 101 de la loi autrichienne de réglementation des télécommunications (Journal Officiel n° 100/1997) a imposé le recueil du consentement préalable des destinataires de prospections en cas d’utilisation à des fins commerciales d’automates d’appels, de fax, ou de courriers électroniques en masse. Des peines loures sont prévues par la section 104 de la même loi, pouvant aller jusqu’à 500.000 schillings autrichiens, soit 36.336 Euros. Au Danemark, la loi n° 418 du 31 mai 2000 a transposé la directive 97/66/CE. L’article 12 de cette loi, transposé dans la loi danoise sur les pratiques commerciales, elle-même codifiée par la loi n° 699 du 17 juillet 2000, prévoit expressément que l’utilisation à des fins commerciales du courrier électronique, d’automates d’appels ou de fax pour des opérations de prospection non sollicitées par le destinataire n’est autorisée qu’à la condition du recueil préalable du consentement de ce dernier. On relèvera par ailleurs que, s’agissant des autres modes de prospection, la loi danoise crée un registre public d’opposition dont la consultation trimestrielle est obligatoire En Finlande, la loi 1999/565 du 22 avril 1999 sur la protection des données personnelles dans le secteur des télécommunications, transposant en droit finlandais la directive 97/66/CE du 15 décembre 1997, prévoit dans son article 21 relatif aux télécommunications et au marketing direct le recueil du consentement préalable à l’utilisation d’automates d’appels et de fax à des fins de prospection directe. En outre, la loi ouvre la pos- 81 sibilité au ministre finlandais des télécommunications de prévoir, en tenant compte des fonctionnalités et des conditions de sécurité des médias employés dans des opérations de marketing direct, notamment le courrier électronique, le recueil du consentement préalable des personnes. Enfin, la loi ajoute que les opérations de marketing direct à destination des consommateurs sont régies par la loi 1978/38 sur la protection des consommateurs. Il semble établi que la Finlande vient de saisir la faculté laissée par la loi d’aménager la protection des personnes selon le média utilisé et a opté à la fin de l’année 2000 pour la garantie du consentement préalable (optin) à la prospection par courrier électronique. En octobre 2000, la fédération finlandaise du marketing direct, pour sa part, aurait adopté un code de déontologie prévoyant le recueil du consentement préalable des personnes avant tout envoi d’un courrier électronique de prospection direct. En Italie (43), le décret d’application n° 171 du 13 mai 1998 opérant la transposition en droit interne de la directive 97/66/CE, renvoie à la notion de consentement visée aux article 11 à 13 de la loi italienne de protection des données personnelles n° 675 du 31 décembre 1996 (similaire à la directive 95/46/CE) et dispose que le consentement doit être recueilli préalablement à l’envoi de publicités non sollicitées ou ayant des finalités de marketing ou de communication interactive dès lors que des moyens d’appels automatiques sont utilisés, notamment la messagerie électronique. S’agissant des autres modes de prospection, les personnes doivent êtres informées qu’elle disposent d’un droit d’opposition à être prospectées. En outre, l’Allemagne connaît également l’exigence du consentement préalable, même si elle trouve d’autres fondements juridiques que la transposition de la directive 97/66/CE, notamment jurisprudentiels (voir infra, IV.2.2). III.3) - La protection des consommateurs en matière de contrats à distance La directive 97/7/CE du 20 mai 1997 (44), qui devait être transposée en droit interne par les États membres de l’Union européenne avant le 21 mai 2000 distingue également, dans son article 10 relatif aux « limites à l’utilisation de certaines techniques de communication », la nature de la 43) Textes disponibles en anglais sur http://www.garanteprivacy.it ou www.dataprotection.org 44) Directive 97/7/CE du Parlement européen et du Conseil du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance. Cette directive devait être transposée en droit interne par les Etats membres de l’Union européenne avant le 21 mai 2000. 82 protection offerte aux personnes selon les caractéristiques du procédé employé. Elle prévoit, en premier lieu, que « l'utilisation […] des techniques […] de communication à distance [telles que les] systèmes automatisés d'appel sans intervention humaine (automate d'appels), et la prospection par télécopieur […] nécessite le consentement préalable du consommateur ». En second lieu, elle prévoit que « les États membres veillent à ce que les techniques de communication à distance autres que celles visées précédemment », parmi lesquelles figure explicitement le courrier électronique, « ne puissent être utilisées qu'en l'absence d'opposition manifeste du consommateur ». III.4) - La directive 2000/31/CE sur le commerce électronique La récente directive 2000/31/CE du 8 juin 2000 (45), qui devra être transposée en droit interne par les États membres de l’Union européenne avant le 17 janvier 2002, fait l’objet des interprétations les plus divergentes sur sa portée précise et son caractère contraignant ou non, générant une confusion préjudiciable à la fois aux commerçants électroniques et aux internautes. III.4.1) - Les objectifs exprimés par le législateur communautaire Du strict point de vue juridique, des précautions exceptionnelles ont été prises dans les considérants de la directive 2000/31/CE afin qu’elle n’interfère pas avec la législation communautaire existante relative à la protection des données personnelles (directives 95/46/CE et 97/66/CE) et à la protection des consommateurs en matière de contrats à distance (directive 97/7/CE). Or, ces précautions sont révélatrices des difficultés qu’il peut y avoir à articuler des textes généraux avec d’autres à vocation sectorielle. Ainsi, la directive est à la fois destinée à traiter de problèmes juridiques spécifiques (cons. 6) et à établir un cadre général pour le commerce électronique (cons. 7). En outre, elle tend à la fois à assurer un haut niveau de protection des consommateurs (cons. 10), à compléter les exigences d’information 45) Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridique des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique »), JOCE L. 178 du 17 juillet 2000. 83 établies par la directive 97/7/CE (cons. 11) et déclare ne concerner aucunement la législation communautaire en matière de protection des consommateurs (cons. 11). Ensuite, elle rappelle que la protection des données personnelles est uniquement régie par les directives 95/46/CE et 97/66/CE (cons. 14), lesquelles sont applicables aux services de la société de l’information tels que les communications commerciales par courrier électronique, tout en instaurant des dispositifs nouveaux de transparence lors de l’envoi d’une prospection électronique et de filtrage des fichiers de prospection non sollicitée, par le biais de registres nationaux d’opposition (cons. 18). Enfin, la directive 2000/31/CE ne s’applique pas aux prestataires de services établis hors de l’Union européenne, mais elle entend être cohérente avec les règles extra-communautaires (cons. 58). Elle n’entend pas influencer les futurs résultats des discussion en cours au sein de l’OMC, de l’OCDE et de la CNUDCI, mais constitue une position commune de négociation dans les enceintes internationales (cons. 59). Finalement, le considérant 60 forme le vœu que la directive 2000/31/CE contribue à un cadre juridique clair, simple, prévisible et cohérent au niveau international… III.4.2) - Le dispositif prévu par le législateur communautaire La directive 2000/31/CE prévoit dans son article 7 deux catégories de mécanismes à caractère technique expressément applicables à l’envoi de messages électroniques non sollicités. Elle prévoit en effet (article 7.1), qu’en plus de veiller à l’application de la législation communautaire existante, « les Etats membres qui autorisent les communications commerciales non sollicitées par courrier électronique veillent à ce que ces communications commerciales effectuées par un prestataire établi sur leur territoire puissent être identifiées de manière claire et non équivoque dès leur réception par le destinataire ». En outre, elle prévoit (article 7.2) que, « sans préjudice de la directive 97/7/CE et de la directive 97/66/CE, les États membres prennent des mesures visant à garantir que les prestataires qui envoient par courrier électronique des communications commerciales non sollicitées consultent régulièrement les registres « opt-out » dans lesquels les personnes physiques qui ne souhaitent pas recevoir ce type de communications peuvent s’inscrire, et respectent le souhait de ces dernières ». Contrairement à l’intention affichée du législateur communautaire, la directive 2000/31/CE n’est -malheureusement- pas silencieuse sur la 84 nature des garanties qui doivent être offertes aux personnes, dans la mesure où, en évoquant l’existence de « registres opt-out », elle promeut implicitement -mais mécaniquement- l’existence d’un simple droit d’opposition à recevoir des prospections commerciales non sollicitées. III.4.3) - L’ambiguïté de la directive du 8 juin 2000, source d’insécurité juridique L’article 7.1 de la directive évoque expressément la faculté qui serait laissée aux Etats membres par la législation communautaire existante d’interdire la prospection électronique non sollicitée. A défaut d’une telle interdiction, le caractère commercial du message non sollicité doit être immédiatement identifiable par le destinataire. L’article 7.2, pour sa part, n’évoque ni l’hypothèse d’Etats membres qui interdiraient la prospection non sollicitée ni celle d’Etats membres qui auraient choisi de subordonner au consentement préalable du destinataire l’envoi de messages commerciaux non sollicités. En se bornant ainsi à instaurer une obligation nationale -à la charge de tous les Etats membres- de consultation régulière de registres d’opposition, la directive 2000/31/CE promeut un dispositif technique uniquement dédié à la mise en œuvre du droit d’opposition. Or, dès la première version de la proposition de directive sur le commerce électronique, en date du 18 octobre 1998, la question des garanties qui doivent être offertes aux internautes s’est focalisée autour d’un débat parfois virulent entre les partisans d’un consentement préalable (opt-in) et les défenseurs d’un simple droit d’opposition (opt-out) à recevoir des prospections électroniques non sollicitées. Ce débat, que le texte de la proposition de directive n’avait pourtant pas vocation à trancher, a motivé la participation forte des organisations nationales et européennes des professionnels du commerce électronique, des fournisseurs d’accès à internet, des associations représentatives des consommateurs et des internautes, des Etats membres et des autorités nationales de protection des données personnelles. Lors de la finalisation du projet de texte communautaire, les courants d’opinion les plus opposés ont unanimement estimé et fait savoir par la presse que la directive du 8 juin 2000 faisait clairement la promotion d’un régime de « opt-out ». Force est de constater que l’écho médiatique donné à cette interprétation a passé largement sous silence la volonté affichée dans les considérants de la directive de ne pas traiter des garanties de fond reconnues aux internautes européens. 85 Les auditions et consultations menées dans le cadre de la présente étude attestent de la forte conviction, commune aux partisans comme aux opposants à une solution de « opt-out », selon laquelle la directive 2000/31/CE promeut un simple droit d’opposition (opt-out) à la prospection électronique non sollicitée. Cette conviction, qu’on la conteste ou qu’on la partage est une donnée essentielle à la bonne compréhension de la situation européenne actuelle en matière de régulation publique ou privée de la prospection électronique non sollicitée. Or, le droit d’opposition que la directive tend à organiser par le biais de registres nationaux ou internationaux placés sous le contrôle de chacun des Etats membres, est généraliste et universel. Il peut être exercé en pratique par tout internaute, européen ou non. Son respect s’impose à tous les prestataires européens -et eux seuls- de services de la société de l’information, sans aucune considération des liens antérieurs qui ont pu se nouer entre un internaute et un prestataire déterminé. Pourtant, ces liens peuvent être très divers : visite d’un site, inscription à un service gratuit, simple contact avec l’entreprise, contrats antérieurs, ou absence totale de liens. Or, avant l’adoption de la directive 2000/31/CE, le droit d’opposition à être prospecté ne pouvait exister que dans le cadre d’une relation entre une personne déterminée et un professionnel particulier. En effet, conformément à l’article 14 de la directive 95/46/CE, le droit d’opposition à être prospecté peut être exercé auprès de (et doit être offert par) celui qui a directement collecté l’e-mail. L’article 14 vise deux hypothèses distinctes : d’une part, l’opposition à recevoir des prospections provenant du collecteur de l’e-mail, d’autre part, l’opposition à recevoir des prospections provenant de tiers et qui feraient suite à la transmission de l’e-mail à des tiers. La directive 2000/31/CE promeut, pour sa part, l’exercice d’un droit d’opposition à être prospecté par quiconque (établi en Europe) par la voie électronique, sans imposer d’information du collecteur de l’e-mail ni du tiers prospecteur sur l’exercice de cette opposition. Enfin, les registres d’opposition de la directive sur le commerce électronique ne sont pas présentés comme devant être systématiquement consultés avant tout envoi de messages, la directive s’étant bornée à prévoir un mécanisme de « consultation régulière ». Là encore, on relèvera que cette expression est une source d’ambiguïté. Une consultation « régulière » ne signifie pas, en effet, une consultation préalable ni systématique. 87 Chapitre IV : Le « spamming » n’a pas encore envahi l’Europe IV.1) - Une réaction européenne aux problèmes américains de vie privée Deux grands phénomènes ont marqué l’émergence aux États-Unis d’une problématique de protection de la vie privée sur Internet au cours des cinq dernières années. Il ne s’agit ni de la diffusion sur le Web des aveux du Président Clinton sur ses relations avec Monica Lewinsky, ni de la diffusion « pour préparer le procès du plus grand crime de l’humanité », des coordonnées personnelles de chirurgiens obstétriques -et de leur famille- pratiquant l’avortement outre-Atlantique. Il s’agit, dès 1994, de la polémique entourant l’usage commercial des fichiers « cookies » et, depuis 1996, de pratiques d’envois massifs de courriers électroniques commerciaux non sollicités. Ces deux problématiques posent, chez nos voisins américains, la question des limites qu’une société entend poser à une pratique commerciale impopulaire. S’agissant des « cookies », et sous la pression des associations familiales et de consommateurs américaines, l’IETF (46) a adopté des mécanismes techniques d’autorégulation permettant aux personnes de s’opposer, ponctuellement ou de façon permanente, à la mémorisation de fichiers « cookies » dans leur ordinateur. Si l’information des personnes sur la possibilité de refuser ces fichiers est encore très imparfaite, on conviendra au moins que l’exercice de ce droit est techniquement ouvert aux internautes du monde entier grâce aux travaux menés au sein de l’IETF. Dès lors, même si d’un strict point de vue juridique les fichiers « cookies » ne traitent pas par nature ni nécessairement des données personnelles au sens de l’article 2 de la directive du 24 octobre 1995 (47), il y a très certainement lieu de se féliciter que l’absence de loi générale de protection des données personnelles aux Etats-Unis et le concept 46) IETF : Internet Engineering Task Force, organisme international de normalisation des protocoles techniques de l’Internet. 47) Voir supra, III.1, note 39. 88 extensif de la « privacy » américaine aient pu permettre aux internautes américains d’imposer aux éditeurs américains de logiciels la règle (le droit d’opposition) réclamée par le marché, règle dont bénéficient aujourd’hui l’ensemble des utilisateurs de logiciels de navigation du monde. Le « spamming », pour sa part, est appréhendé, aux États-Unis comme en Europe, sous l’angle juridique. Aux États-Unis, une des explications économiques de cette approche est que les fournisseurs d’accès et de messagerie américains n’ont pas souhaité faire indéfiniment les frais techniques et commerciaux des désagréments causés par les « spams » et se sont tournés, à court de parades techniques, vers leurs législateurs pour obtenir secours. La seconde explication, couramment avancée, est la mobilisation de l’opinion publique face à l’ampleur du phénomène, relayée par la presse et les défenseurs américains de la « privacy ». En Europe, la question du « spamming » a naturellement été abordée sous l’angle juridique. Fondamentalement, parce qu’en Europe la règle de droit préexistait au phénomène du « spamming ». Il ne s’agissait pas en Europe, en effet, de créer une législation nouvelle face à un phénomène nouveau dont la qualification juridique aurait été impossible, faute de règle existante. Il s’agissait d’apprécier juridiquement les caractéristiques du « spamming » pour identifier si le droit existant devait être modifié ou complété pour viser expressément ce phénomène, ou encore supprimé en raison de son inadaptation aux pratiques développées sur Internet. C’est à partir de 1997 que la presse européenne s’est faite massivement l’écho du phénomène américain du « spamming » et de son ampleur, laissant redouter son déferlement en Europe. Cette « menace » sérieuse a relancé en Europe durant les deux années de discussion de la directive sur le commerce électronique, le débat juridique déjà ouvert lors de la discussion de la directive 97/66/CE du 15 décembre 1997 relative à la protection des données personnelles dans le secteur des télécommunications, ou encore de la directive 97/7/CE du 20 mai 1997 relative à la protection du consommateur dans les opérations de vente à distance et, deux ans avant, lors de la discussion de la directive 95/46/CE du 24 octobre 1995 harmonisant en Europe les principes généraux de protection des données personnelles. Or, et cet enseignement est loin d’être sans intérêt, les études conduites dans le cadre du présent rapport attestent que l’Europe ne connaît pas, pour l’heure, de pratiques aiguës de prospection électronique non sollicitée ni même de « spamming ». 