Communications Commerciales Non-Sollicitées et Protection des

Commission des Communautés européennes
Communications Commerciales
Non-Sollicitées
et
Protection des Données
(Internal Market DG – Contract n° ETD/99/B5-3000/E/96)
Auteurs (ARETE) :
Serge Gauthronet
Etienne Drouard
Janvier 2001
3
Table des matières
Pages
Introduction 5
PREMIÈRE PARTIE :
9
E-MAIL MARKETING ET SPAMMING : SITUATION GÉNÉRALE, PRATIQUES ET
OFFRE DE SERVICES
9
Chapitre I : Situation générale du e-mail marketing et de la communication
commerciale non-sollicitée
11
I.1) - Quelques données économiques sur Internet, le marketing et la communication
publicitaire
I.2) - Le spamming : maladie infantile de l’e-mail marketing
I.2.1) - Les trois âges du spamming
I.2.2) - Les forces récessives du spamming
I. 3) - Du spamming au permission marketing
I.3.1) - Les thèses de Seth Godin
I.3.2) - L’opt-in e-mail marketing : la difficile marche vers un nouveau standard professionnel
11
14
14
18
24
24
26
Chapitre II : Offre de services et pratiques du e-mail marketing
33
II.1) - Situation du spamming : technologie, services et pratiques risquées
33
II.1.1) - Le spamware
II.1.2) - Conseils & prestations ou le spamming version « small business »
II.1.3) - Pratiques & risques du spamming aujourd’hui – Illustration
33
36
39
II.2) - Analyse de l’activité des sociétés de permission e-mail marketing – Produits et
services
II.2.1) - Données générales sur les prestataires de e-mail marketing
II.2.2) - Données économiques et modèle de croissance des entreprises de e-mail marketing
II.2.3) - Les huit familles de services de l’opt-in e-mail marketing
II.2.4) - Les mécanismes d’acquisition et de gestion des données personnelles dans un contexte
permissif
II.2.5) - Commercialisation et traitements des listes d’adresses
II.2.6) - Les moyens technologiques des sociétés de e-mail marketing
II.3) - De quel opt-in parle-t-on ?
II.3.1) - Le spam : passage obligé de l’opt-in e-mail marketing ?
II.3.2) - Pour une interprétation restrictive de l’opt-in
Conclusions de la Première Partie
44
44
46
52
55
60
64
66
66
67
71
DEUXIÈME PARTIE : 75
QUELLE PROTECTION EN EUROPE ?
75
Chapitre III : Le cadre juridique européen de la prospection commerciale
non sollicitée
77
4
III.1) - Les principes généraux posés par la directive 95/46/CE ()
III.2) - L’application des principes précisée dans le domaine des télécommunications
par la directive 97/66/CE
III.3) - La protection des consommateurs en matière de contrats à distance
III.4) - La directive 2000/31/CE sur le commerce électronique
78
79
81
82
III.4.1) - Les objectifs exprimés par le législateur communautaire
III.4.2) - Le dispositif prévu par le législateur communautaire
III.4.3) - L’ambiguïté de la directive du 8 juin 2000, source d’insécurité juridique
82
83
84
Chapitre IV : Le « spamming » n’a pas encore envahi l’Europe
87
IV.1) - Une réaction européenne aux problèmes américains de vie privée
IV.2) - Des débats mais peu de situations conflictuelles
87
89
IV.2.1) - Les autorités nationales de contrôle et le « spamming »
IV.2.2) - Les juridictions de l’Union européenne et le « spam-ming »
89
93
IV.3) - Des pratiques professionnelles consensuelles et prudentes
94
IV.3.1) - Le constat
IV.3.2) - Une double explication : retard industriel et culture européenne
IV.3.3) - Les effets de la prudence
94
96
98
IV.4) - Le « spamming » : une tentation sous surveillance
102
Chapitre V : De la confusion des approches à la variété des pratiques
105
V.1) - Une certaine confusion dans les approches…
105
V.1.1) - Confusion entre « spamming » et prospection commerciale non sollicitée
V.1.2) - Divergences sur la notion de prospection commerciale non sollicitée
106
107
V.2) - … que n’a pas réparé le grand nombre de textes européens
108
V.2.1) - La directive 97/7/CE du 20 mai 1997
V.2.2) - La directive 95/46/CE du 24 octobre 1995
V.2.3) - La directive 97/66/CE du 15 décembre 1997
V.2.4) - La directive 2000/31/CE du 8 juin 2000
108
108
109
109
V.3) - Une grande variété des pratiques professionnelles
110
V.3.1) - De la case à cocher à la case pré-cochée
V.3.2) - Du succès de la case à cocher au « opt-in »
110
111
Chapitre VI : La nécessité d’une clarification
114
VI.1) - L’application du droit actuel
114
VI.1.1) - Prospection d’un internaute avec lequel le prospecteur a eu un contact préalable
VI.1.2) - Prospection d’un internaute dont l’adresse e-mail a été fournie par un tiers
VI.1.3) - Prospection d’un internaute dont l’adresse e-mail a été collectée dans les espaces
publics de l’Internet
114
116
116
VI.2) - Passer du débat sur la régularité d’un envoi commercial au débat sur les
conditions de loyauté de la collecte des données
117
VI.2.1) - Le débat s’est limité aux conditions de régularité des envois commerciaux
VI.2.2) - Pour un débat sur la loyauté de la collecte
117
118
VI.3) - Validité et acceptabilité du « opt-in »
120
VI.3.1) - Le « opt-in » n’interdit pas la prospection commerciale à l’égard de clients ou de visiteurs
VI.3.2) - Le « opt-in » n’interdit pas la cession à des tiers des données fournies par les internautes
VI.3.3) - Le « opt-in » n’interdit pas la compilation de listes d’e-mails
VI.3.4) - Le « opt-in » interdit la collecte et l’usage déloyaux des données
Conclusions de la Deuxième Partie
121
121
121
122
123
Annexes :
Annexe 1 : Exemples d’Anti-Spam Policies
Annexe 2 : Références et extraits des lois nationales citées dans l’étude et prévoyant le recueil du consentement préalable
Annexe 3 : Liste des personnalités et des organismes consultée dans le cadre
de l’étude
133
141
150
5
Introduction
Depuis quatre ans, le Parlement européen et le Conseil ont adopté des directives majeures assurant un haut niveau de protection de la vie privée des personnes à l’égard des traitements informatiques des données personnelles. Il
s’agit de la directive 95/46/CE relative à la protection des personnes physiques
à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et de la directive 97/66/CE concernant le traitement des
données à caractère personnel et la protection de la vie privée dans le secteur
des télécommunications. Alors que les pays membres de l’Union achèvent de
transposer les dispositions de ces directives dans leur droit national, les sociétés modernes sont confrontées à la montée d’un enjeu de plus en plus préoccupant lié au développement de l’Internet et du commerce électronique : collecte sauvage de données personnelles, constitution de vastes bases de profils,
commerce incontrôlé de l’information, déferlement publicitaire, multiplication de
pratiques déloyales, atteintes sérieuses à la vie privée des personnes.
La Commission se penche sur ce problème depuis plusieurs années et c’est
précisément sur un de ces aspects, l’envoi d’e-mails commerciaux non sollicités
(UCE : « Unsollicited Commercial E-mail »), encore appelé le « spamming »,
qu’elle a souhaité de la part de l’ARETE un éclairage particulier.
On dénombre aujourd’hui dans le monde quelque 569 millions de boîtes-auxlettres électroniques, dont 153 millions en Europe (1), soit 1,8 boîtes par internaute. Chaque jour dans le monde, plusieurs centaines de millions de messages commerciaux inondent les boîtes-aux-lettres électroniques des internautes,
rappelant que la messagerie n’est pas seulement un outil de communication
interpersonnel mais aussi selon l’expression consacrée « a powerful and cost
effective business tool » ; un peu sur le même principe que l’exposition à la
publicité et au marketing direct, qu’il soit de masse ou « one to one », beaucoup
de ces messages n’ont pas été vraiment sollicités de la part de leurs destinataires. Une véritable activité s’est structurée, autour d’une technologie sophistiquée, un savoir-faire astucieux en matière de collecte des adresses e-mail, une
offre de service relativement bon marché.
La mission que la Commission a confiée à l’ARETE a justement pour premier
objectif d’analyser cette activité de e-mail marketing et de spamming et c’est là
l’objet de la première partie de cette étude.
1) Sources : Messaging Online – mars 2000.
6
Cette partie comporte deux chapitres : le premier est consacré à une analyse
de la situation générale et historique du problème vue des Etats-Unis ; il démontre notamment que le spamming est en quelque sorte une maladie infantile
du marketing par e-mail et que sous la pression des acteurs de l’Internet et des
stratèges du marketing moderne, le consensus est en passe de remplacer la
désinvolture et l’ingérence des communications commerciales non sollicitées.
Le deuxième chapitre étudie l’offre de service et les pratiques du spamming et
du e-mail marketing ; il analyse en détail le « spamware » c’est à dire l’offre de
progiciels et de services clé-en-main permettant notamment de collecter les
adresses e-mail dans l’Internet et plus particulièrement dans les espaces publics et les risques juridiques et financiers que courent désormais les aventuriers qui s’y adonnent. Il étudie en profondeur le modèle qui est en passe de
dominer l’industrie du marketing et qui est fondé sur une problématique de
permission et d’expression de l’opt-in pour l’inscription dans des fichiers commerciaux ou des listes de diffusion. La mise en œuvre de ce nouveau savoirfaire a été plus particulièrement étudiée à travers quelques entreprises américaines, leaders sur leur marché et qui ont été étudiées aux Etats-Unis ou en
Europe spécifiquement pour les besoins de cette mission. Ce chapitre se clôt
par une réflexion sur le statut réel de l’opt-in.
La deuxième partie de l’étude est destinée à établir, en premier lieu, un panorama des cadres légal, réglementaire, administratif, jurisprudentiel, doctrinal et
déontologique dans lesquels la prospection électronique non sollicitée se développe ou est amenée à se développer dans les États membres de l’Union
européenne en l’état du droit communautaire existant. En second lieu, elle a
pour objet de mettre en évidence les similitudes ou divergences existant entre
les diverses approches nationales, d’origine publique ou privée, du phénomène.
Enfin, les analyses qui précèdent doivent permettre de dégager des réflexions
et préconisations sur l’encadrement juridique qui semble le mieux à même de
favoriser la sécurité juridique des commerçants électroniques européens et de
protéger les droits reconnus en Europe aux internautes.
Cette étude, d’abord menée sur quatre États membres de l’Union européenne,
a été étendue à l’ensemble des quinze États membres.
La méthode de travail initialement retenue lors de la définition de la portée de la
présente étude devait consister à examiner en détail la situation existant dans
quatre États membres (l’Italie, l’Angleterre, l’Allemagne et la France), retenus
en fonction, d’une part, de la taille de leur parc d’internautes et de serveurs en
ligne, d’autre part, de leurs différences et leur implication active supposée dans
la problématique étudiée, enfin, de l’ancienneté d’une loi de protection des données personnelles ou, au contraire, de la récente implantation d’une telle loi,
cette dernière hypothèse laissant supposer une mise en œuvre plus aisée
d’une législation spécifique à la prospection électronique.
Les premières investigations menées dans l’ensemble des pays membres de
l’Union européenne sur le cadre juridique général de la protection des données
7
personnelles et sur la question particulière de la prospection électronique non
sollicitée, ont rapidement révélé que les particularismes nationaux n’étaient pas
ceux initialement attendus et que l’étude de quatre pays ne permettrait pas
d’offrir une vision complète des diversités ou des similitudes existant en Europe.
La méthode la plus pertinente est alors très rapidement apparue être celle
d’une étude exhaustive du cadre juridique et des pratiques professionnelles
propres à chacun des quinze pays membres de l’Union, seule de nature à disposer d’une photographie fiable de la situation européenne. Cette méthode a
nécessairement impliqué de procéder dans chaque État membre par la voie de
sondages auprès de quelque 170 organismes publics ou privés représentatifs
des secteurs professionnels concernés (2), ainsi que d’entretiens directs avec
certains acteurs du commerce électronique lorsque des particularités nationales
le commandaient. Cette opération s’est déroulée entre la fin de l’année 1999 et
l’été 2000.
La deuxième partie du présent rapport se présente en 5 chapitres. Les chapitres III et IV reprennent le constat tiré des réponses obtenues qui commandaient de rendre compte de la faible ampleur apparente du phénomène de la
prospection électronique non sollicitée en Europe, d’analyser l’action menée par
les autorités nationales de protection des données personnelles, d’identifier les
pratiques professionnelles, ainsi que la jurisprudence dominante dans
l’ensemble des États membres de l’Union.
Il s’est agi ensuite de relever une confusion des approches professionnelles,
sur les notions concernées, mais également sur le sens et la portée exacts des
divers instruments juridiques applicables au niveau communautaire (Chapitre
V). Enfin, il est apparu nécessaire qu’une démarche de clarification de la réglementation communautaire existante soit entreprise au lendemain de l’adoption
de la directive 2000/31/CE du 8 juin 2000 sur le commerce électronique. C’est
la réflexion développée dans le chapitre VI. Dans cette optique, le repositionnement du débat juridique sur les garanties offertes aux internautes en Europe
semble inévitable. La directive 2000/31/CE, en ne rappelant pas explicitement
aux acteurs du commerce électronique les conditions dans lesquelles une
adresse électronique peut être collectée, a créé une confusion générale dans
les esprits, préjudiciable à l’ensemble des parties prenantes. Cette confusion
devra être levée afin de garantir en Europe la sécurité juridique nécessaire au
développement du commerce électronique, au respect des droits des personnes et de la législation en vigueur.
Nous remercions vivement tous nos interlocuteurs pour leur amabilité et le
temps qu’ils ont bien voulu nous consacrer.
2) Cf. liste détaillées des personnalités sollicitées en Annexe 2 – page 147
9
Première Partie :
E-mail marketing et spamming :
situation générale, pratiques et offre de
services
11
Chapitre I : Situation générale du e-mail
marketing et de la communication commerciale nonsollicitée
Le marketing interactif trouve avec Internet un terrain d’épanouissement évident
que révèlent bien, ainsi que tente de le démontrer la première partie de ce chapitre, les déplacements d’investissements des annonceurs aux Etats-Unis. Il
fallait s’attendre cependant à ce que, attirés par la simplicité et la gratuité de la
collecte des adresses e-mail, le faible coût global des opérations, le marché soit
accaparé dès sa naissance par des acteurs pas toujours très professionnels et
peu soucieux du respect de l’étiquette du « net » ni de la vie privée des utilisateurs. C’est ainsi que la deuxième moitié des années 90 s’est caractérisée par
une explosion d’initiatives qui portent le détestable nom de spamming. Ce chapitre analyse comment ce phénomène est apparu et comment peu à peu les
opérateurs de l’Internet, principalement dans un premier temps les administrateurs de réseaux et les fournisseurs d’accès, sont parvenus à le contenir sinon
à le maîtriser ; il examine également comment sous la pression des privacy advocates, les pouvoirs publics américains sont amenés peu à peu à prendre des
dispositions coercitives et dans quel état d’esprit, enfin, les vrais professionnels
du e-marketing envisagent aujourd’hui au plan théorique l’utilisation de ce média.
I.1) - Quelques données économiques sur Internet, le
marketing et la communication publicitaire
Sur un plan très général, le marketing direct occupe désormais une place
prépondérante dans l’activité de communication commerciale des entreprises. Certaines données chiffrées montrent qu’il a détrôné la prédominance des budgets publicitaires traditionnels : ainsi, selon la DMA (The
Direct Marketing Association), la dépense en marketing direct aux EtatsUnis s’élève en 1999 à $ 176 milliards, soit 57% du total des dépenses
de communication commerciale ($ 308,9 milliards) ; elle devrait atteindre
$ 221,5 milliards en 2003. Le tableau ci-dessous permet de visualiser la
ventilation de cette dépense suivant les médias utilisés, sachant qu’il faut
12
comprendre les actions de marketing direct dans la presse, à la radio ou
à la télévision comme des opérations spécifiques permettant, à travers
du « couponning » ou l’offre de n° verts, de générer directement des
commandes, des contacts avec prospects ou des visites de consommateurs dans les magasins.
Dépense des annonceurs en marketing direct comparée aux
dépenses totales de communication publicitaire sur le marché
américain
(sources : The Direct Marketing Association)
Dépenses Marketing Direct
Total Dépenses
Publicité et
Marketing direct
Mailing courriers
29.6
29.6
100.0
Marketing téléphonique
46.8
76.8
60.9
Journaux
12.2
34.4
35.6
Magazines
6.2
11.5
53.7
Télévision
12.9
35.4
36.5
Radio
3.8
10.5
36.5
Autres médias
9.7
20.4
47.5
$121.3
$218.7
(En milliards de US $)
% de dépense
Marketing Direct
1994
Total
55.5%
1999
Mailing courriers
42.2
42.2
100.0
Marketing téléphonique
66.9
110.5
60.5
Journaux
17.4
47.0
37.1
Magazines
8.9
15.9
56.3
Télévision
20.4
51.4
39.6
6.5
15.5
42.0
14.2
26.4
53.7
$176.5
$308.9
Radio
Autres médias
Total
57.1%
La dépense des annonceurs en 1999 dans la catégorie des Autres médias, c’est à dire essentiellement sur les réseaux et les services en ligne,
représente un total de plus de $ 26 milliards dont une part majoritaire,
$ 14,2 milliards, est allée à des actions de marketing direct de préférence
à des campagnes publicitaires.
13
Dans cette catégorie de dépense, le marketing direct interactif représente en 1999, $ 1,3 milliard. Ce chiffre est encore relativement faible
mais la DMA prévoit des taux de croissance particulièrement élevés à
l’horizon 2004 où il représentera une dépense de $ 8,6 milliards ; le tableau prévisionnel ci-dessous détaille et différencie cette croissance entre le business to business et la communication directe au consommateur final. Il fait ressortir des taux de croissance exceptionnels au cours
de ces 5 dernières années, tout à fait caractéristiques des phénomènes
qui se manifestent dans le monde de la net-économie.
Evolution de la dépense en marketing direct sur des
média interactifs aux Etats-Unis
(sources : The Direct Marketing Association)
(en millions de US $)
Total
1994
1998
1999
2000
2004
94-99
$11.0
$742.0
$1,311.0
$2,135.0
$8,614.0
160.2%
Business-tobusiness
7.5
469.7
824.6
1,338.6
5,418.2
156.0%
Consumer
3.5
272.3
486.4
796.4
3,195.8
168.3%
Il est donc fortement plausible que l’on assiste au cours des prochaines
années à des transferts d’investissements de plus en plus importants
vers le marketing direct sur Internet et plus particulièrement vers le email marketing. Il y a trois raisons principales qui permettent de
l’affirmer : le fait tout d’abord que les coûts de campagne sur Internet
sont incomparablement plus faibles par rapport aux médias traditionnels :
ainsi le prix moyen d’une campagne d’e-mail marketing aux Etats–Unis
revient à 10 cents environ l’envoi unitaire, alors que le coût d’un mailing
par les services postaux varie entre 50 cents et $ 1 l’unité expédiée. La
deuxième raison est que les taux de concrétisation de l’e-mail marketing
vont de 5 à 15% comparés à ceux des mailings postaux traditionnels qui
ne sont que de 0,5% à 2% (3). Enfin, sur le terrain même de l’Internet,
les différentes méthodes de communication commerciale se concurrencent entre elles ; et il est en effet très probable que la préférence des annonceurs va s’affirmer de plus en plus en faveur de l’e-mail marketing au
détriment des bannières publicitaires : plusieurs études montrent un
écart d’efficacité assez significatif entre le e-mail marketing qui remporte
des taux de click-through (4) de l’ordre de 18% alors que celui généré
3) Sources : Forrester Research.
4) Le click-through correspond, dans la terminologie du marketing appliquée à l’Internet, à
l’action d’un utilisateur qui clique sur un hyper-lien et accède ainsi directement au site Web de
l’annonceur et à son offre commerciale ; le passage à l’acte d’achat est un click-order.
14
par les bannières publicitaires ne cesse de baisser depuis quelque temps
et plafonne selon Forrester Research à 0,65% (5) ; selon d’autres sources (Nielsen Netratings – Mars 2000) il est passé de 2,5%, dans le milieu
des années 90, à 0,36% en mars 2000.
I.2) - Le spamming : maladie infantile de l’e-mail marketing
Le e-mail marketing au cours des cinq à six dernières années a été marqué par des pratiques de promotion assez primitives, presque aussi
grossières que la distribution de prospectus publicitaires dans les boîtesaux-lettres des quartiers ou sous les essuie-glaces des voitures en stationnement dans la rue. Il s’agit du spamming. Le spamming pour reprendre la définition qu’en donne un récent rapport de la CNIL « (…) est
l’envoi massif - et parfois répété - de courriers électroniques non sollicités, le plus souvent à caractère commercial, à des personnes avec lesquelles l’expéditeur n’a jamais eu de contact et dont il a capté l’adresse
électronique dans les espaces publics de l’Internet : forums de discussion, listes de diffusion, annuaires, sites web, etc. » (6). Le spamming a
connu plusieurs âges mais sous la forte réaction de la communauté des
internautes américains en lutte contre le spectre de l’Internet marchand,
la pression des « privacy advocates » et les contraintes réglementaires,
on observe aujourd’hui sa récession ou à tout le moins sa mutation vers
des formes moins inacceptables.
I.2.1) - Les trois âges du spamming
On peut considérer que le spamming aura eu, comme beaucoup de
phénomènes sur Internet, un cycle de vie assez bref de 4 à 5 années
pendant lesquelles les choses sont allées très vite ; deux auteurs
américains, Alan Schwartz et Simson Garfinkel, respectivement professeur d’université et consultant informaticien, retracent assez bien
les événements (7) ; schématiquement il y a trois principaux jalons
dans cette courte histoire.
5) Sources : Forrester Research – Mars 1999. Ces données sont confirmées également dans
un article récent : Saul Hansell : « So Far Big Brother Isn’t Big Business « – The New York
Times On the Web – May 7, 2000.
6) Commission Nationale de l’Informatique et des Libertés : « Le publipostage électronique
et la protection des données personnelles » - Rapport présenté par Madame Cécile Alvergnat,
adopté le 14 octobre 1999.
7) Alan Schwartz & Simson Garfinkel : « Stopping Spam – Stamping out Unwanted Email &
News Posting » - O’Reilly – Oct. 1998.
15
Avril 1994 : Le spam sur la Green Card Lottery par Canter &
Siegel
Laurence Canter et Martha Siegel sont deux avocats de l’Arizona
qui ont imaginé fournir une prestation de conseil à tous les candidats à la Green Card Lottery. Il s’agit d’un dispositif très particulier
organisé par l’administration américaine en charge de délivrer les
visas d’immigration sur le territoire ; tous les candidats éligibles,
c’est à dire des hommes ou des femmes originaires de tous les
continents, disposant d’un niveau d’éducation secondaire ou d’une
expérience professionnelle d’au moins 2 ans au cours des 5 dernières années, doivent pour cela déposer un dossier de demande
de visa auprès d’un service spécialisé (The United States National
Visa Center, situé à Portsmouth, New Hampshire). Ces demandes, dont le volume dépasse largement le quota annuel de visas
délivrés (entre 4 et 5 millions de demandes en moyenne pour
50.000 visas accordés), sont ensuite traitées par un système informatique et tirées au sort. Le dépôt d’une demande de Green
Card est gratuit. Sachant que régulièrement entre et 30 et 40%
des demandes sont rejetées parce qu’elles sont non conformes,
de nombreux cabinets d’avocats font profession de conseil et garantissent à leurs clients une participation au tirage au sort. C’est
ainsi que Canter & Siegel en avril 1994 ont posté une publicité
dans plus de 6.000 groupes de discussion sur Usenet offrant une
assistance à cette démarche moyennant le versement de $ 100
d’honoraires à leur cabinet. Sans le savoir, Canter & Siegel venaient d’inventer ce qu’on appellera plus tard l’EMP (Excessive
Multi-posting) (8). Plusieurs dizaines de milliers de personnes qui
avaient reçu ce message ont protesté contre leurs auteurs en
adressant des e-mails de réponse, jusqu’à saturation de leur fournisseur d’accès, lequel a fini par rompre le contrat. Après quelques tentatives auprès d’autres fournisseurs d’accès, Canter &
Siegel ont cru bon devoir faire des émules en publiant « How to
Make a Fortune on the Information Superhighway », où ils expliquent notamment comment collecter des adresses à partir des
groupes de discussion et inonder les boîtes-aux-lettres avec des
messages publicitaires. Canter & Siegel adressèrent leurs derniers spam dans des newsgroups en mars 1995, évidemment
pour promouvoir leur livre.
Juillet 1995 : Jeff Slaton, le « Spam King »
Jeff Slaton, un cadre commercial installé à Albuquerque et spécialisé dans la vente d'espace publicitaire dans les pages jaunes de
l’annuaire pour la société US West, a eu l’idée, après, dit-on avoir
lu le livre de Canter & Siegel, de tester l’envoi massif de messa8) Cela correspond au fait qu’une même annonce est transmise et stockée autant de fois que le
nombre de Usenet Groups auquel elle est adressée.
16
ges publicitaires (« bulk e-mail ») dans des newsgroups scientifiques entre autres : prétextant des relations avec un chercheur des
laboratoires de Los Alamos (Nouveau Mexique) récemment retraité, il s’agissait de proposer les plans de la bombe atomique
pour la modique somme de $ 18, frais de port non compris. Jeff
Slaton racontera plus tard en avoir vendu des milliers de par le
monde. Fort de cette expérience, Jeff Slaton proposa ses services
de spammeur quelques mois plus tard, facturant $ 495 chaque
opération ; des centaines de petits annonceurs, 15 par semaine,
dit-on, auraient contracté avec lui, y compris pour des offres sévèrement réglementées, voire interdites, comme les systèmes de
vente pyramidale (9). Jeff Slaton est un vrai « pionnier » ; il est
l’inventeur de la fausse adresse e-mail et du faux nom de domaine
afin de ne pas être repéré ; il comprit également assez vite qu’il
fallait offrir la possibilité à ses prospects de pouvoir le contacter et
il prit soin d’insérer dans ses messages publicitaires des n° de téléphone correspondant à des boîtes vocales, allant même jusqu’à
offrir la possibilité d’exercer un doit d’opt-out ; en réalité il semble
que la liste d’opt-out n’ait jamais vraiment existé, bien que Slaton
ait tenté à la fin de l’année 1995 de commercialiser un véritable
service d’opt-out pour $ 5 par inscription. Une véritable guérilla
s’engagea ensuite entre Slaton et des défenseurs du Net, des
étudiants en majorité, allant jusqu’à publier dans les newsgroups
spécialisés (10), dans des sites dédiés (11) ou dans les premières
listes noires (Black-Hole List) (12) le n° de téléphone privé de Slaton, son âge, sa photographie, son adresse, son n° de sécurité
sociale, son n° de téléphone personnel et même celui de son supérieur hiérarchique à US West.
1996 : Sanford Wallace et l’affaire Cyber Promotions, Inc.
Sanford Wallace, propriétaire de Cyber Promotions, une entreprise installée à Philadelphie, a fait entrer le spamming dans l’ère
industrielle en louant sa propre connexion T1 et en opérant sous
9) La vente pyramidale est une technique de distribution de produits dans laquelle des participants obtiennent un revenu en fournissant ces mêmes produits à d'autres participants qui, à
leur tour, obtiennent leurs profits de la même manière ; c’est une forme de commercialisation
dite à paliers multiples (multi-level marketing) qui repose sur diverses pratiques commerciales
déloyales comme : le versement d’un montant en contrepartie du droit de recevoir une rémunération pour avoir recruté de nouveaux participants ; l’achat d’un stock de produits particuliers,
condition préalable à la participation ; la vente aux participants de quantités non raisonnables
du ou des produits (pratique de consignation abusive de marchandises) ; la non possibilité pour
les participants de retourner les produits à des conditions commerciales correctes. De ce fait la
vente pyramidale est interdite dans de nombreux pays.