89 IV.2) - Des débats mais peu de situations conflictuelles IV.2.1) - Les autorités nationales de contrôle et le « spamming » Il doit être relevé que la quasi-totalité des autorités nationales de contrôle en charge de la protection des données personnelles de l’ensemble de l’Union européenne, déclare qu’elles n’ont pas été saisies, à ce jour, de plaintes relatives à des cas de « spamming » caractérisé. Il doit également être remarqué que l’intervention des autorités saisies de cas de prospection commerciale non sollicitée n’a, généralement, pas été contentieuse. Cependant, une décision mérite d’être soulignée et une analyse évoquée. Une forte amende prononcée en Espagne En Espagne, l’autorité de contrôle a rendu une décision sanctionnant d’une forte amende une entreprise qui avait adressé plusieurs courriers électroniques de prospection non sollicités. Les faits de la cause étaient les suivants. Une entreprise qui avait reçu de nombreux courriers électroniques à l’occasion d’un mouvement de protestation des internautes contre l’opérateur national Telefonica, avait systématiquement intégré dans son fichier de prospection les adresses électroniques des internautes qui lui avaient écrit, mais également les adresses électroniques mentionnées comme destinataires en copie de ces messages et qui figuraient dans le champ « copie à » (CC :). C’est dans ces conditions qu’une personne, destinataire en copie d’un courrier adressé à cette société, avait peu de temps après reçu de cette dernière un courrier électronique de prospection pour des produits informatiques. S’adressant aussitôt à la société en cause, cette personne lui avait demandé de supprimer immédiatement son adresse électronique des fichiers qui avaient été utilisés pour la prospecter. Peu de temps après, le requérant reçut un nouveau message électronique de la même entreprise. Ce second message fut d’ailleurs considéré comme « menaçant » par l’Agence espagnole de protection des données personnelles. Dans sa décision, qui fait à ce jour l’objet d’un recours devant les juridictions espagnoles, l’Agence espagnole a rejeté tous les moyens de défense de l’entreprise en cause. Elle a en premier lieu 90 constaté que l’adresse électronique d’une personne physique devait être considérée comme une donnée à caractère personnel. En deuxième lieu, elle a rejeté l’argument consistant à soutenir que le caractère public d’une adresse électronique autorise son libre usage. Sur ce point, l’Agence espagnole a précisé que les entreprises qui obtiennent des adresses électroniques doivent s’assurer que la personne concernée a donné son consentement à leur utilisation commerciale. La société en cause ne pouvant justifier avoir recueilli le consentement de la personne concernée, l’Agence espagnole a considéré qu’il s’agissait d’une « infraction grave », au sens de la loi espagnole de protection des données personnelles, et l’a condamnée à une amende de 10.000.001 Pesetas, soit environ 60.100 Euros. Il convient de garder à l’esprit que cette décision n’est pas définitive dans la mesure où elle fait l’objet d’un recours juridictionnel, circonstance qui ne permet pas de révéler l’identité de l’entreprise poursuivie. Une réflexion approfondie en France En France, la CNIL a adopté le 14 octobre 1999 un rapport d’analyse juridique et d’orientation sur le « publipostage électronique », qui fut transmis à ses homologues européennes dans le cadre du groupe « protection des données » institué par l’article 29 de la directive 95/46/CE. Il doit être relevé que la Commission française a principalement affirmé que « l’envoi de messages électroniques […] repose sur la collecte préalable d’adresses électroniques », lesquelles « constituent des données personnelles ». « Les conditions dans lesquelles les adresses électroniques peuvent être collectées sur Internet doivent respecter les règles édictées par les législations de protection des données et les droits des personnes concernées». « La collecte automatisée à des fins de prospection commerciale d’e-mails figurant dans des espaces publics de l’Internet » est subordonnée par la directive générale 95/46/CE au “consentement indubitable” des personnes concernées. » La CNIL déduit de cette analyse qu’on ne saurait évoquer le phénomène du « spamming » ou la prospection électronique non sollicitée sans distinguer selon la relation qui existe entre une entreprise déterminée et un internaute. Ainsi, la CNIL paraît admettre que, dans certaines conditions, les entreprises puissent adresser un courrier de prospection qui n’a pas été sollicité par l’internaute 91 dès lors que cet internaute aurait eu un contact préalable avec cette entreprise (visite du site, contact antérieur, achat, etc.). En revanche, la CNIL prend fermement position sur le fait qu’en aucun cas des adresses e-mails ne peuvent être collectées dans les espaces publics de l’Internet (sites web, forums de discussion, listes publiques de diffusion). La position du groupe « article 29 » L’ensemble des autorités nationales de protection des données personnelles, réunies au sein du groupe « protection des données » institué par l’article 29 de la directive 95/46/CE du 24 octobre 1995 (48), a adopté le 3 février 2000 (49) un avis formel sur la question de la prospection commerciale non sollicitée et plus particulièrement sur l’encadrement juridique européen du « spamming ». Cet avis a ensuite été repris dans un avis formel 7/2000 du 2 novembre 2000 sur la proposition de directive de la Commission européenne révisant la directive 97/66/CE (50), ainsi que dans un document exhaustif sur le respect de la vie privée sur internet adopté le 21 novembre 2000 (51). Dans l’avis du 3 février 2000 les membres du groupe ont rappelé en premier lieu que la législation communautaire de protection des données s’applique aux questions relevant du commerce électronique et que les problèmes soulevés par la prospection électronique peuvent être résolus à l’aide des principes généraux retenus par les directives 95/46/CE du 24 octobre 1995 et 97/66/CE du 15 décembre 1997. En deuxième lieu, ils ont précisé que les dispositifs à caractère technique retenus par la directive 2000/31/CE sur le commerce électronique n’écartaient aucunement l’application des principes généraux de protection des données personnelles, tels que celui de la loyauté de la collecte, de la transparence de l’usage ultérieur des données et du droit d’opposition à l’usage commercial des données ainsi qu’à leur cession à des tiers. 48) Ce groupe constitue un organe de conseil sur la protection des données personnelles indépendant de l’Union européenne. Ses responsabilités et ses tâches sont définies par l’article 30 de la directive 95/46/CE et par l’article 14 de la directive 97/66/CE. 49) Voir sur http://europa.eu.int/comm/internal_market/fr/media/dataprot/wpdocs/index.htm : avis 1/2000 du 3 février 2000 sur certains aspects du commerce électronique concernant la protection des données personnelles. 50) Avis 7/2000 sur la proposition de la Commission européenne du 12 juillet 2000 d'une directive du Parlement européen et du Conseil concernant le traitement de données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. 51) Ces avis sont publiés sur : http://europa.eu.int/comm/internal_market/fr/media/dataprot/wpdocs 92 En troisième lieu, ils ont estimé que la collecte d’adresses électroniques dans les espaces publics de l’Internet est tout à la fois contraire au principe de la collecte loyale (article 6.1[a] de la directive 95/46/CE), au principe de finalité (article 6.1[b]) (52), ainsi qu’au principe de légitimité des traitements (article 7[f]) (53). Cette opinion a été émise durant le débat juridique entourant la discussion de la directive 2000/31/CE sur le commerce électronique. Elle mérite d’être soulignée bien qu’elle ait été présentée comme une position provisoire en attente de travaux ultérieurs sur les procédés logiciels de protection contre le « spamming ». Elle constitue en effet une analyse stable et commune de la législation européenne de protection des données personnelles « à droit constant » et elle porte une appréciation totalement pertinente sur le caractère purement technique et non exhaustif des dispositions de la directive 2000/31/CE. Cette approche est totalement confirmée par l’avis du Groupe 7/2000 du 2 novembre 2000 sur la proposition de directive de la commission européenne révisant la directive 97/66/CE. Enfin, le groupe « article 29 », dans le document de travail exhaustif sur le respect de la vie privée, adopté le 21 novembre 2000 (54), a fait à nouveau référence à la définition du « spamming » donnée au mois d’octobre 1999 par l’autorité française dans son rapport sur le publipostage électronique et rappelé l’avis du groupe 1/2000 du 3 février 2000 (voir supra, note 49) et l’applicabilité claire des dispositions de la directive 95/46/CE, notamment ses articles 6(1)[a], 6(1)[b], 7[f], 10, 12 et 14. Relevant que le publipostage électronique non sollicité constituerait, selon une étude récente (55), 10% de l’ensemble des messages électroniques échangés dans le monde, le groupe « article 29 » mentionne au titre des procédés susceptibles d’améliorer le respect de la vie privée le filtrage de e-mails importuns et l’utilisation de messageries électroniques anonymes, dont les messages sont véhiculés par l’intermédiaire d’un fournisseur de service de « réexpédition ». 52) Article 6 de la directive 95/46/CE : « 1. Les Etats membres prévoient que les données à caractère personnel doivent être : a) traitées loyalement et licitement; b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités […]. » 53) Article 7 [f] de la directive 95/46/CE : « Les Etats membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si […] il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévale pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée. » 54) Voir sur http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/ 55) Voir l’ouvrage de Hagel III J. & Singer M. « Net Worth : the emerging role of the informediary in the race for customer information”, Harvard Business School Press, 1999, p. 275. 93 IV.2.2) - Les juridictions de l’Union européenne et le « spamming » Les enquêtes réalisées dans le cadre du présent rapport montrent que très peu de juridictions en Europe ont été saisies à ce jour de cas de « spamming » ou de prospection électronique non sollicitée. Deux Etats membres font exception : l’Espagne, dans le cadre du contentieux précédemment décrit (voir supra, II.2.1) et l’Allemagne, dans les conditions suivantes. Le commissaire à la protection des données personnelles du Land de Berlin, Monsieur Hansjürgen Garstka a justement fait observer que les juridictions de premier niveau allemandes ont étendu depuis décembre 1997 au courrier électronique non sollicité la jurisprudence (56) qu’elles avaient précédemment dégagée en matière de prospection par fax et par téléphone. Ces juridictions jugent que les pratiques de prospection non sollicitée constituent des actes de concurrence déloyale au regard de la jurisprudence constante prise en application de la loi du 7 juin 1909 sur les pratiques de concurrence déloyale. Ainsi, même si le fondement juridique de ces décisions n’est pas la protection de la vie privée et des données personnelles, la prospection non sollicitée a d’ores et déjà été sanctionnée à plusieurs reprises par les juridictions allemandes. Il convient également de relever dès ce stade, s’agissant de l’Allemagne, que la loi fédérale allemande du 31 juillet 1996 sur les télécommunications (57), la loi du 13 juin 1997 sur les services d’information et de communication (58) et le Traité fédéral sur les Médiaservices du 23 juin 1997 (59) subordonnent au recueil du consentement préalable l’utilisation ou la cession commerciale par les opérateurs de services de télécommunications, de téléservices ou de média, de données relatives à leurs abonnés ou clients. Lorsque le prospecteur n’est pas un opérateur de télécommunications, un fournisseur 56) Depuis 1970, la Cour Fédérale allemande estime que les pratiques de marketing téléphonique non sollicité sont contraires à une loi du 7 juin 1909 sur les pratiques de concurrence déloyale ainsi qu’à l’article 823 du code civil allemand. Cette jurisprudence a été étendue en matière de marketing non sollicité par fax et par le service fédéral de messagerie électronique (Bundesgerichtshof -BGH- du 25 octobre 1995, I ZR 255/93 – LG Munchen II). Plus récemment certaines juridictions non fédérales ont étendu cette jurisprudence au marketing non sollicité par e-mail (Landgericht de Traunstein, 18 décembre 1997, 2 HKO 3755/97 ; Landgericht de Berlin, 13 octobre 1998, 16 O 320/98 ; Landgericht de Ellwangen, 27 août 1999, 2 KfH O 5/99.) 57) Disponible en anglais sur http://www.datenschutz-berlin.de/gesetze/tkg/tkge.htm#p89, notamment son article 89, paragraphe 7. 58) Loi du 13 juin 1997, Federal Law Gazette I, 1997, issue 52, p 1870). Disponible en anglais sur http://www.datenschutz-berlin.de/recht/de/rv/tk_med/iukdg_en.htm#a2. 59) Traité fédéral sur les médiaservices du 23 juin 1997, disponible en allemand sur http://www.datenschutz-berlin.de/recht/de/stv/mdstv.htm#nr14 94 de téléservices ou de médiaservices, l’application par les juridictions allemandes de la loi 1909 sur la concurrence déloyale impose en tout état de cause le consentement préalable des personnes. S’agissant des autres pays membres de l’Union européenne, deux catégories d'explications peuvent être apportées à l’absence de contentieux judiciaire. En premier lieu, les délais encore proches de transposition des directives 97/66/CE (le 25 octobre 1998) et 97/7/CE (le 1er juin 2000) et le retard d’u certain nombre d’Etats membres à procéder effetivement à la transposition de ces directives n’ont pas permis jusqu’à présent aux « victimes » éventuelles de « spamming » en Europe de disposer de l’arsenal juridique, ni même du réflexe de se tourner vers leurs juridictions nationales pour prospection frauduleuse. En second lieu, les internautes ont pour réflexe, en cas de « spamming », de s’adresser spontanément à leur fournisseur d’accès, les désagréments susceptibles d’être causés par des courriers électroniques commerciaux non sollicités ne semblant pas, aujourd'hui, d'une ampleur suffisante pour inciter les personnes à recourir au juge afin de faire cesser un trouble persistant. IV.3) - Des pratiques professionnelles consensuelles et prudentes IV.3.1) - Le constat Un relatif consensus entre les professionnels contre le « spamming » La FEDMA (60) (Fédération du Marketing Direct européen), reprenant la définition du « spamming » donnée par la CNIL française dans son rapport sur le publipostage électronique adopté le 14 octobre 1999 (61), estime qu'il « est nécessaire de lutter contre le spamming ». Le « spamming », selon une définition donnée par la CNIL et largement reprise par le groupe « protection des données » institué par l’article 29 de la directive 95/46/CE dans son avis 1/2000 du 3 février 2000 (voir supra, note 45), est « l’envoi massif de courriers 60) Voir http://www.fedma.org 61) Disponible en français sur http://www.cnil.fr/thematic/index.htm 95 électroniques non sollicités, le plus souvent à caractère commercial, à des personnes avec lesquelles l’expéditeur n’a jamais eu de contact et dont il a capté l’adresse électronique dans les espaces publics de l’Internet : forums de discussion, listes de diffusion, annuaires, sites web, etc. ». De manière générale, la quasi-totalité des organismes représentatifs des professionnels européens de la vente à distance s’est prononcée par principe contre le « spamming ». Derrière cette unanimité, une large majorité de ces organismes a soutenu la solution des listes d'opposition, discutée puis promue par la directive 2000/31/CE sur le commerce électronique. Tel est le cas de l’ensemble des organismes nationaux et de certains organismes internationaux représentatifs européens, tels que la FEDMA, la Chambre de Commerce International, ou l’Internet Advertising Bureau. L’attitude prudente des fédérations professionnelles Il est frappant de constater que les principales organisations et syndicats représentatifs des professionnels de la vente à distance et du commerce électronique réfutent l’idée qu’il puisse exister un « spammeur » parmi leurs membres. Au plus certains laissent-ils entendre que le « spamming » en Europe ne peut être le fait que de personnes isolées ne disposant pas d’un nombre significatif d’adresses électroniques et agissant dans une perspective commerciale à très court terme, souvent proche de la publicité mensongère ou de l’escroquerie. Dans le même temps - et sans doute pour cette raison -, aucune des organisations interrogées ne déclare, à ce jour, avoir pris récemment des dispositions dans ses statuts pour exclure un de leurs membres qui se rendrait « coupable » de « spamming ». Cependant, certaines affirment, la question leur étant désormais posée, qu’elles envisagent de mettre cette question prochainement à l’ordre du jour de leurs travaux (cas au Danemark, en Finlande, en France et en Italie) pour prévoir expressément des cas d'exclusion pour cause de « spamming ». Dans cette perspective, les responsables de « labels » professionnels qui voient le jour actuellement en Europe et qui traitent des règles de bonne conduite en matière de vente à distance et/ou de protection des données personnelles, ressentent majoritairement l'intérêt de telles règles d'exclusion, à défaut desquelles la crédibilité de leurs labels pourrait être mise si un de leurs membres labellisé menait cependant des opérations de « spamming ». 96 Tel a été le cas, par exemple, du label de protection de la vie privée « Trust-e » aux États-Unis, lequel a connu un important déficit d’image lors de la médiatisation du rachat du professionnel de la vente à distance classique Abacus par la régie publicitaire américaine DoubleClick. DoubleClick, accusé de vouloir croiser ses fichiers avec ceux d’Abacus, était alors labellisée par « Trust-e ». Or, le projet de rachat d’Abacus, motivé par une stratégie d’exploitation croisée de données personnelles, a soulevé une vague de protestations et d’inquiétudes qui a fortement porté préjudice à la crédibilité du label « Trust-e ». Tel est également le souci permanent des responsables du label de protection des données personnelles et du consommateur L@belsite, promu par la FEVAD (Fédération française des Entreprises de Ventes à Distance) auprès de la FEDMA, EUROCOMMERCE et le GBDe (Global Business Dialog Exchange). IV.3.2) - Une double explication : retard industriel et culture européenne Le spamming a fait l’objet d’une réflexion en Europe avant que d’exister Les indices boursiers sur les marchés des valeurs technologiques et les nombreuses études menées sur l’essor du e-business montrent que l’industrie européenne du commerce électronique n'a pas encore atteint sa maturité ni trouvé les conditions de sa rentabilité. Or, depuis le début de leur activité, les professionnels européens semblent pour la plupart conscients qu’ils agissent dans un environnement où tout n'est pas possible et qu’un cadre juridique préexistait à leur activité. Par ailleurs, certains témoignages d’associations de protection des consommateurs et d’internautes (tels EuroCAUCE) (62) reconnaissent que l’Europe a connu un début de phénomène de « spamming » en 1997 et 1998 qui a régressé du fait de la médiatisation des débats menés dans le cadre de la directive sur le commerce électronique. En substance, le spamming a été proscrit dans l’esprit de chacun en Europe (internautes, autorités publiques et donc professionnels) avant même que d’exister en Europe, c'est-à-dire avant qu'une industrie européenne de gestion mutualisée des adresses électroniques n’ait pu atteindre sa maturité -comme ce fut le cas aux EtatsUnis- hors de toute contrainte juridique. Il est d’ailleurs indiqué par les fournisseurs d’accès à Internet de la majorité des États mem62) Voir http://www.eurocauce.org : Euro Coalition Against Unsolicited Commercial E-mailing 97 bres que les cas de « spamming » observés en Europe proviennent encore à 80% aujourd’hui de grands sites américains tels Amazon, Travelocity ou encore Barnes & Noble, avec lesquels des internautes européens ont été préalablement en contact direct. Ce décalage entre l’hostilité précoce au « spamming » et sa faible réalité semble maintenir à l'état embryonnaire le phénomène du « spamming » européen. La réalité de ce constat s'exprime notamment par l'impossibilité pour les professionnels de répondre à la question, pourtant fondamentale pour tout commerçant : « combien vaut une adresse électronique ? ». Dans le cadre de la présente étude, cette question a été posée à plus de 100 organismes représentatifs des professionnels européens du marketing électronique sur les quinze états membres de l'Union, ainsi qu'à près de 30 entreprises spécialisées dans la location d’adresses électroniques servant à des opérations de prospection commerciale. Une seule fois, le chiffre de 4 Euros pour une adresse e-mail a été avancé. Cependant, aucun recoupement ne pouvant être effectué, un tel chiffre ne peut être considéré comme fiable ou représentatif. En tout état de cause, cette unique réponse concernait le prix d'une adresse e-mail seule. Aucune réponse n'a jamais pu être donnée au prix d'une adresse e-mail relative à un consommateur européen dont on connaîtrait un des centres d’intérêt. Ces constatations -ou leur absence- permettent au moins de déduire que le marché des adresses électroniques en Europe n'est pas encore structuré, ni dans son offre, ni dans la demande, ni par les acteurs qui peuvent le composer. Cette situation est en net décalage avec celle existant aux ÉtatsUnis, où la commercialisation et le traitement des listes d’adresses fait l’objet de répartitions des frais entre les acteurs, de mutualisation des profits et de systèmes de commissionnement tout à fait élaborés (voir Tome 1, II.2.5). La forte culture européenne en matière de protection des données La culture européenne en matière de protection des données personnelles est forte, notamment au sein des professionnels traditionnels du secteur de la vente à distance. L'ensemble des États membres disposent d’une loi générale et d'une autorité de contrôle, certains d'entre eux de longue date. Cet encadrement juridique et institutionnel contribue à la sensibilité des professionnels européens, de plus en plus attentifs aux risques médiatiques et 98 commerciaux qu’engendre une plainte ou une sanction publique fondée sur la protection de la vie privée. Enfin, l’Europe a connu des précédents au « spamming », qui visaient des outils plus anciens de marketing téléphonique ou par télécopie et pouvaient laisser présager que le « spamming » ferait l’objet d’un encadrement juridique strict et d’une forme d’autocensure pour la majorité des professionnels. Pour certaines formes de prospection en effet, la réaction des consommateurs et des autorités de protection des données a été telle que les professionnels ont rapidement convenu que certaines pratiques devaient être prohibées, car elle étaient trop impopulaires. On peut citer à cet égard une recommandations de la CNIL en France qui, dès 1985, a subordonné la prospection téléphonique par automate d'appels au consentement préalable des personnes. L'adhésion de l'ensemble des parties prenantes (consommateurs et professionnels) à cette nouvelle règle que la loi française n'imposait pourtant pas explicitement, a été reprise par la directive sectorielle du 15 décembre 1997 relative à la protection des données dans le secteur des télécommunications et a été étendue à la prospection par voie de télécopie. On rappellera que la directive 97/66/CE a également prévu une alternative laissée à l’appréciation des Etats membres entre le consentement préalable et le droit d’opposition en matière de prospection téléphonique, ainsi qu’un droit à ne pas figurer dans les annuaires téléphoniques. Dans ce domaine, la directive 97/66/CE du 15 décembre 1997 a eu incontestablement un effet très positif sur les mentalités et devrait influer nettement -quand elle aura été transposée dans l’ensemble des Etats membres- sur les pratiques. IV.3.3) - Les effets de la prudence La floraison des listes « opt-out » Certains professionnels ont spontanément anticipé l’adoption définitive de la directive sur le commerce électronique pour instaurer des listes « Robinson » propres à un organisme professionnel, un secteur d’activité ou à portée nationale. 99 La Fédération française des Entreprises de vente à Distance (FEVAD) est ainsi la première à avoir créé une liste e-Robinson (63) d’opposition générale à la prospection par courrier électronique. La consultation de cette liste est ouverte à tout prestataire, même non membre de la FEVAD, qui s’acquitte d’un abonnement modique annuel permettant de couvrir les frais de gestion de la liste. Créée dès 1998, cette liste est réellement promue par la FEVAD depuis l’été 1999, notamment auprès de ses homologues européennes dans le cadre de la Fédération du Marketing Direct européen (FEDMA). Elle pourrait servir de modèle à d'autres listes nationales d'opposition en cours de mise en place. Ainsi, un accord aurait déjà été passé dans ce sens avec la Fédération allemande du marketing direct. L’Association Belge du Marketing Direct (ABMD) a également mis en place une telle liste d’opposition générale à portée nationale, à laquelle s’ajoutent des listes d’opposition propres à chaque prestataire membre de l’association. L’ABMD est actuellement consultée par le ministère belge des Affaires Économiques pour convenir des conditions pratiques de mise en œuvre de la directive 2000 /31 sur le commerce électronique, notamment des modalités d'expression du droit d'opposition des personnes et d’inscription dans un registre national. Dans d’autres pays européens, des listes d’opposition sont en cours de mise en place au sein de fédérations professionnelles issues, selon les pays, des secteurs du marketing direct, de la vente à distance, ou au sein d’organisations professionnelles récentes fédérant l’ensemble des métiers du commerce en ligne. Ces initiatives ont, presque toutes, été prises dans le cadre de l'adoption de la directive sur le commerce électronique, laquelle prévoit, rappelons-le ici (article 7.2) que « les États membres prennent des mesures visant à garantir que les prestataires qui envoient par courrier électronique des communications commerciales non sollicitées consultent régulièrement les registres « opt-out » dans lesquels les personnes physiques qui ne souhaitent pas recevoir ce type de communication peuvent s’inscrire, et respectent le souhait de ces dernières ». Des investigations approfondies ont été menées dans le cadre de la présente étude durant les mois de mai à octobre 2000 auprès des fédérations professionnelles représentatives afin d’identifier précisément les initiatives privées prises ou en voie de l’être dans chacun des pays membres de l’Union. 63) Voir http://www.e-robinson.com 100 Il en ressort, en substance, que des listes d’opposition sont actuellement en cours de mise en place en Angleterre, en Allemagne, aux Pays-Bas, en Espagne, en Norvège, en Suède, en Finlande et en Italie. Toutes ont vocation à s’appliquer en premier lieu sur le territoire national. Mais toutes les fédérations à l’origine de ces initiatives déclarent envisager d’étendre prochainement ces registres nationaux d’opposition au niveau communautaire et hors des frontières de l’Union européenne, notamment aux États-Unis. Il doit être souligné que la FEDMA fait actuellement sur internet (64) la promotion de quatre listes d’opposition, dont chacune est spécifique à un mode de prospection. Il s’agit, pour la prospection par voie postale, du « MPS » ou « Mailing Preference Service », pour la prospection par téléphone du « TPS » ou « Telephone Preference Service », pour la prospection par fax du « FPS » ou « Fax Preference Service » et, enfin, pour la prospection par courrier électronique, du « E-MPS » ou « E-mail Preference Service ». On peut s’interroger sur la pertinence d’un registre d’opposition à la prospection par télécopie dans la mesure où, depuis le 25 octobre 1998, l’article 12.1 de la directive 97/66/CE du 15 décembre 1997 exige clairement le recueil du consentement préalable pour toute prospection par télécopie et non un simple droit d’opposition. Sur ce point, on observera que la mise en œuvre par les syndicats professionnels de listes communes d’opposition s’est développée, depuis longue date en Europe, parallèlement aux dispositifs impératifs adoptés par les Etats membres, tels que la création de registres nationaux d’opposition ou l’exigence d’un consentement préalable à toute prospection. Cet état de fait, loin d’être contradictoire, illustre la complémentarité utile que les législations publiques et les engagements déontologiques professionnels peuvent trouver naturellement. Certains professionnels du marketing direct ont en effet compris de longue date que la réticence d’une personne à être prospectée peut être une information qui, lorsqu’elle est partagée par les acteurs privés intéressés, permet de réduire la proportion de prospections inefficaces, de réaliser des économies et d’éviter les réactions négatives ou les plaintes. Au demeurant, certaines réglementations nationales très récentes emboîtent le pas des initiatives privées pour assurer, le plus souvent, une uniformité à l’échelon national du cadre déontologique de la prospection par courrier électronique. Ces initiatives publiques interviennent généralement en cas de risque de multiplicité et de 64) Voir http://www.fedma.org/code/page.cfm?id_page=77 101 redondance entre plusieurs listes d'opposition ayant chacune une prétention nationale. Enfin, il doit être relevé que l’Association belge du Marketing Direct déclare qu’elle entend promouvoir dès le début de l’année 2001 la liste « Robinson » d’e-mail créée par la DMA américaine (Direct Marketing Association). Il s’agit en fait de la liste d’opposition « Email Preference Service ». On relèvera également que les projets de partenariat en cours entre la DMA américaine et certaines de ses homologues européennes, prévoient la création d’un registre « opt-out » qui serait commun à plusieurs pays européens et non européens (65). Déjà, l’association anglaise du marketing direct, UKDMA, s’est associée à la DMA américaine dans cette démarche d’une liste commune. On relèvera incidemment que la mise en œuvre d’une telle liste gérée aux États-Unis mais accessible aux internautes au travers du portail de la UKDMA pose actuellement en Angleterre la question des flux transfrontaliers de données personnelles et se trouve quelque peu retardée. Les autres engagements déontologiques Parfois, les pratiques professionnelles vont au delà de la simple mise en place d’un registre « opt-out » et permettent à l’internaute, dès la réception d’un message identifié comme étant commercial, de s’inscrire dans de telles listes par un simple clic grâce à un lien hypertexte figurant à la fin du message. Tel est le sens des recommandations de la Fédération française des Entreprises de Ventes à Distance (FEVAD). Par ailleurs, de nombreux sites Web commerciaux d’origine européenne apposent désormais dans une rubrique spécialement dédiée à la protection des données personnelles ou sur le formulaire de collecte d’informations, une case à cocher permettant à l’internaute, explicitement informé, de refuser de recevoir des messages électroniques et/ou des documents de prospection commerciale. Le rôle pédagogique des autorités européennes de protection des données personnelles n’est sans doute pas étranger à de telles pratiques et initiatives. Ainsi, en France, la Fédération du Commerce et de la Distribution, qui regroupe les grandes surfaces et la plupart des centrales d’achat, s’est récemment dotée d’un code de déontologie recommandant que les sites commerciaux apposent 65) Voir http://www.e-mps.org sur le « E-mail Preference Service » de la DMA américaine, en voie d’extension en Europe. 102 sur tous les formulaires de collecte de données personnelles deux cases à cocher. La première permet aux internautes d’exprimer leur refus de recevoir des courriers électroniques de prospection. La seconde leur permet de s’opposer à toute cession de leurs données à des tiers. IV.4) - Le « spamming » : une tentation sous surveillance On ne saurait se borner à un constat aussi optimiste et l’analyse qui précède doit être cependant nuancée. La faible visibilité de cas de « spamming » en Europe peut en effet s’expliquer largement par l’action « anti-spam » entreprise par l’ensemble des fournisseurs d’accès et de messagerie électronique, européens comme américains, qui luttent quotidiennement contre les vagues de messages électroniques destinées par des « spammeurs » à être relayées par leurs serveurs de messagerie électronique. Ces prestataires s’échangent ou constituent de manière informelle des « listes noires » d’adresses électroniques ou de noms de domaines connus pour appartenir à des « spammeurs » et ont mis en place, pour la plupart d’entre eux, des outils informatiques visant à détecter les cas d’envois massifs de messages électroniques et à réduire leur prolifération. Au demeurant, aucun des prestataires interrogés n’est en mesure aujourd’hui de fournir des éléments permettant de quantifier l’efficacité des outils de filtrage mis en place pour juguler les cas de « spamming ». En outre, de telles pratiques de filtrage soulèvent la question de savoir s’il est légitime qu’un prestataire privé décide unilatéralement de ne pas acheminer les messages provenant de tel ou tel expéditeur. En outre, elles peuvent être inefficaces en cas de masquage de l’adresse électronique de l’expéditeur ou en cas de falsification de cette adresse. En tout état de cause, ces pratiques ne permettent pas d’évaluer précisément l’ampleur du « spamming » potentiel qui, en raison de la vigilance des fournisseurs d’accès et de messagerie électronique, n’aboutit pas jusqu’aux boîtes aux lettres des internautes européens. L’ampleur des moyens que les fournisseurs d’accès ou les gestionnaires de listes privées ou professionnelles de diffusion consacrent à la lutte contre le « spamming » mérite d’être soulignée. Elle témoigne de ce que l’Europe ne peut être raisonnablement considérée à l’abri du « spamming ». Dans son rapport sur le publipostage électronique, la CNIL rappelait que, pour ces prestataires, le « spamming » « représente un surcoût financier, humain, technique et commercial, proportionné au nombre de leurs abonnés ». 103 « Financier et humain, par la mobilisation de personnels, dont certains sont spécialement affectés à la lutte contre le spam (les mesures de surveillance et de détection techniques peuvent mobiliser des personnels 24h/24) et d’autres, chargés de répondre aux plaintes que leur adressent leurs abonnés. » « Technique, par la consommation, au moment de la réception simultanée d’un message adressé à un grand nombre de leurs abonnés, d’un volume significatif de bande passante, qu’il faut à ces acteurs calibrer de manière plus importante que ne le nécessiterait un usage normal par leurs abonnés des services de l’Internet. » « Commercial, parce que les internautes imaginent, le plus souvent, que leur adresse e-mail a été irrégulièrement communiquée à des tiers par leur fournisseur d’accès. » Dans le cadre de son étude la CNIL indiquait qu’en 1999, le prestataire américain America On Line, dont l’ensemble des serveurs d’accès et de messagerie électronique sont situés aux États-Unis, déclarait « mobiliser une équipe de 15 personnes dédiée à la lutte technique anti-spam ». Par ailleurs, l’EuroISPA, qui représente la grande majorité des fournisseurs d’accès européens, mène depuis plus de deux ans désormais une lutte contre le « spamming » et s’est à plusieurs reprises rapprochée des autorités nationales de protection des données personnelles pour soutenir la thèse du consentement préalable des personnes à l’utilisation commerciale de leur e-mail, laquelle, selon cette association, est seule de nature à permettre le respect de la directive 95/46/CE du 24 octobre 1995. En France, le Comité Réseaux des Universités (CRU) gère plusieurs milliers (7000) de listes de diffusion dans lesquelles la plupart des étudiants et universitaires français se sont inscrits, ainsi que les services de messagerie électronique d’une portion importante de la population étudiante et universitaire française. Les membres du CRU déclarent subir un préjudice important lié au phénomène du « spamming ». Tout d’abord, les utilisateurs de leurs services déclarent rencontrer des difficultés de gestion et de tri des messages électroniques qu’ils reçoivent. Ensuite, les utilisateurs excédés par le volume de courriers non sollicités ont des réactions de rejet de la messagerie électronique. Enfin, le CRU fait état de l’importance du surcoût des dispositifs techniques destinés à prévenir ou à filtrer, autant que faire se peut, les courriers non sollicités. Dès lors, le constat de la faible pénétration des envois massifs de courriers commerciaux non sollicités ne doit pas dissuader l’Union européenne de fixer clairement la règle, à des fins de sécurité juridique, que 104 les professionnels du commerce électronique doivent respecter lors de leurs communications électroniques. Il y a dès lors lieu de se féliciter que la prospection commerciale non sollicitée puisse trouver les limites juridiques encadrant son existence avant que de se développer sauvagement, comme les internautes américains ont pu en faire l’expérience. Mais est-on toujours sûr, lorsque l’on évoque les garanties devant être apportées en matière de « spamming » ou de prospection commerciale non sollicitée, que l’on parle bien de la même chose : ces garanties résultent-elles des règles applicables à la collecte d’une adresse électronique, de celles régissant les conditions dans lesquelles des messages commerciaux peuvent être expédiés ou de tout cela à la fois ? 