10) Il s’agit des newsgroups suivants : news.admin.net-abuse, news.admin.net-abuse.bulletins,
news.admin.net-abuse.policy, news.admin.net-abuse.sightings, news.admin.net-abuse.email,
news.admin.net-abuse.usenet.
11) http://com.primenet.com/spamking/
12) Il s’agit de la liste Realtime Blackhole List at the Mail Abuse Protection System,
http://maps.vix.com – Cf. page 18 & 19
17
son propre nom de domaine (cyberpromo.com). Dès le départ la
cible privilégiée de Cyber Promotions a été les abonnés d’AOL
dont il a collecté les adresses de façon massive (près d’un million)
à l’aide d’un outil de « harvesting » développé pour son propre
compte ; chaque utilisateur présent sur sa liste recevait entre deux
et cinq spams par jour pour des messages toujours aussi discutables du genre « Get Rich Quick » ou des cures d’amaigrissement ;
au total, au plus fort de son activité, il ressort que Cyber Promotions traitait jusqu’à 30 millions de e-mails par jour. Comme Slaton, Wallace intervenait dans ces campagnes en tant que prestataire pour des annonceurs pas très regardants quant aux méthodes de communication employées. AOL développa alors son propre système de défense en bloquant systématiquement tous les
messages en provenance des trois différentes adresses de Cyber
Promotions, ce qui amena Wallace à poursuivre AOL en justice au
nom du 1er amendement sur la liberté de communication. Démarre
alors une série de procédures devant la justice qui vont durer jusqu'en 1997. Wallace perdit le procès en appel. Quelques semaines plus tard Cyber Promotions était à nouveau devant les tribunaux dans la cadre d’une plainte de trois opérateurs, CompuServe, Prodigy et Concentric Network. Compuserve contestait
les pratiques frauduleuses et attentatoires au droit des marques
de Cyber Promotions consistant à utiliser le nom de domaine de
ces fournisseurs d’accès (« From : ») comme adresses de réponse à ses spams, ce qui était une astuce technique de Wallace
pour tromper les filtres anti-spam mis en place par AOL. Des accords furent signés avec les plaignants amenant Cyber Promotions à cesser ses pratiques. Dans le même temps en réalité
Wallace avait découvert un nouveau moyen de spammer les
abonnés d’AOL en louant pour $ 1.000 par mois plusieurs connexions T1 à différents fournisseurs d’accès.
Au début de l’année 1997 Cyber Promotions crée son propre nom
de domaine, au nom proprement provocateur de spamford.com ;
l’entreprise emploie désormais 7 personnes. Cependant elle va
rencontrer de plus en plus de difficultés à trouver un fournisseur
d’accès tolérant, pour la bonne et simple raison que Wallace était
devenu le personnage le plus détesté de l’Internet et que cela représentait un risque commercial pour les fournisseurs d’accès
d’apparaître lié à lui. C’est ainsi que AGIS (Apex Global Information Services), un fournisseur d’accès du Michigan, rompit son
contrat avec Cyber Promotions en août 1997 (13) ; deux mois auparavant WorldCom l’avait déjà fait. En mars 1998, une action en
13) AGIS a démarré son activité en 1994 ; c’est un des plus anciens opérateurs de réseau sur
Internet (Internet backbone provider). La société a été marquée par sa coopération avec les
spammeurs et fait figure de paria de l’Internet ; sans doute cela n’est-il pas étranger au fait
qu’elle n’ait pas réussi un tour de table financier et qu’elle soit depuis le mois de février dernier
sous la protection du Chapitre 11.
18
justice intentée par une autre ISP (EarthLink Network Inc.) sonne
le glas de la carrière de spammeur de Sanford Wallace : ce dernier est en effet amené à négocier un accord de $ 2 millions
d’indemnisation pour avoir spammé les abonnés de EarthLink. Le
paradoxe est que Wallace s’est aujourd’hui reconverti comme
consultant dans des affaires de spamming et qu’il se retrouve notamment à travailler en appui auprès du cabinet d’avocats
d’Atlanta (Hunton & Williams) qui défendait Earthlink et qui l’a fait
condamner : « (…)Spam is no longer going to work, observe Wallace, spammers of today are almost exclusively hiding behind forgery and using the resources of others. People on the Internet are
not going to stand for it. I will give back to the Internet by spending
time and effort to help clean up the streets » (14).
I.2.2) - Les forces récessives du spamming
On peut affirmer que le spamming, tel qu’on a pu le connaître dans le
milieu des années 90 aux Etats-Unis est actuellement en voie de récession. Il suffit de consulter les différentes listes noires accessibles
en ligne pour constater qu’il s’agit d’un phénomène qui a connu un
âge d’or entre 1995 et 1998 et que les inscriptions ont tendance à régresser depuis, grâce notamment au fait que les ISPs ont acquis une
meilleure maîtrise des flux sur les serveurs de mails et de news. Ainsi
il existe par exemple une base de données mise à jour quotidiennement, Spamhaus.org, qui recense actuellement 68 agences de marketing qui sont encore actives dans le spam sur Internet ou sur Usenet
contre 168 qui ont disparu du paysage au cours des deux ou trois
dernières années.
Il y a deux forces qui exercent un effet quasi mécanique sur le phénomène : l’attitude combative de la communauté des ISPs sur Internet
et sur Usenet et celle répressive d’un nombre croissant d’états américains et peut-être prochainement de l’administration fédérale.
The Mail Abuse Prevention System et la Realtime Blackhole List
(RBL)
Les fournisseurs d’accès, dans leur grande majorité, traquent aujourd’hui sans pitié les spammeurs ; parmi leurs différentes modalités d’action, ils se sont organisés à travers un réseau
d’administrateurs volontaires fondé par Paul Vixie, un informaticien militant anti-spam, dénommé The Mail Abuse Prevention
System (MAPS – Redwood City, Calif.) à l’origine de la Realtime
Blackhole List (RBL). Cette liste est un outil de boycott de masse ;
elle permet aux administrateurs système des ISPs qui contrôlent
14) Cf. Deborah Scoblionkov : « Spam King Forges Unholy Alliance » - Wired – 11. May.98
19
des milliers de routeurs et de serveurs de mail de s’informer mutuellement et régulièrement des « attaques », c’est à dire des opérations de spamming, dont ils font l’objet et de mettre à l’index les
adresses IP et noms de domaine connus pour être à l’origine de
courriers commerciaux non sollicités. Ainsi tout abonnement d’un
spammeur qui a été résilié est reporté dans la liste de sorte que
d’autres ISPs, en l’occurrence les 2.000 ISPs dans le monde
abonnés à la RBL, soit environ 1/3 du marché, qui pourraient être
approchés par le spammeur sont immédiatement au courant de la
vraie nature d’activité du client qu’ils ont en face d’eux et peuvent
alors refuser de l’héberger. C’est là un système coopératif de reporting assez classique, très répandu dans la société de
l’information pour traquer les fraudeurs. Mais le système MAPS
est aussi un filtre qui permet à l’aide d’algorithmes (15) de bloquer
automatiquement l’envoi de messages en provenance d’un
spammeur identifié ainsi que de l’ISP qui l’héberge et qui est donc
considéré comme ne faisant pas le travail d’hygiène du réseau
auquel il est présumé devoir se livrer au nom de la sauvegarde
des intérêts collectifs de l’Internet. C’est ainsi qu’AOL, MSN ou
Real Networks ont figuré à divers moments de leur histoire dans la
RBL. Le problème est que, s’agissant d’un filtre automatique, le
système MAPS, devenu aujourd’hui très puissant, manque parfois
de discernement, si bien que certains ISP innocents qui développent même des politiques anti-spam authentiques, se retrouvent
listés dans la RBL ; de plus la suspension d’un ISP a pour conséquence de bloquer la totalité d’un serveur de mail, empêchant parlà des utilisateurs pourtant bien intentionnés d’y accéder. Plusieurs cas sont régulièrement dénoncés dans la presse et la
communauté MAPS est parfois accusée de maccarthysme et de
se comporter comme une force de police auto-proclamée dont la
légitimité repose uniquement sur le nombre croissant de ses
membres. La réalité est aujourd’hui que de moins en moins d’ISP
ne vont prendre le risque de se retrouver « blacklisté » dans la
RBL pour avoir hébergé ou simplement laissé passer une opération de spamming ; John Mozena, fondateur de la CAUCE (dont le
MAPS est un des membres), tout en étant nuancé, partage cet
avis : « (…) It’s not a solution to spam, but it is a valuable tool both in technical and public relations terms - for domains that want
to protect themselves against spam. No one wants to be stigmatized by being on the RBL list » (16).
15) Il s’agit d’un algorithme d’appariement : il suffit de constituer une arborescence DNS composée des adresses IP de domaines spammeurs ou ayant relayé un spam ; si une connexion
vient de la machine d'adresse a.b.c.d, le logiciel va regarder si le resource record
d.c.b.a.rbl.maps.vix.com existe dans le DNS.
16) Jon Swartz : « Anti-Spam Service or McCarthyism? - Internet group puts some ISPs On a
blacklist » - Monday, May 10, 1999 - ©2000 San Francisco Chronicle.
20
Le Usenet Death Penalty (UDP)
Usenet est un ensemble d’ordinateurs reliés à différents réseaux,
dont Internet, qui véhiculent des articles postés dans des groupes
de discussions ; il est régi par des règles de coopération non
écrites entre les administrateurs. Les articles postés doivent respecter un format de diffusion standard (RFC-1036) acceptable par
tous les réseaux. Par extension, Usenet est aussi la communauté
des personnes qui lisent et écrivent des articles dans les groupes
de discussions auxquels ils ont accès. Un peu par nature Usenet
est depuis longtemps la cible privilégiée des spammeurs qui à la
fois y puisent sans retenue des adresses e-mail et inondent les
différents groupes de discussion de leurs messages commerciaux
non sollicités, souvent d’ailleurs au contenu douteux (pornographie, MMF – Make Money Fast, ventes pyramidales, terrorisme).
La Usenet Death Penalty est littéralement une peine de mort prononcée contre les auteurs de messages qui abusent de Usenet et
qui font la sourde oreille aux plaintes des utilisateurs et aux avertissements des administrateurs ; le système est animé principalement par Ken Lucke créateur de stopspam.org. L’UDP a pour
conséquence, après une période probatoire de 5 jours ouvrés,
d’être activée et d’effacer ainsi tous les messages postés par le
site incriminé ; des ISPs comme CompuServe ou UUNET en ont
été victimes en 1997, ainsi que Netcom qui en a été menacé en
1998. 1997 a été probablement la pire année du spamming sur
Usenet puisqu’on estime que 60% de la totalité des messages
postés ont été effacés. Comme dans le cas précédent, l’UDP n’est
pas une intervention chirurgicale, elle agit techniquement comme
un filtre qui ne fait pas de détail : toutes les communications en
provenance du site ou de l’ISP listé sont systématiquement effacées et non distribuées. C’est là un moyen de pression considérable pour amener les fournisseurs d’accès à être eux-mêmes vigilants et à ne tolérer ni le spamming, ni les contenus contraires à la
morale.
Les dispositions réglementaires américaines
Il n’existe pas encore de dispositions fédérales condamnant explicitement les UCE sur Internet ; 7 propositions de loi avaient été
déjà introduites en 1997 et 1998 ; le tableau ci-dessous permet
une vision synthétique de ces différents projets qui ont tous avorté
au cours de la 105ème session du Congrès :
21
Propositions de lois fédérales pendantes en 1998
(Sources : The John Marshall Law School - 1998/07/17) (17)
Introduced
Status
Prohibit
unsolicited
e-mail
Enforce
ISPs'
policies
Universal
exclusion
list
Honor
opt-out
requests
Sender
ID/false
headers
Require
labels
H.R. 1748
(C. Smith)
5/22/98
pending
in House
prohibit
UCE
no
no
no
yes
no
H.R. 2368
(Tauzin)
7/31/97
pending
in House
no
no
no
no
no
no
H.R. 4124
(Cook)
6/24/98
pending
in House
no
yes
possibly
yes
yes
no
H.R. 4176
(Markey)
6/25/98
pending
in House
no
sender's
ISP only
yes
yes
yes
no
S. 771
(Murkowski)
5/21/97
pending
in Senate
no
no
no
yes
yes
yes
S. 875
(Torricelli)
6/11/97
pending
in Senate
no
possibly
possibly
yes
yes
no
2/9/98
(amended
5/12/98)
passed
Senate
no
no
no
yes
yes
no
Bill no./
sponsor
S. 1618
(McCain)
(amendments
by Murkowski
& Torricelli)
1
1
1
1
H.R. 4124 and S. 771 both refer to Internet standards not yet adopted, which could provide for a universal
exclusion list or other method for individuals or ISPs to notify prospective senders of unsolicited e-mail of their
preferences or policies.
Neuf autres projets de loi ont été déposés au cours de l’année
1999 :
Can Spam Act (juin 1999)
E-Mail User Protection Act (mai 1999)
Inbox Privacy Act of 1999 (mars 1999)
Internet Freedom Act (mai 1999)
Internet Growth and Development Act of 1999 (mai 1999)
Netizens Protection Act of 1999 (octobre 1999)
Protection Against Scams on Seniors Act of 1999 (février
1999)
Telemarketing Fraud and Seniors Protection Act (mars 1999)
Unsolicited Electronic Mail Act of 2000 (octobre 1999 et amendée en mars 2000)
Aucune de ces propositions n’a été adoptée mais il y a de fortes
chances pour que la plus récente, le Unsolicited Electronic Mail
Act of 2000, le soit prochainement ; c’est ce dernier texte qui semble le plus favorable à un contrôle strict du spamming sur le terri17) Sources : The John Marshall Law School, 315 S. Plymouth Court Chicago, Illinois 60604
– le site Web est à l’adresse suivante : http://www.jmls.edu/cyber/statutes/email/
22
toire américain. Tous ces projets contiennent schématiquement
trois dispositions essentielles, les deux premières interdisant la
falsification de l’identité des émetteurs de messages commerciaux
ainsi que les accès non autorisés et la troisième les obligeant à
introduire un dispositif d’opt-out.
Devançant l’administration fédérale, de nombreux états américains ont franchi le pas et ont adopté l’année dernière des textes
de loi répressifs à l’égard du spamming ; certains ont déjà été utilisés dans le cadre de procédures ouvertes contre des spammeurs ; à noter que plusieurs de ces textes couvrent simultanément la communication commerciale par fax. On présente dans le
tableau ci-après (18) les 15 premiers textes votés dans les états
américains ; depuis d’autres états ont fait de même ou sont sur le
point de le faire : le Colorado (loi adoptée en février 2000), Hawaii
(3 lois pendantes, une seule adoptée à ce jour par le sénat), le
Maryland, le Vermont et le Wisconsin. Les principales dispositions
de ces textes consistent à imposer la présence d’un dispositif
d’opt-out ainsi que la prise en compte effective du retrait d’un internaute qui en manifeste la demande ; ils interdisent bien entendu, ce qui est intrinsèque au spam, à savoir la fausse adresse et
le maquillage des en-têtes de message ou de leur objet ; quelques-uns imposent la présence d’un label dans l’en-tête indiquant
qu’on est en présence d’un message publicitaire (ADV) ou d’une
annonce concernant un site réservé aux adultes (ADLT) ; un tiers
de ces lois définit le spamming comme l’envoi de messages à des
utilisateurs d’Internet sans qu’il y ait eu une demande expresse
préalable de leur part. Tous ces textes peuvent certes être discutés et ils le sont notamment au sein de la communauté des privacy
advocates qui les trouvent trop timorés et leur reprochent de ne
guère offrir de moyens d’action aux personnes elles-mêmes victimes des spammeurs.
18) Sources : David E. Sorkin, Spam Laws, <http://www.spamlaws.com/>
juin-99
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
mai-99
LOUISIANA
juil-99
NEVADA
juil-97
NORTH CAROLINA
juin-99
x
OKLAHOMA
juin-99
x
x
x
RHODE ISLAND
juil-99
x
x
x
TENNESSEE
VIRGINIA
WASHINGTON
juin-99
x
x
x
avr-00
x
x
x
mars-98
x
x
x
WEST VIRGINIA
Mars-99
x
x
x
juil-99
x
x
x
x
x
x
x
x
x
x
x
x
juil-99
x
x
x
DELAWARE
IDAHO
ILLINOIS
IOWA
avr-00
Falsification de l’objet
Identification claire de
l'émetteur
Falsification des mails
transmission informations
Utilisation nom de Domaine
x
l'ISP Policy
CONNECTICUT
x
Relation antérieure /
Consentement
sept-98
Label
CALIFORNIA
Fausse adresse Emetteur
Date
d’adoption
du texte
Respect Remove request
ETATS
Opt-out
Principales dispositions
x
Peines encourues
Remarques
de $5.000 à $10.000 + peines de
prison selon la gravité des faits
Texte général adapté aux e-mails et aux fax.
x
de $2.500 à + si faits plus graves
Texte général intégrant des malversations diverses (intrusions, virus,…).
x
x
de $100 à $1.000 / bulk mail
x
$10 /bulk mail - Maxi : $25.000 / jour
x
x
de $10 à $500 / bulk mail
Dans la définition du bulk mail, la notion de
quantité apparaît (+ de 1000)
x
x
x
x
x
$10 / Bulk Mail avec un maximum de $25.000 / jour
$10 / Bulk Mail avec un maximum de $25.000 / jour
x
x
x
x
x
Probablement le texte le plus "technique" juridiquement
x
x
x
de $10 à $100 / Bulk Mail avec un
maximum de $25.000 / jour
x
$10 / Bulk Mail avec un maximum de $25.000 / jour
Se réfère au Consumer Protection Act.
Dans la définition du bulk mail la notion
de quantité apparaît.
23
24
Ces lois ont cependant en commun une approche pragmatique qui
consiste à condamner les spammeurs à des amendes importantes : le tarif moyen est de $ 10 par bulk-mail avec un maximum de
$ 25.000 par jour ; compte tenu du fait qu’on est aujourd’hui en
présence de petits opérateurs, disposant de ressources financières limitées, on peut estimer qu’il s’agit là d’un moyen relativement
dissuasif, voire dans certains cas radical. Ainsi qu’un journaliste
de Wired livrait son impression au retour d’un reportage sur une
réunion d’experts de l’industrie du sexe sur Internet qui s’est tenue
au mois d’août l’année dernière à San Francisco : « (…) Porn sites
are beginning to learn that the potential gains of spamming don't
outweigh the risk » (19).
I. 3) - Du spamming au permission marketing
Dans le même temps les professionnels du marketing ou du commerce
en ligne, conquis par la révélation du permission marketing, pleins
d’espoir dans son efficacité, découvrent le nouveau concept des campagnes ciblées sur des populations volontaires et consentantes ; on ne
parle plus aujourd’hui que de opt-in e-mail marketing et les organisations professionnelles du marketing direct se font, lentement, il est vrai, à
cette nouvelle idée.
I.3.1) - Les thèses de Seth Godin
L’état d’esprit général du marketing et de la communication commerciale est en train de changer avec le développement des thèses du
« permission marketing ». Dans la lignée de Don Peppers et Matha
Rogers avec le marketing one to one, le maître à penser de ce courant est Seth Godin, un informaticien également diplômé en marketing
qui a créé Yoyodyne Entertainment Inc., la première société de marketing en ligne à s’être lancée sérieusement dans le e-mail marketing
aux Etats-Unis. Seth Godin a vendu Yoyodyne en 1998 à Yahoo pour
un montant de $ 30 millions en actions, et il en est devenu viceprésident en charge des questions de marketing direct. Le terme de
« permission marketing » a d’ailleurs été déposé par Yahoo.
Godin développe dans un livre récent (20) quelques idées force que
l’on peut présenter schématiquement de la manière suivante : avec
une moyenne de 3.000 expositions quotidiennes à des messages publicitaires, le public américain est aujourd’hui saturé ; son capital
19) Craig Bicknell : « Sites for Hardcore Eyes » Wired News - Aug. 12, 1999.
20) Seth Godin : « Permission Marketing : Turning strangers into Friends, and Friends into
Customers » - Simon & Schuster – New York – 1999.
25
temps et sa capacité d’attention sont largement entamés ; le paradoxe
est que plus les annonceurs cherchent à se distinguer de ce chaos
plus ils engendrent le marasme et la confusion. C’est ce que Seth Godin appelle l’« interruption marketing », celui qui dérange, qui interrompt quelqu’un pendant qu’il est en train de faire quelque chose, regarder un film à la télévision par exemple ou lire un magazine ou encore qui le surprend alors qu’il se promène dans la rue quand soudain
quelqu’un apparaît sur son chemin vêtu d’un tee-shirt Banana Republic. Seth Godin n’a de cesse d’alerter les annonceurs quant à
l’inefficacité de leur communication publicitaire de masse et au gaspillage financier auquel ils s’exposent ; il les exhorte vivement à regarder du côté du marketing direct, version permission marketing : en
d’autres termes, il y a lieu désormais de communiquer avec les consommateurs et les prospects sur la base du volontariat, en construisant peu à peu une relation d’intérêt puis de confiance : « (…) Take
your time, explique-t-il. Build trust through frequency. Tell your story
patiently to each consumer who is willing to participate to the exchange » (21). Ce concept d’échange renvoie à un phénomène où la
communication de données personnelles est au cœur du processus :
plus la confiance grandit, plus le consommateur, engagé dans une
relation directe, stimulé par des promesses finement adaptées et bien
entendu tenues (incentive marketing), est motivé à donner de plus en
plus de permission, permission de collecter plus de données sur son
style de vie, ses passe-temps, ses centres d’intérêts ; permission pour
être sollicité sur de nouvelles catégories de produits ou de services,
permission pour recevoir des points cadeaux ou des miles gratuits, un
échantillon, un abonnement temporaire, etc. (22). C’est ainsi qu’au fur
et à mesure que se construisent ces échanges, l’individu anonyme
devient contact, prospect puis un jour client et enfin client fidèle, c’est
le stade idéal de la relation participante avec le client, celui que Godin
appelle le stade intraveineux, rappelant par-là le niveau de confiance
qu’un patient sous perfusion témoigne à l’équipe médicale qui le prend
en charge.
La création de cette relation nécessite du temps et de la fréquence et
si possible dans un schéma de coûts acceptable ; quel média mieux
que l’Internet peut offrir cette interactivité et cette progressivité ? Quel
contexte de permission plus favorable peut on trouver que celui qui
repose sur l’inscription volontaire dans des listes d’opt-in ? Les frais
d’acheminement sont extrêmement réduits, les résultats de tests de
campagne sont quasi instantanés, les taux de réponse sont quinze
fois supérieurs, la relation avec les prospects peut être continue sans
pour autant grever les budgets de communication des annonceurs, ni
celui du service relation consommateurs, à condition de savoir
l’industrialiser suffisamment, l’impression est gratuite. Le permission
marketing trouve à travers l’Internet un terrain d’épanouissement et de
21) Ibid. p. 75
22) Ibid. p. 47
26
prospérité naturel. Par opposition, Seth Godin, dans son analyse, est
assez critique à l’égard des annonceurs et des publicitaires qui ont cru
bon devoir reproduire sur le net le seul modèle de communication
commerciale qu’ils maîtrisent bien jusqu’à présent, à savoir celui de
l’interruption marketing qui prend la forme dans le meilleur des cas de
bannières publicitaires, ou de pop up et dans le pire, parce qu’il se
double d’un comportement de voleur à l’étalage (sic), d’actions de
spamming. Dans les deux cas ces modes de communication sont
voués à l’inefficacité et à l’échec, ils ne font qu’entretenir la confusion
ambiante (« the clutter »). Quant au spamming il est clair qu’il est condamné à mort d’avance, par le monde du marketing lui-même, par les
opérateurs de réseau, et par le public qui ne sera jamais guère enclin
à entrer dans une relation de confiance avec les spammeurs.
I.3.2) - L’opt-in e-mail marketing : la difficile marche vers un nouveau standard professionnel
La plupart des organisations et syndicats professionnels américains
du monde de la publicité et du marketing direct condamnent aujourd’hui explicitement l’UCE ; certains commencent aujourd’hui à
emboîter le pas du permission-based marketing et de l’opt-in e-mail,
non sans être tiraillés dans des contradictions qui mettront probablement encore un peu de temps à être réglées.
L’AIM (Association for Interactive Media) est une filiale indépendante
de la DMA qui a été créée en 1993. Son rôle consiste à représenter et
défendre spécifiquement l’activité de l’industrie de l’Internet et à promouvoir la création d’un environnement de confiance avec les consommateurs. Ses 350 membres sont parmi les opérateurs de site les
plus en vue (dont Yahoo!, Citibank, Internet Shopping Network, The
New York Times). Lors de la réunion de son conseil (The Council for
Responsible E-mail) en février 2000 à Seattle, l’AIM a adopté un ensemble de lignes directrices qui sont sans équivoque à l’égard du
spamming et posent le principe de la préexistence d’une relation
commerciale avec les destinataires d’une campagne de marketing :
Les opérateurs commerciaux, c’est à dire les sociétés de marketing et les firmes proposant des services de vente directe sur Internet, s’interdisent toute falsification de nom de domaine ainsi que
l’utilisation d’adresses IP sans l’accord préalable des parties
Les opérateurs commerciaux s’engagent à ne pas falsifier la ligne
« subject » de leurs messages commerciaux de telle sorte à tromper les destinataires quant à leur contenu
Tout e-mail commercial doit offrir aux destinataires une option
d’annulation de leur inscription dans le fichier de l’émetteur ou de
son intermédiaire technique ainsi que la possibilité d’entrer en
contact avec lui
27
Les opérateurs commerciaux s’engagent à informer les destinataires de leurs messages sur la collecte en ligne des adresses emails et sur la finalité de cette collecte (information en ligne ou via
e-mail)
Les opérateurs commerciaux s’interdisent la mise en œuvre de
méthodes de harvesting d’adresses e-mail dans le but de réaliser
des campagnes d’envoi d’UCE sans information préalable des
consommateurs ou leur consentement
Aucun message commercial ne peut être adressé en masse à des
destinataires sans que préexiste une relation commerciale avec
eux, celle-ci pouvant être caractérisée notamment par des correspondances antérieures, l’existence de transactions ou de relations
avec le service client de l’émetteur ou l’existence d’une permission
délivrée à une société tierce.
L’AIM diffuse également une étude stratégique qu’elle a commandée
au cabinet IMT (Integrating Marketing & Technology) sur le Permission
E-mail (23). Cette étude s’appuie sur une série d’interviews auprès de
400 utilisateurs du courrier électronique sur Internet et de 200 opérateurs commerciaux. Elle met en lumière notamment le différentiel
d’appréciation et d’impact effectif qu’il peut y avoir entre les UCE et les
campagnes de permission marketing. Le public, sans équivoque, ainsi
que le montre le graphique ci-dessous n’apprécie pas le spam :
Attitudes about Commercial E-mail
Permission vs. UCE
Source : IMT Strategies 2000
70%
Very Positive
60%
Somewhat positive
50%
Neutral
40%
Somewhat negative
Very Negative
30%
20%
10%
0%
Permission based E-mail
23) IMT : "Permission E-mail: The Future of Direct Marketing".
http://www.imtstrategies.com/aim_dma/index.html.
Unsolicited commercial E-mail
28
Rien d’étonnant à ce que la réceptivité des consommateurs soit incomparablement plus forte lorsqu’on est en présence de permission email : ainsi que le montrent les statistiques ci-dessous, il ressort que
70% des utilisateurs d’Internet ont cliqué quelques fois, plusieurs fois
ou souvent sur des messages commerciaux envoyés dans un contexte de permission, alors que ce taux n’est que de 30% pour les
UCE.
Frequency of E-mail response
60%
54%
Unsolicited offers
50%
Permission Email
40%
35%
30%
23%
22%
20%
22%
16%
14%
7%
10%
6%
2%
0%
Never
Once
A few times
Several times
Often
La NAI (Network Advertising Initiative) est un groupe représentant
différents prestataires de services de marketing en ligne parmi les plus
importants (24/7 Media, AdKnowledge, DoubleClick, Flycast, Engage,
Real Media, etc.) qui milite lui aussi en faveur de la création et du
renforcement d’un environnement de confiance pour le commerce
électronique. Il prend des positions nettes, notamment dans le cadre
récent d’auditions par la FTC, quant à l’obligation de ses membres en
matière d’information préalable à toute collecte de données personnelles.
La DMA (The Direct Marketing Association) s’est dotée depuis plusieurs années de lignes directrices qui définissent à l’intention de ses
membres les conditions d’une bonne éthique professionnelle dans le
métier du marketing direct et notamment du direct mailing ; on en reprend de manière synthétique, dans l’encadré qui figure à la page suivante, les principales dispositions. Ces lignes de conduite ont bien
entendu suivi la progression des techniques utilisées dans le marketing direct et se sont adaptées au fur et à mesure qu’évoluaient le droit
29
Principales dispositions des lignes directrices de la DMA en
matière de marketing direct
(Sources : The DMA - The DMA Guidelines for Ethical Business Practice Revised August 1999)
HONESTY AND CLARITY OF OFFER : All offers should be clear, honest and complete so
that the consumer may know the exact nature of what is being offered, the price, the terms of
payment (including all extra charges) and the commitment involved in the placing of an order.
ACCURACY AND CONSISTENCY : Simple and consistent statements or representations of
all the essential points of the offer should appear in the promotional material.
ACTUAL CONDITIONS : All descriptions, promises and claims of limitation should be in accordance with actual conditions, situations and circumstances existing at the time of the promotion.
DISPARAGEMENT : Disparagement of any person or group on grounds addressed by federal
or state laws that prohibit discrimination is unacceptable.
DECENCY : Solicitations should not be sent to consumers who have indicated to the marketer
that they consider those solicitations to be vulgar, immoral, profane, pornographic or offensive
in any way and who do not want to receive them.
DISCLOSURE OF SPONSOR AND INTENT : All marketing contacts should disclose the
name of the sponsor and each purpose of the contact. No one should make offers or solicitations in the guise of one purpose when the intent is a different purpose.
ACCESSIBILITY : Every offer and shipment should clearly identify the marketer’s name and
postal address or telephone number, or both, at which the consumer may obtain service. If an
offer is made online, an e-mail address should also be identified.
MARKETING TO CHILDREN : Offers and the manner in which they are presented that are
suitable for adults only should not be made to children. In determining the suitability of a
communication with children online or in any other medium, marketers should address the age
range, knowledge, sophistication and maturity of their intended audience. Marketers should
not collect personally identifiable information online from a child under 13 without prior parental consent or direct parental notification of the nature and intended use of such information
online and an opportunity for the parent to prevent such use and participation in the activity.
USE OF THE WORD "FREE" AND OTHER SIMILAR REPRESENTATIONS : A product or
service that is offered without cost or obligation to the recipient may be unqualifiedly described
as "free."
PRICE COMPARISONS : Price comparisons including those between a marketer’s current
price and a former, future or suggested price, or between a marketer’s price and the price of a
competitor’s comparable product should be fair and accurate.
USE OF TEST OR SURVEY DATA : All test or survey data referred to in advertising should
be valid and reliable as to source and methodology, and should support the specific claim for
which it is cited. Advertising claims should not distort test or survey results or take them out of
context.
TESTIMONIALS AND ENDORSEMENTS : Testimonials and endorsements should be used
only if they are: Authorized by the person quoted ; Genuine and related to the experience of
the person giving them both at the time made and at the time of the promotion; and not taken
out of context so as to distort the endorser’s opinion or experience with the product.
USE OF THE TERM « SWEEPSTAKES » : Sweepstakes are promotional devices by which
items of value (prizes) are awarded to participants by chance without the promoter’s requiring
the participants to render something of value (consideration) to be eligible to participate. The
co-existence of all three elements - prize, chance and consideration - in the same promotion
constitutes a lottery. It is illegal for any private enterprise to run a lottery without specific governmental authorization. When skill replaces chance, the promotion becomes a skill contest.
PERSONAL DATA : Marketers should be sensitive to the issue of consumer privacy and
should only collect, combine, rent, sell, exchange or use marketing data. Marketing data
should be used only for marketing purposes.
30
de la consommation et la sensibilité de la société américaine à l’égard
de la privacy. Elles ont été mises à jour récemment, au mois d’août
1999, pour intégrer notamment des dispositions quant à l’e-mail marketing ainsi que celles en lien avec le Children Online Privacy Protection Act (COPPA).
La DMA est un ardent défenseur de l’autorégulation et l’adhésion à
l’association implique de la part des sociétés de marketing et de vente
directe un principe de conformité et d’application des lignes directrices : « These self-regulatory guidelines are intended to be honored in
light of their aims and principles. All marketers should support the
guidelines in spirit and not treat their provisions as obstacles to be circumvented by legal ingenuity ».
Enfin il convient d’observer que l’action de la DMA en matière de protection de la vie privée des utilisateurs de l’Internet vient de s’enrichir
d’un dispositif spécifique et géré par l’association consistant à mettre
en œuvre une liste dite de stop-publicté. Ce service s’appelle e-MPS
(Electronic Mail Preference Service) ; il a été annoncé en décembre
1999 et lancé officiellement le 10 janvier 2000. Cette liste fonctionne
comme un service gratuit permettant à n’importe quel utilisateur
d’enregistrer son adresse e-mail dans cette stop-liste en indiquant les
catégories de messages pour lesquelles on souhaite exercer l’opt-out
(business-to-consumer, business-to-business, ou les deux). De leur
côté les opérateurs de marketing direct, moyennant $100 pour les non
adhérents à la DMA, peuvent faire expurger leur liste d’adresses email auprès du système e-MPS ; cela s’opère en ligne et ne nécessite
que quelques heures seulement.
La mise en place de cette liste est sévèrement attaquée par la communauté des militants anti-spam, notamment par les représentants de
MAPS, Junkbusters Corp. et de CAUCE ; certains adhérents de la
DMA ne sont guère plus solidaires des positions de leur organisation
professionnelle. E-MPS suscite trois critiques principales :
Ø Le principe de cette liste d’opt-out revient à faire reporter la charge
de la défense aux utilisateurs sans une remise en cause du droit
quasi universel que se sont arrogé les firmes de marketing ou de
vente à distance à communiquer massivement par e-mail, en
d’autres termes à pratiquer l’UCE ou l’UBE (Unsollicited Bulk Email). Cela fait dire à certains observateurs que l’approche de la
DMA est finalement profondément hostile aux consommateurs ainsi qu’aux opérateurs technologiques de l’infrastructure de l’Internet.
Cela explique certaines prises de position radicales de la part notamment de Nick Nicholas, responsable actuel de MAPS, qui prévient les utilisateurs de la liste e-MPS contre le risque qu’ils encourent de se retrouver un jour blacklistés dans la RBL.
31
Ø La DMA n’a pas souhaité rendre le système e-MPS accessible aux
ISPs qui pourraient souhaiter exercer un opt-out global pour
l’ensemble de leur nom de domaine et de leurs abonnés. La DMA
a adopté cette attitude en défendant l’idée que le système fonctionne sur la base de démarches d’opt-out individuelles. De plus,
dans l’esprit de la DMA, les ISPs n’ont pas besoin de l’e-MPS au
prétexte qu’ils disposent déjà d’outils de détection et filtrage des
flux d’UCE.
Ø Plus globalement cette initiative de la DMA révèle une mauvaise
volonté de la DMA à avancer dans la réflexion sur le permission
marketing. Les dirigeants et les adhérents de la DMA manifestent
un certain embarras sinon des contradictions par rapport à cette
question ; tantôt la DMA avance dans l’idée qu’elle soutient les
pratiques d’opt-in marketing, tantôt ses dirigeants prennent des
positions publiques pour le moins réservées ; ainsi dernièrement,
lors de sa conférence annuelle, Robert Wientzen, Président et
CEO de la DMA, faisait une déclaration pour le moins ambiguë :
« A relatively new Internet-related issue that impacts our industry
and its image is unsolicited commercial e-mail. Well, let me begin
by recognizing that bulk unsolicited commercial e-mail is not real
popular with consumers. And to date, very few of you are employing it. However, we also feel that most of those who push for an
opt-in-only regime have very little understanding of the incredibly negative impact it would have on the future use of email as a marketing tool. So in the end, we cannot let the unsavory, dubiously employed bulk e-mail out there destroy the opportunities of targeted, sophisticated, responsibly used commercial email, which, without doubt, holds promise as a powerful marketing
tool. So, the DMA is endeavoring to do just that: preserve unsolicited commercial e-mail as a business communications tool, while
also supporting the development of various permission marketing
models » (24).
24) H. Robert Wientzen : The DMA 82nd Annual Conference & Exhibition, Toronto - Monday,
October 25, 1999
33
Chapitre II : Offre de services et pratiques du e-mail marketing
Les changements technologiques et structurels dans nos sociétés sont nécessairement diachroniques ; cela veut dire que, pour le cas de l’activité de prospection commerciale sur l’Internet, le terrain reste occupé par deux séries
d’acteurs : ceux qui continuent encore aujourd’hui à pratiquer le spamming avec
tous les outils à leur disposition et les risques juridiques et financiers qu’ils encourent ainsi qu’on va le voir dans la première partie de ce chapitre ; et ceux qui
tout en les combattant développent une activité professionnelle nettement décalée et qui semblent faire leur les thèses du permission-based-marketing. On
analyse successivement ce que représentent ces sociétés sur le marché, leur
modèle de croissance, leur offre de produit et de services et leurs modalités de
commercialisation, leur technologie. On présente également une discussion sur
les enjeux de l’opt-in et de la protection des données personnelles.
II.1) - Situation du spamming : technologie, services et
pratiques risquées
II.1.1) - Le spamware
Les spammeurs utilisent deux grandes catégories d’outils : ceux qui
leur permettent de récolter les adresses e-mail (harvesting) et les outils de push qui assurent la diffusion en masse des messages commerciaux. Ces logiciels sont regroupés dans une catégorie de progiciels qui porte le nom de spamwares.
Ø Les outils de harvesting
Il n’y a guère que quelques progiciels de harvesting sur le marché :
On Target 98, Post News 2000, et Atomic Harvester 2000. Tous
ces produits fonctionnent aussi bien sur le Web que dans les
newsgroups. Atomic Harvester 2000 est sans conteste le produit
phare, sans que l’on puisse vraiment parler de standard sur ce
marché naissant et pour le moins menacé ; son prix de $ 179 est
très attractif ; il est parfois offert lorsqu’il est associé en « bundle »
avec le produit de diffusion Desktop Server 2000. Il faut également
34
mentionner le logiciel Email Marketing 98, un « système intégré »
en quelque sorte, qui permet l’extraction des adresses électroniques dans les newsgroups (collecte des adresses en filtrant
l’extraction par des mots-clés, les prénoms ou les noms) et de
gestion de mailing pour des listes sollicitées.
Le principal argumentaire en faveur de la collecte directe
d’adresses e-mail plutôt que l’achat de listes, est que ces dernières
comportent beaucoup de données fausses et que les adresses valides sont composées d’internautes usés par une multitude de
campagnes recourant toujours aux mêmes listes.
Les caractéristiques de ces logiciels sont tout d’abord une relative
simplicité d’utilisation. Ils fonctionnent sur le principe d’une navigation automatisée sur des sites Web ainsi que sur les espaces publics de Usenet en utilisant, soit une liste d’URLs spécifiées à
l’avance, soit des mots-clés soumis à des moteurs de recherche
qui vont permettre de constituer une liste d’URLs pertinentes. Le
logiciel opère ensuite une collecte systématique de toutes les
adresses e-mail trouvées sur les pages de ces sites ou dans les
forums. Prenons l’exemple d’un revendeur de matériel
d’équipement de golf qui voudrait se constituer un fichier
d’adresses e-mail de prospects : il devra utiliser pour cela une liste
de mots clés tels que : « golf, golfers, putting, tee time, golf balls, 9
iron, club house, etc. » qui lui permettront d’atteindre toutes les
URLs référencées sous ces termes et d’aspirer alors les adresses
qui s’y trouvent.
Afin d’accélérer le processus, Atomic Harvester 2000 permet de se
connecter sur 15 sites à la fois et de mener les opérations de collecte en parallèle. Ces logiciels peuvent être paramétrés de telle
manière à éviter des TLDs sensibles (.mil ou .gov, par exemple) ou
a priori non appropriés à la campagne de spamming ; il est également possible de contourner certaines URLs en fonction de motsclés prédéfinis. Enfin ces logiciels savent en principe éviter les pages qui contiennent des « spam traps », mais aucun éditeur ne livre vraiment d’informations précises quant à l’efficacité de cette
fonctionnalité, un spam trap pouvant être une adresse e-mail anodine derrière laquelle se cache un administrateur de site ou d’ISP ;
de plus ces logiciels ont chacun une signature spécifique, en réalité masquée derrière celle d’un browser, mais que les sites et les
fournisseurs de service les plus convoités savent détecter. Les outils de e-mail harvesting comportent enfin des fonctionnalités de
dédoublonnage, d’extraction (souvent manuelle) et de sauvegarde
des adresses ainsi collectées.
35
Ø Les outils de push
Les outils de push sont des moteurs qui permettent de réaliser les
envois de masses sans passer par un serveur de mail spécifique
ou propre à un ISP. Les produits que l’on trouve couramment sur
le marché comme Desktop Server 2000 ou Stealth MassMailer
v.3.2, permettent à l’ordinateur sur lequel ils sont installés de se
comporter comme un véritable serveur de mails, sans courir le risque en principe de se voir reprocher de saturer la bande passante
de l’ISP chez qui l’utilisateur est abonné.
Ces moteurs sont dans l’ensemble assez simples d’utilisation, rapides, proposant des fonctionnalités de reporting, permettant de
passer outre les filtres mis en place par les fournisseurs d’accès.
Stealth MassMailer est un produit complet proposé en promotion à
$ 200 (contre un prix tarif de $ 399). Dans l’ensemble ces logiciels
sont difficilement disponibles en boutique et s’achètent exclusivement auprès de distributeurs en ligne comme par exemple Bulk
Email Software Superstore.
Stealth MassMailer présente une capacité d’émission de messages surprenante, soit plus de 250.000 messages à l’heure (avec
un modem à 28.8K), sachant que cette performance ne peut être
atteinte qu’en utilisant les ressources du réseau d’un ISP ; les capacités d’envoi sur une connexion standard sont de l’ordre de
5.000 messages à l’heure. Utilisé par une petite société qui souhaite conserver l’anonymat et empêcher toute traçabilité de
l’origine de ses messages, le logiciel ne nécessite pas de compte
de messagerie valide (pop). Une fonctionnalité permet de personnaliser les messages (« Cher John ….») afin d’augmenter le taux
de réponses positives (25). Stealth MassMailer permet également
une génération aléatoire du champ « From :…. » ainsi que la falsification du username et du nom de domaine durant l’émission des
messages (il s’agit d’une option) ; cette falsification se retrouve
jusque sur l’en-tête du message reçu qui peut également comporter le nom d’un faux émetteur ; il est possible aussi d’ajouter de
fausses informations dans les champs « Received from : »,
« Received by : », « Date stamp and recipient » de l’en-tête.
Stealth MassMailer revendique une capacité à « casser » les filtres
anti-bulk-mail, notamment en supprimant l’en-tête des messages
adressés aux abonnés d’AOL, population cible particulièrement
convoitée par les spammeurs. Tous les logiciels de push comportent enfin des fonctionnalités de suivi des opérations (progression,
statut, fichier de logs des erreurs, etc.).
25) Cette fonctionnalité est activable à condition de pouvoir exploiter les adresses de type
pré[email protected]. L’extraction de ce type d’adresses est d’ailleurs proposée par les logiciels de harvesting.
36
Il est assez paradoxal que l’on puisse trouver ouvertement sur le marché de tels produits, commercialisés par des distributeurs apparemment officiels, sachant qu’une partie de leurs fonctionnalités correspond à des modalités de détournement de trafic sur Internet désormais interdites dans un nombre croissant d’états américains. Il n’est
d’ailleurs pas très aisé de se procurer des informations sur les fonctionnalités détaillées de ces produits, les éditeurs ou les distributeurs
préférant offrir un service de téléchargement de l’application associé à
un paiement en ligne par carte de crédit ; serait-ce le signe d’une entrée en clandestinité ? Afin de satisfaire à leurs obligations de conseil,
ces sociétés prennent tout de même la précaution d’informer leurs
clients sur les restrictions à l’égard du spam dans des rubriques spécifiques (Is it legal ? The Bulk e-mail Survival Guide, etc.) ; ces pages
font ressortir de façon criante l’illégalité des fonctionnalités proposées
par ces moteurs.
II.1.2) - Conseils & prestations ou le spamming version « small
business »
L’offre de services en matière de bulk e-mail se présente schématiquement en deux grandes catégories de prestations : l’hébergement
de campagne, c’est ce que l’on pourrait appeler le host-spamming et
le courtage de fichiers d’adresses e-mail. On trouve côte à côte dans
le small business du e-mail marketing, des professionnels du spamming et pas mal d’offres qui émanent manifestement d’amateurs ou
d’opportunistes qui tentent sur le Web de commercialiser leur mauvaise idée.
Ø Le host-spamming
Il s’agit là de sociétés qui offrent une prestation complète
d’hébergement de campagnes de spamming : plusieurs petites
affaires en font ouvertement profession sur le net : on peut citer le
cas de Web Studios qui facture $ 5 le 1000 pour un mailing et $ 20
le 1000 si le client veut en plus disposer des adresses ou encore
Promailing ($ 3 le 1000 pour 50 000 messages et dégressivement
au-delà). Certains se font la spécialité d’offrir un service « à
l’épreuve des balles », c’est à dire capable d’échapper en principe
aux actions répressives des ISPs ; Marketing Masters occupe ce
créneau ; le service proposé se nomme Bullet Proof Web Space ; il
consiste en un hébergement de campagne sur un site dédié permettant ainsi de minimiser les phénomènes de plaintes ; le tarif est
de $ 200 pour la mise en service et $ 200 par mois d’hébergement.
Elite Web Hosting offre la même prestation pour $ 1 500/mois. La
société affiche un certain niveau de déontologie amenant ses
clients à respecter un code de bonne conduite : « Nos Bulk Laws
37
(...) clarifient ce que nos membres pourront et ne pourront pas faire
en matière de marketing direct et leur permettront de vérifier que
tout e-mail de marketing direct ciblé non sollicité qu’ils émettent est
justifié commercialement et conforme aux dispositions légales.
Nous soutenons activement à présent les considérations éthiques
de la loi anti-spam du Sénateur Murkowski et bien entendu la
cause du CAUCE pour libérer l’Internet de la fraude ». L’invocation
d’une “No Spam Policy” de la part d’un prestataire de cette catégorie n’est pas très fréquente ; la réalité est probablement que des
professionnels responsables commencent à prendre la mesure de
la réduction de leurs marges de manœuvre et cherchent à contourner les risques de l’illégalité. Cet exercice n’est pas toujours
dénué d’ambiguïtés.
Certains de ces prestataires ne peuvent pas être accusés non plus
de faillir à leur obligation de conseil ; plusieurs d’entre eux alertent
explicitement leurs clients sur les risques d’opérations mal montées ; ces avertissements servent à la fois à dégager leurs responsabilités et à promouvoir l’assistance d’un professionnel : ainsi par
exemple, Rod Truit, créateur du service Rod’s Networking Services
tente de tempérer les ardeurs irréalistes de ses clients « (…) qui
s’imaginent que tous ceux qui recevront un e-mail de promotion de
leur obscur produit voudront l’acheter » ; il les met en garde en indiquant qu’ « (...) il n’y a pas de logiciels de Bulk Email qui puisse
cacher complètement votre identité ou votre utilisation à travers
votre ISP. Nous ne pourrons pas être tenus pour responsable de la
fermeture de votre compte. Nous recommandons à tous ceux qui
veulent faire du Bulk Email d’utiliser les services d’un professionnel ».
Dans le même esprit Net Achievers développe les recommandations suivantes à l’attention des aspirants spammeurs : « Lorsque
vous faites un envoi en nombre renseignez avec des adresses
électroniques valides les champs “from” et “reply to”, sinon l’envoi
en nombre sera bloqué. Pour un envoi en nombre, le texte de votre
courrier commercial doit rester très court. Donnez toujours aux
destinataires un moyen d’être retirés de votre liste. N’indiquez jamais l’adresse de votre site Web dans le texte de votre envoi en
nombre. Ne communiquez votre URL qu’après que les gens aient
manifesté de l’intérêt et demandé plus d’information. Lorsque vous
envoyez du courrier à vos prospects en utilisant votre logiciel de
mailing, assurez-vous d’avoir prêté attention aux réglementations
locales, de l’état ou fédérales, qui régissent l’envoi en nombre.
L’Internet est un espace qui change constamment et de nombreuses forces sont à l’œuvre pour changer, réglementer et restreindre
nos droits sur l’Internet. »
38
Pour Door Net : « le meilleur conseil, c’est qu’une entreprise spécialisée dans l’envoi en nombre, le fasse pour vous. De cette façon
vous n’aurez pas à vous soucier de ce que quelqu’un se plaigne
de vous auprès de votre ISP. »
Ø Les brokers de listes d’adresses e-mail
Il existe de nombreuses listes d’adresses e-mail disponibles à la
vente en gros sur Internet ; plusieurs sociétés Bulkbarndotcom,
Web-Promoters et Bulkers.net proposent en réalité la même offre
de services :
"
Une offre de “Membership” comprenant trois formules
d’abonnement à des listes d’adresses. 1ère formule : 300 000
adresses par semaine pour $ 19,95 par mois ; 2ème formule :
500 000 adresses par semaine pour $ 29,95 par mois, 3ème
formule : 1 000 000 d’adresses par semaine pour $ 39,95 par
mois. A titre de comparaison, Bizzmaker propose 300 000
adresses par semaine pour $ 13.95 par mois, 500 000
adresses par semaine pour $ 22.95 par mois et 1 000 000
d’adresses par semaine pour $ 36.95.)
"
de l’achat en ligne d’adresses immédiatement téléchargeables : de $ 19,95 pour 300 000 à $ 49,95 pour 1 000 000
d’adresses Internet (sans précision) et pour les adresses
AOL de $ 19,95 pour 300 000 adresses à $99,95 pour
4 000 000.
En réaction aux empêcheurs de spammer en rond, « (…) bombers,
blasters, flamers and just plain old complainers », la société californienne ListGuy a orienté son offre en direction de trois types de
listes permettant de continuer à travailler dans un environnement
répressif : des opt-in lists, des listes de professionnels en tout
genre qui sont à leur compte et cherchent des opportunités commerciales (“harvested business owners and opportunity seekers”),
et enfin des “Remove lists” permettant aux clients de nettoyer leurs
fichiers de prospects. Dans l’offre de Listguy.com, se trouve un
CD-ROM qui contient 11 millions d’adresses “fraîches”, “vérifiées”
et “filtrées”, c’est à dire nettoyées des adresses des importuns que
sont les anti-spam notoires et de ceux qui ont demandé à être retirés des listes, ainsi que des domaines .gov, .mil et .edu. DB Networks, Door Net, Elite Webhosting proposent également des formules d’abonnement aux mises à jour des Remove Lists.
Tous les prestataires présents dans cette activité ne montrent pas
le même souci d’hygiène ; les multiples propositions de listes
d’adresses e-mail amènent immanquablement à se poser la question de la qualité des adresses elles-mêmes, de leur validité, sans
39
parler du degré de permission réel avec lequel elles ont été recueillies. Les targeted-lists sont présentées la plupart du temps de
manière assez vague ; les critères de sélection les plus courants
sont le pays, l’état, la ville de résidence, le sexe, les centres
d’intérêts, la profession et le domaine d’activité. Les centres
d’intérêts se décomposent en une cinquantaine de segments courants qui ne sont pas sans rappeler la structure des
grands domaines sur Usenet :
Critères courants de sélection des adresses e-mail par centres d’intérêt
Adult Oriented
Business - Advertising
Business - Finance
Business - General
Business - Home Based
Business - Industry
Business - International
Business - Internet
Business - Marketing
Business - MLM
Business - Opportunity
Computer Software
Computer Software - Resellers
Computer Software - Shareware
Computer Software - Web Tools
Computers
Credit Cards
e-Commerce
Education
e-marketing
Entertainment
Entrepreneurs
E-Zines
Food & Drink
Games
Gardening
Health & Beauty
Insurance
Job
Law
Literature
Miscellaneous
Music
OnLine Banking
OnLine Auctions
OnLine Shopping
OnLine Stores & Malls
Personal
Programming
Real Estate
Religion
Science & Technology
Small Business - Home Business Social Sciences
Software Development
Sports & Fitness
Travel
Webmasters
Website Owner - Business
WWW Technology
II.1.3) - Pratiques & risques du spamming aujourd’hui – Illustration
Ainsi que cela ressort au cours du chapitre précédent, le spamming
est une activité risquée aux Etats-Unis pour ceux qui continuent à s’y
livrer sans retenue ; les spammeurs sont désavoués par la profession,
ils courent un risque de dégradation d’image évident auprès du public,
qui se double aujourd’hui, ainsi qu’on va le voir à travers les deux cas
examinés ci-dessous, d’un risque juridique et financier extrêmement
sérieux. Au point qu’on peut se demander si les spammeurs ne sont
pas quelque peu sous-informés, à moins qu’il ne s’agisse
d’aventuriers inconscients et sans scrupules.
40
L’affaire Benchmark Print Supply
Cette affaire très récente illustre d’une manière peu ordinaire les
évolutions des différents acteurs de l’Internet que l’on retrouve
autour des campagnes de spamming, qu’ils en soient les auteurs
ou les victimes.
Benchmark Print Supply est une société installée à Atlanta (GA) et
fondée par M Sam Khuri. Son activité principale consiste à commercialiser en ligne du toner pour imprimantes laser via un catalogue très complet adressé par e-mail. Les méthodes de marketing
direct utilisées sont typiquement celles des spammeurs : fausse
adresse e-mail d’émetteur, option de « remove list » inactive. Dès
août 1998 Benchmark Print Supply a été identifié et blacklisté ; il
subit alors les assauts répétés d’internautes en colère qui le dénoncent auprès de la FTC et qui organisent la saturation de ses
différentes lignes téléphonique et de fax ; le harcèlement le poursuit jusqu’à son domicile puisque plusieurs listes publient son
adresse et son n° de téléphone personnel (26). Sam Khuri fait la
sourde oreille à ces récriminations, en faisant semblant de ne pas
savoir de quoi il s’agit ; un témoin rapporte, dans un forum de discussion, qu’il aurait eu une conversation avec sa mère laquelle
l’aurait gentiment prévenu que son fils était très nerveux, qu’il était
armé et conduisait une Mercedes noire. Sam Khuri a la réputation
d’être un spammeur plus tenace que la moyenne. Plusieurs actions judiciaires ont été engagées dans différents états par les
fournisseurs d’accès victimes de ses agissements, une des plus
récentes date d’octobre 1999 ; elle a été engagée par un portail de
Mountain View (CA), Visto Corp. qui gère un portefeuille d’un million d’abonnés. Visto accuse Sam Khuri d’avoir spammé ses
abonnés sous une fausse identité, porté un préjudice à sa réputation et saturé ses serveurs de mail (27). Le paradoxe, toutefois, est
que la seule procédure qui ait vraiment abouti à un résultat concret à ce jour émane d’un ISP britannique, la société BiblioTech,
qui a poursuivi ce spammeur jusque devant l’US District Court de
Géorgie.