105 Chapitre V : De la confusion des approches à la variété des pratiques Les précédents développements de ce rapport ont notamment fait état du consensus existant entre les professionnels autour de la solution des listes d'opposition à la prospection commerciale non sollicitée. Ce consensus a eu l'occasion de se cristalliser lors de la discussion de la directive sur le commerce électronique, entre la fin de l’année 1998 et l’été 2000. Cependant, derrière une apparente uniformité du point de vue des professionnels, une confusion semble exister sur ce qu’il est possible de faire en Europe, selon que l’on prospecte : - un client ou un prospect qui a lui-même fourni son e-mail au prospecteur ; - une personne dont le prospecteur a obtenu l’e-mail auprès d'un tiers qui l’avait lui-même obtenue directement de la personne concernée, - ou une personne dont l’adresse e-mail a été collectée dans un espace public de l’Internet (site web, annuaire, liste de diffusion), à l’insu de la personne concernée. Tel est le constat qui peut être tiré des réponses fournies par les professionnels dans le cadre de la présente étude. Cette confusion porte sans doute sur la terminologie employée pour désigner des situations différentes. Elle semble ne pas avoir été levée par le grand nombre de textes applicables à la prospection commerciale non sollicitée. Elle semble renforcée par la perception que peut avoir la plupart des professionnels du caractère autonome et suffisant de la directive 2000/31/CE sur le commerce électronique. V.1) - Une certaine confusion dans les approches… Reprise spontanément d’un sketch des « Monty Python », l’expression « spamming » (66) apparaît pour désigner des pratiques de promotion commerciale intrusives, relevant le plus souvent, pour les premières du genre notamment, d’actes de piratage informatique. 66) Le mot « spam » semble trouver son origine d’un sketch des Monty Python, dans lequel deux personnes parlant de mortadelle (ou saucisson, selon les pays) [“spam”], répètent le mot “spam” tous les deux [« spam »] ou trois mots (“spam”), jusqu’à (“spam”) l’exaspération (“spam”) des spectateurs (“spam”)! 106 En l’état, les lois américaines - non fédérales - traitant à ce jour du phénomène du « spamming » évoquent la notion de prospection commerciale non sollicitée. Telle est également la terminologie retenue, de longue date désormais, par les diverses directives européennes traitant du sujet. V.1.1) - Confusion entre « spamming » et prospection commerciale non sollicitée Le « spamming » est généralement considéré comme l’envoi massif et répété de messages commerciaux non sollicités provenant d’un expéditeur qui masque ou falsifie son identité. En cela, il constitue évidemment une méthode de prospection qui n’a pas été sollicitée. Cependant, il se distingue par son caractère massif, répété et déloyal. En un mot, le « spamming » est forcément de la prospection commerciale non sollicitée, mais toute prospection non sollicitée n’est pas du « spamming ». Le « spammeur » est souvent présenté, notamment par les professionnels, comme un « voyou » qui n’a rien de commun avec un commerçant soucieux de son image, parce qu’il n’hésitera pas à masquer son identité ni à envoyer des messages en masse. Sur le caractère massif, on observera que les « spammeurs » ont pu utiliser une fonction encore trop souvent laissée ouverte dans les serveurs de messagerie des fournisseurs d'accès Internet, la fonction de relai, par laquelle un serveur de messagerie adressera le message qu’il reçoit d’un « spammeur » à l'ensemble des adresses électroniques qu'il gère. Aujourd’hui encore, il ressort des entretiens menés avec certaines fédérations représentatives des fournisseurs d’accès établis en Europe, que plus de 40 % des serveurs de messagerie en service en Europe comportent encore une fonction de relais et sont, dès lors, incapables de s’opposer techniquement à la transmission d’un « spam » à l’ensemble des messageries électroniques qu’ils gèrent. Les professionnels auraient, au moins implicitement, tendance à soutenir qu’il y a entre le « spamming » et les autres formes de prospection commerciale non sollicitée la différence qui, jadis, a été faite entre les automates d’appels et la prospection téléphonique. Ainsi, le « spamming » serait un mode de prospection agressif et déloyal réprouvé par la majorité des professionnels. Ce n’est probablement pas faux et doit interpeller le juriste sur l’adaptation de la protection offerte aux risques d’intrusion dans la vie privée. 107 En tout état de cause, l’automate d’appels fait sonner le téléphone et dérange le prospect, tout comme le message électronique non sollicité, qu’il s’agisse ou non d’un « spam », peut aujourd’hui encombrer la messagerie de l’internaute. Les réponses des professionnels sur la question des conditions de collecte des e-mails sont sur ce point révélatrices. En effet, si la grande majorité des professionnels européens se défend de recourir au « spamming » et le proscrit officiellement (voir supra : « l’attitude prudente des fédérations professionnelles »), ces derniers restent très majoritairement évasifs, voire silencieux, sur la possibilité qu’ils souhaitent se réserver ou non d’adresser à un internaute un message de prospection qu’il n’aurait pas sollicité. Cette confusion doit être prise en compte à deux égards. En premier lieu, elle révèle qu’on peut être hostile au « spamming » entendu comme l’envoi massif et déloyal de messages électroniques, sans avoir pourtant pris à aucun moment une quelconque position sur la question de la prospection commerciale non sollicitée. En deuxième lieu et surtout, une question commune au « spamming » et aux autres formes de prospection commerciale non sollicitée n’est quasiment jamais abordée par les professionnels : celle des conditions dans lesquelles les adresses e-mails utilisées pour prospecter les internautes ont été collectées. Or, plus on distingue le « spamming » des autres formes de prospection non sollicitée, moins la question essentielle de la collecte de l’email est abordée. V.1.2) - Divergences sur la notion de prospection commerciale non sollicitée Au sens strict, une communication commerciale non sollicitée revêt deux caractéristiques : être commerciale et ne pas avoir été sollicitée, c’est à dire préalablement réclamée par l’internaute. C’est en ce sens que paraît trancher la directive sur le commerce électronique en ne distinguant pas selon que la communication commerciale est opérée par une entreprise à l’égard de l’un de ses clients, ou d’un simple visiteur de son site (qui lui aurait fourni son e-mail pour participer à un jeu-concours) ou encore à l’égard d’un internaute avec lequel elle n’a auparavant jamais été en contact. Il est symptomatique de constater que la plus grande organisation patronale française (67) exprime le souhait, dans la contribution qu’elle a faite aux travaux de la CNIL en octobre 1999, que la notion de 67) Le MEDEF : Mouvement des Entreprises de France. 108 « communication commerciale non sollicitée » fasse l’objet d’une définition précise. Cette organisation conteste en effet que les mêmes obligations pèsent sur les entreprises dans les trois situations précédemment décrites. Il lui apparaît, ainsi qu’à la FEDMA, qu’un message commercial adressé par un prestataire à un de ses anciens clients ne constitue jamais une communication commerciale non sollicitée. Selon cette approche, la communication commerciale pourrait avoir été implicitement sollicitée par un prospect ou un visiteur d’un service qui, sans souscrire à un service particulier, a fourni son e-mail dans une rubrique de contact commercial. Dans une telle hypothèse, nul doute que cette approche permet de considérer que la prospection qui sera envoyée sera considérée comme étant sollicitée. En définitive, toutes les confusions peuvent disparaître dès lors qu’on veut bien considérer que les conditions de régularité de l’envoi d’un message non sollicité sont d’abord liées aux conditions dans lesquelles les adresses électroniques utilisées ont été collectées. V.2) - … que n’a pas réparé le grand nombre de textes européens V.2.1) - La directive 97/7/CE du 20 mai 1997 La directive 97/7/CE du 20 mai 1997 relative à la protection des consommateurs en matière de contrats à distance, en précisant que le courrier électronique pouvait être utilisé en l’absence d’une opposition manifeste de la personne, a pu légitimement donner l’impression aux professionnels concernés que le choix européen était celui d’un « optout » minimal selon lequel toute prospection serait possible à l’égard d’un client, d’un simple visiteur et d’un internaute qui n’aurait pas exprimé, et ce de manière manifeste, qu’il refusait d’être prospecté par courrier électronique. C’est à l’internaute de se protéger : il est présumé consentir jusqu’à preuve contraire. V.2.2) - La directive 95/46/CE du 24 octobre 1995 La directive du 24 octobre 1995 rend pourtant une telle approche moins sûre en posant des règles strictes en matière de collecte des données personnelles (finalité précise, légitimité, loyauté) et d’information des personnes (droit d’opposition à l’utilisation commerciale et à la cession à des tiers). 109 Ce n’est plus à l’internaute de se protéger. L’entreprise est tenue à des obligations particulières au moment de la collecte et avant toute utilisation des données. Dès lors, comment articuler les obligations de l’entreprise en matière de protection des données personnelles avec l’apparente souplesse de la directive sur la vente à distance ? V.2.3) - La directive 97/66/CE du 15 décembre 1997 Bien que silencieuse en matière de prospection par courrier électronique, elle subordonne les moyens de communication commerciale les plus intrusifs (automates d’appels et prospection par télécopieur) au consentement des personnes. Rien n’est possible sans le recueil du consentement préalable. Comment, dès lors, concilier un tel niveau de garantie avec les textes précédents alors que les caractéristiques de la prospection électronique sont très proches de celles des automates d’appels et que, de tous les moyens de prospection, l’e-mailing passe pour être le moyen le plus intrusif, puisqu’il est a priori irrésistible, et surtout le plus coûteux pour l’internaute (voir infra, conclusions de la 1ère partie) ? V.2.4) - La directive 2000/31/CE du 8 juin 2000 Consacrant le plus petit dénominateur commun sur ce sujet, la directive sur le commerce électronique paraît ne plus établir de lien entre la régularité de l’envoi d’un message non sollicité et la volonté de l’internaute, qu’il s’agisse du consentement préalable (directives 95/46/CE et, dans une certaine mesure, 97/66/CE), de l’opposition manifeste (directive 97/66/CE), de l’opposition simple (directives 95/46/CE et 2000/31/CE et, dans une certaine mesure, 97/66/CE) ou de l’abstention. En effet, la règle posée par l’article 7.1 ne concerne que les caractéristiques du message envoyé : l’identification du caractère commercial du message doit être immédiate. Ce dispositif est apparu à la grande majorité des professionnels comme suffisant à assurer la licéïté formelle d’une prospection commerciale non sollicitée. Certes, un registre de « opt-out » doit être mis en œuvre afin de permettre aux internautes de manifester leur opposition. Mais les professionnels ne paraissent pas tenus par ce texte de consulter systématiquement ce registre d’ « opt-out » avant toute campagne de prospection. Les Etats membres doivent seulement veiller à ce qu’ils le fassent régulièrement. On pourrait donc penser que l’ère du « opt-out » 110 minimum posée par la directive « vente à distance » du 20 mai 1997 constituait un « âge d’or de la protection du consommateur » ! Désormais, l’opposition pourrait être manifeste mais inutile dans la mesure où elle serait exercée dans le cadre d’un régime de simple consultation « régulière » des registres « opt-out », dont le recensement par les professionnels eux-mêmes semble impossible. Sans doute la situation est-elle moins grave qu’il n’y paraît dans la mesure où l’article 7 renvoie aux « autres exigences de la législation communautaire », au titre desquelles la protection des données personnelles et les principes généraux posés par la directive 95/46/CE ne peuvent juridiquement ou politiquement être absents. Il convient cependant de reconnaître que cette référence floue faite à la législation communautaire existante n’est guère explicite et peu de nature à éclairer les professionnels sur les trois questions qui se posent : - ai-je le droit ou non, et si oui à quelles conditions, d’adresser un message électronique commercial à un de mes clients ? - ai-je le droit ou non, et si oui à quelles conditions, d’adresser un message électronique commercial à un des visiteurs de mon site Web ? - de quels moyens puis-je disposer pour me faire connaître d’internautes qui ignorent mon existence ? Il en a globalement résulté que le débat entourant l’adoption de la directive 2000/31/CE s’est davantage focalisé sur les conditions de régularité de l’envoi d’un message commercial que sur les conditions initiales de la collecte des e-mails. V.3) - Une grande variété des pratiques professionnelles V.3.1) - De la case à cocher à la case pré-cochée Des sites web de plus en plus nombreux font le choix d’apposer une case à cocher permettant à l’internaute d’exprimer son choix de recevoir ou de refuser des courriers de prospection de la part du site qu’il a consulté et, plus généralement encore, une case à cocher lui permettant de s’opposer à la cession de ses données à des tiers à des fins commerciales. 111 Une étude menée par la CNIL en avril 2000 sur les 100 plus importants sites de commerce électronique français témoigne que cette pratique est très mai 2000généralement suivie. En outre, de nombreuses organisations professionnelles européennes la préconisent. Il est remarquable de constater que cette pratique va bien au delà du dispositif prévu par la directive sur le commerce électronique. On peut s’interroger, dès lors, sur la pertinence d’un texte que les professionnels ne semblent pas considérer comme assurant les garanties minimales suscitant la confiance des internautes. Toutefois, probablement sous une certaine influence américaine, des professionnels européens mettent en œuvre des formulaires électronique de collecte d’information comportant une case déjà cochée autorisant par défaut, si l’internaute n’y prend garde, non seulement l’utilisation commerciale des données collectées mais également leur transmission à des tiers, notamment à des fins commerciales Le développement de telles pratiques comme celles consistant à dissimuler les mentions d’information obligatoire sur l’usage qui sera fait des données collectées dans une rubrique de mentions légales abondantes, peu accessibles ou rédigées en termes peu clairs, est tout à fait préjudiciable au droit des internautes et contraire tout à la fois à la transparence des pratiques et à la loyauté minimale requises par la directive du 24 octobre 1995. De manière particulière, et s’agissant de la cession des données à des tiers, on constate quelques fois les plus grandes ambiguïtés. Ainsi, on trouve des formules telles que « vos données personnelles sont destinées exclusivement à la société X et ses partenaires, filiales, affiliés et ne sont pas communiquées à des tiers » ou encore, « vos données personnelles sont destinées exclusivement à la société X et ses partenaires, filiales, affiliés, elles peuvent être communiquées à des tiers ; dans ce cas vous pouvez vous y opposer en cochant la case cicontre ». Cependant, certains professionnels, dans le souci de se dégager de telles pratiques qu’ils considèrent aussi blâmables et préjudiciables à la confiance que le « spamming », préfèrent afficher clairement le choix du « opt-in » -le consentement préalable- , qu’ils considèrent comme la solution la plus favorable au commerce. V.3.2) - Du succès de la case à cocher au « opt-in » La tendance actuelle forte des professionnels en faveur du « opt-in » résulte d’un calcul commercial qui rejoint les objectifs de protection des données personnelles. 112 Certains n’hésitent pas à reconnaître que la case à cocher accompagnée d’une mention claire permettant aux internautes d’exprimer un refus d’être prospectés (opt-out) a un effet psychologique très fortement incitatif sur ces derniers. Les internautes sont, selon certains professionnels, une très forte proportion (parfois jusqu’à 70%) à cocher la case. En un mot, l’existence même d’une telle case à cocher suscite un geste réflexe : la cocher. Lorsque cette case à cocher a pour objet de recueillir le refus d’être prospecté, ce sont donc autant d’adresses électroniques exclues du champ de la prospection. Il suffit alors, pour inverser cette tendance, de maintenir la case à cocher, de croire toujours au réflexe des internautes, mais de changer la formule en « je souhaite recevoir toutes vos propositions commerciales » ou « je souhaite recevoir toutes les propositions commerciales que vous pourriez me faire, ainsi que vos partenaires, dans les domaines suivants : cinéma, informatique, etc.». Au lieu de suggérer la fin d’une relation commerciale par l’offre du « opt-out » (le droit d’opposition) le commerçant invite l’internaute à la poursuite de leurs échanges : le « permission marketing » est en marche. Certains professionnels américains et européens ont en effet compris qu’un modèle de relations interactives -le « opt-in »-, offre de multiples avantages commerciaux. Une relation de « permission marketing » favorise en effet la fourniture d’un service attendu par l’internaute puisqu’elle lui suggère d’exprimer ses attentes. Ce faisant, les centres d’intérêts exprimés par l’internaute sont des informations à haute valeur ajoutée qui peuvent être classées et tarifées tout en étant assorties de l’autorisation de les utiliser. Ainsi, la collecte et l’utilisation commerciale fondées sur le consentement préalable des personnes constitue à la fois une source de rentabilité, un modèle de financement nouveau du commerce électronique et le meilleure moyen de garantir une traçabilité de l’utilisation qui est faite des données collectées. Dans ce schéma, le commerçant qui a collecté une information peut être rétribué lorsqu’un de ses partenaires utilise cette information dans une opération de prospection. Le prospecteur, pour sa part, est assuré de s’adresser à une population ouverte aux sollicitations commerciales et obtient une meilleure efficacité dans ses communications commerciales. Enfin, lorsque l’internaute demande la suppression des informations qui le concerne ou l’origine de la collecte de ses données, le prospecteur et le collecteur initial des données peuvent être en mesure de lui indiquer précisément à quel moment, à qui et pour quoi il a fourni son e-mail. 113 Les entreprises qui renoncent à une politique de prospection « à l’aveugle » contre productive - car impopulaire - sur le réseau, adoptent ainsi les pratiques des internautes et suscitent leur confiance. S’il s’agit de raisonner en termes de registres, les registres de « opt-out » sont hors du commerce, à la différence -majeure- de ceux composés à partir du consentement des internautes, qui peuvent être rentabilisés. Cette tendance forte au « permission marketing » a trouvé une confirmation en Europe lors d’une conférence internationale réunie à Paris du 12 au 15 septembre 2000 (www.webcommerce-europe.com) et tout particulièrement lors d’une table ronde consacrée au e-mailing à laquelle participaient notamment les filiales européennes des sociétés américaines Message Média et 24/7 Media. L’impression laissée à l’assistance fut celle d’un pénible décalage entre cette nouvelle tendance et les défenseurs du « opt-out », tels que la FEDMA ou encore la DMA américaine. Cette tendance a pris très récemment en Finlande la forme d’un code de déontologie adopté par les professionnels du marketing direct à la suite de l’application de la loi du 22 avril 1999 sur la protection des données personnelles dans le secteur des télécommunications, notamment son article 21 qui a retenu la garantie du consentement préalable (opt-in). 