Fondé en 1995 à Fulham, Londres, BiblioTech était initialement un
cyber café qui a su profiter de l’extraordinaire développement du
réseau pour devenir un vrai fournisseur d’accès qui connaît une
forte croissance d’activité. Comme tout fournisseur d’accès important, il constitue la cible privilégiée des spammeurs très actifs
en 1997 et 1998. Indépendamment des désagréments auprès de
ses usagers, BiblioTech est confronté à des problèmes de gestion
technique liés au volume vertigineux de spams reçus quotidien26) http://www.darron.net/benchmarkprintsupply/ http://www.pglwebsdesigns.com/bps.html
27) Carl S. Kaplan : « Company says Junk E-mailer stole its identity » - Cyber Law Journal –
New York Times – November 19, 1999
41
nement : selon Chris Verdin, Directeur Financier de la société, BiblioTech serait confronté à des centaines de milliers de spams /
heure (28). Si bien que BiblioTech s’est donné comme politique de
traquer systématiquement les spammeurs et de les menacer de
procès. En janvier 1999, BiblioTech a déjà engagé des poursuites
judiciaires auprès de la justice américaine contre 5 spammeurs
américains. A l’issue de ces actions, un accord a été trouvé avec 4
spammeurs qui ont accepté de stopper leurs activités. S’ils refusaient, BiblioTech leur demandait 2 millions de $ de dommages.
Pour retrouver les spammeurs, BiblioTech embauche alors Sanford Wallace, déjà reconverti dans son métier de consultant antispam et fait appel au cabinet d’avocats d’Atlanta « Arnall Golden
& Gregory » et c’est Pete WellBorn qui prend en charge le dossier
contre Benchmark Print Supply. Ce cabinet a de nombreuses références dans ce type d’affaires puisque c’était lui qui avait défendu
quelques années plus tôt les intérêts de Compuserve contre le
même Sanford Wallace et Cyber Promotions que l’on retrouve ici
de l’autre côté de la barre.
En avril 1999, la proposition de Sam Khury en réponse à la mise
en demeure de BiblioTech est rejetée. En effet, le spammeur
s’engage à payer des dommages à BiblioTech, accepte de ne plus
agir contre les abonnés de l’ISP mais refuse néanmoins de
s’engager à ne plus continuer son activité en utilisant d’autres
ISP. Cet engagement est insuffisant aux yeux de BiblioTech qui
souhaite que le spammeur stoppe définitivement son activité sur
l’Internet. Un accord sera finalement trouvé en mars 2000 à travers une transaction extra judiciaire qui a le grand intérêt de ne
pas être que financière : Sam Khuri certes a payé des dommages
à BiblioTech pour un montant qui n’a pas été révélé, il devra également prendre à sa charge les frais de justice ; mais surtout il devra inclure dans toutes ses futures campagnes, sans exception,
une adresse de retour valide et proposer un vrai dispositif permettant la désinscription de sa liste. En cas de récidive, il devra
payer $ 1000 pour chaque infraction individuelle constatée, quel
que soit l’ISP victime de ses agissements et pas seulement la partie plaignante, à savoir BiblioTech dans le cas présent. Cette action, d’origine européenne, a finalement le grand mérite d’être
animée par un esprit de solidarité professionnelle au sein de la
communauté des ISPs et de participer à l'hygiène globale de
l’Internet.
L’affaire des Christian Brothers
Les Christian Brothers sont un groupe implanté à New York dans
le Queens qui commercialise sur Internet des extraits de graines
28) Tim Richardson : “UK anti-spam minnow takes on US big fish” - The Register – 20/04/99
http://www.theregister.co.uk/
42
d’abricot, la Laetrile ou vitamine B17, censée constituer un traitement efficace contre le cancer. L’argumentation commerciale est
développée dans un climat de conspiration et de persécution ; elle
s’appuie sur des explications pseudo scientifiques agrémentées
de nombreuses références à la Bible (Et Dieu dit : Voici, je vous
donne toute herbe portant de la semence et qui est à la surface de
toute la terre, et tout arbre ayant en lui du fruit d'arbre et portant
de la semence : ce sera votre nourriture. - Genèse 1:29). La Laetrile s’avère être de l’amygdaline que l’on trouve à l’état naturel à
l’intérieur des noyaux de plusieurs variétés de fruits. Le produit a
été isolé dans la première moitié du XIXème siècle par deux chercheurs français. Pendant près de 50 ans diverses personnes ont
tenté aux Etats-Unis de commercialiser la Laetrile à grande
échelle, mais jamais aucune étude scientifique n’a prouvé son efficacité dans le traitement du cancer ; après quelques décès retentissants dans les années 70, notamment celui de l’acteur Steve
Mc Queen traité à la Laetrile dans une clinique mexicaine par un
dentiste du Texas interdit d’exercice, le produit a été finalement
sévèrement condamné, décrédibilisé par une étude du National
Cancer Institute et interdit à la vente ; il n’est plus distribué aujourd’hui que sur quelques sites Web, dont celui des Christian
Brothers (heavenlyhealing.com, apricotsfromgod.com, canceranswer.com et eatseeds.com).
L’enquête a établi que depuis 1997 les Christian Brothers se sont
illégalement procuré des listes d’adresses e-mail de membres
d’America On Line et leur ont envoyé plus de 20 millions de messages ; ces UCE contenaient des en-têtes frauduleuses laissant
entendre que le message émanait d’aol.com ; ils affichaient des
liens avec les sites Web où les graines d’abricots, livres et cassettes vidéo afférents étaient en vente. Après avoir reçu des milliers de plaintes de ses membres, AOL a adressé une lettre de
sommation aux Christian Brothers en février 1998, sans que cela
n’ait un quelconque effet sur le flot de spams qui a continué à
inonder les boîtes-aux-lettres des usagers d’AOL. En décembre
AOL a alors décidé de poursuivre les Christian Brothers et son représentant légal Jason Vale. Un premier jugement par défaut a été
prononcé en juin 1999 contre les Christian Brothers établissant
qu’AOL était en droit d’obtenir compensation pour enrichissement
injuste, puisque les Christian Brothers ont illégalement utilisé la
marque AOL et ont détourné leurs services qui autrement auraient
été vendus à des annonceurs. Au cours d’une conversation téléphonique en janvier 2000, M Vale a expliqué froidement à l’avocat
d’AOL que les Christian Brothers s’étaient dérobés à l’audience
parce qu’ils ignoraient totalement l’action judiciaire en cours, ce
qui serait la raison pour laquelle le groupe aurait continué à
spammer le réseau d’AOL. Le fait curieux est que lorsque les conseillers d’AOL ont tenté de signifier le jugement par une remise en
43
main propre in situ d’une copie du jugement, Jason Vale l’aurait
déchirée et jetée par la fenêtre.
Une décision rendue par un juge du Southern District de New York
est finalement intervenue fin décembre 1999 : elle établit une injonction permanente d’America Online contre les Christian Brothers, empêchant le groupe d’utiliser le réseau d’AOL et sa marque ; cette injonction est assortie de sanctions potentielles pour
outrage et de dommages punitifs. De plus les Christian Brothers
sont condamnés à une amende de plus de $ 600.000, se décomposant en $ 17.940 d’indemnité au titre de l’utilisation de ses ressources informatiques, $ 389.020 pour la perte de revenus publicitaires, $ 24.625 d’honoraires d’avocat et $ 200.000 en dommages et intérêts, pour avoir entravé le bon fonctionnement des serveurs de mail d’America Online Inc. par la transmission de millions
de messages électroniques non sollicités : « The Defendants'
transmission of unsolicited bulk e-mail to AOL has damaged, and,
if unabated, will continue to damage, AOL's business, its goodwill,
and its relationship with its members," a écrit le juge Pitman.
"AOL's valuable trademark and service mark and associated
goodwill are diluted and damaged by their wrongful association
with junk e-mail and junk e-mailers like The Defendants. » (29)
Ces deux cas sont symptomatiques de la situation tendancielle du
spamming aujourd’hui aux Etats-Unis : des opérateurs peu scrupuleux, insensibles aux injonctions de la justice, « (…) fly-by-night operators who are essentially judgement proof », ainsi que le rapporte un
avocat californien qui a défendu à cinq reprises des fournisseurs
d’accès aux prises avec des spammeurs (30). Si bien que la formule
consistant à les pénaliser par des dommages et intérêts importants,
même si elle n’est pas satisfaisante sur le fond du point de vue du
droit à la protection des données personnelles, n’en est pas moins efficace et pourrait à court terme éradiquer le phénomène.
A côté de ces manifestations résiduelles rejetées par l’ensemble de la
profession, le e-mail marketing se consolide sur un modèle beaucoup
plus puissant aux plans financiers et technologiques où les questions
de loyauté de collecte des données, de relation volontaire et permissive entre les annonceurs et leurs prospects deviennent centrales.
Ces entreprises, la plupart des start-up, sont en train de construire le
marketing sur Internet des prochaines années. Leur approche de la
protection de la vie privée centrée sur des « opt-in e-mail lists » mérite un examen approfondi.
29) Bruce Balestier : « Big Fine for Spamming AOL Members » - New York Law Journal - December 14, 1999.
30) Carl S. Kaplan – op cit
44
II.2) - Analyse de l’activité des sociétés de permission email marketing – Produits et services
Le secteur du e-mail marketing est caractéristique d’une activité émergente liée à la société de l’information et au développement du commerce électronique. Ce chapitre s’appuie plus particulièrement sur
l’analyse de trois sociétés choisies pour leur (toute relative) antériorité
sur le marché, entre 4 et 5 ans, pour la « surface » de leur activité et leur
parc de clients prestigieux mais aussi pour leur engagement fort dans le
permission marketing. On observe successivement ici leur situation économique et leur modèle de croissance, ainsi que leurs produits et services. Ces trois sociétés sont :
-
24/7 Media : 24/7 Media emploie 470 personnes dans le monde.
Elle annonce toucher la moitié des foyers américains équipés
d’Internet ; l’entreprise exerce une double activité de régie publicitaire et de e-mail marketing. Son siège est situé à New York dans le
quartier de la Silicon Alley ; elle est également en train de
s’implanter en Europe. Sa capitalisation boursière atteint $ 430 millions.
-
MessageMedia : cette société actuellement de 375 personnes (mai
2000) est entièrement dédiée au e-messaging ; elle possède dans
son portefeuille des clients tels que Cisco, AOL, Microsoft, Yahoo!,
Geocities, CMP Media, Bertelsmann, etc. Son siège est à Boulder
dans le Colorado. Le principal investisseur est SOFTBANK ; son
implantation en Europe est adossée au groupe Vivendi via sa filiale
@Viso. La capitalisation boursière de MessageMedia est de $ 271
millions.
-
NetCreations : il s’agit d’une entreprise plus petite d’une quarantaine de salariés. Elle travaille pour Dell Computer, Compaq, J.
Crew, Ziff-Davis ou Business Week dont elle gère les newsletters.
NetCreations possède une base de données de 6 millions
d’adresses e-mail (opt-in). Elle est implantée également à New
York dans le quartier de West Broadway. Sa valeur sur le Nasdaq
est de $ 418 millions.
II.2.1) - Données générales sur les prestataires de e-mail marketing
Le secteur du e-mail marketing aux Etats-Unis est aujourd’hui structuré autour de différentes activités sur lesquelles environ 50 prestataires
de services majeurs se sont plus ou moins spécialisés. A première
vue toutes ces entreprises se ressemblent fort ; elles partagent les
mêmes valeurs sur le plan professionnel, beaucoup sont cotées au
45
Nasdaq, elles défendent toutes les principes du permission based
marketing et de l’opt-in e-mail. En observant de plus près leurs activités, pas une ne se ressemble vraiment ; chaque entreprise, par le jeu
de ses opérations de croissance externe, incorpore chaque fois des
compétences spécifiques, des clientèles nouvelles et se renforce sur
tel ou tel segment professionnel. Schématiquement on peut néanmoins distinguer six activités dominantes :
des sociétés centrées sur le métier du marketing direct par email ; par définition les entreprises appartenant à cette catégorie
sont toutes des start-up de l’Internet : c’est le modèle de
NetCreations Inc., YesMail.com, de BulletMail, de Axciom et de
24/7 Media pour une partie de son activité, comme on va le voir
plus loin.
des sociétés de marketing incitatif (incentive marketing) qui organisent sur Internet des programmes d’accumulation de points
en échange de la participation des usagers inscrits à de la navigation sur des sites, à des jeux, à des concours, et bien entendu à la
fourniture de données personnelles pour une exposition à de la
communication commerciale ciblée et acceptée. YoyoDyne Entertainment créée par Seth Godin et aujourd’hui incorporée à
l’offre Yahoo! appartient typiquement à cette famille, mais aussi
MyPoints, Netcentives, Beenz, CyberGold, ClickRewards,
Freeride.
Des services d’outsourcing de e-mail permission marketing
tels que ceux assurés par Exactis.com Inc., une filiale de 24/7
Media et de MessageMedia.
Des portails comme XOOM.com, Inc. (www.xoom.com), filiale de
la division interactive de la chaîne de télévision NBC (NBCI – NBC
Internet), qui gère son propre fichier de 7,5 millions d’abonnés régulièrement sollicités par e-mail pour des offres de commerce en
ligne ciblées en fonction de leurs besoins et de leurs centres
d’intérêt.
Des régies publicitaires, telles que DoubleClick ou Flycast qui
parallèlement à leur activité de gestion de campagnes de publicité
sur le Web développent désormais une offre de e-mail marketing.
Depuis sa fusion avec la firme Abacus, dans le cadre d’un
échange d’actions d’une valeur de $ 1 milliard, DoubleClick a en
effet lancé deux nouveaux services, DARTmail Publishers et
DARTmail Prospects, qui s’appuient sur des listes qualifiées
d’adresses d’opt-in e-mail.
Des sociétés de mailing traditionnel utilisant les services postaux qui tirent leurs compétences dans le courtage (achat - vente)
46
de listes d’adresses et qui ont élargi leur activité au e-mail marketing. On trouve notamment dans cette catégorie les sociétés Direct
Media (filiale de Acxiom) et American List Counsel (ALC). Ces sociétés sont adossées à des groupes puissants et possédant une
grande antériorité dans les bases de données marketing ; elles
possèdent également leurs propres listes d’adresses qualifiées
(40.000 listes et 7 millions d’adresses e-mail pour Direct Media –
110 millions de foyers répertoriés dans les listes d’ALC).
Le secteur du e-mail marketing est probablement appelé à se développer ; il est possible notamment qu’il soit peu à peu investi par des
grandes sociétés telles qu’IBM, Microsoft, Netscape Communications,
ATT ou Hewlett-Packard, toutes gérant des fichiers importants de
clients et de prospects et pouvant mobiliser rapidement les ressources
nécessaires dans toutes les technologies informatiques de pointe : en
ingénierie des bases de données et datamining, dans le workflow et
l’e-CRM (Electronic Customer Relationship Management). Le groupe
d’édition informatique IDG ne vient-il pas de lancer son propre système (IDG List Services) ? Experian, le groupe spécialisé à l’origine
dans le credit reporting (TRW), n’a-t-il pas racheté Metromail en
1998 ? On doit également envisager le développement de l’offre de email marketing de la part des ISPs qui chercheront à saisir, à travers
l’ouverture de portails, les opportunités de valorisation de leurs fichiers
d’abonnés. Déjà les grands portails, comme Yahoo!, AltaVista, Excite
ou NetZero opèrent des services d’opt-in e-mail, souvent outsourcés
pour l’instant auprès des prestataires spécialisés. Rosalind Resnick,
CEO de NetCreations, déclare qu’un portail gagne environ $ 4 par
abonné et par an ; soit un revenu additionnel très appréciable sur des
populations de 400.000 noms comme chez NetZero (31).
II.2.2) - Données économiques et modèle de croissance des entreprises de e-mail marketing
Ainsi qu’on va le voir à travers les 3 cas étudiés plus en détail de 24/7
Media, Message Media et NetCreations, les entreprises de e-mail
marketing présentent toutes les caractéristiques des entreprises de la
net-économie : activité en plein développement, forte capitalisation,
déficit de rentabilité. La plupart adoptent un modèle de croissance
externe par rachat de sociétés du même secteur.
Situation économique de trois entreprises de e-mail marketing
24/7 Media Inc. affiche des taux de croissance d’activité spectaculaires (+ 331% de croissance des ventes entre 1998 et 1999)
31) Stefani Eads : « From $1,000 to An IPO in Only Four Years - New York entrepreneur
Rosalind Resnick finds riches in E-mail direct marketing » – Business Week - August 5, 1999 New York
47
mais, ainsi que le fait ressortir le tableau ci-dessous, des résultats
encore très incertains avec $ 43 millions de pertes d’exploitation
en 1999.
Evolution des résultats de 24/7 Media Inc.
(sources : SEC – 10-K 24-03-2000)
(en US $)
1999
1998
1997
Ventes :
- Network
- Email
- Consulting and license fees
Total des ventes
81,158,000
8,853,000
90,011,000
19,744,000
1,003,000
119,000
20,866,000
1,467,000
69,000
1,681,000
3,217,000
Achats :
- Network
- Email
Total des achats
61,000,000
4,963,000
65,963,000
15,970,000
179,000
16,149,000
1,655,000
14,000
1,669,000
Marge brute
24,048,000
4,717,000
1,548,000
23,396,000
26,730,000
1,891,000
-
8,235,000
9,396,000
2,097,000
-
1,857,000
3,258,000
1,603,000
757,000
232,00
15,097,000
67,114,000
5,000,000
5,722,000
30,450,000
7,707,000
Coûts d’exploitation :
- Sales and marketing
- General and administrative
- Product development
- Write-off of property and equipment
- Legal costs in connection with claim
- Write-off of acquired in-process technology
- Amortization of goodwill
Total des coûts d’exploitation
Perte d’exploitation
(43,066,000)
(25,733,000)
(6,159,000)
La structure des ventes montre que l’activité de e-mail marketing
contribue encore pour une faible part dans le chiffre d’affaires de
l’entreprise : avec $ 8,85 millions en 1999 elle représente à peine
10% du total ; cependant le taux de croissance est très élevé
puisqu’il atteint 783% par rapport à 1998, marquant ainsi un démarrage soutenu de cette activité. 24/7 Media Inc. entend
s’affirmer encore plus sur ce marché et ses dirigeants prévoient
que la part du e-mail marketing pourrait atteindre 17% du chiffre
d’affaires réalisé sur l’année 2000. Ce tableau fait également ressortir que la marge brute globale de l’entreprise qui était de 21,6%
par rapport aux ventes en 1999, atteint près de 44% sur le e-mail
marketing, ce qui signifie qu’on est en présence d’une activité qui
présente un potentiel de forte rentabilité.
MessageMedia a connu pour sa part l’année dernière une croissance de plus de 600% ; la société commence à commercialiser,
sur le marché américain exclusivement pour l’instant, des logiciels
de e-mail marketing qui contribuent à hauteur de 10% de son chiffre d’affaires. Avec un peu plus de $ 52 millions de coûts
48
d’exploitation pour $ 10 millions de ventes et $ 5 millions de marge
brute, MessageMedia est encore loin de la rentabilité et accuse un
déficit d’exploitation cumulé de $ 90 millions.
Evolution des résultats de MessageMedia Inc.
(sources : SEC – 10-K 20-03-2000)
(en US $)
Ventes
- e-messaging
- software licenses
- First Virtual Internet Payment
System
Total des ventes
1999
1998
1997
9,001,161
1,020,383
424,564
-
1,450,598
-
10,021,544
863,226
1,287,790
1,450,598
Achats
4,589,358
97,553
270,416
Marge brute
5,432,186
1,190,237
1,180,182
9,704,452
1,934,486
5,424,110
4,935,931
7,677,527
1,025,000
6,687,177
4,377,688
1,097,716
17,586,691
(16,406,509)
Coûts d’exploitation :
- Marketing and sales
- Research, development and engineering
- General and administrative
- Restructuring expenses
- Write-off of in-process technology
- Depreciation and amortization
Total des coûts d’exploitation
28,923,515
52,266,425
4,828,277
3,810,073
812,166
1,300,000
2,470,917
15,155,919
Perte d’exploitation
(46,834,239)
(13,965,682)
NetCreations a connu également une croissance très forte en
1999 avec des ventes en augmentation de plus de 500%. En valeur absolue le chiffre d’affaires de NetCreations est deux fois supérieur à celui de MessageMedia ; comme on est en présence
d’une société plus petite, aux frais d’exploitation par conséquent
moindres, NetCreations est la seule entreprise de cet échantillon à
afficher une situation de rentabilité. Comme dans les deux cas
précédents, ces entreprises ont un poste achat important ; ce
poste correspond, ainsi qu’on va le voir ci-après, à la rémunération
des sites Web sur lesquels les adresses e-mail ont été collectées.
49
Evolution des résultats de NetCreations Inc.
(sources : SEC – 10-K 20-03-2000)
(en US $)
1999
1998
1997
Ventes
20,658,223
3,446,539
1,100,781
Achats
10,464,359
1,509,776
173,124
Marge brute
10,193,864
1,936,763
927,657
2,088,100
492,004
289,904
694,311
1,914,608
195,362
4,892,381
373,746
365,343
23,414
1,254,507
193,554
151,221
9,515
644,194
5,301,483
682,256
283,463
Coûts d’exploitation :
- Marketing and sales
- Technology, support and development
- General and administrative
- Depreciation and amortization
Total des coûts d’exploitation
Résultats d’exploitation
Le modèle de croissance externe
Les sociétés de e-mail marketing ont chacune leur propre histoire.
Celle de NetCreations est typiquement celle d’une start-up :
l’entreprise a été créée il y a 5 ans par Rosalind Resnick une journaliste du Miami Herald et Ryan Scott Druckenmiller, un informaticien, qui en sont aujourd’hui les deux principaux dirigeants. A
l’origine NetCreations était une agence de conception de site
Web, quand elle saisit l’opportunité du marché pour se lancer
dans le e-mail marketing ; en 4 ans l’entreprise est passée d’une
idée à une introduction en bourse ; le déclic s’est produit quand en
novembre 96 le groupe de presse informatique Ziff-Davis demanda à NetCreations de louer une liste de 15.000 adresses e-mail de
webmasters qui s’étaient inscrits sur leur site pour recevoir des
informations sur des outils d’administration de site Web. Cette
campagne fut un succès et Ziff-Davis est resté depuis un client indéfectible de NetCreations. En 1997, après le développement
sous la Direction de S.R. Druckenmiller, d’un système automatisé
d’enregistrement d’opt-in, PostMasterDirect, NetCreations achevait sa métamorphose et entrait complètement sur le marché du email marketing avec deux cibles : les sites Web qui cherchent à
créer leur propre service de opt-in e-mail et les loueurs de listes
d’adresses.
24/7 Media est né d’un regroupement en décembre 1997 de deux
sociétés de marketing interactif, Petry Interactive et Katz Millennium Marketing. La société témoigne résolument d’une stratégie
de croissance externe, c’est à dire que l’entreprise procède sur
ses deux marchés de la vente d’espace publicitaire sur Internet
50
comme sur celui du e-mail marketing à des rachats d’entreprises
concurrentes et à l’incorporation de leur technologie, de leur portefeuille de clients (annonceurs et sites supports) et de leur liste
d’adresses e-mail. C’est ainsi qu’au cours des 15 derniers mois,
dans le seul domaine du e-mail marketing, 24/7 Media a procédé
à des achats ou à des fusions avec trois entreprises pour un total
de plus de $ 560 millions ; la première de ces opérations, avec
SIFT Inc. a d’ailleurs été décisive pour l’avancée de 24/7 Media
sur le marché du e-mail marketing :
Fusions/Acquisitions opérées par 24/7 Media Inc.
Entreprises
SIFT Inc.
Date
Mars 1999
Modalités
Achat « stock for stock »
($ 22 millions)
SIFT devient une filiale à
100% de 24/7 Media Inc.
et continue à opérer sous
sa propre raison sociale.
Siège : Sunnyvale (CA)
Activité
E-mail marketing : gestion et location d’une liste de
3 millions adresses e-mail (opt-in)
Principaux clients : Cahner’s business Information,
Cisco Systems, Dell Computer, Dun & Bradstreet,
Experian, Hearst Books/Business Publishing, Intel,
Netscape Communications, Oracle, RealNetworks,
Scholastic
Acquisition de la technologie de CRM
ConsumerNet Août 1999
E-mail marketing : gestion et courtage d’une base
de données de plus de 3 millions d’adresses e-mail
(opt-in)
Achat ($ 52 millions)
125 sites Web clients de ConsumerNet et membres
Fusion intégrale dans 24/7 de la ConsumerNet Alliance (dont : Fox Interactive,
Mail
GameSpot, Columbia TriStar, BMG, RCA)
Acquisition de la technologie de gestion de base de
données et de modélisation des comportements
d’achat
Février
2000 –
Effectif en
juin 2000
Permission e-mail marketing et prestations de
outsourcing – Distribution de newsletters (2 millions
d’abonnés à une lettre quotidienne – Infobeat - de
Sony Music) et bulletins d’information
75 clients dans le secteur des médias, du ecommerce et des services financiers
Technologie propriétaire avancée
Exactis.com
Transaction « stock for
stock » ($ 490 millions)
On a même parlé à un instant d’une fusion avec DoubleClick ; les
pourparlers existent bel et bien mais rien de très concret pour
l’instant n’émerge. La particularité de la nouvelle économie par
rapport à l’ancienne est qu’on parle beaucoup, alors que les questions de fusion étaient traditionnellement très secrètes jusqu’au
dernier moment.
MessageMedia présente un profil sensiblement équivalent ; La
société a été constituée en 1994 dans le but de développer un
51
système de paiement sur Internet (FVIPS : First Virtual Internet
Payment System). Elle s’est tournée, à la faveur d’une prise de
participation majoritaire du groupe financier SOFTBANK dans son
capital, vers le e-messaging au cours du 2ème semestre 1998 ;
cette opération s’est concrétisée avec l’acquisition de deux sociétés spécialisées dans cette activité, Email Publishing, Inc (Epub)
pour un montant de $ 20 millions et Distributed Bits L.L.C. (Dbits)
pour un montant de $ 5,5 millions. En août 1999 deux nouvelles
sociétés ont été rachetées, Revnet Systems Inc. ($ 41 millions) et
Decisive Technology Corporation ($ 39 millions).
Le modèle de croissance à l’exportation
Les sociétés de e-mail marketing n’ont pas l’intention de rester repliées sur le marché intérieur américain. Elles développent toutes
des plans d’expansion mondiale, particulièrement en Europe où
on dénombre actuellement 153 millions de boîtes-aux-lettres électroniques. En outre le commerce électronique en Europe est appelé à représenter quelque 36 milliards d’euros en 2000 et atteindre 6,3% du total des échanges en 2004 selon Forrester Research.
MessageMedia a créé en octobre 1999 une joint venture avec la
société @viso, un incubateur détenu à parts égales par
SOFTBANK et le groupe Vivendi, afin d’implanter sa filiale européenne. Son siège est situé à Paris, mais déjà la société a ouvert
des bureaux régionaux à Düsseldorf et à Stockholm, tandis que
son centre d’opération technique et des équipes de Recherche &
Développement ont été installés en Suisse. D’autres bureaux doivent ouvrir prochainement à Munich, Madrid, Amsterdam et Milan.
Les effectifs européens devraient atteindre 100 collaborateurs d’ici
la fin de l’année. Des lettres d’intention viennent également d’être
signées avec eVentures UK et eVentures Holdings Pty Ltd en
Australie afin de créer deux filiales nationales de l’entreprise dans
ces deux pays. L’implantation à Sydney doit permettre à MessageMedia de développer son activité dans toute la région AsiePacifique.
24/7 Media développe son activité publicitaire et de e-mail marketing dans 27 pays du monde dont 11 états de l’Union européenne
(Allemagne, Belgique, Danemark, Espagne, Finlande, France, Italie, Pays-Bas, Portugal, Royaume-Uni et Suède). Cette croissance
sur les marchés à l’exportation s’appuie sur des opérations de rachat de sociétés existantes ; c’est ainsi que 24/7 Media Europe a
été constituée en janvier 1999 à partir d’une prise de participation
majoritaire au sein de InterAd Holdings Ltd ; de même
l’implantation au Canada s’est appuyée sur le rachat de la société
Clickthrough Interactive et l’activité en Asie sur des accords de
52
coopération avec les forces de vente de la société Chinadotcom.
Le siège de l’activité européenne de 24/7 Mail est basé à Londres ; l’objectif est d’offrir aux annonceurs européens et aux
brokers de listes d’adresses l’ensemble des services de
« permission based e-mail marketing » ainsi que d’étendre la bases de données d’adresses e-mail en collectant des inscriptions
volontaires auprès des internautes européens.
II.2.3) - Les huit familles de services de l’opt-in e-mail marketing
Les sociétés de opt-in e-mail marketing présentes sur le marché américain offrent dans l’ensemble un spectre d’activité assez large avec
des points forts qui peuvent varier en fonction de leur origine et des
technologies qu’elles maîtrisent ; on recense pas moins de huit familles de services distinctes et le schéma ci-après communiqué par
MessageMedia permet d’en comprendre l’enchaînement dynamique :
Acquisition de données personnelles en relation avec des sites
Web client, c’est à dire des sites support. Cela fonctionne un peu
sur le même principe que les sites Web sur lesquels les opérateurs
publicitaires sur Internet, typiquement DoubleClick, placent des
bannières publicitaires. En d’autres termes, il s’agit de se constituer un réseau de sites à fort trafic sur lesquels la société de emarketing place des formulaires d’opt-in plus ou moins détaillés
permettant ainsi de collecter de manière volontaire et déclarative
des informations personnelles sur les visiteurs ; ces informations
collectées permettent ainsi d’élaborer des listes commercialisables.
La prestation à ce niveau peut aussi avoir pour finalité de convertir
une liste d’e-mail existante détenue par l’annonceur en une liste de
« permission profiles ».
Administration et gestion de bases de données coopératives et
éventuellement gestion en Facilities Management des bases de
données des clients. Il s’agit d’une activité informatique
d’exploitation de base d’informations et dans le cas présent
d’hygiène des données : gestion des mises à jour, déduplication et
éventuellement matching avec des listes Robinson, synchronisation avec une base de données maître, etc.
Courtage de base de données à partir de critères sociodémographiques habituels (âge / sexe / revenus / localisation géographique / centre d’intérêts, etc.). Il s’agit d’opérations de location
de listes d’opt-in e-mail à des annonceurs ou à des intermédiaires ;
il peut s’agir de la liste d’adresses e-mail gérée par la société ou
d’autres listes d’opt-in e-mail existant sur le marché avec lesquelles le client sera mis en relation.
Exemple concret de dialogue client ( newsletter)
(Sources : MessageMedia)
Bases des données
Rapports et
Statistiques
1
8
Envois +
ciblés
2
7
choix 1
choix 2
choix 3
Fusion / hygiène
3
6
5
Préférences exprimées
Messages
entrants
4
Jhkjdf kfd
f gf gfd jsghk
jdfhsg kjhfsg
dqfjghs dfkg
dfsglhjsdfkl g
Jhkjdf kfd
Jhkjdf kfd
f gf gfd jsghk
f gf gfd jsghk
jdfhsg kjhfsg
Jhkjdf kfd
jdfhsg kjhfsg
dqfjghs dfkg
gf gfd jsghk
dqfjghsfdfkg
dfsglhjsdfkl g
dfsglhjsdfkl g - choix 1
- choix 2
- choix 3
Optimisation
1er envoi
53
54
Conception de campagne de e-mail marketing : il s’agit d’une
prestation de conseil auprès des annonceurs et des entreprises de
vente à distance en matière de conception de campagnes de
communication et de promotion de produit, de formulaire
d’inscription et de clauses d’opt-in, de rédaction de messages, de
mise en forme des e-mail et de l’intégration du langage HTML ainsi
que d’objets audio ou vidéo, de choix de critères de ciblage et de
listes de diffusion, d’organisation du traitement des réponses.
Cette aide à la conception peut également inclure une opération de
test sur un échantillon restreint de destinataires.
Opérations de push (host-e-mailing) : ces opérations peuvent être
ponctuelles (stand alone e-mail), ou régulières à travers l’envoi périodique de newsletters aux personnes abonnées selon des paramètres de fréquence définis avec le client. Les sociétés de e-mail
marketing sont équipées pour cela de moteurs puissants et ont
passé des accords avec des ISP disposant d’une bande passante
suffisante (connexion T1) pour héberger des volumes de trafic importants.
CRM (Customer Relationship Management) : il s’agit ici d’une
activité de front ou middle-office consistant à prendre en charge
pour le compte du client annonceur la relation one to one qui
s’instaure par e-mail avec les prospects et d’encourager ces derniers à opérer des achats : enrichissement de la base
d’informations avec des données personnelles complémentaires,
élévation de la relation de confiance, fidélisation, gestion des demandes d’inscription ou d’opt-out, traitement des problèmes de livraison, traitement des questions diverses des utilisateurs et des
réclamations, envoi de messages de confirmation, traitement des
changements d’adresses e-mail. Cette activité s’appuie sur des
applications informatiques dédiées dites de CRM ou d’ERM (E-mail
Relationship Management).
Suivi et reporting de campagne : tous les sociétés de e-mail
marketing se sont dotées d’outils permettant d’opérer un suivi précis de l’efficacité de la campagne et du retour sur investissement
pour leurs clients : comptabilisation instantanée des messages reçus, identification des adresses invalides, comptabilisation des
click-through sur des liens insérés dans les e-mails ou dans les
newsletters.
Suivi de facturation : lorsque les sociétés de e-mail marketing utilisent leur base de données coopérative, c’est à dire la base où
sont enregistrées les adresses collectées sur des sites Web partenaires à travers divers formulaires d’inscription en ligne, la règle
veut que le site Web à l’origine de la collecte de ces données soit
rémunéré à chaque utilisation d’adresse e-mail à hauteur de 50%
55
du prix de vente. Cela implique de disposer d’outils informatiques
permettant d’opérer un suivi précis de l’origine des informations et
de leur utilisation afin de procéder au reversement de royalties.
II.2.4) - Les mécanismes d’acquisition et de gestion des données
personnelles dans un contexte permissif
Les sociétés de e-mail marketing ont acquis un savoir-faire assez
pointu dans la constitution de fichiers de données personnelles obtenues de manière volontaire et délibérée de la part de visiteurs de sites
Web. Pour cela il convient de s’adosser à un réseau de sites sur lesquels on poste des formulaires d’opt-in que les visiteurs vont remplir
afin de recevoir une newsletter, participer à un concours, à un programme ou à une opération promotionnelle quelconque, faire l’objet
d’offres commerciales ciblées en fonction de centres d’intérêts qu’ils
auront précisés ; autant de bonnes raisons qui peuvent légitimer la
collecte explicite de données personnelles par un site Web. A toutes
les phases de ce processus de collecte les sociétés de e-mail marketing apportent leur expertise et leur savoir-faire : formalisation de l’optin, infogérance (outsourcing), datamining, valorisation économique de
l’information.
24/7 Media gère ainsi un ensemble de 200 sites Web partenaires qui
représentent une audience globale de 56% de la population totale des
utilisateurs d’Internet aux Etats-Unis ; parmi ces sites, on peut mentionner :
-
-
-
-
-
-
NetZero : abonnement à un accès gratuit à Internet avec exposition publicitaire et enregistrement de centres d’intérêts.
FastWeb : inscription à un système d’information permettant aux
étudiants de recevoir des informations sur les bourses universitaires : 2.500.000 inscrits.
PC Drivers HQ : système de rémunération de la navigation sur Internet ; inscription à une liste d’e-mail avec description des caractéristiques du style de vie : 142.800 inscrits, 77% de femmes
Guitar.com : inscription à un site dédié aux guitaristes amateurs :
téléchargement de fichiers MP3, participation à des concours,
groupes de discussion, offres commerciales : 20.600 abonnés.
E-diets : inscription à un programme d’amaigrissement personnalisé et à une newsletter spécialisée : 298.000 abonnés, 89% de
femmes
GotoWorld : inscription à un portail et téléchargement d’un browser
permettant de naviguer sur Internet tout en percevant une rémunération de 40 cents à l’heure liée à l’exposition publicitaire (Get Paid
to Surf, Chat and Shop!). 1.400.000 abonnés, 60% d’étudiants.
Riddler : inscription à un site de jeu en ligne : 526.400 inscrits
56
Parallèlement à ces différentes listes que 24/7 Media gère et commercialise, l’entreprise a constitué ses propres bases de données dont le
contenu est en quelque sorte en copropriété avec les sites Web à
l’origine de la collecte :
-
-
Mail Alliance : il s’agit d’une base généraliste segmentée en une
vingtaine de critères classants par styles de vie : 5,7 millions
d’adresses d’opt-in e-mail
Hi-Tech Alliance : cette base est composée de consommateurs
dans le secteur de la micro informatique, des logiciels et des périphériques : 1,9 millions d’adresses d’opt-in e-mail.
En janvier de cette année 24/7 Media a signé un accord sur deux ans
avec Naviant, une société de e-marketing spécialisée dans la relation
one to one, afin de prendre en infogérance une liste d’adresses e-mail
de 5 millions de foyers high tech. Avec ce nouveau contrat, 24/7 Media se trouve désormais responsable de la gestion d’une base de
données de plus de 20 millions d’adresses d’opt-in e-mail ; c’est probablement la base de e-mail marketing la plus importante existant
aujourd’hui dans le monde. Selon des interlocuteurs de l’entreprise
ces bases contiendraient 2 millions d’adresses e-mail d’origine britannique et 4 millions au total pour l’ensemble de l’Europe.
NetCreations gère pour sa part une base de données coopérative de
6 millions d’adresses d’opt-in e-mail ; le taux de croissance annoncé
pour l’année 2000 est de 20.000 adresses supplémentaires par jour,
ce qui devrait permettre à NetCreations d’atteindre 15 millions
d’adresses gérées dans moins d’un an. Comme dans le cas précédent
cette base de données est constituée à partir de 225 sites tiers sur
lesquels s’inscrivent les visiteurs. Parmi ces sites, on trouve notamment :
-
-
-
-
Internet.com : les visiteurs de l’une ou l’autre des 13 chaînes
d’information technologique de ce réseau de sites Web peuvent
s’inscrire à des newsletters.
CMPNet : il s’agit d’un groupe de presse spécialisé sur les technologies de l’information qui possède une dizaine de sites spécialisés sur lesquels il offre à ses lecteurs la possibilité de s’inscrire à
des newsletters de haut niveau (CNET Digital Dispatch, par exemple) ou à des listes de diffusion d’offres commerciales sur des sujets correspondant à leurs centres d’intérêt.
Regards.com : ce site offre aux visiteurs qui s’inscrivent la possibilité d’envoyer des cartes de vœux électroniques diverses à leur
carnet d’adresses e-mail ; l’inscription permet également de recevoir des e-mail commerciaux de partenaires divers ciblés sur 70
critères de définition des centres d’intérêt.
Volition : il s’agit d’un site Web de personnalisation gratuite du
contenu d’Internet (The Best Stuff of the Web) sur lequel les visi-
57
teurs s’inscrivent, participent à des jeux, à des concours, peuvent
gagner des coupons de réduction ou accumuler des points de fidélité, etc. Ils peuvent également s’abonner gratuitement à un système d’offre commerciale par e-mail.
Selon le type de contrat passé avec le site Web et selon le modèle technologique que la société de e-mail marketing met à disposition de ses
sites partenaires, ces données sont ensuite gérées de différentes manières : le cas de figure le plus simple est celui où le site Web gère luimême l’opt-in et les données associées ; dans ce cas la société de email marketing est destinataire d’une copie du formulaire. Cette copie
peut alimenter la base de données coopérative ou être gérée de façon
séparée. Il existe d’autres cas ou le site Web outsource complètement la
gestion de l’information auprès de la société de e-marketing, la finalité
pouvant aller jusqu’à déléguer toute la communication avec les abonnés
inscrits, l’essentiel pour le site Web étant de générer, à travers la collecte
et plus tard la commercialisation d’informations personnelles, des revenus qui l’aideront à financer l’existence de son site.
On observe alors deux grands modèles de circulation des données ;
dans le cas de 24/7 Media, il s’agit de transferts de données périodiques
par batch qui sont agrégées dans la base dite Mail Alliance ; dans celui
de NetCreations et de son système PostMasterDirect.com il peut s’agir
de transfert en temps réel ; MessageMedia déclare également « hoster »
les formulaires d’opt-in pour certains clients. Le fonctionnement du système PostMasterDirect.com est assez exemplaire du point de vue de la
qualité du consentement recueilli et de la transparence du processus. En
effet, lorsque l’on s’abonne par exemple à une newsletter de CNET,
l’utilisateur reçoit dans une fenêtre pop up une proposition d’une série de
cases à cocher correspondant à des thèmes sur lesquels il accepte de
recevoir des offres commerciales ; en bas de cette liste figure un lien
permettant d’accéder à la page de « privacy policy » du site ; cette politique est très complète et comporte un avertissement qui concerne
l’inscription à une newsletter qui fait ressortir très explicitement le rôle de
NetCreations :
Opt-in Email Newsletters
CNET offers free email newsletters to users in association with NetCreations’
PostMasterDirect, an independent company that creates targeted email newsletters to announce various products and services. When users subscribe to a
CNET newsletter, they are given the opportunity to opt in, or join, announcement
lists administered by PostMasterDirect. If users choose to opt in for an announcement list, they will receive email newsletters from third parties via PostMasterDirect on topics selected by the users. Users may have their email addresses removed from the opt-in announcement lists at any time by following the
instructions printed in the email newsletters.
PostMasterDirect’s email tracking system recognizes when a URL in the newsletter is clicked, and records information about the user and the user’s computer,
such as the email address registered with PostMasterDirect, the browser, the op-
58
erating system, and the user’s IP address. Use of this information is governed by
CNET’s privacy policy and the PostMasterDirect privacy policy. Personally identifiable information will not be used by CNET or PostMasterDirect for any purpose
other than to deliver the newsletters. Neither CNET nor PostMasterDirect will
provide this information to any third party.
Après avoir rempli le formulaire et défini les sujets sur lesquels il souhaite
être informé, l’utilisateur valide son inscription, cela constitue son premier
acte d’opt-in ; instantanément il reçoit un message de confirmation de la
part de PostMasterDirect.com, le but étant de s’assurer que l’opt-in a
bien été effectué par la personne elle-même et non pas en son nom par
quelqu’un d’autre. Le libellé de cette confirmation se présente dans les
termes suivants :
De : "Your subscription request" <[email protected]>
À : <[email protected]>
Envoyé : vendredi 5 mai 2000 06:07
Objet : Activate your CNET.com subscription! [[email protected] /1248]
Just one more step! Simply click the link below to activate the CNET.com subscription request you just sent us!
http://c.postmasterdirect.com/confirm?E= [email protected] &T=1248
If asked, your codes are E: [email protected] T:1248.
Or you can simply reply to this message. (If you do, please don't change the
subject line.) In order to protect your privacy, if you do not activate your subscription, we will be unable to send you the information you have requested. So
please click the link above right now!
When you confirm, you will be subscribed to:
CNET.com/Advertising.list
CNET.com/Internet_Marketing.list
CNET.com/e-commerce.list
You can unsubscribe or change the topics you get information about easily, at
any time. We hope you enjoy the convenience and we'll see you online!
Thanks!
CNET.com
La réception de ce message mérite trois observations : la première est
qu’il porte à nouveau à la connaissance de son destinataire l’existence et
la dénomination d’un tiers dans sa relation avec CNET ; ce point n’est
pas négligeable et couvre l’éventualité où l’utilisateur n’aurait pas cliqué
sur le lien de la « privacy policy » ; la deuxième est que ce message récapitule les newsletters et la liste de diffusion commerciale précise à
laquelle il s’est inscrit ; la troisième est qu’aucune communication ne
pourra être engagée avec lui à défaut du retour de l’e-mail de confirmation ; c’est quasiment un acte contractuel que l’internaute doit passer
avec le site. Aussitôt la confirmation de l’opt-in parvenue chez PostMasterDirect.com, l’abonné reçoit automatiquement un deuxième e-mail de
bienvenue :
59
De : "PostMasterDirect.com" <[email protected]>
À : <[email protected]>
Envoyé : vendredi 5 mai 2000 06:24
Objet : Subscription Welcome!Thank you for your opt-in email confirmation!
Welcome to our free service! We strive to bring useful information direct to your
email box without spamming, and without compromising your privacy! We do not
sell our lists, but we mail on behalf of vendors who want to contact you with
interesting news and product information in the only topics you have specified.
Note that every message we send will have a header like this one:
This mail is never sent unsolicited. This is a PostMasterDirect.com mailing!
You have subscribed to receive this information through CNET.com
UNSUB ALL: -forward- this entire message to [email protected]
(be sure to forward the ENTIRE message, or it will not unsubscribe you!)
To review your subscription: http://review.postmasterdirect.com/
MAIL TO LISTS: http://www.PostMasterDirect.com/ 100% OPT-IN™
To
review
your
subscription
and
preferences,
please
visit:
http://review.PostMasterDirect.com
If you are interested in MAILING your product or service information to any of
thousands
of
topical
100%
opt-in
email
lists,
please
visit:
http://www.PostMasterDirect.com/
Ce processus de participation active est exemplaire et montre bien
comment dans la pratique les sociétés de e-mail marketing sont en capacité de gérer de façon efficace et automatisée un mécanisme de double opt-in. Pour être complet, il faut cependant observer que tous les
systèmes d’opt-in mis en place par les sociétés de e-mail marketing ne
développent pas le même luxe de transparence. Dans le cas par exemple de l’inscription sur le site de FastWeb (recherche de bourses
d’études), on remarque que la mention en bas du formulaire d’opt-in est
assez vague et se contente de faire référence à des « marketing
partners », en l’occurrence il s’agit de 24/7 Media, expliquant tout de
même que c’est bien parce que cette possibilité existe que FastWeb peut
offrir le service de recherche de bourses d’études gratuitement :
FastWeb is able to offer its free services, in part, based on the willingness of our
users to be reached by our marketing partners. By checking YES below, FastWeb may make the information you supply available to leading companies so
you’ll receive free information on college financing and admissions, offers and
promotions designed just for students, coupons from campus bookstores, freebies and more.
YES! I want to receive this information
No, please exclude me
La page de « Privacy at FastWeb » apporte quelques précisions supplémentaires quant aux partenaires marketing, indiquant qu’il peut s’agir de
“data aggregators, marketers (possibly in the form of list rental) or other
organizations”, mais, contrairement au cas précédent, le nom de ce partenaire n’est pas mentionné. Cette page a le mérite toutefois d’indiquer
quelles informations seront transmises à ces tiers, et quels sont les tiers
qui seront exclus : ”(…) pornography, tobacco or other industries we find
to be objectionable or potentially harmful”.
60
During the registration process, FastWeb asks you whether information about you
can be sent to other organizations that have products, services and opportunities
useful to students and their parents. FastWeb understands how important your
information is to you. Therefore, FastWeb does not share any information that
can be tied to you without your permission. If you give your permission, information about you may be shared with colleges, universities, data aggregators, marketers (possibly in the form of list rental) or other organizations. This information
may include, but may not be limited to name, street address, email address, telephone number, or other data you provide during your visit to FastWeb. Information will not be shared with companies and organizations involved with pornography, tobacco or other industries we find to be objectionable or potentially harmful.
You will receive email periodically to notify you of additional FastWeb opportunities. If you specifically provide FastWeb with permission, you may also receive
some commercial emails. You can update your personal information by clicking
on the « Update Profile » link in your Message Center or on the bottom of any
email message you receive from FastWeb.
Il faut enfin remarquer que quelques programmes de permission marketing comportent des cases d’opt-in pré-cochées, c’est le cas notamment
des formulaires d’inscription postés sur les sites de BigFoot, de Dreamlife ou de Theglobe.com, trois sites dont les formulaires d’opt-in sont gérés en relation avec 24/7 Media. On ne peut s’empêcher de considérer
que cette pratique n’est guère conforme avec l’esprit de permission marketing car elle n’apporte pas la garantie du consentement du client, celuici pouvant très bien avoir pu sauter la ligne sans l’avoir lue. On court
alors le risque que les messages commerciaux envoyés soient perçus
comme des spams étant donné que leur destinataire est persuadé quant
à lui de ne jamais les avoir sollicités.
Tous ces systèmes et tous les messages qu’ils sécrètent comportent
bien évidemment des liens d’opt-out qui permettent de se désinscrire aisément des listes d’enregistrement. 24/7 Media explique recevoir quelques demandes d’opt-out quotidiennes, ainsi que des demandes de précisions de la part de certaines personnes qui souhaitent savoir où, c’est à
dire sur quel site, et quand leur opt-in a été enregistré ; quelques demandes individuelles concernent également la nature exacte et l’étendue
des informations personnelles détenues dans les bases de données.
Une personne de l’équipe de 24/7 Media est en charge de traiter ces
demandes.
II.2.5) - Commercialisation et traitements des listes d’adresses
Les sociétés de e-mail marketing ont pour vocation de commercialiser
les listes d’adresses e-mail, qu’il s’agisse des listes coopératives ou
des listes propres à chaque site partenaire. Cette commercialisation
peut s’opérer de deux manières différentes :
Courtage : le courtage consiste à louer l’utilisation des listes gérées par les sociétés de e-mail marketing à des annonceurs, à des
61
sociétés concurrentes ou à des opérateurs de vente en ligne. Pour
des raisons pratiques l’utilisation de ces listes dans le cadre de
campagnes d’e-mail marketing est assurée par la société ellemême qui pratique ainsi une forme de host-mailing, très analogue
à ce que l’on rencontre dans le publipostage traditionnel.
E-mail Service Bureau (ESB) : il s’agit ici pour la société de e-mail
marketing d’apporter de la valeur ajoutée à l’opération de mailing
proprement dite en prenant en charge les différentes phases de
l’opération, notamment le traitement des retours et des demandes
d’informations émanant des clients, ainsi que la gestion de programme de fidélisation. Toutes les sociétés offrent ce niveau de
prestation en s’appuyant sur des outils de CRM qui permettent de
construire pas à pas la relation one to one. A travers sa stratégie
de croissance externe, 24/7 Media a ainsi acquis à travers
AwardTrack un outil propriétaire de CRM particulièrement bien
adapté au suivi des opérations d’incentive marketing (émission,
échange, rachat, conversion de points ou de miles).
La tarification appliquée est bien entendu variable suivant la nature et
l’étendue de la demande. En général une prestation standard conduite
sur
les
fichiers
Analyse comparative des coûts de campagne de
coopératifs
comprend
marketing direct
cinq opérations : la
(sources : 24/7 Media)
location des adresses
Direct Mail Opt-in Email
proprement dites, la
programmation d’un
Design
$2,500
$2,500
lien dans le message
Print
$6,000
-sur le site de l’annonFulfillment
$4,500
-ceur, l’opération de
push des messages,
Postage
$9,500
-le suivi des clickList Cost
$4,500
$12,000
through et le bilan de
Total
$27,500
$14,500
la campagne ; le tarif
est calculé sur une
Average Response
6-10
12-48
Time
weeks
hours
base CPM identique à
celle pratiquée par les
régies publicitaires ; le prix de référence s’élève pour le e-mail marketing professionnel à $ 200 le mille, soit 20 cents l’unité.
24/7 Media pratique ces prix mais avec une ristourne de $ 20 le mille
pour les membres de la Mail Alliance, c’est à dire pour les sites clients
également collecteurs d’adresses. Ce chiffre n’est évidemment pas à
comparer avec les tarifs de « hard-discounters » à $ 5 le mille, que
pratiquent les brokers tendance spam (32). Le tableau ci-dessus montre bien que le prix d’une campagne de e-mail marketing reste très
compétitif comparé au coût d’une opération de publipostage tradition32) Cf. page 38
62
nel qui revient environ deux fois plus cher, pour des délais de mise en
œuvre cinq fois plus longs.
A ce tarif standard il convient d’ajouter la facturation des sélections diverses qui peuvent être demandées : par noms de domaine et par zones géographiques, par caractéristiques socio-démographiques
(genre / classe d’âge / statut matrimonial / nombre d’enfants), par
tranches de revenus, par positions occupées dans les entreprises, par
niveaux de diplôme, par centres d’intérêts. Les sélections par centres
d’intérêts semblent inépuisables dans le degré de finesse qu’il est
possible d’atteindre ; mais elles ne font finalement que refléter la précision de l’information collectée à travers les formulaires (33). NetCreations déclare pouvoir segmenter ses 6 millions d’adresses en
plus de 3.000 catégories différentes. La base Mail Alliance de 24/7
Media contient quant à elle 35 champs d’information déclarative et
plus de 260 champs d’informations qui sont ajoutés à ces enregistrements à travers des traitements informatiques, sur lesquels les interlocuteurs de la mission sont restés très discrets. Sous l’éclairage de la
protection des données, certains éléments de qualification de fichier
sont incontestablement de nature sensible quand ils permettent
d’identifier, sans déroger aux règles de la permission, des groupes
ethniques, des groupes religieux, des fumeurs, des diabétiques ou
des cancéreux. Les listes d’adresses e-mail contiennent également
des données comportementales à haute valeur ajoutée, particulièrement lorsqu’il s’agit de données concernant les achats en ligne effectués au cours des derniers mois (1 mois, 3 mois, 6 mois, 12 mois) ;
dans de nombreux cas il s’agit d’une information non pas collectée de
manière déclarative mais rapportée par des opérateurs commerciaux
partenaires de la société de e-mail marketing auprès desquels les
prospects ont effectué des achats.
Toute sélection particulière sur ces données complémentaires permettant de mieux qualifier la population ciblée a un coût supplémentaire au mille ; plus les sélections demandées sont sophistiquées plus
elles sont chères ; la sélection la plus prisée et la plus coûteuse con-
33) On peut préciser à ce titre que le site FastWeb, par exemple, collecte dans son formulaire
de candidature à une bourse d’études un niveau de précision d’informations impressionnant sur
des sujets sensibles, notamment sur les pathologies dont les étudiants pourraient souffrir (AIDS
related, Amputee, Arthritis, Asthma, Attention Deficit Disorders –ADD, Blind Visually/impaired,
Blood-Bleeding disorders, Cancer, Cerebral Palsy, Cystic Fibrosis, Dyslexia, Emotional, Epileptic, Hearing, Learning disabilities, Multiple Sclerosis, Neurological disorders, Primary Immune
Deficiency Disease, Respiratory, Speech Impairment) ; FastWeb s’intéresse également aux
religions pratiquées (Assembly Of God, Baha’i, Baptist, Buddhism, Byzantine Rite, Catholic,
Christian, Christian Science, Church of Brethren, Church of Christ, Congregational Christian
Churches, Disciple of Christ, Eastern Orthodox, Episcopal, Evangelical Covenant, Evangelical
Lutheran, Free Methodist Church, Free Will Baptist, Greek Orthodox, Hindi, Islam, Jehovah’s
Witness, Jewish, Judeo-Christian, Lutheran, Mennonite, Methodist, Mormon, Pentecostal,
Presbyterian, Protestant, Quaker, Roman Catholic, Seven Day Adventist, Sikh, Southern Baptist, Unitarian, United Church of Christ, United Methodist, United Presbyterian).