114 Chapitre VI : La nécessité d’une clarification Des obligations juridiques qui passent pour être contradictoires, des pratiques professionnelles fortement divergentes et une tendance lourde en faveur du « opt-in », rendent urgente une clarification européenne sur le sujet. VI.1) - L’application du droit actuel Une opération de publipostage électronique peut provenir de trois sources radicalement différentes qu’il convient de décrire et d’analyser juridiquement à la lumière des directives applicables. VI.1.1) - Prospection d’un internaute avec lequel le prospecteur a eu un contact préalable Dans cette hypothèse de collecte directe, le fichier utilisé est constitué à partir des mails des clients ou des visiteurs avec lesquels le prospecteur a été en contact direct. Il résulte de la directive du 24 octobre 1995 (directive 95/46/CE) qu’un commerçant qui a collecté des mails directement auprès des internautes peut leur adresser des courriers électroniques de prospection, sous la seule réserve du droit dont disposent ces internautes de s’opposer à en recevoir. Il doit être souligné que l’article 10 de la directive 95/46/CE implique que l’internaute soit informé de la finalité de la collecte, notamment de l’utilisation commerciale des données par le collecteur. Par ailleurs, si le commerçant collecteur des données souhaite les céder à des tiers, il doit, en application de l’article 14 de la directive de 1995, en informer préalablement l’internaute et le mettre en mesure de s’opposer à cette cession, préalablement à sa réalisation. Cependant, il pourrait être soutenu que, d’un strict point de vue juridique, la directive de 1995 n’impose pas explicitement à un commerçant électronique d’informer un internaute de son droit de s’opposer à re- 115 cevoir des prospections commerciales non sollicitées dès lors que ces prospections proviendraient de ce commerçant : le droit de l’internaute existerait, il pourrait être exercé à tout moment, mais il ne fait peser aucune obligation a priori sur le commerçant. A contrario, on peut considérer, sur le fondement de l’article 6 de la directive 95/46/CE et en application du principe de loyauté tel que défini notamment par l’article 10 (b et c) de la directive 95/46/CE, que l’expression de « traitement envisagé » retenue par l’article 14 de la directive 95/46/CE implique implicitement mais nécessairement une information préalable des personnes dont les données sont susceptibles d’être transmises à des tiers. Cette interprétation de la directive 95/46/CE n’est pas contrariée par la directive 97/7/CE du 20 mai 1997 sur la vente à distance, qui prévoit que tout est possible, sauf « opposition manifeste de l’internaute ». Or, l’opposition manifeste ne peut être exprimée qu’à l’égard d’une information préalable, elle-même manifeste, c’est à dire explicite. On ne saurait, en effet, supposer que le législateur communautaire, dans un texte devant offrir un haut niveau de protection harmonisée des consommateurs, a entendu laisser à l’imagination des personnes le fait de savoir si une donnée recueillie sera ou non transmise à un tiers. La directive « télécommunications » du 15 décembre 1997 ne fait pas davantage douter d’une telle solution dans la mesure où elle ne subordonne pas explicitement la prospection électronique au consentement préalable des personnes, même si certains États membres (l’Autriche, le Danemark, la Finlande et l’Italie) ont saisi l’occasion de la transposition de cette directive pour élargir la garantie du consentement préalable à la prospection électronique. Dans cette hypothèse, c’est paradoxalement la directive 2000/31/CE sur le commerce électronique qui impose des obligations supplémentaires au commerçant qui prospecte son propre client : l’identification du caractère commercial du message, d’une part, la consultation « régulière » d’un registre d’opposition, d’autre part. Il y a lieu d’observer que cette dernière obligation pourra priver une entreprise de contacter naturellement son client lorsque ce dernier se sera inscrit sur une liste nationale s’imposant à n’importe quel prospecteur. Au regard de cette analyse juridique, la confusion générale et la directive 2000/31/CE sur le commerce électronique contribuent à ajouter des obligations ou à nourrir des débats (« opt-in » ou « opt-out » ; case à cocher, etc…) dans lesquels chacune des thèses qui s’affrontent peut être confortée par des arguments juridiques pertinents. L’objectif d’une sécurité juridique pour le commerce électronique n’est donc pas atteint. 116 VI.1.2) - Prospection d’un internaute dont l’adresse e-mail a été fournie par un tiers Dans cette hypothèse de collecte indirecte, l’adresse e-mail a été fournie par l’internaute à un commerçant qui a, ensuite, cédé son fichier d’e-mails à un tiers aux fins de prospection. La cession de ce fichier de mails est régulière au regard des règles de protection des données personnelles dès lors que le marchand qui a initialement collecté les adresses et s’apprête à les céder à un tiers, a informé les personnes concernées que leurs données pouvaient être communiquées à un tiers à des fins de prospection et a mis ces dernières en mesure de s’y opposer gratuitement et en ligne. L’article 14 de la directive générale du 24 octobre 1995 indique clairement qu’aucune information ne saurait être cédée à des tiers si les personnes n’ont pas préalablement été mises en mesure de s’y opposer. Appliquée à la collecte de données en ligne, cette prescription commande d’apposer une case à cocher assortie d’une mention claire d’information devant figurer sur le formulaire électronique de collecte des données. On relèvera que seule la directive de 1995 évoque cette hypothèse sous la forme de principes généraux. VI.1.3) - Prospection d’un internaute dont l’adresse e-mail a été collectée dans les espaces publics de l’Internet Dans cette dernière hypothèse, l’adresse électronique est capturée dans les espaces publics de l’Internet (espaces de discussion, listes de diffusion, annuaires diffusés sur des sites web, etc.) sans que les personnes concernées ou le responsable du site diffusant les données n’en aient eu connaissance. Au regard de la directive du 24 octobre 1995, une telle pratique est prohibée. Elle n’est pas régulière au regard de l’article 6 (principe de finalité). Ainsi, une personne qui s’est exprimée dans un espace de discussion déterminé et sur un sujet précis, ou qui s’est inscrite dans une liste de diffusion pour partager des informations avec un groupe d’interlocuteurs intéressés par un sujet commun, ignore, par hypothèse, qu’un tiers puisse traiter ses données pour une autre finalité que celle de l’espace de discussion. Cette pratique paraît contestable au regard de l’article 7.(f) de la directive de 1995 (légitimité du traitement). En effet, sauf à considérer que la collecte automatisée à des fins de prospection commerciale de tous les mails figurant dans des espaces publics de l’Internet satisfait un intérêt commercial légitime qui prévaut sur l’intérêt légitime des in- 117 ternautes, la directive générale 95/46/CE subordonne un tel traitement au « consentement indubitable » des personnes concernées. Cette pratique méconnaît également les dispositions des articles 10 et 11. L’obligation d’information qui pèse sur le collecteur de données doit être accomplie au moment de la collecte des données ou, - si une cession à un tiers est envisagée - au plus tard lors de leur première transmission à des tiers. En tout état de cause, ce dispositif interdit à un commerçant qui a collecté des e-mails dans les espaces publics de l’Internet, de les utiliser pour son propre compte s’il n’en a pas préalablement informé les personnes et de les céder à des tiers s’il n’a pas préalablement informé les internautes concernés de leur droit de s’y opposer. Elle viole les dispositions de l’article 14 de la directive 95/46/CE, qui reconnaît à toute personne le droit de s’opposer à l’utilisation commerciale de ses données ou à la transmission de ses données à des tiers. Les deux directives du 20 mai 1997 sur la vente à distance et du 8 juin 2000 sur le commerce électronique, en ne traitant que des conditions dans lesquelles un message électronique non sollicité peut être envoyé, ne traitent aucunement de conditions de régularité de la collecte de l’e-mail, lesquelles relèvent de la directive 95/46/CE (et, s’agissant des données de trafic et de facturation, de l’article 6 de la directive 97/66/CE) et doivent obéir aux exigences précédemment décrites. VI.2) - Passer du débat sur la régularité d’un envoi commercial au débat sur les conditions de loyauté de la collecte des données VI.2.1) - Le débat s’est limité aux conditions de régularité des envois commerciaux De nombreuses contributions professionnelles évoquent le format ou le poids du message, l’indication de son caractère commercial, ou préconisent un lien hypertexte vers une liste d’opposition dont la philosophie est la suivante : l’acceptabilité des messages commerciaux sera acquise si le message est court, identifié en tant que commercial, et offre la possibilité d’en rester là (c’est-à-dire de n’en recevoir qu’un seul et de pouvoir faire aussitôt opposition). La directive sur le commerce électronique paraît faire triompher cette approche, malgré le rappel de l’application « des législations communautaires existantes ». Ce faisant, les mêmes contraintes 118 s’imposeraient au vendeur à l’égard de son client et au « spammeur » qui aurait irrégulièrement collecté des e-mails. Cette approche est contestée par la CNIL française, par l’Agence espagnole, par le groupe « protection des données » institué par l’article 29 de la directive du 24 octobre 1995 et par des professionnels, de plus en plus nombreux, tenants d’une politique de « opt-in ». Cela n’est pas pour surprendre tant cette approche fait l’impasse sur les conditions de régularité de la collecte et, plus généralement, d’usage des données qui doivent reposer sur un principe de loyauté. Or, toute l’histoire de l’Internet en témoigne, la méconnaissance du principe de loyauté et l’absence de transparence ont porté gravement préjudice au développement du commerce électronique et altéré la confiance. Les débats qui se sont succédés autour des fichiers « cookies », du numéro de série du processeur Pentium III de la société Intel, du numéro de série des logiciels édités par Microsoft, ont davantage été provoqués par l’absence d’explication, de pédagogie, ou de transparence, que par la malignité des professionnels concernés. La sensibilité des internautes à des pratiques commerciales loyales s’est encore manifestée à l’occasion de certaines opérations de parrainage dans lesquelles des professionnels sollicitaient d’internautes avec lesquels ils étaient en contact la communication des adresses électroniques de leurs proches moyennant rétribution (cas de la société « Ikéa » actuellement porté devant les juridictions américaines), forme nouvelle de marketing viral autrement appelée « chaîne de messages ». C’est donc le principe de loyauté et le souci de s’abstenir de toute initiative susceptible de susciter la méfiance qui doivent commander la réflexion. VI.2.2) - Pour un débat sur la loyauté de la collecte L’analyse qui précède sur les différentes situations dans lesquelles ont été collectées les e-mails qui seront utilisées à des fins de prospection commerciale non sollicitée témoigne de la complexité du cadre juridique applicable, des confusions qu’il génère, des pratiques qu’il pourrait paraître autoriser et du doute qu’il entretient encore sur des pratiques qui devraient être clairement interdites. La directive du 24 octobre 1995 prohibe la collecte d’e-mails dans les espaces publics de l’Internet et, tout particulièrement dans les forums de discussion. 119 En revanche, aucune directive n’impose clairement une solution de « opt-in » dans la relation directe entre un commerçant et son client. Or, au delà des discours de certains professionnels qui justifient leur action en faveur du « opt-out » par l’obligation -implicite- de mettre en œuvre les dispositions de la directive sur le commerce électronique, la tendance générale de l’Internet est déjà au « opt-in ». La timidité des textes européens sur ce point paraît dépassée et, de surcroît, ne plus correspondre à l’intérêt objectif des commerçants électroniques. En outre, en imposant les mêmes obligations à tous les professionnels, la directive sur le commerce électronique n’atteint pas son objectif. Il peut paraître en effet contestable d’imposer à un professionnel qui aurait choisi l’« opt-in », qui se sera soucié des centres d’intérêts de son client, qui l’aura informé clairement de l’usage commercial de son adresse e-mail, de consulter une liste d’opposition généraliste, nationale, européenne ou transnationale qui pourrait lui interdire d’informer ce client de ses nouvelles offres commerciales. S’attacher à préciser les conditions d’une collecte loyale des données, c’est permettre au commerçant et à l’internaute de reprendre la main sur la nature et la poursuite de leurs relations dans un climat de transparence. Au delà de l’intérêt partagé des internautes et des commerçants électroniques, il paraît naturel d’appliquer à la prospection électronique les règles communes posées en matière de prospection par automate d’appels ou par télécopie, leur caractère intrusif et irrésistible leur étant commun. Dans tous ces cas, l’internaute ne peut pas interrompre la réception du message commercial et, s’agissant du courrier électronique, il supporte les coûts de réception (68). Par ailleurs, l’histoire des différents modes de communication commerciale montre que plus le coût de la prospection est faible, plus les risques d’abus sont grands, ce dont témoigne, par exemple, le fait que les États-Unis, dès 1974, aient adopté une législation subordonnant les opérations de prospection par fax au consentement préalable des destinataires. Or, la prospection par courrier électronique est, de loin, la forme de prospection de masse la moins chère connue à ce jour. En outre, l’histoire de la protection des données personnelles montre que la protection offerte aux personnes a toujours été adaptée au risque d’atteinte à la tranquillité et à la vie privée, dans une gradation connue de longue date de la plupart des États membres allant du droit d’opposition (prospection par téléphone) au consentement préalable (prospection par automate d’appels et par télécopieur). 68) Cf. page 73 120 En définitive, le « opt-in » paraît la solution la plus adaptée à l’internet, elle permet une gestion rentable des bases de données d’e-mail, elle entretient la relation personnalisée d’un commerçant avec un internaute et paraît -les Etats-Unis et certains prestataires européens en font l’expérience- la pratique la plus conforme à la culture et aux attentes des internautes. En revanche, le « opt-out » ne permet plus à l’internaute de maîtriser l’usage qui sera fait de ses données une fois celles-ci collectées à défaut d’opposition, ni au professionnel souhaitant écrire à son client d’être distingué du « spammeur » qui aura trouvé une virginité ou une légitimité de façade dans les registres d’opposition. VI.3) - Validité et acceptabilité du « opt-in » Pratiquement tous les professionnels européens disent préférer la solution du « opt-out ». Pourtant, certains d’entre eux ont déjà mis en œuvre des solutions reposant sur le consentement préalable des personnes, permettant une valorisation réelle des données collectées. A la manière de Monsieur Jourdain -le bourgeois gentilhomme de Molière-, ils font du « opt-in » sans le savoir ou sans le dire. Les autres -parfois au sein des mêmes fédérations professionnelles- prennent le risque commercial, en mettant en œuvre des mécanismes de « opt-out », de solliciter leurs prospects jusqu’à l’exaspération de ces derniers, laquelle se traduit en un droit d’opposition exercé du fait d’un seul prospecteur mais s’imposant à tous. La solution du « opt-in » présente un autre avantage que ceux précédemment évoqués : l’assurance d’utiliser une donnée dans le respect de la volonté de l’internaute. Comment, en effet, être sûr que le prospect que l’on contacte ne s’est pas déjà inscrit dans un registre d’opposition ? Aujourd’hui cette question n’est pas résolue par les partisans d’une solution de « opt-out ». Ainsi, la FEDMA indique sur son site internet qu’elle procède à une vaste enquête pour recenser les registres d’opposition existants. A terme, il est aisé d’imaginer qu’une solution de « opt-out » durable nécessiterait, pour des raisons de sécurité juridique, l’adoption d’une règle communautaire contraignante visant à compiler dans un registre communautaire unique l’ensemble des oppositions exprimées. L’inconvénient d’une disparition dans un tel registre des liens particuliers qui lient un commerçant et un internaute sera alors décuplé. L’opposition d’un internaute à être prospecté par un ou quelques commerçants serait opposable à tous. En conséquences, la solution du consentement préalable à être prospecté semble favoriser au mieux les liens personnalisés qu’un professionnel peut entretenir ou cesser d’avoir avec un internaute. 121 VI.3.1) - Le « opt-in » n’interdit pas la prospection commerciale à l’égard de clients ou de visiteurs Pas davantage qu’il n’est interdit à une entreprise d’écrire à ses clients par télécopie, le « opt-in » n’interdit pas de faire de la prospection. Au contraire, il l’autorise. Il suffit que l’information donnée à l’internaute ait été suffisamment claire et univoque sur ce point. D’ores et déjà, la pratique professionnelle consistant à apposer une case à cocher accompagnée d’une mention explicite d’information est mise en œuvre. Le choix de la formule d’information, comme cela a été expliqué précédemment, n’est pas dicté par un débat théorique entre les partisans du « opt-in » et ceux du « opt-out ». Elle l’est par le marché, animé par un devoir de transparence du commerçant, lui-même soucieux de disposer d’un consentement précis, utile à la rentabilité de la collecte de l’e-mail. En outre, la solution du « opt-in » fait le pari de la continuité de la relation et non de son interdiction. Ainsi, de nombreux sites proposent-ils déjà à leurs visiteurs, s’ils le souhaitent, de s’abonner à une « newsletter », de s’inscrire à une liste de diffusion, d’être informés des modifications du site, des nouvelles offres… Dans tous ces cas, l’adresse e-mail est collectée avec le consentement de la personne et pourra être utilisée dans le cadre de ces finalités sans autre formalité, jusq’au souhait contraire de l’internaute. VI.3.2) - Le « opt-in » n’interdit pas la cession à des tiers des données fournies par les internautes La directive du 24 octobre 1995 impose déjà d’informer clairement les internautes de toute éventuelle cession de leurs données à des tiers à des fins de prospection commerciale et de les mettre en mesure de s’y opposer. La pratique de la case à cocher, à cet égard, se développe, notamment aux Etats-Unis et en France. La solution du « opt-in » en matière de communication électronique non sollicitée est étrangère à la question de la transmission à des tiers des données collectées. Elle n’ajoute donc aucune obligation à celles (information et droit d’opposition) qu’impose déjà l’application des règles générales relatives à la cession commerciale de données personnelles à des tiers (article 14 de la directive de 1995). VI.3.3) - Le « opt-in » n’interdit pas la compilation de listes d’emails 122 Dans le monde réel, l’existence de fichiers de personnes favorables à recevoir des informations sur telle ou telle catégorie de produits ou de service est courante et ne pose aucun problème particulier. Elle est, au contraire, au cœur du marché des fichiers de prospection commerciale et permet leur réelle valorisation. Elle peut prospérer sur Internet. Le « opt-in » présente d’ailleurs un considérable avantage en termes de marketing, puisque les listes ainsi compilées expriment une multitude de désirs de consommation et de centres d’intérêts précis et non plus un inventaire de silences, de souhaits inexprimés et de prospects improbables ou imprévisibles. VI.3.4) - Le « opt-in » interdit la collecte et l’usage déloyaux des données En cela il garantit une protection efficace des données personnelles, une sécurité juridique aux commerçants, un climat de confiance et permet de ne plus opposer artificiellement l’Internet libertaire des origines à l’e-business. Certes, les conditions dans lesquelles le consentement peut être acquis mériteraient d’être précisées. Est-il admissible, par exemple, de solliciter le consentement d’un internaute en l’incitant par un avantage financier ? L’internaute apprécie-t-il toujours la portée de son consentement ? Sans doute consent-il à recevoir des sollicitations conformes à ses centres d’intérêt, mais a-t-il conscience que son profil de consommateur ou de citoyen en sera déduit ? Ces questions sont aujourd’hui encore ouvertes. Mais elles ne pourront trouver leur solution que si un terme est mis à la confusion par un engagement résolu vers la raisonnable solution du « opt-in », seule de nature à donner un cadre juridique et économique favorable et sûr aux relations interactives inhérentes au commerce électronique. 123 Conclusions de la Deuxième Partie La nécessité d’un cadre juridique cohérent pour l’ensemble des communications électroniques La question de la nature des garanties qui doivent être offertes aux personnes à l'égard de la prospection commerciale agite l’Europe depuis maintenant plus de sept ans. Durant la discussion de la directive du 24 octobre 1995, la question s’était déjà posée de savoir s'il convenait de préciser la nature du droit reconnu en matière de prospection commerciale : droit d’opposition ou consentement préalable ? Finalement, le texte communautaire a retenu le principe d'un droit d’opposition à l’utilisation commerciale des données, le consentement préalable étant réservé aux cas dans lesquels l’intérêt et les droits fondamentaux de l’individu prévalent (articles 7f et 7a de la directive 95/46/CE)et le consentement préalable et explicite étant réservé au traitement des données sensibles (article 8 de la directive 95/46/CE). La directive du 15 mai 1997 sur la vente à distance ne pouvait retenir une autre solution que celle dégagée en 1995. Le secteur professionnel concerné obtint cependant la création d'un nouveau droit d’opposition plus restreint dans le paysage des garanties existantes : l'opposition « manifeste » -il n’y avait pourtant aucun risques qu’un consommateur invoque un jour le bénéfice d'un droit d'opposition implicite. Le secteur des télécommunications, qui traite par nature de données touchant à l'intimité des personnes (qui on appelle, par qui on est appelé, quand, d’où, etc.) et qui faisait déjà l'expérience avant 1997 des pratiques de prospection commerciale automatisée, fut soumis par la directive du 15 décembre 1997 à un régime tenant compte de l’importance du risque d’intrusion dans la vie privée des personnes. Dès lors, la prospection par automate d’appels et par télécopieur était soumise à un régime de consentement préalable, la prospection par téléphone étant autorisée uniquement si, au choix des États membres, elle est soumise à un régime de consentement préalable ou de simple droit d'opposition. Ainsi, la position commune européenne était claire : la protection offerte aux personnes doit être d’autant plus forte que le risque d'intrusion dans la vie privée des personnes est élevé. Cette clarté, porteuse de sécurité juridique pour le 124 secteur marchand, a été oubliée dans la directive sur le commerce électronique. Les dix-huit mois de discussion de l’article 7 de la directive 2000/31/CE ont principalement porté sur la question de savoir quelle solution pouvait paraître acceptable aux commerçants électroniques et non de savoir quelle protection devait être offerte aux personnes. On oublia alors non seulement les caractéristiques de la prospection électronique non sollicitée (déloyauté, intrusion, frais pour le destinataire), mais également la législation existante et les réflexions qui, par le passé, avaient permis d’aboutir à une règle claire, sûre et adaptée aux risques. Ainsi, le consensus européen se cristallisa en mai 2000 autour d'une référence implicite à la législation existante. Cette référence voilée est à l'origine du trouble qui règne actuellement dans les esprits et que la présente étude tente de rapporter. Le mécanisme de consultation régulière des registres d'opposition prévu par la directive 2000/31/CE du 8 juin 2000 et la forte implication des fédérations représentatives des commerçants électroniques dans la discussion de cette directive, ont pu persuader la plus grande partie de ces acteurs que le texte nouveau était seul à régir la matière de la prospection commerciale non sollicitée. Pourtant, il ne suffisait pas de taire l'existence de la directive du 24 octobre 1995 pour l'abroger, ni en droit, ni en fait. Dans le même temps, aux États-Unis, le marché cherchait une règle. Des lois assorties de sanctions pénales ont été adoptées dans un certain nombre d’États. Les praticiens du « e-mail marketing », conscients que l’adoption d’une règle légale contraignante découle toujours de l’impopularité d’une pratique commerciale, ont alors pris en compte les revendications des « privacy advocates » et décidé de s’engager dans les mécanismes du « permission marketing ». Aujourd'hui, la situation européenne est hybride. D'une part, cinq États membres connaissent un régime de consentement préalable : l’Allemagne, l’Autriche, le Danemark, la Finlande et l’Italie. D'autre part, la plupart des fédérations professionnelles du commerce électronique s'organisent pour mettre en œuvre les registres « opt-out » mentionnés par la directive du 8 juin 2000 sur le commerce électronique. Certaines fédérations européennes s’associent à des registres « opt-out » américains sans que l’objectif de telles associations, à but lucratif, ne soit compréhensible sur le terrain commercial ou juridique. Enfin, certains commerçants électroniques européens, attirés par la dynamique commerciale portée par le « opt-in » et tirant les conséquences positives du « permission marketing » américain, mettent en pratique des mécanismes sollicitant le consentement préalable des personnes à recevoir des communications commerciales. 125 Dans ce contexte, dont le maintien n'est profitable à personne, la proposition de directive concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, émise par la Commission européenne le 12 juillet 2000 (69), intervient à point nommé. Elle a vocation à remplacer la directive 97/66/CE du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications. L’objectif affiché de la Commission européenne est que le cadre juridique communautaire de protection des données personnelles et de la vie privée soit indépendant des technologies utilisées, c’est à dire « technologiquement neutre ». Au delà cette volonté affichée, il convient de relever que la proposition de la Commission présente également l’intérêt majeur d’être « sectoriellement neutre », s’agissant des communications électroniques non sollicitées. En effet, l’exigence du recueil du consentement préalablement à l’envoi d’une communication électronique non sollicitée est proposée quel que soit l’objet des services proposés par l’expéditeur : télécommunications, vente à distance traditionnelle, commerce électronique, ou encore vente à distance de produits et services financiers. La Commission propose donc une nouvelle rédaction de l’article 12 de la directive 97/66/CE sur les communications non sollicitées, rédigée dans un nouvel article 13 de la proposition de directive, rédigé comme suit : « l'utilisation de systèmes automatisés d'appel sans intervention humaine […] de télécopieurs ou de courrier électronique à des fins de prospection directe ne peut être autorisée que si elle vise des abonnés ayant donné leur consentement préalable ». L’option retenue par la Commission européenne en faveur du « opt-in » doit aboutir, notamment en raison des constats du présent rapport sur les situations américaine et européenne. Au delà de cette première nécessité, il convient de saisir cette occasion de concilier des législations nationales déjà divergentes avant même la transposition de la directive sur le commerce électronique- pour dégager une position européenne commune sur la forme concrète du recueil du consentement préalable, après avoir rappelé la portée exacte de la notion de consentement en matière de protection des données personnelles. La portée du consentement Le consentement de la directive du 24 octobre 1995 est conçu comme l'exercice absolu par la personne des droits qui lui sont reconnus. Ainsi, on peut consentir (article 8) au traitement de données à caractère religieux, politique, etc, consentir (article 26) au transfert de ses données vers un pays tiers n’offrant 69) Proposition de directive concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, JOCE COM(2000) 385, 12 juillet 2000. 126 pas un niveau de protection adéquat ou consentir purement et simplement à un traitement s’il n’a pas d’autres base légitime (article 7a). Les théoriciens du permission marketing le revendiquent : une fois le consentement acquis, tout serait possible. Cette conception doit interroger le juriste comme le politique. A l’heure de la marchandisation des données, la primauté du consentement des personnes sur toute autre considération pourrait favoriser l’émergence d’une protection des données personnelles à deux vitesses : une protection pour les plus démunis, qui se réduirait à mesure que des offres commerciales inciteraient les personnes à consentir à tout, notamment à ne pas exercer leurs droits, et une protection pour les autres, dont l’aisance financière garantirait l’indépendance du consentement. Cette approche doit cependant être nuancée. D’une part et juridiquement, le consentement ne peut porter que sur un traitement dont la finalité doit être déterminée. La portée du consentement dépendra donc en pratique de la clarté avec laquelle la finalité du traitement a été exposée, c’est à dire la transparence de l’information préalable fournie à la personne concernée. D’autre part, le consentement est toujours révocable par celui qui a consenti. Il peut être retiré par l’exercice du droit d’opposition au traitement ultérieur des données ou par l’exercice du droit de suppression des données traitées. Toutefois, ces nuances ne suffisent pas à effacer totalement la crainte que le consentement, qui est le témoignage de l’existence d’un droit quasi-absolu, puisse être le moyen par lequel la personne concernée peut renoncer à la protection qui lui est offerte par les législations de protection des données personnelles. Or, deux facteurs essentiels de protection des personnes sont indissociablement liés au consentement : l’information préalable de la personne sur la portée du consentement (principe de consentement « éclairé » ou « informé ») et la liberté de choix de la personne (principe de consentement libre). L’exigence de clarté de l’information qui doit être fournie à l’internaute au moment du recueil de son consentement découle également de la chronologie univoque qui s’attache au consentement : il est recueilli préalablement. Ainsi, à la grande différence de l’exercice du droit d’opposition, qui peut avoir lieu a priori dès la collecte des données (refus d’être prospecté) ou a posteriori à tout moment (demande de ne plus être prospecté), le recueil du consentement doit être entendu par nature comme étant préalable au traitement de marketing électronique. Les modalités de recueil du consentement en ligne sont à préciser La forme américaine du « opt-in » se traduit en un mécanisme de recueil de l’autorisation expresse de l’internaute, parfois assortie d’une confirmation (systèmes de « double opt-in ») en raison de l’absence de cadre juridique. Le mar- 127 ché a donc pu librement choisir la règle qui lui semble susciter le plus la confiance des internautes et la sécurité juridique du commerçant. En l’espèce, la règle la plus protectrice des personnes mise en avant par les théoriciens du « permission marketing » est celle de l’autorisation expresse préalable. La modalité de recueil du consentement porteuse de la plus grande sécurité juridique, selon la pratique américaine, est celle du « double opt-in », l’internaute confirmant alors son consentement par le renvoi vers le collecteur de l’e-mail d’un message déposé par ce dernier à la suite de la collecte de l’email . En Europe, il est frappant de relever que ni les États membres représentés au sein du comité institué par l’article 31 de la directive, ni les autorités nationales de contrôle réunies au sein du groupe « protection des données » dit « de l’article 29 », n’ont à ce jour adopté d’avis officiel commun décrivant les critères ou les formes du recueil du consentement préalable à un traitement ou à un transfert. Peut-être a-t-il semblé peu urgent aux États européens de s’accorder sur cette question et ce probablement en raison des vertus consensuelles reconnues à la généralité de la norme juridique. Sur ce point, on rappellera en premier lieu que la directive du 24 octobre 1995 fournit une définition très fortement exigeante du consentement à l’article 2 [h]. Il s‘agit de « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement ». La simple lecture de cette définition, par les mots qu’elle emploie (« manifestation de volonté […] par laquelle la personne accepte que ») incite à penser qu’il ne peut exister qu’une forme possible de consentement : l’autorisation expresse, qui consiste en [1] un acte positif de volonté [2] en faveur de quelque chose. On rappellera toutefois que la directive de 1995 prévoit plusieurs catégories de consentement. En effet, la directive générale prévoit, d’une part, un consentement indubitable au traitement des données (article 7 [a]) et au transfert de données vers un pays tiers n’assurant pas un niveau adéquat de protection (article 26),, et, d’autre part, le « consentement explicite » de l’article 8.2 [a] sur le traitement des données sensibles (opinions politiques, religieuses, philosophiques, etc.). L’existence des deux notions de « consentement indubitable » et de « consentement explicite » pourrait conduire à s’interroger sur les hypothèses dans lesquelles le consentement d’une personne serait considéré comme indubitable sans pour autant être explicite. Une telle interrogation constitue cependant un facteur d’insécurité juridique que n’a manifestement pas souhaité le législateur communautaire tant la définition du consentement donnée par l’article 2 [h] précité est précise et univoque. Sans doute le mécanisme d’accusé de réception prévu par l’article 11.1 de la directive 2000/31/CE relatif à la passation d’une commande pourrait-il être in- 128 voqué par les partisans d’une solution européenne de « double opt-in » (consentement préalable confirmé). Il s’agirait alors pour ces derniers de considérer que cette disposition peut s’appliquer à toute forme d’engagement en ligne. Ainsi, la personne qui a fourni son e-mail pour recevoir des informations commerciales sur un produit ou un service déterminé recevra dans sa messagerie une demande de confirmation de sa « commande », dont le renvoi au commerçant sera la garantie d’une commande confirmée (le « double opt-in »). On relèvera cependant que l’article 11.3 de cette même directive ne peut, rigoureusement, être d’aucun secours, dans la mesure où il exclut expressément les échanges par courrier électronique du champ de l’article 11.1 précité sur les commandes en ligne. En conséquence, il apparaît que la manière la plus évidente d’être assuré que l’internaute a donné son consentement à être prospecté par voie électronique consisterait à rendre obligatoire l’expression de sa volonté en la matière. Ainsi, le recueil du consentement à être prospecté lors de la collecte des données auprès de l’internaute pourrait consister en un champ à remplir (, case ou champ à cocher) au sein du formulaire de collecte d’informations. Cette forme concrète de recueil du consentement respecterait la définition donnée par l’article 2 [h] de la directive du 24 octobre 1995. A défaut pour l’internaute d’activer lui-même un champ réservé au recueil de son consentement à être prospecté, le consentement ne saurait être considéré comme acquis. Le recueil du consentement préalable consisterait ainsi à mettre la personne, au moment où elle fournit ses données (sur le support de collecte), en mesure d’indiquer explicitement si elle accepte ou si elle refuse de recevoir des prospections électroniques ultérieures. Dans le même temps, la vigilance la plus grande doit être apportée à la clarté de l’information de l’internaute associée à la case à cocher. On relèvera qu’un tel mécanisme, mis en œuvre au moment de la collecte, permet de collecter les données personnelles en même temps que les conditions que la personne a attaché à leur traitement. Dans cette perspective, il est évident que la pratique consistant à proposer des cases pré-cochées présente pour seul intérêt de révéler l’intention déloyale du collecteur des données. Ce mode de recueil du consentement, parce qu’il se situe au moment de la collecte initiale de l’e-mail, favorise par sa seule existence les conditions d’une collecte loyale des données, principe fondateur des législations de protection des données personnelles existantes. Il repose sur une conception productive du traitement des données collectées directement sur support électronique : la collecte des données et des droits qui s’y attache doit être concomitante afin de permettre immédiatement un usage commercial sûr des données collectées et le respect des droits des personnes. 