63
cerne la propension à effectuer des achats en ligne. La politique tarifaire de 24/7 Media se présente de la manière suivante :
Tarification des sélections dans la base Mail Alliance de 24/7 Media
(sources 24/7 Media)
State, SCF
Zip
Gender
Age
Credit Card
Product Select
Enhancements
Lifestyle
Run Charges
Last 12 Month Buyers
Last 6 Month Buyers
Last 3 Month Buyers
Last 1 Month Buyers
Postal Address
+ $ 5.00/M
+ $ 5.00/M
+ $ 5.00/M
+ $ 5.00/M
+ $10.00/M
+ $10.00/M
+ $10.00/M
+ $10.00/M
+ $6.00/M
+ $5.00/M
+ $10.00/M
+ $15.00/M
+ $20.00/M
+ $75.00/M
Enfin, ces sociétés commissionnent les sites collecteurs d’adresses email ; en d’autres termes cela signifie que chaque fois qu’une adresse
est utilisée, le site qui en est à l’origine est rémunéré sur une base variable mais qui est souvent de 50% du prix de vente. Ces coûts bien évidemment pèsent dans les résultats des sociétés de e-marketing ; en se
reportant aux tableaux financiers présentés précédemment dans ce rapport (34), on constatera qu’ils représentent près de $ 5 millions chez 24/7
Media en 1999, $ 4,5 chez MessageMedia et un peu plus de $ 10 millions chez NetCreations. Cette dernière entreprise a d’ailleurs mis au
point un système sophistiqué qui permet de départager deux sites collecteurs qui pourraient revendiquer la propriété d’une seule et même
adresse : la règle consiste à ne rémunérer que le site Web dont la liste
d’adresses e-mail a la préférence du client. Il apparaît par ailleurs que
NetCreations consent, dans un nombre limité de cas, ICQ notamment,
des avances sur recettes aux sites Web
34) Cf. pp. 46 - 49.
64
II.2.6) - Les moyens technologiques des sociétés de e-mail marketing
Les sociétés de e-mail marketing sont des entreprises où la maîtrise
de la technologie et l’innovation jouent un très grand rôle ; elles communiquent d’ailleurs assez peu sur leur technologie, sachant qu’on est
là en présence d’un moyen de différenciation sur un marché assez
concurrentiel. Schématiquement les centres d’opération présentent
une architecture technique spécifique qui repose sur trois systèmes
principaux :
un SGBD (Système de Gestion de Base de Données)
Les bases de données sont la plupart du temps construites avec
Oracle en environnement Unix. Ces bases constituent l’entrepôt
de données proprement dit, là où l’on va retrouver les adresses email, les informations déclaratives associées ainsi que toutes les
autres données acquises ou calculées, notamment les données
RFM (Récence, Fréquence, Montants), permettant d’opérer les
traitements de datamining et de déterminer des cibles en fonction
de typologies de comportement. Les SGBD nécessitent des processeurs puissants ; c’est la raison pour laquelle, par exemple, le
centre informatique de NetCreations est équipé de 3 serveurs
DEC (Compaq aujourd’hui) clusterisés fonctionnant à base de
processeurs Alpha.
un moteur de « push »
Les moteurs d’envoi d’e-mail sont constitués la plupart du temps
d’une batterie de 50 à 100 serveurs Intel (Compaq Proliant, par
exemple) fonctionnant en environnement Linux (Red Hat Software) et reliés à un backbone Internet (T1) via des routeurs Cisco.
Ce sont ces mêmes moteurs qui récupèrent les retours de formulaires d’opt-in remplis par les prospects. Grâce à cette architecture
les sociétés de e-mail marketing disposent de capacités
d’émission de messages phénoménales : 24/7 Media a ainsi une
capacité d’émission de plus de 10 millions de messages par jour ;
NetCreations a envoyé en 1999 146 millions de messages à la
demande d’annonceurs de marketing direct tels que Dell Computer, Compaq, Ziff Davis ou J. Crew. Exactis, pour sa part, filiale de
24/7 Media, a envoyé 675 millions de messages l’année dernière
pour 75 clients principaux dans les secteurs du commerce électronique et des services financiers ; au total Exactis a une capacité
actuelle d’émission de 30 millions d’e-mails par jour qui va être
portée prochainement à 100 millions d’e-mails par jour.
65
Un système de CRM
Le système de CRM est constitué de serveurs et de postes de travail en réseau permettant de gérer tous les aspects de la relation
avec la clientèle, y compris pour certaines sociétés, des platesformes de paiement électronique ; ces systèmes sont souvent
couplés avec des call centers et des systèmes CTI. L’objectif est
bien évidemment d’automatiser le plus possible ce dialogue, au
risque, si cela n’est pas fait, de devoir aligner des effectifs de téléopérateurs importants pour traiter les retours de campagnes.
L’ensemble de ces systèmes doit être en capacité de fonctionner sans
interruption à toute heure du jour et de la nuit. Ils sont donc hautement
sécurisés : back up des données en technologie peer-to-peer (PPRC),
redondance des équipements, redondance des connexions sur les
backbones Internet, multiples firewalls.
Sur le plan organisationnel, il convient de remarquer le cas particulier
de 24/7 Media dont toute la technologie est sous contrat d’infogérance
avec principalement Global Center aux USA pour une redevance annuelle de $ 500.000, PLC en UK, UUNet en Australie et Digital Islands
à Hongkong. Le rachat d’Exactis prévoit cependant de conserver
l’organisation technologique en l’état avec un centre informatique prochainement installé à Denver dans le Colorado. Les responsables de
24/7 Media assurent que Global Center n’a pas accès aux données et
que ce prestataire est évidemment lié par un contrat de confidentialité
et d’exclusivité.
MessageMedia, de son côté, après avoir hésité entre Amsterdam,
Barcelone et Dublin, vient d’implanter son centre technique dans le
canton de Vaud (Suisse) entre Genève et Lausanne ; le choix de cette
implantation répond à des considérations géographiques et de facilités
d’infrastructure, ainsi que de sécurité des données ; en même temps
cela permet à MessageMedia de se prévaloir d’une capacité à fournir
un service de proximité et de s’affranchir des incertitudes qui pèsent
sur le statut des flux de données personnelles entre l’Europe et les
Etats-Unis. A ce jour 50 serveurs ont été implantés dans ce centre
pour rapidement monter à 100 serveurs (Sun, Dell, HP) ; la capacité
de stockage est de 1,5 Terabyte et le centre dispose de ses propres
accès à un backbone Internet ; toutes les opérations d’origine européenne, et notamment les campagnes de marketing menées pour le
compte des clients seront gérées à partir de ce centre de production.
Ces serveurs bénéficient de toute l’expertise technique acquise par
l’entreprise aux Etats-Unis au cours de ces dernières années ; ils vont
prendre le relais des installations américaines. Une équipe de 50 ingénieurs et techniciens multilingues vont travailler cette année dans le
centre à la fois sur des programmes de R&D et sur une problématique
66
de service client ; l’effectif doit croître jusqu’à une centaine de collaborateurs pour la fin 2001.
Sur le plan des applicatifs enfin, on est présence, dans tous les cas,
de logiciels propriétaires développés par les équipes techniques de
ces sociétés de e-marketing. NetCreations emploie ainsi 11 informaticiens sur 40 salariés, 24/7 Media, 50 informaticiens sur 470 salariés,
auxquels il faut ajouter les 86 informaticiens de sa filiale Exactis. Afin
de protéger les droits, certains de ces logiciels sont brevetés, ce qui
n’empêche pas la multiplication de procédures judiciaires en cours
entre ces sociétés : une procédure en « infringement patent » existe
par exemple entre DoubleClick et 24/7 Media à propos du système
Target-it ; une autre a été déclenchée en octobre 98 par Exactis contre EPub, filiale de MessageMedia ; à son tour MessageMedia engageait 10 jours plus tard une procédure à l’encontre d’Exactis pour le
même motif.
II.3) - De quel opt-in parle-t-on ?
La plupart des sociétés de e-mail marketing professionnelles pratiquent
une politique de marketing consensuel qui s’appuie sur des exigences
fortes en matière d’opt-in. Toutefois, force est de constater que ces sociétés ne sont pas à l’abri d’interprétations et de dérapages qui pourraient les entraîner sur la pente glissante de l’UCE. Plus précisément, on
doit prendre conscience que l’opt-in ne tuera pas le spam, pour deux raisons essentielles : on peut craindre en effet que l’amorce d’une relation
de permission doive nécessairement passer par une campagne qui peu
ou prou ressemblerait à du spam ; par ailleurs, tout le monde étant aujourd’hui en train de s’aligner sur l‘opt-in, il y a le risque que les principes
fondamentaux en soient quelque peu galvaudés.
II.3.1) - Le spam : passage obligé de l’opt-in e-mail marketing ?
Formulée ainsi cette question a quelques relents de provocation ; en
réalité elle vaut la peine d’être posée car le vrai problème pour les
opérateurs de vente directe est bien d’amorcer la relation permissive
et l’on ne connaît malheureusement guère d’autres moyens que ceux
consistant à provoquer le public, susciter son attention, l’inciter à entrer en contact par toutes sortes de « teasings » bien connus des publicitaires. En d’autres termes, et Seth Godin lui-même en convient, il
y a de forts risques que le permission marketing ne puisse faire complètement abstraction de l’interruption marketing dans son processus
de mise en œuvre initiale ; il explique les choses ainsi : « (…) But the
first step is still to interrupt the consumer. That’s one reason there will
always be especially acceptable Interruption Marketing media. We
67
need to get that initial attention. Sometimes you’re lucky enough that a
stranger comes to you of his own accord. There will always be a few
people who straggle onto your Web site, for example, or potential
customers who call your toll-free number or walk into your store.
These are the freebies. Most of the time, however, you’ve got to use
the tried-and-true interruptive techniques to reach large numbers of
people. Using measurable techniques, marketers can choose television, radio, print, direct mail, or electronic media to grab the attention
of consumers. But without some way to grab attention of a stranger,
the permission process never starts » (35).
Comment donc se faire connaître sur le net ? La tentation à l’évidence
peut être le e-mail marketing ciblé ; le risque est alors de s’adresser à
un broker de listes d’adresses et d’envoyer son offre en masse, par
millions, avec l'espoir que dans tout ce bruit quelques-uns entendront
le message et accrocheront. Cette formule n’est cependant guère socialement acceptable et contraire aux règles d’éthique affichées de
plus en plus par les organisations professionnelles qui défendent le
principe de la « user’s prior acceptance » ; la seule qui le soit vraiment, non sans réserves, est celle de la publicité appliquée à
l’Internet, c’est à dire l’affichage de bannières publicitaires ciblées sur
des profils de centres d’intérêts et de styles de vie compatibles avec
l’offre de produits ou services de l’annonceur. La bannière publicitaire
peut alors permettre de drainer des click-through sur un site Web et
d’engager la relation d’opt-in e-mail à partir du remplissage de formulaires par les visiteurs.
II.3.2) - Pour une interprétation restrictive de l’opt-in
Tous les opérateurs commerciaux et de marketing direct sur Internet
sont en train actuellement de s’aligner sur l’opt-in. Le plus étonnant
est que cette observation est valable également pour les sites pornographiques qui pourtant se sont copieusement adonnés au spamming
au cours des dernières années ; il est ainsi de plus en plus fréquent
de trouver dans sa boîte-aux-lettres des e-mail que l’on aurait sans
hésiter qualifiés de spam il y a encore quelques mois, précédés de
l’avertissement suivant : « You've received this message because
while visiting a partner website, you opted in to receive special online
offers and discounts. » ou encore : « This newsletter is being sent to
an opt-in mailing list. This message is sent in compliance with all
known local and International laws and it complies with the proposed
United States Federal Requirements for commercial email. WE
HONOR ALL REMOVE REQUESTS: If you wish to be removed from
any future mailings please send an email to [email protected] We assure you that you will receive no further mailings ». Cela amène inévitablement à s’interroger sur la qualité de l’opt-in et à se demander
35) Seth Godin – op. cit. Cf. page 72
68
si demain les annonceurs, quels qu’ils soient, ne vont pas avoir une
fâcheuse tendance à développer une conception pour le moins extensive de la notion d’opt-in, rappelant ici les excès bien connus de la société américaine de l’« affirmative action ».
A l’extrême cette conception extensive semble s’appuyer dans certains cas sur le simple fait, par exemple, qu’un visiteur d’un site a cliqué par inadvertance sur un bouton OK dans une boîte de dialogue lui
demandant s’il souhaitait ajouter ce site à ses favoris ; rien n’est plus
simple en effet de jouer sur les mots et de placer une obscure disposition dans la page introuvable des conditions d’utilisation d’un site dans
lequel l’opérateur va indiquer en petits caractères que le fait de
« bookmarquer » son site légitime le déferlement par la suite d’e-mail
publicitaires. De façon plus anodine, on peut se demander si le fait de
s’être inscrit un jour dans une liste d’amateurs de plongée sousmarine pour recevoir des offres commerciales sur du matériel, justifie
de recevoir des propositions de séjour dans tous les scuba diving
centers du globe. En réalité la notion d’opt-in mérite d’être approfondie
sérieusement ; si l’on veut qu’il soit efficace et authentique, un véritable statut de l’opt-in doit être défini. Il convient également de se
pencher sur le concept de partenaire auquel les opérateurs de sites
font très souvent référence à propos d’offres commerciales connexes
qui pourraient être faites à un visiteur qui s’inscrit dans une liste de
diffusion. Qu’est-ce qu’un partenaire ? Dans quelle mesure l’offre proposée répond au critère de sérieux sur lequel le site collecteur
d’informations s’est engagé ? De quel moyen de contrôle dispose-ton ? Force est de constater qu’on trouve rarement de réponses à ces
questions. On trouve toutefois une disposition intéressante dans les
« 10 règles du Permission Marketing » chez MessageMedia consistant à prévenir le destinataire dans le chapeau du message de
l’identité de la société qui héberge et cautionne l’envoi de l’e-mail
commercial (36). Cette pratique de transparence gagnerait à être systématisée.
Les sociétés de e-mail marketing, soucieuses de se différencier par
rapport aux usurpateurs et de les écarter du marché, ne s’y sont pas
trompées ; elles ont conçu des règles strictes et sans ambiguïtés dans
leur anti-spam policy dans lesquelles elles s’imposent par exemple
d’indiquer dans l’entête du message précisément l’origine de l’opt-in
du destinataire ; cette politique est notamment appliquée par Exactis
(37) et NetCreations. MessageMedia pour sa part développe une
36) Cf. Annexe 1: Anti-Spam policies – Ten Rules for Permission-based E-mail marketing : “(…)
make sure you control the mailings, and that your brand "introduces" other brands. Example:
"Because you opted to receive promotional offers of our valued partners, we at ABC Corp are
please to give you a special offer from XYZ Corp."
37) Cf. Annexe 1: Anti-Spam policies – plus particulièrement celle de Exactis (3- Additionnal
Principles – Cf. 131)
Du Spam au Double Opt-In
(Sources : MessageMedia)
SPAM
Adresses récupérées
de sources
inconnues
OPT-OUT
• Clients existants
• Ils ne vous ont pas donné
la permission d ’utiliser
leur adresse, mais vous
la possédez
OPT-IN
Une case cochée (par le
client) vous donne la
permission d ’envoyer
des mails
OPT-IN Confirmé
Une case cochée vous
donne la permission, et
vous avez validé
l’adresse
Inconvénients :
• Pas de résultats
• Génère des plaintes
• Vous risquez la liste
noire des FAI
• Nombreuses plaintes
• Spirale infernale
• (imaginez si toutes les
sociétés qui vous connais
sent..)
N’est pas infaillible :
utilisation possible
d ’adresses fictives
• Aucun
• 100% des
• adresses vérifiées
• Clientèle fidèle
ACCEPTABILITE
69
70
réflexion intéressante à l’aide de l’infographie de la page précédente
et qui lui sert de support pédagogique dans ses relations avec ses
clients : ce schéma permet de définir une gradation d’acceptabilité
dans le niveau de permission acquis de la part du client pour l’envoi
de messages publicitaires et fait nettement ressortir que le fait de
pouvoir se prévaloir d’une relation commerciale antérieure n’est pas
suffisant pour s’autoriser à adresser des propositions commerciales.
MessageMedia applique par-là les principes d’analyse comportementale du marketing qui reposent sur les trois lettres-clés RFM, à savoir,
Récence, Fréquence et Montants et les transpose dans le contexte de
l’opt-in e-mail marketing à travers les concepts d’antériorité et de valeur : imaginons, par exemple, qu’un internaute, au hasard de sa navigation, achète un jour une cravate à $ 39.50 sur le site de jcrew.com,
cela ne donne pas le droit à J. Crew d’accabler ce petit client une ou
plusieurs fois par semaine de propositions commerciales, quand bien
même il s’agirait de super-promotions sur des cravates en soie naturelle. De grands sites commerciaux, leaders du commerce en ligne,
comme Amazon, Barnes & Noble, CD Now ou Travelocity, feraient
bien de s’inspirer de ces pratiques pour modérer leurs ardeurs à
l’égard de leurs clients occasionnels.
Sur le plan pratique cette politique amène les sociétés de e-mail marketing a être très exigeantes quant à la qualité des listes d’opt-in email. Ainsi il est très fréquent qu’elles demandent à leurs clients qui
viennent avec leurs propres listes de fournir les éléments d’information
permettant d’apprécier le contexte dans lequel les opt-in ont été recueillis. Si des doutes subsistent, ces sociétés ont pris l’habitude de
tester aussi la qualité des opt-in sur un échantillon restreint de destinataires ; lorsque les tests provoquent des réactions négatives de la
part des destinataires la campagne est ajournée et la liste est nettoyée de toutes les adresses dont les opt-in sont improbables.
71
Conclusions de la Première Partie
Pour conclure cette première partie, on peut identifier trois grandes séries de
risques attachés au développement du e-mail marketing : l’un se situe dans le
champ de la science politique et concerne l’alternative embarrassante et peu
opérante entre l’opt-in et l’opt-out sur laquelle se cristallisent les choix réglementaires que les états européens entendent faire en matière de communication commerciale sur l’Internet ; l’autre est de nature sociologique et tient à la
perte progressive de contrôle par l’homme de sa propre identité sous la pression des traitements informatiques massifs de données personnelles que réalisent les entreprises de e-marketing. Le troisième enfin est un risque industriel
et laisse planer le spectre d’un phénomène d’entropie dont le réseau mondial
pourrait être la victime à plus ou moins court terme si aucun mécanisme sérieux
de régulation ne voyait le jour. Ce risque est aussi financier et c’est en partie
l’internaute qui en supporte les coûts.
L’enfermement du débat dans une problématique de choix entre l’opt-in et l’optout oppose en réalité deux conceptions d’un même problème qui est de savoir
à quelles conditions un internaute peut faire l’objet de sollicitations commerciales ; l’un comme l’autre renvoient à des dispositifs techniques plus ou moins
protecteurs de la vie privée mais qui correspondent au déplacement d’un curseur sur une même échelle de gradation. Pour des pays qui affirment l’ambition
de se doter d’un haut niveau de protection des données personnelles, on voit
mal l'avantage qu’il pourrait y avoir à se contenter du niveau minimum que représente l’opt-out, sauf à céder à la pression des intérêts industriels d’un autre
âge, qui protègent des entreprises dont les pratiques professionnelles sont en
train de montrer leurs limites et sont d’ores et déjà caduques à la lumière du
marketing consensuel. Assimiler l’opt-out à un compromis entre la protection de
la vie privée et la liberté du commerce est une grossière exagération : si l’on
peut se permettre une image, l’opt-out revient finalement à donner à l’internaute
une éponge pour assécher un flot d’e-mail commerciaux qui ne tarirait jamais, à
moins qu’elle ne serve au bout du compte à essuyer la sueur de son front ;
l’opt-in lui donne en plus l’accès à la vanne qui lui permet de contrôler l’étiage
de l’inondation. Quant à la liberté du commerce, on peut difficilement imaginer
que quelque législateur que ce soit accepte sa préservation par un sacrifice de
la vie privée des citoyens. Au bout du compte le débat opt-in versus opt-out fait
resurgir une interrogation déjà tranchée par la directive générale d’octobre 1995
qui très clairement établit deux droits fondamentaux : celui du respect du principe de finalité au nom duquel une adresse e-mail rendue publique dans un
groupe de discussion ou même communiquée à un opérateur de vente directe
dans un contexte bien précis, n’autorise en aucun cas qui que ce soit à se
72
l’approprier à d’autres fins ; par ailleurs, la directive consacre le droit
d’opposition de la personne, étant entendu que ce droit s’exerce a priori ; l’optout revient à considérer que les boîtes-aux-lettres sont libres de droits ; il n’est
que l’expression d’une opposition a posteriori de l’internaute, après que le préjudice initial ait été subi. Cette vision est donc contraire à la directive générale.
Les traitements de données de marketing en général créent une situation de
perte de contrôle de l’individu sur sa propre identité. En effet, et le e-mail marketing n’échappe pas à cette règle, le propre de l’ingénierie du marketing consiste à accumuler le maximum de données sur les prospects de manière à cibler de façon très précise les campagnes de communication et les offres promotionnelles ; il apparaît qu’il existe ainsi un lien très direct entre la qualité des
fichiers et le taux de transformation d’une campagne. Cette loi conduit tous les
professionnels du marketing à construire de vastes entrepôts de données et à
développer des traitements de modélisation qui sans cesse vont permettre de
réduire le niveau d’incertitude quant au comportement des consommateurs face
aux offres avec lesquelles ils vont être sollicités dans leurs boîtes-aux-lettres.
Cela passe par des processus de collecte de données personnelles élargis à
tous les domaines possibles et signifie que les opérateurs de sites Internet ne
se contentent guère des seules données transmises délibérément par un visiteur à travers un formulaire, aussi précis soit-il. Quand on a, par exemple, la
possibilité de savoir précisément quel est le comportement général d’achat de
tel ou tel internaute, il s’agit d’une information déterminante dont personne n’a
vraiment envie de se priver. Ainsi vont les données personnelles, de matchings
en enrichissements successifs, des identités composites se constituent par addition de bribes d’informations : celles que l’on fournit aux uns et aux autres,
celles que l’on sécrète involontairement à travers sa navigation, ses achats, ses
prises de position dans des espaces publics. Chaque individu possède ainsi un
double virtuel reconstruit et la question que tout le monde se pose inconsciemment est de savoir quelle est l’architecture de ce double, correspond-il à l’image
que l’on se fait de soi, est-il conforme à celle que l’on a envie de communiquer
aux autres ? Quand bien même ce double ne serait que la résultante d’une
somme de données d’opt-in, le profil individuel fécondé par des modèles de
traitements informatisés est-il nécessairement consenti et accepté ? Toute la
vraie problématique de la protection de la vie privée sur Internet renvoie en réalité à cette série de questions. L’opt-in dans des listes de diffusion ou de prospection, est un moyen de contrôle parmi d’autres de ce double, il permet de le
façonner quelque peu, mais reconnaissons qu’il est bien imparfait et que jamais
un individu ne contrôlera totalement l’alchimie à laquelle ses données personnelles sont soumises dans le secret des salles blanches.
On peut enfin se livrer à quelques projections statistiques et financières. Il
existe aujourd’hui 234 millions d’internautes dans le monde et le parc utilisateurs atteindra probablement 300 millions à la fin de l’année 2000 ; si l’on part
de l’hypothèse que, peu ou prou, tous les opérateurs de e-mail marketing vont
se doter de moteurs capables de transmettre 100 millions d’e-mails par jour,
quel ne va pas être le risque de saturation des internautes ? Si 200 sociétés en
effet sont équipées de tels moyens, on peut calculer que 20 milliards d’e-mails
73
commerciaux seraient acheminés quotidiennement sur l’Internet, soit une
moyenne d’un peu plus de 60 e-mails reçus par chaque internaute, représentant un temps de téléchargement d’environ une heure à technologie constante
et sans prendre en compte le fait que les e-mails commerciaux vont avoir de
plus tendance à incorporer des objets photographiques ou vidéo. N’y a-t-il pas
là un risque réel d’entropie de l’Internet si des mesures ne sont pas prises rapidement pour introduire le niveau de régulation nécessaire ? Une interprétation
extrêmement rigoureuse du concept d’opt-in apparaît comme une mesure de
survie.
Pour ce qui est enfin de l’évaluation de la charge financière supportée par la
communauté des internautes, on peut se livrer à quelques calculs et projections. En partant de l’idée qu’un internaute moyen, disposant d’un abonnement
forfaitaire de 12 € pour 10 heures de connexion par mois (communications téléphoniques comprises) et d’un équipement standard (hors Internet rapide), parvient à charger environ 180 Ko à la minute, on obtient un coût qui peut représenter dans le pire des cas jusqu’à 30 € par an pour le chargement d’une petite
quinzaine de messages quotidiens représentant entre 500 et 800 Ko au total.
Cela revient à une dépense globale très significative si l’on raisonne à l’échelle
du parc utilisateur de toute une nation. Au plan mondial, sur une base de 400
millions d’internautes, le chargement de messages publicitaires dans le contexte technologique actuel donnerait une dépense globale que l’on peut situer
au bas mot autour de € 10 milliards pour les seuls coûts supportés par les internautes.
Le deuxième problème est celui du temps passé par l’internaute à faire le tri
entre les messages commerciaux et les messages personnels ou professionnels qu’il souhaite lire et traiter. Il ne s’agit pas seulement d’un simple click de
souris pour détruire les messages non-sollicités, il faut encore bien s’assurer de
leur nature réelle et c’est cette opération qui est la plus délicate ; qui n’a pas un
jour par inadvertance supprimé un message important pensant que c’était une
publicité ? Remarquons au passage que ce problème se pose aussi avec le
courrier traditionnel. Le temps nécessaire à cette prise de connaissance peut
être assez considérable, de l’ordre de 3 à 4 secondes, estiment A Schwartz et
Simson Garfinkel (38), « (…) but those seconds add up quickly : one million
people clicking Delete corresponds to roughly a month of wasted human activity. Or put another way, if you get six spam messages a day, you’re wasting two
hours each year deleting spam. » (39).
Il serait assez hasardeux de vouloir valoriser ce gaspillage de temps si l’on
reste dans le champ de la vie privée. Par contre la question prend une tournure
différente dans le monde du travail : si l’on veut bien prendre en compte le fait
que les adresses e-mails professionnelles ne sont pas à l’abri des campagnes
de e-marketing, bien au contraire, les entreprises pourraient légitimement
s’interroger sur le coût que représente le temps passé par leurs salariés connectés à Internet à consulter et nettoyer régulièrement leur boîte-aux-lettres
38) op.cit.
39) Ibid. page 5
74
électronique de tous les messages publicitaires qu’ils peuvent recevoir.
N’oublions jamais qu’un des grands succès de la technologie de l’Internet, que
d’ailleurs personne n’a jamais vraiment vu, est de permettre d’introduire la
communication publicitaire jusque sur le poste de travail de plusieurs dizaines
de millions de salariés d’entreprise.
75
Deuxième Partie :
Quelle protection en Europe ?
77
Chapitre III : Le cadre juridique européen de la prospection
commerciale non sollicitée
Il peut paraître paradoxal de rappeler par ce premier chapitre le cadre juridique
européen applicable à la protection des personnes à l’égard de la prospection
commerciale non sollicitée et d’intituler le présent rapport « quelle protection en
Europe ? ». Cependant, ce choix n’est pas destiné à interrompre l’analyse dès
la fin du présent chapitre.
Il est destiné à rappeler que les quatre étapes qui se sont succédées dans
l'élaboration du cadre juridique actuellement applicable à la prospection commerciale non sollicitée ont été marquées par des débats qui transparaissent de
manière apparemment différente dans chacune des directives concernées,
mais qui poursuivent pourtant une même logique.
Dès lors, le sens de cette succession de textes et leur contenu effectif doivent
être rappelés en préalable à toute analyse, afin de mettre en perspective avec
la législation communautaire existante la très récente proposition de directive
de la Commission européenne concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, laquelle consacre des développements novateurs à la
prospection commerciale non sollicitée (COM[2000] 385, 12 juillet 2000).
L'initiative récente de la Commission européenne permet de mettre en perspective les constats tirés de ces enquêtes. Elle ouvre avec opportunité un débat
qui semblait s'être récemment refermé avec l’adoption de la directive
2000/31/CE sur le commerce électronique. La légitimité de cette initiative et ses
effets probables seront ici analysés à la lumière du cadre juridique qui l’a précédé.
Il ne fait aucun doute que cette initiative nourrit considérablement l’intérêt de la
question à laquelle tente de répondre le présent rapport.
78
III.1) - Les principes généraux posés par la directive
95/46/CE (40)
Il n’est pas contesté que l’adresse électronique (e-mail) est une donnée
à caractère personnel au sens de l’ensemble des législations nationales
et communautaires de protection des données personnelles, notamment
l’article 2 [a] de la directive du 24 octobre 1995 (41), dans la mesure où
elle permet dans bien des cas d’identifier le nom ou le prénom et/ou
l’adresse professionnelle de son titulaire et, en tout état de cause, se
rapporte à une personne physique.