129 La nécessaire transparence qui s’attache au mécanisme du consentement préalable doit aujourd’hui atteindre un stade de maturité et de généralisation dans lesquelles chacun aura compris qu’il est préjudiciable au développement du ecommerce de contraindre les internautes à des recherches ou des démarches pour s’assurer de la loyauté du commerçant avant l’achat d’un produit ou d’un service. 131 Annexe 1 : « Anti-spam Policies » des sociétés de e-mail marketing 133 SPAM POLICY Overview: Neither Exactis.com Inc. nor Exactis.com Express, Inc. (collectively referred to herein as « Exactis.com ») condones unsolicited, off-topic bulk e-mail (« Spam »); thus, Exactis.com prohibits the practices commonly known as « spamming. » This document defines Exactis.com’s policy regarding Spam and applies to the clients of Exactis.com. Purpose: E-mail is a powerful and focused communication tool. Used effectively it can help establish valuable relationships with your customers. Used improperly it can cause irreparable harm and undermine the value of an important communication line between you and your customers. Based on considerable experience with our own subscriber lists and others’ mailing lists, certain guidelines should be followed to maximize the effectiveness of e-mail as a relationship-building tool. Definitions: « List » is a set of e-mail addresses provided by the client to Exactis.com for the purpose of sending e-mail to them. « Opt-In Approach » is a method whereby a person who wishes to subscribe must request to be added to the List. « Opt-Out Approach » is a method whereby a person is automatically subscribed, and they must ask to be removed from the List. Summary: To comply with Exactis.com’s Spam policy, demonstrable evidence must exist that the e-mail, its objective and its sender fits expectations established with the subscriber when they provided their e-mail address. Policy: 1. Subscriber Expectations If the subscribers deliberately provided their e-mail addresses to receive the e-mail to be sent, Exactis.com will send the mail. If the subscribers are not expecting the e-mail as a direct result of providing their e-mail addresses, the issue of content relevance must be addressed. 2. Content Relevance A determination must be made whether the content of the mailing contains subject matter relevant to the List. That is, the content of the e-mail must reasonably fit subscribers’ expectations of what they were going to receive when they provided their e-mail address. For instance, a subscriber who elected to receive recent news items about high-tech developments could reasonably expect to receive Silicon Valley updates from the same content provider, but would not reasonably expect to receive general world news. After a dialogue with the client about relevance, Exactis.com will make a determination regarding send viability. In the rare event of a difference of opinion, small scale testing of a List can be conducted to provide additional data for a decision by Exactis.com. If relevancy exists, the subscribers may be added to a List through an Opt-In Approach or OptOut Approach mailing. Opt-Out Approach mailings are only available if a previous relationship exists between the client and the addressee. The Opt-In Approach mailing may be either a multiple issue trial (of reasonable duration) or a one-time mailing (announcing the offer). Any Opt-In Approach or Opt-Out Approach mailing must explicitly inform the end-user of the situation and their options to subscribe or unsubscribe. If relevancy does not exist, Exactis.com will not send the proposed mailing until the client has taken measures to allow subscribers to choose to participate in the List or not. 134 3. Additional Principles: In the event the source of a List or expectations of all users on a particular List is unclear, or the duration of the time between when the addresses were collected and the first e-mail is to be sent could cause confusion, clarity must be provided in the form of a preamble in each of the first two e-mails sent. The preamble must explain whom the email is from, the reason the person is receiving the message and the possible source of the e-mail address (i.e. ways in which the address may have been gathered by the client) and clear instructions on how to unsubscribe. Any client supplying Exactis.com with a new List to be added to the system or new subscribers to be added to an existing List will be required to represent and warrant that the new names adhere to Exactis.com’s policy regarding the source of names. When an e-mail address is provided, the user should have clear expectations regarding information the client plans to send. This expectation should be based on direct notice from the client. Unsubscribe instructions must be made readily available with in the e-mail body to all recipients. Forging of header information (the practice of making it appear as though an e-mail message originated from another source) or intentionally misleading subject lines is not permitted. Publishers may not forward or otherwise propagate chain letters, whether or not the recipient wishes to receive such mailings. Malicious e-mail, including but not limited to « mailbombing » (flooding a user or site with very large or numerous pieces of e-mail), is prohibited. All one-time or announcement mailings completed for a client must adhere to these same policies. Exactis.com reserves the right at any time to implement technical mechanisms to prevent such activities, refuse to send e-mail that does not meet the aforementioned requirements, terminate service or take other legal action against any Customer that engages in or tolerates spamming or any other illegal, harassing, obscene or other potential liability-causing activity. Exactis.com reserves all legal and equitable rights in enforcing this policy. Note: This policy has been created in conjunction with widely accepted policies on the Internet. In addition, Exactis.com has conducted extensive tests, using our own subscribers, in setting these policies. These tests generated measurable results that were used to form the basis of this policy. 135 Ten Rules for Permission-based E-mail marketing Marketers everywhere are embracing opt-in e-mail marketing. Though similar in many ways to traditional direct marketing, opt-in e-mail operates under very different rules. Those who violate the rules are often deluged with complaints and find that response rates suffer. These guidelines will help you avoid the problems and focus on success. 1. Send e-mail only to those who have "opted-in" to receive it. Ideally you should use "confirmed" opt-in, in which a confirmation message must be sent to the recipient, who in turn must reply to the message for the opt-in to take effect. Avoid "opt-out," which forces the recipient to receive messages until he says no. This widespread practice of opt-out appears to actually discourage e-commerce. A recent survey by Intelliquest found that 63% of Web users agreed with the statement, "If I buy online, I'll end up getting junk e-mail." And the trend is up - Intelliquest found only 58% agreed with that statement in 1998. Perhaps this is why many people use fake e-mail addresses when buying online; Shop.org found in a 1998 survey that 60% of surfers have given false information when filling out online forms. Bottom line: Consumer trust is something you have to earn. One of the best ways is to respect their wishes when it comes to e-mail. 2. Always honor user requests to opt-out. Make it a simple process and include a Web site URL in every message that allows the user to opt-out. (A simple "reply to unsubscribe" does not always work if the user has multiple e-mail accounts, which can be extremely frustrating for the end user.) For some companies, it might make sense to "downsell" the end user. For example, a news site that provides daily deliveries may have success in offering the user an opportunity to "downgrade" to weekly digests. After all, many opt-outs are simply a natural reaction to too much e-mail in general; a reduced burden is often welcome. 3. Confirm everything by e-mail: The initial opt-in, orders, shipping notification and changes in the customer profile. This blunts the problem of false information. If a fake e-mail address has been entered, the confirmation will either bounce or be delivered to someone who possibly has never heard of you, in which case he will contact you and let you know your database needs to be updated. Always include an opt-out mechanism in these messages. As an added bonus, use these messages as an upsell opportunity. For example, an airline could offer the user a reduced rate for renting a car from a particular sponsoring vendor. 4. Allow users to specify their preferences. What kind of information do they want to receive? How often? Encourage users to give you as much information as necessary to allow you to effectively target them in your email promotions and other e-commerce activities. But avoid asking for her life story. Instead, structure your program so that you gain more information over time -- with her permission, of course! 5. Give and you shall receive. Customers don't give you their e-mail address and other personal information out of altruism. They do it in exchange for something of value. It could be information (on your Web site, via e-mail or through some other media), a free gift, a coupon or a chance to win a sweepstakes. Be creative, but also follow through by delivering real value to the recipient with every message. 6. Your list is an asset that only you can use; do not sell or rent it. If you want to realize incremental revenue beyond your own offerings, allow the users to opt-in to receive offers from your partners. If you do this, make sure you control the mailings, and that your brand "introduces" other brands. Example: "Because you opted to receive promotional offers of our valued partners, we at ABC Corp are please to give you a special offer from XYZ Corp." Ask the company doing the promotion to give you 136 7. 8. 9. 10. an exclusive on the offer for a limited time; limiting the offer to only your customers increases the value of opting in. Develop and post a privacy policy for your web site. Do NOT violate it! Respond to customer e-mail inquiries promptly. It reinforces how valuable they are to you and reminds them that there are real, live people "behind the scenes" of your web site. Do not use rented lists. The only exception is vendors who use the method described in number 6. Always remember the network effect. Bad news travels much faster than good on the Internet. An angry online customer can broadcast his ire to millions by creating an "I hate [your company]" Web site, e-mailing the experience to friends, posting it on message boards and other ways. Remember, in the new economy the customer is in control. Do not make the mistake of treating e-mail and the Web like the telephone and snail mail. 137 Our List Member Guarantee 1. Your privacy will be protected. At NetCreations, we respect your right to privacy. Your name, email address, zipcode and any other identifying information that you give us will not be revealed to any of the direct marketers who rent our lists. Should we ever change our policy, you will be given the chance to remove yourself from our lists before your information is disclosed. 2. You will not be spammed. We hate spamming, and we know that you do, too. When you sign up for our PostMasterDirect.com mailing lists, you will receive commercial email messages only about those topical categories that you have selected. Before any mailing goes out, our staff personally screens each marketer's message to make sure that it's relevant to the list's topic. 3. You will be able to get off our lists at any time, no questions asked. Just because you joined a list a month ago doesn't mean you want to stay on it forever. Every PostMasterDirect.com message we send out is coded with a special header and footer that allows you to remove your name from all lists automatically by forwarding the message to [email protected]. We also offer a Subscription Review Service at http://review.postmasterdirect.com that enables you to unsubscribe from specific lists and update your personal profile 139 Annexe 2 : Références et extraits des lois nationales citées dans l’étude et prévoyant le recueil du consentement préalable 140 Allemagne : Loi fédérale allemande sur les Télécommunications du 31 juillet 1996 (extraits) Traduction anglaise non officielle accessible notamment sur le site de l’autorité fédérale allemande de protection des données personnelles à l’adresse : http://www.bfd.bund.de/information/tkgeng.pdf §89 Data Protection : (1) The Federal Government shall issue, by ordinance having the force of law with the consent of the German Bundesrat, provisions on the protection of the personal data of those engaging in telecommunications which govern the collection, processing and use of such data for companies commercially providing telecommunications services or contributing to the provision of such services. These provisions shall take account of the principle of reasonableness, specifically of restricting collection, processing and use to that which is necessary, and the principle of purpose-tying. Maximum storage periods shall be laid down and overall the justified interests of the company and parties concerned taken into account. Particulars of legal persons who are subject to telecommunications secrecy shall be treated as equivalent to personal data. (2) Companies and persons commercially providing telecommunications services or contributing to the provision of such services may, in accordance with the applicable ordinance, collect, process and use the data of natural and legal persons insofar as this is necessary : […] (7) The companies and persons specified in (2) above may process and use personal data which they have collected for the establishment, framing of the content or modification of a contractual relationship insofar as this is required for purposes of advertising, customer consulting or market research for the companies and persons specified in (2) above and the customer has given his consent. Personal customer data already collected by the companies and persons specified in (2) above at the date of entry into force of this Act may be processed and used for the purposes referred to in sentence 1 above if the customer does not raise any objections. His consent shall be deemed given if he has been adequately informed but has not made use of his right of objection. 141 Allemagne (suite) : Loi fédérale allemande sur les Téléservices du 13 juin 1997 (extraits) Traduction anglaise non officielle accessible notamment sur le site du Commissaire à la protection des données personnelles du Land de Berlin à l’adresse : http://www.datenschutz-berlin.de/recht/de/rv/tk_med/iukdg_en.htm#a2 Article 5, § 2 1. The provider may collect, process and use the personal data of a user to the extent necessary the data are required for concluding with him a contract on the use of teleservices and for determining or modifying the terms of such contract (contractual data). 2. Processing and use of contractual data for the purpose of advising, advertising, market research or for the demand-oriented design of the teleservices is only permissible if the user has given his explicit consent. Traité fédéral sur les Mediaservices du 23 juin 1997 (extraits) Texte en allemand reprenant la même formulation que la loi du 13 juin 1997 sur les Téléservices, accessible notamment sur le site du Commissaire à la protection des données personnelles du Land de Berlin à l’adresse : http://www.datenschutz-berlin.de/recht/de/stv/mdstv.htm#nr14 Article 14, § 2 1. Der Anbieter von Mediendiensten darf personenbezogene Daten eines Nutzers erheben, verarbeiten und nutzen, soweit sie fur die Begrundung, inhaltliche Ausgestaltung oder Anderung eines Vertragsverhaltnisses mit ihm uber die Nutzung von Mediendiensten erforderlich sind (Bestandsdaten). 2. Eine Verarbeitung und Nutzung der Bestandsdaten fur Zwecke der Beratung, der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung technischer Einrichtungen des Anbieters ist nur zulassig, soweit der Nutzer in diese ausdrucklich eingewilligt hat. 142 Autriche : Loi de réglementation des télécommunications (extrait) Traduction française non officielle de la section 101 de la loi de réglementation des télécommunications, entrée en vigueur en août 1999 Section 101 Les appels -y compris par fax- ayant une finalité commerciale ne peuvent être autorisés sans le consentement préalable des personnes. Ce consentement peut être révoqué à tout moment ; l’envoi de courriers électroniques en masse ou à des fins commerciales nécessite le consentement préalable du destinataire, révocable à tout moment. 