Il n’est pas besoin d’ajouter que, même dans les pays dépourvus d’une
législation générale de protection des données personnelles, tels que les
États-Unis, l’adresse électronique relève de la sphère privée et son
usage du droit à la tranquillité (« right to be left alone »).
La directive 95/46 du 24 octobre 1995, qui devait être transposée en
droit interne par les États membres de l’Union européenne avant le 25
octobre 1998, prévoit notamment en ses articles 6, 7, 10, 11 et 12 que
des données personnelles ne peuvent être traitées par voie informatique
qu’à condition qu’elles aient été collectées et traitées de manière loyale
et pour des finalités précises ayant un fondement légitime.
L’article 7 définit les conditions auxquelles doit satisfaire un traitement de
données personnelles pour être légitime.
Deux de ces conditions peuvent s’appliquer à la prospection électronique. Celle prévue à l’article 7[a] : un traitement peut être considéré
comme légitime si la personne concernée a indubitablement donné son
consentement. Celle prévue à l’article 7[f] : le traitement « est nécessaire
à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement, à condition que ne prévalent pas l’intérêt ou les droits et libertés
fondamentaux de la personne concernée ».
L’article 6.1.[a] pose le principe que les données doivent être collectées
et traitées loyalement.
L’article 10 prévoit de surcroît qu’en cas de collecte directe auprès des
personnes, celles-ci doivent être informées de la finalité de la collecte,
des destinataires des informations collectées, du caractère facultatif ou
40) Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la
protection des personnes physiques à l’égard du traitement des données à caractère personnel
et à la libre circulation de ces données.
41) Directive 95/46/CE du 24 octobre 1995, article 2 [a] : « Définitions : aux fins de la présente
directive, on entend par « données à caractère personnel », toute information concernant une
personne physique identifiée ou identifiable ("personne concernée"); est réputée identifiable
une personne qui peut être identifiée, directement ou indirectement, notamment par référence à
un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité
physique, physiologique, psychique, économique, culturelle ou sociale ».
79
obligatoire de la collecte et de l’existence du droit d’accès et de rectification.
L’article 11 prévoit, quant à lui, que lorsque les données personnelles
n’ont pas été collectées directement auprès de la personne concernée,
le responsable du traitement doit l’en informer dès l’enregistrement des
données ou, si une cession à des tiers est envisagée, lors de la première
communication de ces données à un tiers.
Enfin, la directive 95/46/CE prévoit (article 14) deux catégories de droit
d’opposition visant des situations distinctes. D’une part, les personnes
peuvent s’opposer, sur demande et gratuitement, au traitement à des
fins de prospection commerciale des données qui les concernent.
D’autre part, les personnes doivent être informées par le responsable du
traitement que leurs données sont susceptibles d’être communiquées à
des tiers. Cette information doit leur être apportée préalablement à la
communication de leurs données. Les personnes peuvent s’opposer, le
cas échéant, gratuitement, à la transmission de leurs données à des
tiers.
III.2) - L’application des principes précisée dans le
domaine des télécommunications par la directive
97/66/CE (42)
La directive 97/66/CE du 15 décembre 1997 relative à la protection des
données à caractère personnel dans le secteur des télécommunications,
qui devait être transposée en droit interne par les États membres de
l’Union européenne avant le 25 octobre 1998, n’évoque pas expressément la prospection par courrier électronique.
Elle vise cependant deux catégories de procédés de prospection dans
son article 12.
La directive 97/66/CE prévoit, en premier lieu, que « l'utilisation de systèmes automatisés d'appels sans intervention humaine (automates d'appel) ou de télécopieurs (fax) à des fins de prospection directe ne peut
être autorisée que si elle vise des abonnés ayant donné leur consentement préalable ». On se bornera à relever, à ce stade, que cette caractéristique de « systèmes automatisés sans intervention humaine » est très
proche, sinon identique, à celles de la prospection par courrier électronique.
42) Directive 97/66/CE/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le
secteur des télécommunications.
80
En second lieu, elle prévoit que, s’agissant des autres modes de prospection par la voie des télécommunications, les États membres
« prennent les mesures appropriées pour faire en sorte que, sans frais
pour l'abonné, les appels non sollicités par celui-ci et effectués à des fins
de prospection directe […] ne soient pas autorisés, soit sans le consentement des abonnés concernés, soit à l'égard des abonnés qui ne souhaitent pas recevoir ces appels, le choix entre ces deux solutions étant
régi par la législation nationale ».
Convenons que cette directive n’évoque pas explicitement la prospection
commerciale par courrier électronique.
Cependant, il convient de relever qu’à ce jour, cinq États membres connaissent un régime de consentement préalable obligatoire avant tout envoi d’une communication commerciale non sollicitée. Quatre d’entre eux,
l’Autriche, le Danemark, la Finlande et l’Italie ont, à l’occasion de la
transposition en droit interne de la directive 97/66/CE, choisi de viser la
prospection par courrier électronique au titre des procédés de prospection sans intervention humaine qui ne peuvent être utilisés qu’avec le
consentement préalable des personnes.
S’agissant de l’Autriche, l’entrée en vigueur en août 1999 de la section
101 de la loi autrichienne de réglementation des télécommunications
(Journal Officiel n° 100/1997) a imposé le recueil du consentement préalable des destinataires de prospections en cas d’utilisation à des fins
commerciales d’automates d’appels, de fax, ou de courriers électroniques en masse. Des peines loures sont prévues par la section 104 de la
même loi, pouvant aller jusqu’à 500.000 schillings autrichiens, soit
36.336 Euros.
Au Danemark, la loi n° 418 du 31 mai 2000 a transposé la directive
97/66/CE. L’article 12 de cette loi, transposé dans la loi danoise sur les
pratiques commerciales, elle-même codifiée par la loi n° 699 du 17 juillet
2000, prévoit expressément que l’utilisation à des fins commerciales du
courrier électronique, d’automates d’appels ou de fax pour des opérations de prospection non sollicitées par le destinataire n’est autorisée
qu’à la condition du recueil préalable du consentement de ce dernier.
On relèvera par ailleurs que, s’agissant des autres modes de prospection, la loi danoise crée un registre public d’opposition dont la consultation trimestrielle est obligatoire
En Finlande, la loi 1999/565 du 22 avril 1999 sur la protection des données personnelles dans le secteur des télécommunications, transposant
en droit finlandais la directive 97/66/CE du 15 décembre 1997, prévoit
dans son article 21 relatif aux télécommunications et au marketing direct
le recueil du consentement préalable à l’utilisation d’automates d’appels
et de fax à des fins de prospection directe. En outre, la loi ouvre la pos-
81
sibilité au ministre finlandais des télécommunications de prévoir, en tenant compte des fonctionnalités et des conditions de sécurité des médias
employés dans des opérations de marketing direct, notamment le courrier électronique, le recueil du consentement préalable des personnes.
Enfin, la loi ajoute que les opérations de marketing direct à destination
des consommateurs sont régies par la loi 1978/38 sur la protection des
consommateurs.
Il semble établi que la Finlande vient de saisir la faculté laissée par la loi
d’aménager la protection des personnes selon le média utilisé et a opté à
la fin de l’année 2000 pour la garantie du consentement préalable (optin) à la prospection par courrier électronique. En octobre 2000, la fédération finlandaise du marketing direct, pour sa part, aurait adopté un code
de déontologie prévoyant le recueil du consentement préalable des personnes avant tout envoi d’un courrier électronique de prospection direct.
En Italie (43), le décret d’application n° 171 du 13 mai 1998 opérant la
transposition en droit interne de la directive 97/66/CE, renvoie à la notion
de consentement visée aux article 11 à 13 de la loi italienne de protection des données personnelles n° 675 du 31 décembre 1996 (similaire à
la directive 95/46/CE) et dispose que le consentement doit être recueilli
préalablement à l’envoi de publicités non sollicitées ou ayant des finalités
de marketing ou de communication interactive dès lors que des moyens
d’appels automatiques sont utilisés, notamment la messagerie électronique. S’agissant des autres modes de prospection, les personnes doivent
êtres informées qu’elle disposent d’un droit d’opposition à être prospectées.
En outre, l’Allemagne connaît également l’exigence du consentement
préalable, même si elle trouve d’autres fondements juridiques que la
transposition de la directive 97/66/CE, notamment jurisprudentiels (voir
infra, IV.2.2).
III.3) - La protection des consommateurs en matière de
contrats à distance
La directive 97/7/CE du 20 mai 1997 (44), qui devait être transposée en
droit interne par les États membres de l’Union européenne avant le 21
mai 2000 distingue également, dans son article 10 relatif aux « limites à
l’utilisation de certaines techniques de communication », la nature de la
43) Textes disponibles en anglais sur http://www.garanteprivacy.it ou www.dataprotection.org
44) Directive 97/7/CE du Parlement européen et du Conseil du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance. Cette directive devait être transposée en droit interne par les Etats membres de l’Union européenne avant le 21 mai 2000.
82
protection offerte aux personnes selon les caractéristiques du procédé
employé.
Elle prévoit, en premier lieu, que « l'utilisation […] des techniques […] de
communication à distance [telles que les] systèmes automatisés d'appel
sans intervention humaine (automate d'appels), et la prospection par télécopieur […] nécessite le consentement préalable du consommateur ».
En second lieu, elle prévoit que « les États membres veillent à ce que les
techniques de communication à distance autres que celles visées précédemment », parmi lesquelles figure explicitement le courrier électronique,
« ne puissent être utilisées qu'en l'absence d'opposition manifeste du
consommateur ».
III.4) - La directive 2000/31/CE sur le commerce
électronique
La récente directive 2000/31/CE du 8 juin 2000 (45), qui devra être
transposée en droit interne par les États membres de l’Union européenne avant le 17 janvier 2002, fait l’objet des interprétations les plus
divergentes sur sa portée précise et son caractère contraignant ou non,
générant une confusion préjudiciable à la fois aux commerçants électroniques et aux internautes.
III.4.1) - Les objectifs exprimés par le législateur communautaire
Du strict point de vue juridique, des précautions exceptionnelles ont
été prises dans les considérants de la directive 2000/31/CE afin
qu’elle n’interfère pas avec la législation communautaire existante relative à la protection des données personnelles (directives 95/46/CE et
97/66/CE) et à la protection des consommateurs en matière de contrats à distance (directive 97/7/CE). Or, ces précautions sont révélatrices des difficultés qu’il peut y avoir à articuler des textes généraux
avec d’autres à vocation sectorielle.
Ainsi, la directive est à la fois destinée à traiter de problèmes juridiques spécifiques (cons. 6) et à établir un cadre général pour le commerce électronique (cons. 7).
En outre, elle tend à la fois à assurer un haut niveau de protection des
consommateurs (cons. 10), à compléter les exigences d’information
45) Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridique des services de la société de l’information, et notamment du commerce
électronique, dans le marché intérieur (« directive sur le commerce électronique »), JOCE L.
178 du 17 juillet 2000.
83
établies par la directive 97/7/CE (cons. 11) et déclare ne concerner
aucunement la législation communautaire en matière de protection
des consommateurs (cons. 11).
Ensuite, elle rappelle que la protection des données personnelles est
uniquement régie par les directives 95/46/CE et 97/66/CE (cons. 14),
lesquelles sont applicables aux services de la société de l’information
tels que les communications commerciales par courrier électronique,
tout en instaurant des dispositifs nouveaux de transparence lors de
l’envoi d’une prospection électronique et de filtrage des fichiers de
prospection non sollicitée, par le biais de registres nationaux
d’opposition (cons. 18).
Enfin, la directive 2000/31/CE ne s’applique pas aux prestataires de
services établis hors de l’Union européenne, mais elle entend être cohérente avec les règles extra-communautaires (cons. 58). Elle
n’entend pas influencer les futurs résultats des discussion en cours au
sein de l’OMC, de l’OCDE et de la CNUDCI, mais constitue une position commune de négociation dans les enceintes internationales
(cons. 59). Finalement, le considérant 60 forme le vœu que la directive
2000/31/CE contribue à un cadre juridique clair, simple, prévisible et
cohérent au niveau international…
III.4.2) - Le dispositif prévu par le législateur communautaire
La directive 2000/31/CE prévoit dans son article 7 deux catégories de
mécanismes à caractère technique expressément applicables à l’envoi
de messages électroniques non sollicités.
Elle prévoit en effet (article 7.1), qu’en plus de veiller à l’application de
la législation communautaire existante, « les Etats membres qui autorisent les communications commerciales non sollicitées par courrier
électronique veillent à ce que ces communications commerciales effectuées par un prestataire établi sur leur territoire puissent être identifiées de manière claire et non équivoque dès leur réception par le
destinataire ».
En outre, elle prévoit (article 7.2) que, « sans préjudice de la directive
97/7/CE et de la directive 97/66/CE, les États membres prennent des
mesures visant à garantir que les prestataires qui envoient par courrier
électronique des communications commerciales non sollicitées consultent régulièrement les registres « opt-out » dans lesquels les personnes physiques qui ne souhaitent pas recevoir ce type de communications peuvent s’inscrire, et respectent le souhait de ces dernières ».
Contrairement à l’intention affichée du législateur communautaire, la
directive 2000/31/CE n’est -malheureusement- pas silencieuse sur la
84
nature des garanties qui doivent être offertes aux personnes, dans la
mesure où, en évoquant l’existence de « registres opt-out », elle promeut implicitement -mais mécaniquement- l’existence d’un simple droit
d’opposition à recevoir des prospections commerciales non sollicitées.
III.4.3) - L’ambiguïté de la directive du 8 juin 2000, source
d’insécurité juridique
L’article 7.1 de la directive évoque expressément la faculté qui serait
laissée aux Etats membres par la législation communautaire existante
d’interdire la prospection électronique non sollicitée. A défaut d’une
telle interdiction, le caractère commercial du message non sollicité doit
être immédiatement identifiable par le destinataire.
L’article 7.2, pour sa part, n’évoque ni l’hypothèse d’Etats membres
qui interdiraient la prospection non sollicitée ni celle d’Etats membres
qui auraient choisi de subordonner au consentement préalable du
destinataire l’envoi de messages commerciaux non sollicités. En se
bornant ainsi à instaurer une obligation nationale -à la charge de tous
les Etats membres- de consultation régulière de registres d’opposition,
la directive 2000/31/CE promeut un dispositif technique uniquement
dédié à la mise en œuvre du droit d’opposition.
Or, dès la première version de la proposition de directive sur le commerce électronique, en date du 18 octobre 1998, la question des garanties qui doivent être offertes aux internautes s’est focalisée autour
d’un débat parfois virulent entre les partisans d’un consentement préalable (opt-in) et les défenseurs d’un simple droit d’opposition (opt-out)
à recevoir des prospections électroniques non sollicitées.
Ce débat, que le texte de la proposition de directive n’avait pourtant
pas vocation à trancher, a motivé la participation forte des organisations nationales et européennes des professionnels du commerce
électronique, des fournisseurs d’accès à internet, des associations représentatives des consommateurs et des internautes, des Etats membres et des autorités nationales de protection des données personnelles.
Lors de la finalisation du projet de texte communautaire, les courants
d’opinion les plus opposés ont unanimement estimé et fait savoir par
la presse que la directive du 8 juin 2000 faisait clairement la promotion
d’un régime de « opt-out ». Force est de constater que l’écho médiatique donné à cette interprétation a passé largement sous silence la
volonté affichée dans les considérants de la directive de ne pas traiter
des garanties de fond reconnues aux internautes européens.
85
Les auditions et consultations menées dans le cadre de la présente
étude attestent de la forte conviction, commune aux partisans comme
aux opposants à une solution de « opt-out », selon laquelle la directive
2000/31/CE promeut un simple droit d’opposition (opt-out) à la prospection électronique non sollicitée.
Cette conviction, qu’on la conteste ou qu’on la partage est une donnée
essentielle à la bonne compréhension de la situation européenne actuelle en matière de régulation publique ou privée de la prospection
électronique non sollicitée.
Or, le droit d’opposition que la directive tend à organiser par le biais
de registres nationaux ou internationaux placés sous le contrôle de
chacun des Etats membres, est généraliste et universel. Il peut être
exercé en pratique par tout internaute, européen ou non. Son respect
s’impose à tous les prestataires européens -et eux seuls- de services
de la société de l’information, sans aucune considération des liens
antérieurs qui ont pu se nouer entre un internaute et un prestataire
déterminé. Pourtant, ces liens peuvent être très divers : visite d’un
site, inscription à un service gratuit, simple contact avec l’entreprise,
contrats antérieurs, ou absence totale de liens.
Or, avant l’adoption de la directive 2000/31/CE, le droit d’opposition à
être prospecté ne pouvait exister que dans le cadre d’une relation entre une personne déterminée et un professionnel particulier. En effet,
conformément à l’article 14 de la directive 95/46/CE, le droit
d’opposition à être prospecté peut être exercé auprès de (et doit être
offert par) celui qui a directement collecté l’e-mail. L’article 14 vise
deux hypothèses distinctes : d’une part, l’opposition à recevoir des
prospections provenant du collecteur de l’e-mail, d’autre part,
l’opposition à recevoir des prospections provenant de tiers et qui feraient suite à la transmission de l’e-mail à des tiers. La directive
2000/31/CE promeut, pour sa part, l’exercice d’un droit d’opposition à
être prospecté par quiconque (établi en Europe) par la voie électronique, sans imposer d’information du collecteur de l’e-mail ni du tiers
prospecteur sur l’exercice de cette opposition.
Enfin, les registres d’opposition de la directive sur le commerce électronique ne sont pas présentés comme devant être systématiquement
consultés avant tout envoi de messages, la directive s’étant bornée à
prévoir un mécanisme de « consultation régulière ». Là encore, on
relèvera que cette expression est une source d’ambiguïté. Une consultation « régulière » ne signifie pas, en effet, une consultation préalable ni systématique.
87
Chapitre IV : Le « spamming » n’a pas
encore envahi l’Europe
IV.1) - Une réaction européenne aux problèmes américains de vie privée
Deux grands phénomènes ont marqué l’émergence aux États-Unis d’une
problématique de protection de la vie privée sur Internet au cours des
cinq dernières années.
Il ne s’agit ni de la diffusion sur le Web des aveux du Président Clinton
sur ses relations avec Monica Lewinsky, ni de la diffusion « pour préparer le procès du plus grand crime de l’humanité », des coordonnées personnelles de chirurgiens obstétriques -et de leur famille- pratiquant
l’avortement outre-Atlantique.
Il s’agit, dès 1994, de la polémique entourant l’usage commercial des fichiers « cookies » et, depuis 1996, de pratiques d’envois massifs de
courriers électroniques commerciaux non sollicités. Ces deux problématiques posent, chez nos voisins américains, la question des limites
qu’une société entend poser à une pratique commerciale impopulaire.
S’agissant des « cookies », et sous la pression des associations familiales et de consommateurs américaines, l’IETF (46) a adopté des mécanismes techniques d’autorégulation permettant aux personnes de
s’opposer, ponctuellement ou de façon permanente, à la mémorisation
de fichiers « cookies » dans leur ordinateur. Si l’information des personnes sur la possibilité de refuser ces fichiers est encore très imparfaite, on
conviendra au moins que l’exercice de ce droit est techniquement ouvert
aux internautes du monde entier grâce aux travaux menés au sein de
l’IETF.
Dès lors, même si d’un strict point de vue juridique les fichiers
« cookies » ne traitent pas par nature ni nécessairement des données
personnelles au sens de l’article 2 de la directive du 24 octobre 1995
(47), il y a très certainement lieu de se féliciter que l’absence de loi générale de protection des données personnelles aux Etats-Unis et le concept
46) IETF : Internet Engineering Task Force, organisme international de normalisation des protocoles techniques de l’Internet.
47) Voir supra, III.1, note 39.
88
extensif de la « privacy » américaine aient pu permettre aux internautes
américains d’imposer aux éditeurs américains de logiciels la règle (le
droit d’opposition) réclamée par le marché, règle dont bénéficient aujourd’hui l’ensemble des utilisateurs de logiciels de navigation du monde.
Le « spamming », pour sa part, est appréhendé, aux États-Unis comme
en Europe, sous l’angle juridique.
Aux États-Unis, une des explications économiques de cette approche est
que les fournisseurs d’accès et de messagerie américains n’ont pas
souhaité faire indéfiniment les frais techniques et commerciaux des désagréments causés par les « spams » et se sont tournés, à court de parades techniques, vers leurs législateurs pour obtenir secours. La seconde
explication, couramment avancée, est la mobilisation de l’opinion publique face à l’ampleur du phénomène, relayée par la presse et les défenseurs américains de la « privacy ».
En Europe, la question du « spamming » a naturellement été abordée
sous l’angle juridique. Fondamentalement, parce qu’en Europe la règle
de droit préexistait au phénomène du « spamming ».
Il ne s’agissait pas en Europe, en effet, de créer une législation nouvelle
face à un phénomène nouveau dont la qualification juridique aurait été
impossible, faute de règle existante. Il s’agissait d’apprécier juridiquement les caractéristiques du « spamming » pour identifier si le droit
existant devait être modifié ou complété pour viser expressément ce
phénomène, ou encore supprimé en raison de son inadaptation aux pratiques développées sur Internet.
C’est à partir de 1997 que la presse européenne s’est faite massivement
l’écho du phénomène américain du « spamming » et de son ampleur,
laissant redouter son déferlement en Europe.
Cette « menace » sérieuse a relancé en Europe durant les deux années
de discussion de la directive sur le commerce électronique, le débat juridique déjà ouvert lors de la discussion de la directive 97/66/CE du 15
décembre 1997 relative à la protection des données personnelles dans
le secteur des télécommunications, ou encore de la directive 97/7/CE du
20 mai 1997 relative à la protection du consommateur dans les opérations de vente à distance et, deux ans avant, lors de la discussion de la
directive 95/46/CE du 24 octobre 1995 harmonisant en Europe les principes généraux de protection des données personnelles.
Or, et cet enseignement est loin d’être sans intérêt, les études conduites
dans le cadre du présent rapport attestent que l’Europe ne connaît pas,
pour l’heure, de pratiques aiguës de prospection électronique non sollicitée ni même de « spamming ».
89
IV.2) - Des débats mais peu de situations conflictuelles
IV.2.1) - Les autorités nationales de contrôle et le « spamming »
Il doit être relevé que la quasi-totalité des autorités nationales de contrôle en charge de la protection des données personnelles de
l’ensemble de l’Union européenne, déclare qu’elles n’ont pas été saisies, à ce jour, de plaintes relatives à des cas de « spamming » caractérisé.
Il doit également être remarqué que l’intervention des autorités saisies
de cas de prospection commerciale non sollicitée n’a, généralement,
pas été contentieuse. Cependant, une décision mérite d’être soulignée
et une analyse évoquée.
Une forte amende prononcée en Espagne
En Espagne, l’autorité de contrôle a rendu une décision sanctionnant d’une forte amende une entreprise qui avait adressé plusieurs
courriers électroniques de prospection non sollicités.
Les faits de la cause étaient les suivants.
Une entreprise qui avait reçu de nombreux courriers électroniques
à l’occasion d’un mouvement de protestation des internautes contre l’opérateur national Telefonica, avait systématiquement intégré
dans son fichier de prospection les adresses électroniques des internautes qui lui avaient écrit, mais également les adresses électroniques mentionnées comme destinataires en copie de ces messages et qui figuraient dans le champ « copie à » (CC :).
C’est dans ces conditions qu’une personne, destinataire en copie
d’un courrier adressé à cette société, avait peu de temps après reçu de cette dernière un courrier électronique de prospection pour
des produits informatiques. S’adressant aussitôt à la société en
cause, cette personne lui avait demandé de supprimer immédiatement son adresse électronique des fichiers qui avaient été utilisés pour la prospecter.
Peu de temps après, le requérant reçut un nouveau message
électronique de la même entreprise. Ce second message fut
d’ailleurs considéré comme « menaçant » par l’Agence espagnole
de protection des données personnelles.
Dans sa décision, qui fait à ce jour l’objet d’un recours devant les
juridictions espagnoles, l’Agence espagnole a rejeté tous les
moyens de défense de l’entreprise en cause. Elle a en premier lieu
90
constaté que l’adresse électronique d’une personne physique devait être considérée comme une donnée à caractère personnel. En
deuxième lieu, elle a rejeté l’argument consistant à soutenir que le
caractère public d’une adresse électronique autorise son libre
usage. Sur ce point, l’Agence espagnole a précisé que les entreprises qui obtiennent des adresses électroniques doivent s’assurer
que la personne concernée a donné son consentement à leur utilisation commerciale.
La société en cause ne pouvant justifier avoir recueilli le consentement de la personne concernée, l’Agence espagnole a considéré
qu’il s’agissait d’une « infraction grave », au sens de la loi espagnole de protection des données personnelles, et l’a condamnée à
une amende de 10.000.001 Pesetas, soit environ 60.100 Euros. Il
convient de garder à l’esprit que cette décision n’est pas définitive
dans la mesure où elle fait l’objet d’un recours juridictionnel, circonstance qui ne permet pas de révéler l’identité de l’entreprise
poursuivie.
Une réflexion approfondie en France
En France, la CNIL a adopté le 14 octobre 1999 un rapport
d’analyse juridique et d’orientation sur le « publipostage électronique », qui fut transmis à ses homologues européennes dans le cadre du groupe « protection des données » institué par l’article 29
de la directive 95/46/CE.
Il doit être relevé que la Commission française a principalement affirmé que « l’envoi de messages électroniques […] repose sur la
collecte préalable d’adresses électroniques », lesquelles
« constituent des données personnelles ».
« Les conditions dans lesquelles les adresses électroniques peuvent être collectées sur Internet doivent respecter les règles édictées par les législations de protection des données et les droits des
personnes concernées».
« La collecte automatisée à des fins de prospection commerciale
d’e-mails figurant dans des espaces publics de l’Internet » est subordonnée par la directive générale 95/46/CE au “consentement indubitable” des personnes concernées. »
La CNIL déduit de cette analyse qu’on ne saurait évoquer le phénomène du « spamming » ou la prospection électronique non sollicitée sans distinguer selon la relation qui existe entre une entreprise déterminée et un internaute. Ainsi, la CNIL paraît admettre
que, dans certaines conditions, les entreprises puissent adresser
un courrier de prospection qui n’a pas été sollicité par l’internaute
91
dès lors que cet internaute aurait eu un contact préalable avec
cette entreprise (visite du site, contact antérieur, achat, etc.).
En revanche, la CNIL prend fermement position sur le fait qu’en
aucun cas des adresses e-mails ne peuvent être collectées dans
les espaces publics de l’Internet (sites web, forums de discussion,
listes publiques de diffusion).
La position du groupe « article 29 »
L’ensemble des autorités nationales de protection des données
personnelles, réunies au sein du groupe « protection des données » institué par l’article 29 de la directive 95/46/CE du 24 octobre 1995 (48), a adopté le 3 février 2000 (49) un avis formel sur la
question de la prospection commerciale non sollicitée et plus particulièrement
sur
l’encadrement
juridique
européen
du
« spamming ». Cet avis a ensuite été repris dans un avis formel
7/2000 du 2 novembre 2000 sur la proposition de directive de la
Commission européenne révisant la directive 97/66/CE (50), ainsi
que dans un document exhaustif sur le respect de la vie privée sur
internet adopté le 21 novembre 2000 (51).
Dans l’avis du 3 février 2000 les membres du groupe ont rappelé
en premier lieu que la législation communautaire de protection des
données s’applique aux questions relevant du commerce électronique et que les problèmes soulevés par la prospection électronique peuvent être résolus à l’aide des principes généraux retenus
par les directives 95/46/CE du 24 octobre 1995 et 97/66/CE du 15
décembre 1997.