143 Danemark : Loi n° 418 du 31 mai 2000 (extrait) Traduction française non officielle de la loi transposant en droit interne danois la directive 97/66/CE du 15 décembre 1997 Article 6 a (1) Les fournisseurs de biens matériels ou immatériels ou de services ne sont pas autorisés à prospecter quiconque en recourant au courrier électronique, à des systèmes automatisés d’appels (automates d’appels) ou à des télécopieurs (fax) à des fins commerciales, à moins que le destinataire n’ait préalablement sollicité de telles prospections. Article 6 a (2) Les fournisseurs de biens matériels ou immatériels ou de services utilisant des moyens de communications autres que ceux cités à la section (1) ne sont pas autorisés à contacter les personnes qui leur ont demandé à ne plus être contactées, ni les personnes qui figurent dans le registre d’opposition détenu et mis à jour trimestriellement par le « Civil Registration System » (CPR). Lors du premier contact avec une personne non inscrite dans le registre tenu par le CPR et lorsque des procédés de communications autres que ceux cités à la section (1) sont utilisés, le fournisseurs de biens ou de services doit informer de manière claire et compréhensible le destinataire de l’appel de son droit de s’opposer à recevoir des appels commerciaux et des moyens d’exercer ce droit. 144 Finlande : Loi n° 1999/565 du avril 1999 Traduction anglaise non officielle du texte transposant la Directive 97/66/CE Section 21 – Telecommunications in direct marketing 1. Telecommunications may not be used for direct marketing without the prior consent of the subscriber if the calls to the called subscriber are made by means of automated calling systems or facsimile machine unless otherwise decided by the ministry under paragraph 4. 2. Without prejudice to the provisions of paragraph 1, telecommunications may be used for direct marketing by means of automatic systems if a subscriber who is not a natural person has not forbidden it unless otherwise decided by the ministry under paragraph 4. However, a telefax may be used for direct marketing to a subscriber who is not a natural person. 3. Telecommunications used for the purposes of direct marketing to a natural person by other means than those referred in paragraph 1 shall be allowed unless expressly forbidden by him. The subscriber must have a way of forbidding the direct marketing referred to in this subparagraph free of charge. 4. The ministry shall, where necessary, taking into account the functionality and security of the telecommunications network and telecommunications services as well as the reasonableness obligations ensuing on the providers of direct marketing, decide in more detail on the means of telecommunications which : - would be allowed in telecommunications referred to in paragraph 1 without the consent of the subscriber provided, however, that the subscriber is able to forbid or prevent the telecommunications referred to in this subparagraph; as well as which - in telecommunications referred to in paragraph 2 require prior consent of the subscriber. Direct marketing directed at consumer shall further be governed by the provisions of the Consumer Protection Act (1978/38). Section 22 – Availability of refusals to accept regarding direct marketing The ministry shall, where necessary, decide in more detail on ways in which the refusals referred to in section 20, paragraph 2, subparagraph 2 (direct marketing towards subscriber directories) and section 21 shall be held available to those providing direct marketing. 145 Italie : Décret d’application n°171 du 13 mai 1998 Texte transposant en Italie la Directive 97/66/CE et les dispositions de la directive 95/46/CE spécifiques à l’activité de journaliste Traduction anglaise non officielle Article 10 - Unsolicited calls 5. The use of automated calling systems without human intervention or facsimile machines for the purposes of direct marketing or sending advertising materials, or else for carrying out market surveys or interactive business communication shall only be allowed with the subscriber's express consent. 6. Any calls made for the purposes referred to in paragraph 1 by means other than those mentioned therein shall be allowed in pursuance of Articles 11 and 12 of the Act. Loi n° 675 du 31 décembre 1996 Texte transposant en Italie la Directive 95/46/CE Article 11 - Data subject’s consent 1. Processing of personal data by private entities or profit-seeking public bodies shall be deemed lawful only if the data subject gives his express consent. 2. The data subject’s consent may relate to the overall processing or to one or more of the operations thereof. 3. The data subject’s consent shall be deemed to be effective only if it has been given freely, in a specific form and in writing and if the data subject was provided with the information as per article 10. Article 12 - Cases in which the data subject’s consent is not required 1. The data subject’s consent shall not be required : a) if the processing concerns data collected and kept in compliance with an obligation imposed by a law, regulations or Community legislation; 146 b) if the processing is necessary for the performance of obligations resulting from a contract to which the data subject is a party, or for gathering information at the data subject’s request prior to entering into a contract, or for the performance of a lawful obligation; c) if the processing concerns data extracted from public registers, lists, documents or records which are publicly available; d) if the processing is carried out exclusively for scientific research or statistics purposes and complies with the codes of conduct and professional ethics undersigned in pursuance of Article 31; e) if the processing is carried out within the scope of the journalistic profession and for the sole purposes related thereto. In the latter case, the code of conduct referred to in article 25 shall apply; f) if the processing concerns data relating to economic activities which have been collected, inter alia, for the purposes mentioned in para. 1, subheading e), of article 13 without prejudice to the laws in force regarding business and industrial secrecy; g) if the processing is necessary to safeguard life or bodily integrity either of the data subject or of a third party, and the data subject cannot give his consent because of physical or legal incapacity or mental disorder; h) if the processing is necessary for carrying out the investigations referred to in article 38 of the implementing, coordination and transitional provisions of the Criminal Procedure Code as approved by legislative decree no. 271 of 28 July 1989, subsequently amended, or else for the exercise or defence of a legal claim, provided that the data are processed exclusively for said purposes and for no longer than is necessary therefor. Article 13 - Data subject’s rights 1. In respect of the processing of personal data, any data subject shall have the right to: 2. a) be informed, by having access, free of charge, to the register mentioned under paragraph 1, subheading a), of article 31, of the existence of the processing of data that may concern him; b) be informed of what is mentioned under paragraph 4, subheadings a), b) and h), of article 7; c) obtain, without delay, either from the controller or from the processor: 1 - confirmation as to whether or not personal data relating to him exist, regardless of their being already recorded, and the intelligible communication of such data and their source, as well as of the logic and the purposes underlying the processing; such request is renewable at intervals of not less than ninety days, unless there are well-grounded reasons therefore; 2 - the erasure, blocking or anonymization of data which have been processed unlawfully, including those the keeping of which is not necessary for the purposes for which they were collected or subsequently processed; 147 3 - the updating, rectification or, where interested therein, integration of the data; 4 - the statement that the operations as per 2) and 3) above have been notified, as also related to their contents, to the subjects to whom the data were communicated or disseminated, except when the provision of such information proves impossible or involves a manifestly disproportionate effort compared with the right that is to be protected; d) object, in whole or in part, on legitimate grounds, to the processing of personal data relating to him, even though relevant to the purpose of the collection; e) object, in whole or in part, to the processing of personal data relating to him which is carried out for purposes of commercial information or advertising or direct marketing, or else for the performance of market or interactive commercial communication surveys, and be informed by the controller, no later than at the time when the data are communicated or disseminated, of the possibility to exercise such right free of charge. 2. Where it is not confirmed that personal data relating to the data subject exist, the latter may be charged a sum which shall not be greater than the expenses actually incurred, for each request as per para. 1, subheading c), number 1), in accordance with the modalities and within the limits set out by the regulations as per article 33(3).The rights as per paragraph 1, where relating to the personal data of a deceased, may be exercised by anyone who is interested in them. 3. The data subject may grant, in writing, power of attorney or representation to natural persons or associations in the exercise of the rights as per paragraph 1. 4. The provisions concerning professional secrecy of the journalistic profession shall further apply as related to the source of the information. 148 Annexe 3 : Liste des personnalités et organismes consultés dans le cadre de l’étude I - AUTORITES NATIONALES DE PROTECTION DES DONNEES PERSONNELLES Titre Doktor Doktor Doktor Monsieur Miss Prénom Waltraut Gustav Anton Paul Lotte Nom KOTSCHY MAIER SPENLING THOMAS JORGENSEN Fonction Présidente Doktor Helmut BAÜMLER LfD D Doktor Mister Ulrich Bernd DAMMANN DANNEMANN LfD D LfD D Mister Alexander DIX LfD D Doktor Doktor Mister Doktor Doktor Doktor Mister Gerhard Hansjürgen Sven Thomas Rainer Joachim Klaus-Reiner DRONSCH GARSTKA MÖRS GIESEN HAMM JACOB KALK LfD D LfD D Doktor Werner KESSEL LfD D Miss Doktor Doktor Silvia Walter Hans-Hermann LIEBAUG RUDOLP SCHRADER LfD D LfD D LfD D Miss Bettina SOKOL LfD D Mister Miss Mister Mister Mister Mister Reinhard Elisabeth Juan-Manuel Reijo Konstantinos Fergus VETTER FRANCE FERNANDEZ-LOPEZ AARNIO DAFERMOS GLAVEY LfD D Commissioner Président LfD D LfD D LfD D Président Ombudsman Président Président Organisme Pays Datenschutzkommission und des Datenschutzrates AUSTRIA Datenschutzkommission und des Datenschutzrates AUSTRIA Datenschutzkommission und des Datenschutzrates AUSTRIA Commission de la Protection de la Vie Privée BELGIQUE Datatilsynet DENMARK Der Landesbeaufragte für den Datenschutz bei der Präsidentin DEUTSCHLAND des Schleswig-Holsteinischen Landtages Der Bundesbeaufragter fur den Datenschutz DEUTSCHLAND Der Landesbeaufragte für den Datenschutz DEUTSCHLAND Der Landesbeaufragte für den Datenschutz und für das Recht DEUTSCHLAND auf Akteneinsicht Brandenburg Der Landesbeaufragte für den Datenschutz Niedersachsen DEUTSCHLAND Der Berliner Datenschutzbeaufragte DEUTSCHLAND Der Berliner Datenschutzbeaufragte DEUTSCHLAND Der Sächsische Datenschutzbeaufragte DEUTSCHLAND Der Hessiche Datenschutzbeaufragte DEUTSCHLAND Der Bundesbeaufragter fur den Datenschutz DEUTSCHLAND Der Landesbeaufragte für den Datenschutz Sachsen-Anhalt DEUTSCHLAND Der Landesbeaufragte für den Datenschutz MecklenburgDEUTSCHLAND Vorpommern Der Thüringer Landesbeaufragte für den Dantenschutz DEUTSCHLAND Der Landesbeaufragte für den Datenschutz Rheinland-Pfalz DEUTSCHLAND Der Hamburgische Datenschutzbeaufragte DEUTSCHLAND Die Landesbeaufragte für den Datenschutz NordrheinDEUTSCHLAND westfalen Der Bayerische Landesbeaufragte für den Datenschutz DEUTSCHLAND Data Protection Commissioner ENGLAND Agencia de Proteccion de Datos ESPANA Data Protection Ombusdsman FINLAND Hellenic Data Protection Authority GREECE Data Protection Commissioner IRELAND 149 150 Doktor Professor Professor Monsieur Mister Mister Giovanni Stefano Giuseppe René Peter J. Georg BUTTARELLLI RODOTA SANTANIELLO FABER HUSTINX APENES Doktor Joao LABESCAT DA SILVA Mister Ulf WIDEBËCK Secrétaire Général Garante per la Protezione dei data Personali ITALIA Président Garante per la Protezione dei data Personali ITALIA Vice-Président Garante per la Protezione dei data Personali ITALIA Président Commission à la Protection des données nominatives LUXEMBOURG Chairman Registratiekamer NETHERLANDS Chairman Office Data Inspectorate NORWAY Comissao Nacional de Protecçao de Dados Pessoais InformaChairman PORTUGAL tizados Chairman Datainspektionen SWEDEN II – ORGANISATIONS REPRESENTATIVES DES ACTEURS DE l’INTERNET Titre Mister Mister Prénom Thomas Hasso BERENDT HERBST Nom Mister Michael SCHNEIDER Mister Mister Thomas Klaus STEINMARK WIRTH Fonction Délégué Général Adjoint Managing Director Director of Regulation/ SelfRegulation Délégué Général Président Miss Hildergard FISCHER Secrétaire Général Mister Joseph HAMBERGER Délégué Général Mister Paul MAILATH POKORNY Président Mister Monsieur Helmut Michel RITTER CASTERS Monsieur Dirk FRANS Correspondant AEVPC Président Director General Business Development Monsieur Didier LAHACHE Président Mister Rudi ROTH Monsieur Alastair TEMPEST Monsieur Paul VAN LIL Secretary General Director General Public Affairs & Self Regulation Délégué Général Monsieur Aad WEENING Délégué Général Mister Miss Miss Mister Mister Mister Mister Monsieur Monsieur Erick Elena Elena Miguel Miguel Jouko Sakari Serge Antoine RYGE GOMEZ DEL POZUELO GOMEZ DEL POZUELO REIRIS REIRIS KOVERO VIRTANEN AUMONT BEAUSSANT Délégué Général Délégué Général Délégué Général Président Président Président Délégué Général Président Organisme BUNDESVERBAND DES DEUTSCHEN DDV Pays ALLEMAGNE ALLEMAGNE EuroISPA ALLEMAGNE BUNDESVERBAND DES DEUTSCHEN BUNDESVERBAND DES DEUTSCHEN HANDELSVERBAND ARBEITSGRUPPE VERSANDHAUSER DIRECT MARKETING VERBAND OSTER HANDELSVERBAND ARBEITSGRUPPE VERSANDHAUSER RITTER CONSULTING BDMV/ABMD FEDMA (Federation of European Direct Marketing) ASSOCIATION EUROPEENNE DE VENTE PAR CORRESPONDANCE EuroISPA ALLEMAGNE ALLEMAGNE AUTRICHE AUTRICHE AUTRICHE AUTRICHE BELGIQUE BELGIQUE BELGIQUE BELGIQUE FEDMA BELGIQUE BDMV/ABMD ASSOCIATION EUROPEENNE DE VENTE PAR CORRESPONDANCE DANSK POSTORDREFOREINING FECEMD AEMD FECEMD AEMD SSML SSML Comité Réseaux des Universités (CRU) Groupement des Editeurs de Services en ligne BELGIQUE BELGIQUE DANEMARK ESPAGNE ESPAGNE ESPAGNE ESPAGNE FINLANDE FINLANDE FRANCE FRANCE 151 152 (GESTE) Madame Nadia BELMOURI Secrétaire Monsieur Hubert BRIN Président Monsieur Henri de MAUBLANC Président Monsieur Etienne DUPONT Directeur Monsieur Jean-Christian FANDEUX Président Monsieur Monsieur Georges Michel FISCHER FRANCK Président Madame Marie-Agnès GIROUD Chargée de mission Monsieur Noël GOUTARD Monsieur Eric HAYAT Monsieur Jacques KUNTZ Monsieur Gérard LADOUX Monsieur Jean-Christophe Le TOQUIN Monsieur Jean-Christophe Le TOQUIN Monsieur Madame Monsieur Jean-Pierre Véronique Jean-Marc LEVIEUX MILAN-BESLAY PINCET Monsieur Pascal POUPET Monsieur Bernard SIOUFFI Madame Marie-France TULASNE Missis Delphine VARA Mister Lionel WALSH ACSEL Union Nationale des Associations Familiales (U.N.A.F.) Association pour le Commerce et les services en Ligne (ACSEL) Association Française de Normalisation (AFNOR) Fédération des Entreprises de Vente à Distance (FEVAD) Chambre de Commerce et d'Industrie de Paris Chambre de Commerce et d'Industrie de Paris Association pour le Commerce et les services en Ligne (ACSEL) Vice-Président du groupe "RECHERCHE ET INNOVA- Mouvement des Entreprises de France (MEDEF) TION" Président du groupe "REMouvement des Entreprises de France (MEDEF) CHERCHE ET INNOVATION" Président de la Délégation de Chambre de Commerce et d'Industrie de Paris Paris Association pour le Commerce et les services en Secrétaire Général Ligne (ACSEL) Vice-Président EuroISPA Association des Fournisseurs d'accès et de serviDélégué Permanent ces Internet (AFA) Président IAB France Chargée de la communication Union Française du Marketing Direct Directeur du Pôle Juridique Association Française de Normalisation (AFNOR) Dép.Technologies de l'InforAssociation Française de Normalisation (AFNOR) mation et Communication Fédération des Entreprises de Vente à Distance Délégué Général (FEVAD) Association pour le Commerce et les services en Secrétaire Ligne (ACSEL) Executive Manager Chambre de Commerce Internationale (ICC) Directeur des communicaChambre de Commerce Internationale (ICC) tions FRANCE FRANCE FRANCE FRANCE FRANCE FRANCE FRANCE FRANCE FRANCE FRANCE FRANCE FRANCE FRANCE FRANCE FRANCE FRANCE FRANCE FRANCE FRANCE FRANCE FRANCE Mister Jim DIXON Director of Telecommunications Issues EuroISPA Mister Colin FRICKER Legal Affairs THE BRITISH DMA Mister Malcom LANDAU Délégué Général THE MAIL ORDER TRADER'S ASSOCIATION Mister Colin LLOYD Directeur Général THE BRITISH DMA Mister Jim MARTIN Président THE MAIL ORDER TRADER'S ASSOCIATION Mister Mister Mister Mister Mister Mister Mister Mister Mister Mister Mister Mister Mister Mister Mister Mister Mister Mister Mister Mister Ewan Howard Bill John Paolo Mirko Pier-Attilio Pietro Arne Eddy Tore Herbert Gerard Menno Frits Joao Tom Erick Lennart Gunnar BYRNE JACOBS MOSS O'ROURKE LAVINO PLANTA RUBINI SANFELICE MORTEFORTE EGGEN HANSEN KVARUD HAAIJ MARSMAN VAN DER PUT VAN DORST NOVAIS DE PAULA EKELUND GRONBERG HELGESSON RYMAN Président Délégué Général Chairman Treasurer Président Managing Director Délégué Général Président Chairman Président Délégué Général Président Président Délégué Général Managing Director Secrétaire Général Président Délégué Général Délégué Général Président THE IRISH MAIL ORDER ASSOCIATION THE IRISH MAIL ORDER ASSOCIATION IRISH DMA IRISH DMA ANVED AIDIM ANVED AIDIM NORSK DIREKTE MARKEDSFORDING FOR NORSK POSTORDREFORENING NORSK POSTORDREFORENING DMSA NEDERLANDSE POSTORDERBOND NEDERLANDSE POSTORDERBOND DMSA ASSOCIACAO PORTUGUESA DE MD SWEDISH DMA SWEDISH DMA SVENSKA POSTORDER FORENINGEN SVENSKA POSTORDER FORENINGEN GRANDEBRETAGNE GRANDEBRETAGNE GRANDEBRETAGNE GRANDEBRETAGNE GRANDEBRETAGNE IRLANDE IRLANDE IRLANDE IRLANDE ITALIE ITALIE ITALIE ITALIE NORVEGE NORVEGE NORVEGE PAYS-BAS PAYS-BAS PAYS-BAS PAYS-BAS PORTUGAL SUEDE SUEDE SUEDE SUEDE 153