En deuxième lieu, ils ont précisé que les dispositifs à caractère
technique retenus par la directive 2000/31/CE sur le commerce
électronique n’écartaient aucunement l’application des principes
généraux de protection des données personnelles, tels que celui
de la loyauté de la collecte, de la transparence de l’usage ultérieur
des données et du droit d’opposition à l’usage commercial des
données ainsi qu’à leur cession à des tiers.
48) Ce groupe constitue un organe de conseil sur la protection des données personnelles indépendant de l’Union européenne. Ses responsabilités et ses tâches sont définies par l’article 30
de la directive 95/46/CE et par l’article 14 de la directive 97/66/CE.
49) Voir sur http://europa.eu.int/comm/internal_market/fr/media/dataprot/wpdocs/index.htm :
avis 1/2000 du 3 février 2000 sur certains aspects du commerce électronique concernant la
protection des données personnelles.
50) Avis 7/2000 sur la proposition de la Commission européenne du 12 juillet 2000 d'une directive du Parlement européen et du Conseil concernant le traitement de données à caractère
personnel et la protection de la vie privée dans le secteur des communications électroniques.
51) Ces avis sont publiés sur :
http://europa.eu.int/comm/internal_market/fr/media/dataprot/wpdocs
92
En troisième lieu, ils ont estimé que la collecte d’adresses électroniques dans les espaces publics de l’Internet est tout à la fois contraire au principe de la collecte loyale (article 6.1[a] de la directive
95/46/CE), au principe de finalité (article 6.1[b]) (52), ainsi qu’au
principe de légitimité des traitements (article 7[f]) (53).
Cette opinion a été émise durant le débat juridique entourant la
discussion de la directive 2000/31/CE sur le commerce électronique. Elle mérite d’être soulignée bien qu’elle ait été présentée
comme une position provisoire en attente de travaux ultérieurs sur
les procédés logiciels de protection contre le « spamming ». Elle
constitue en effet une analyse stable et commune de la législation
européenne de protection des données personnelles « à droit
constant » et elle porte une appréciation totalement pertinente sur
le caractère purement technique et non exhaustif des dispositions
de la directive 2000/31/CE. Cette approche est totalement confirmée par l’avis du Groupe 7/2000 du 2 novembre 2000 sur la proposition de directive de la commission européenne révisant la directive 97/66/CE.
Enfin, le groupe « article 29 », dans le document de travail exhaustif sur le respect de la vie privée, adopté le 21 novembre 2000
(54), a fait à nouveau référence à la définition du « spamming »
donnée au mois d’octobre 1999 par l’autorité française dans son
rapport sur le publipostage électronique et rappelé l’avis du groupe
1/2000 du 3 février 2000 (voir supra, note 49) et l’applicabilité
claire des dispositions de la directive 95/46/CE, notamment ses articles 6(1)[a], 6(1)[b], 7[f], 10, 12 et 14. Relevant que le publipostage électronique non sollicité constituerait, selon une étude récente (55), 10% de l’ensemble des messages électroniques
échangés dans le monde, le groupe « article 29 » mentionne au titre des procédés susceptibles d’améliorer le respect de la vie privée le filtrage de e-mails importuns et l’utilisation de messageries
électroniques anonymes, dont les messages sont véhiculés par
l’intermédiaire d’un fournisseur de service de « réexpédition ».
52) Article 6 de la directive 95/46/CE : « 1. Les Etats membres prévoient que les données à
caractère personnel doivent être : a) traitées loyalement et licitement; b) collectées pour des
finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière
incompatible avec ces finalités […]. »
53) Article 7 [f] de la directive 95/46/CE : « Les Etats membres prévoient que le traitement de
données à caractère personnel ne peut être effectué que si […] il est nécessaire à la réalisation
de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les
données sont communiquées, à condition que ne prévale pas l'intérêt ou les droits et libertés
fondamentaux de la personne concernée. »
54) Voir sur http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/
55) Voir l’ouvrage de Hagel III J. & Singer M. « Net Worth : the emerging role of the informediary in the race for customer information”, Harvard Business School Press, 1999, p. 275.
93
IV.2.2) - Les juridictions de l’Union européenne et le « spamming »
Les enquêtes réalisées dans le cadre du présent rapport montrent que
très peu de juridictions en Europe ont été saisies à ce jour de cas de
« spamming » ou de prospection électronique non sollicitée. Deux
Etats membres font exception : l’Espagne, dans le cadre du contentieux précédemment décrit (voir supra, II.2.1) et l’Allemagne, dans les
conditions suivantes.
Le commissaire à la protection des données personnelles du Land de
Berlin, Monsieur Hansjürgen Garstka a justement fait observer que les
juridictions de premier niveau allemandes ont étendu depuis décembre 1997 au courrier électronique non sollicité la jurisprudence (56)
qu’elles avaient précédemment dégagée en matière de prospection
par fax et par téléphone.
Ces juridictions jugent que les pratiques de prospection non sollicitée
constituent des actes de concurrence déloyale au regard de la jurisprudence constante prise en application de la loi du 7 juin 1909 sur les
pratiques de concurrence déloyale.
Ainsi, même si le fondement juridique de ces décisions n’est pas la
protection de la vie privée et des données personnelles, la prospection
non sollicitée a d’ores et déjà été sanctionnée à plusieurs reprises par
les juridictions allemandes.
Il convient également de relever dès ce stade, s’agissant de
l’Allemagne, que la loi fédérale allemande du 31 juillet 1996 sur les
télécommunications (57), la loi du 13 juin 1997 sur les services
d’information et de communication (58) et le Traité fédéral sur les Médiaservices du 23 juin 1997 (59) subordonnent au recueil du consentement préalable l’utilisation ou la cession commerciale par les opérateurs de services de télécommunications, de téléservices ou de média, de données relatives à leurs abonnés ou clients. Lorsque le prospecteur n’est pas un opérateur de télécommunications, un fournisseur
56) Depuis 1970, la Cour Fédérale allemande estime que les pratiques de marketing téléphonique non sollicité sont contraires à une loi du 7 juin 1909 sur les pratiques de concurrence déloyale ainsi qu’à l’article 823 du code civil allemand. Cette jurisprudence a été étendue en matière de marketing non sollicité par fax et par le service fédéral de messagerie électronique
(Bundesgerichtshof -BGH- du 25 octobre 1995, I ZR 255/93 – LG Munchen II). Plus récemment
certaines juridictions non fédérales ont étendu cette jurisprudence au marketing non sollicité par
e-mail (Landgericht de Traunstein, 18 décembre 1997, 2 HKO 3755/97 ; Landgericht de Berlin,
13 octobre 1998, 16 O 320/98 ; Landgericht de Ellwangen, 27 août 1999, 2 KfH O 5/99.)
57) Disponible en anglais sur http://www.datenschutz-berlin.de/gesetze/tkg/tkge.htm#p89, notamment son article 89, paragraphe 7.
58) Loi du 13 juin 1997, Federal Law Gazette I, 1997, issue 52, p 1870). Disponible en anglais
sur http://www.datenschutz-berlin.de/recht/de/rv/tk_med/iukdg_en.htm#a2.
59) Traité fédéral sur les médiaservices du 23 juin 1997, disponible en allemand sur
http://www.datenschutz-berlin.de/recht/de/stv/mdstv.htm#nr14
94
de téléservices ou de médiaservices, l’application par les juridictions
allemandes de la loi 1909 sur la concurrence déloyale impose en tout
état de cause le consentement préalable des personnes.
S’agissant des autres pays membres de l’Union européenne, deux
catégories d'explications peuvent être apportées à l’absence de contentieux judiciaire.
En premier lieu, les délais encore proches de transposition des directives 97/66/CE (le 25 octobre 1998) et 97/7/CE (le 1er juin 2000) et le
retard d’u certain nombre d’Etats membres à procéder effetivement à
la transposition de ces directives n’ont pas permis jusqu’à présent aux
« victimes » éventuelles de « spamming » en Europe de disposer de
l’arsenal juridique, ni même du réflexe de se tourner vers leurs juridictions nationales pour prospection frauduleuse.
En second lieu, les internautes ont pour réflexe, en cas de
« spamming », de s’adresser spontanément à leur fournisseur
d’accès, les désagréments susceptibles d’être causés par des courriers électroniques commerciaux non sollicités ne semblant pas, aujourd'hui, d'une ampleur suffisante pour inciter les personnes à recourir au juge afin de faire cesser un trouble persistant.
IV.3) - Des pratiques professionnelles consensuelles et
prudentes
IV.3.1) - Le constat
Un relatif consensus entre les professionnels contre le
« spamming »
La FEDMA (60) (Fédération du Marketing Direct européen), reprenant la définition du « spamming » donnée par la CNIL française
dans son rapport sur le publipostage électronique adopté le 14
octobre 1999 (61), estime qu'il « est nécessaire de lutter contre le
spamming ».
Le « spamming », selon une définition donnée par la CNIL et largement reprise par le groupe « protection des données » institué
par l’article 29 de la directive 95/46/CE dans son avis 1/2000 du 3
février 2000 (voir supra, note 45), est « l’envoi massif de courriers
60) Voir http://www.fedma.org
61) Disponible en français sur http://www.cnil.fr/thematic/index.htm
95
électroniques non sollicités, le plus souvent à caractère commercial, à des personnes avec lesquelles l’expéditeur n’a jamais eu de
contact et dont il a capté l’adresse électronique dans les espaces
publics de l’Internet : forums de discussion, listes de diffusion, annuaires, sites web, etc. ».
De manière générale, la quasi-totalité des organismes représentatifs des professionnels européens de la vente à distance s’est prononcée par principe contre le « spamming ».
Derrière cette unanimité, une large majorité de ces organismes a
soutenu la solution des listes d'opposition, discutée puis promue
par la directive 2000/31/CE sur le commerce électronique. Tel est
le cas de l’ensemble des organismes nationaux et de certains organismes internationaux représentatifs européens, tels que la
FEDMA, la Chambre de Commerce International, ou l’Internet Advertising Bureau.
L’attitude prudente des fédérations professionnelles
Il est frappant de constater que les principales organisations et
syndicats représentatifs des professionnels de la vente à distance
et du commerce électronique réfutent l’idée qu’il puisse exister un
« spammeur » parmi leurs membres. Au plus certains laissent-ils
entendre que le « spamming » en Europe ne peut être le fait que
de personnes isolées ne disposant pas d’un nombre significatif
d’adresses électroniques et agissant dans une perspective commerciale à très court terme, souvent proche de la publicité mensongère ou de l’escroquerie.
Dans le même temps - et sans doute pour cette raison -, aucune
des organisations interrogées ne déclare, à ce jour, avoir pris récemment des dispositions dans ses statuts pour exclure un de
leurs membres qui se rendrait « coupable » de « spamming ».
Cependant, certaines affirment, la question leur étant désormais
posée, qu’elles envisagent de mettre cette question prochainement
à l’ordre du jour de leurs travaux (cas au Danemark, en Finlande,
en France et en Italie) pour prévoir expressément des cas d'exclusion pour cause de « spamming ».
Dans cette perspective, les responsables de « labels » professionnels qui voient le jour actuellement en Europe et qui traitent des
règles de bonne conduite en matière de vente à distance et/ou de
protection des données personnelles, ressentent majoritairement
l'intérêt de telles règles d'exclusion, à défaut desquelles la crédibilité de leurs labels pourrait être mise si un de leurs membres labellisé menait cependant des opérations de « spamming ».
96
Tel a été le cas, par exemple, du label de protection de la vie privée « Trust-e » aux États-Unis, lequel a connu un important déficit
d’image lors de la médiatisation du rachat du professionnel de la
vente à distance classique Abacus par la régie publicitaire américaine DoubleClick. DoubleClick, accusé de vouloir croiser ses fichiers avec ceux d’Abacus, était alors labellisée par « Trust-e ».
Or, le projet de rachat d’Abacus, motivé par une stratégie
d’exploitation croisée de données personnelles, a soulevé une vague de protestations et d’inquiétudes qui a fortement porté préjudice à la crédibilité du label « Trust-e ». Tel est également le souci
permanent des responsables du label de protection des données
personnelles et du consommateur L@belsite, promu par la FEVAD
(Fédération française des Entreprises de Ventes à Distance) auprès de la FEDMA, EUROCOMMERCE et le GBDe (Global Business Dialog Exchange).
IV.3.2) - Une double explication : retard industriel et culture européenne
Le spamming a fait l’objet d’une réflexion en Europe avant que
d’exister
Les indices boursiers sur les marchés des valeurs technologiques
et les nombreuses études menées sur l’essor du e-business montrent que l’industrie européenne du commerce électronique n'a pas
encore atteint sa maturité ni trouvé les conditions de sa rentabilité.
Or, depuis le début de leur activité, les professionnels européens
semblent pour la plupart conscients qu’ils agissent dans un environnement où tout n'est pas possible et qu’un cadre juridique préexistait à leur activité.
Par ailleurs, certains témoignages d’associations de protection des
consommateurs et d’internautes (tels EuroCAUCE) (62) reconnaissent que l’Europe a connu un début de phénomène de
« spamming » en 1997 et 1998 qui a régressé du fait de la médiatisation des débats menés dans le cadre de la directive sur le
commerce électronique.
En substance, le spamming a été proscrit dans l’esprit de chacun
en Europe (internautes, autorités publiques et donc professionnels)
avant même que d’exister en Europe, c'est-à-dire avant qu'une industrie européenne de gestion mutualisée des adresses électroniques n’ait pu atteindre sa maturité -comme ce fut le cas aux EtatsUnis- hors de toute contrainte juridique. Il est d’ailleurs indiqué par
les fournisseurs d’accès à Internet de la majorité des États mem62) Voir http://www.eurocauce.org : Euro Coalition Against Unsolicited Commercial E-mailing
97
bres que les cas de « spamming » observés en Europe proviennent encore à 80% aujourd’hui de grands sites américains tels
Amazon, Travelocity ou encore Barnes & Noble, avec lesquels des
internautes européens ont été préalablement en contact direct.
Ce décalage entre l’hostilité précoce au « spamming » et sa faible
réalité semble maintenir à l'état embryonnaire le phénomène du
« spamming » européen. La réalité de ce constat s'exprime notamment par l'impossibilité pour les professionnels de répondre à
la question, pourtant fondamentale pour tout commerçant :
« combien vaut une adresse électronique ? ».
Dans le cadre de la présente étude, cette question a été posée à
plus de 100 organismes représentatifs des professionnels européens du marketing électronique sur les quinze états membres de
l'Union, ainsi qu'à près de 30 entreprises spécialisées dans la location d’adresses électroniques servant à des opérations de prospection commerciale.
Une seule fois, le chiffre de 4 Euros pour une adresse e-mail a été
avancé. Cependant, aucun recoupement ne pouvant être effectué,
un tel chiffre ne peut être considéré comme fiable ou représentatif.
En tout état de cause, cette unique réponse concernait le prix
d'une adresse e-mail seule. Aucune réponse n'a jamais pu être
donnée au prix d'une adresse e-mail relative à un consommateur
européen dont on connaîtrait un des centres d’intérêt.
Ces constatations -ou leur absence- permettent au moins de déduire que le marché des adresses électroniques en Europe n'est
pas encore structuré, ni dans son offre, ni dans la demande, ni par
les acteurs qui peuvent le composer.
Cette situation est en net décalage avec celle existant aux ÉtatsUnis, où la commercialisation et le traitement des listes d’adresses
fait l’objet de répartitions des frais entre les acteurs, de mutualisation des profits et de systèmes de commissionnement tout à fait
élaborés (voir Tome 1, II.2.5).
La forte culture européenne en matière de protection des
données
La culture européenne en matière de protection des données personnelles est forte, notamment au sein des professionnels traditionnels du secteur de la vente à distance. L'ensemble des États
membres disposent d’une loi générale et d'une autorité de contrôle, certains d'entre eux de longue date. Cet encadrement juridique et institutionnel contribue à la sensibilité des professionnels
européens, de plus en plus attentifs aux risques médiatiques et
98
commerciaux qu’engendre une plainte ou une sanction publique
fondée sur la protection de la vie privée.
Enfin, l’Europe a connu des précédents au « spamming », qui visaient des outils plus anciens de marketing téléphonique ou par
télécopie et pouvaient laisser présager que le « spamming » ferait
l’objet d’un encadrement juridique strict et d’une forme
d’autocensure pour la majorité des professionnels.
Pour certaines formes de prospection en effet, la réaction des consommateurs et des autorités de protection des données a été telle
que les professionnels ont rapidement convenu que certaines pratiques devaient être prohibées, car elle étaient trop impopulaires.
On peut citer à cet égard une recommandations de la CNIL en
France qui, dès 1985, a subordonné la prospection téléphonique
par automate d'appels au consentement préalable des personnes.
L'adhésion de l'ensemble des parties prenantes (consommateurs
et professionnels) à cette nouvelle règle que la loi française n'imposait pourtant pas explicitement, a été reprise par la directive
sectorielle du 15 décembre 1997 relative à la protection des données dans le secteur des télécommunications et a été étendue à la
prospection par voie de télécopie.
On rappellera que la directive 97/66/CE a également prévu une
alternative laissée à l’appréciation des Etats membres entre le
consentement préalable et le droit d’opposition en matière de
prospection téléphonique, ainsi qu’un droit à ne pas figurer dans
les annuaires téléphoniques. Dans ce domaine, la directive
97/66/CE du 15 décembre 1997 a eu incontestablement un effet
très positif sur les mentalités et devrait influer nettement -quand
elle aura été transposée dans l’ensemble des Etats membres- sur
les pratiques.
IV.3.3) - Les effets de la prudence
La floraison des listes « opt-out »
Certains professionnels ont spontanément anticipé l’adoption définitive de la directive sur le commerce électronique pour instaurer
des listes « Robinson » propres à un organisme professionnel, un
secteur d’activité ou à portée nationale.
99
La Fédération française des Entreprises de vente à Distance (FEVAD) est ainsi la première à avoir créé une liste e-Robinson (63)
d’opposition générale à la prospection par courrier électronique. La
consultation de cette liste est ouverte à tout prestataire, même non
membre de la FEVAD, qui s’acquitte d’un abonnement modique
annuel permettant de couvrir les frais de gestion de la liste.
Créée dès 1998, cette liste est réellement promue par la FEVAD
depuis l’été 1999, notamment auprès de ses homologues européennes dans le cadre de la Fédération du Marketing Direct européen (FEDMA). Elle pourrait servir de modèle à d'autres listes nationales d'opposition en cours de mise en place. Ainsi, un accord
aurait déjà été passé dans ce sens avec la Fédération allemande
du marketing direct.
L’Association Belge du Marketing Direct (ABMD) a également mis
en place une telle liste d’opposition générale à portée nationale, à
laquelle s’ajoutent des listes d’opposition propres à chaque prestataire membre de l’association. L’ABMD est actuellement consultée par le ministère belge des Affaires Économiques pour convenir
des conditions pratiques de mise en œuvre de la directive 2000 /31
sur le commerce électronique, notamment des modalités d'expression du droit d'opposition des personnes et d’inscription dans un
registre national.
Dans d’autres pays européens, des listes d’opposition sont en
cours de mise en place au sein de fédérations professionnelles issues, selon les pays, des secteurs du marketing direct, de la vente
à distance, ou au sein d’organisations professionnelles récentes
fédérant l’ensemble des métiers du commerce en ligne.
Ces initiatives ont, presque toutes, été prises dans le cadre de
l'adoption de la directive sur le commerce électronique, laquelle
prévoit, rappelons-le ici (article 7.2) que « les États membres prennent des mesures visant à garantir que les prestataires qui envoient par courrier électronique des communications commerciales
non sollicitées consultent régulièrement les registres « opt-out »
dans lesquels les personnes physiques qui ne souhaitent pas recevoir ce type de communication peuvent s’inscrire, et respectent
le souhait de ces dernières ».
Des investigations approfondies ont été menées dans le cadre de
la présente étude durant les mois de mai à octobre 2000 auprès
des fédérations professionnelles représentatives afin d’identifier
précisément les initiatives privées prises ou en voie de l’être dans
chacun des pays membres de l’Union.
63) Voir http://www.e-robinson.com
100
Il en ressort, en substance, que des listes d’opposition sont actuellement en cours de mise en place en Angleterre, en Allemagne, aux Pays-Bas, en Espagne, en Norvège, en Suède, en Finlande et en Italie. Toutes ont vocation à s’appliquer en premier lieu
sur le territoire national. Mais toutes les fédérations à l’origine de
ces initiatives déclarent envisager d’étendre prochainement ces
registres nationaux d’opposition au niveau communautaire et hors
des frontières de l’Union européenne, notamment aux États-Unis.
Il doit être souligné que la FEDMA fait actuellement sur internet
(64) la promotion de quatre listes d’opposition, dont chacune est
spécifique à un mode de prospection. Il s’agit, pour la prospection
par voie postale, du « MPS » ou « Mailing Preference Service »,
pour la prospection par téléphone du « TPS » ou « Telephone
Preference Service », pour la prospection par fax du « FPS » ou
« Fax Preference Service » et, enfin, pour la prospection par courrier électronique, du « E-MPS » ou « E-mail Preference Service ».
On peut s’interroger sur la pertinence d’un registre d’opposition à
la prospection par télécopie dans la mesure où, depuis le 25 octobre 1998, l’article 12.1 de la directive 97/66/CE du 15 décembre
1997 exige clairement le recueil du consentement préalable pour
toute prospection par télécopie et non un simple droit d’opposition.
Sur ce point, on observera que la mise en œuvre par les syndicats
professionnels de listes communes d’opposition s’est développée,
depuis longue date en Europe, parallèlement aux dispositifs impératifs adoptés par les Etats membres, tels que la création de registres nationaux d’opposition ou l’exigence d’un consentement préalable à toute prospection.
Cet état de fait, loin d’être contradictoire, illustre la complémentarité utile que les législations publiques et les engagements déontologiques professionnels peuvent trouver naturellement. Certains
professionnels du marketing direct ont en effet compris de longue
date que la réticence d’une personne à être prospectée peut être
une information qui, lorsqu’elle est partagée par les acteurs privés
intéressés, permet de réduire la proportion de prospections inefficaces, de réaliser des économies et d’éviter les réactions négatives ou les plaintes.
Au demeurant, certaines réglementations nationales très récentes
emboîtent le pas des initiatives privées pour assurer, le plus souvent, une uniformité à l’échelon national du cadre déontologique de
la prospection par courrier électronique. Ces initiatives publiques
interviennent généralement en cas de risque de multiplicité et de
64) Voir http://www.fedma.org/code/page.cfm?id_page=77
101
redondance entre plusieurs listes d'opposition ayant chacune une
prétention nationale.
Enfin, il doit être relevé que l’Association belge du Marketing Direct
déclare qu’elle entend promouvoir dès le début de l’année 2001 la
liste « Robinson » d’e-mail créée par la DMA américaine (Direct
Marketing Association). Il s’agit en fait de la liste d’opposition « Email Preference Service ». On relèvera également que les projets
de partenariat en cours entre la DMA américaine et certaines de
ses homologues européennes, prévoient la création d’un registre
« opt-out » qui serait commun à plusieurs pays européens et non
européens (65).
Déjà, l’association anglaise du marketing direct, UKDMA, s’est associée à la DMA américaine dans cette démarche d’une liste
commune. On relèvera incidemment que la mise en œuvre d’une
telle liste gérée aux États-Unis mais accessible aux internautes au
travers du portail de la UKDMA pose actuellement en Angleterre la
question des flux transfrontaliers de données personnelles et se
trouve quelque peu retardée.
Les autres engagements déontologiques
Parfois, les pratiques professionnelles vont au delà de la simple
mise en place d’un registre « opt-out » et permettent à l’internaute,
dès la réception d’un message identifié comme étant commercial,
de s’inscrire dans de telles listes par un simple clic grâce à un lien
hypertexte figurant à la fin du message. Tel est le sens des recommandations de la Fédération française des Entreprises de
Ventes à Distance (FEVAD).
Par ailleurs, de nombreux sites Web commerciaux d’origine européenne apposent désormais dans une rubrique spécialement dédiée à la protection des données personnelles ou sur le formulaire
de collecte d’informations, une case à cocher permettant à
l’internaute, explicitement informé, de refuser de recevoir des messages électroniques et/ou des documents de prospection commerciale.
Le rôle pédagogique des autorités européennes de protection des
données personnelles n’est sans doute pas étranger à de telles
pratiques et initiatives. Ainsi, en France, la Fédération du Commerce et de la Distribution, qui regroupe les grandes surfaces et la
plupart des centrales d’achat, s’est récemment dotée d’un code de
déontologie recommandant que les sites commerciaux apposent
65) Voir http://www.e-mps.org sur le « E-mail Preference Service » de la DMA américaine, en
voie d’extension en Europe.
102
sur tous les formulaires de collecte de données personnelles deux
cases à cocher. La première permet aux internautes d’exprimer
leur refus de recevoir des courriers électroniques de prospection.
La seconde leur permet de s’opposer à toute cession de leurs
données à des tiers.
IV.4) - Le « spamming » : une tentation sous surveillance
On ne saurait se borner à un constat aussi optimiste et l’analyse qui précède doit être cependant nuancée. La faible visibilité de cas de
« spamming » en Europe peut en effet s’expliquer largement par l’action
« anti-spam » entreprise par l’ensemble des fournisseurs d’accès et de
messagerie électronique, européens comme américains, qui luttent quotidiennement contre les vagues de messages électroniques destinées
par des « spammeurs » à être relayées par leurs serveurs de messagerie électronique.
Ces prestataires s’échangent ou constituent de manière informelle des
« listes noires » d’adresses électroniques ou de noms de domaines connus pour appartenir à des « spammeurs » et ont mis en place, pour la
plupart d’entre eux, des outils informatiques visant à détecter les cas
d’envois massifs de messages électroniques et à réduire leur prolifération. Au demeurant, aucun des prestataires interrogés n’est en mesure
aujourd’hui de fournir des éléments permettant de quantifier l’efficacité
des outils de filtrage mis en place pour juguler les cas de « spamming ».
En outre, de telles pratiques de filtrage soulèvent la question de savoir
s’il est légitime qu’un prestataire privé décide unilatéralement de ne pas
acheminer les messages provenant de tel ou tel expéditeur. En outre,
elles peuvent être inefficaces en cas de masquage de l’adresse électronique de l’expéditeur ou en cas de falsification de cette adresse. En tout
état de cause, ces pratiques ne permettent pas d’évaluer précisément
l’ampleur du « spamming » potentiel qui, en raison de la vigilance des
fournisseurs d’accès et de messagerie électronique, n’aboutit pas jusqu’aux boîtes aux lettres des internautes européens.
L’ampleur des moyens que les fournisseurs d’accès ou les gestionnaires
de listes privées ou professionnelles de diffusion consacrent à la lutte
contre le « spamming » mérite d’être soulignée. Elle témoigne de ce que
l’Europe ne peut être raisonnablement considérée à l’abri du
« spamming ».
Dans son rapport sur le publipostage électronique, la CNIL rappelait que,
pour ces prestataires, le « spamming » « représente un surcoût financier,
humain, technique et commercial, proportionné au nombre de leurs
abonnés ».
103
« Financier et humain, par la mobilisation de personnels, dont certains
sont spécialement affectés à la lutte contre le spam (les mesures de surveillance et de détection techniques peuvent mobiliser des personnels
24h/24) et d’autres, chargés de répondre aux plaintes que leur adressent
leurs abonnés. » « Technique, par la consommation, au moment de la
réception simultanée d’un message adressé à un grand nombre de leurs
abonnés, d’un volume significatif de bande passante, qu’il faut à ces acteurs calibrer de manière plus importante que ne le nécessiterait un
usage normal par leurs abonnés des services de l’Internet. »
« Commercial, parce que les internautes imaginent, le plus souvent, que
leur adresse e-mail a été irrégulièrement communiquée à des tiers par
leur fournisseur d’accès. »
Dans le cadre de son étude la CNIL indiquait qu’en 1999, le prestataire
américain America On Line, dont l’ensemble des serveurs d’accès et de
messagerie électronique sont situés aux États-Unis, déclarait « mobiliser
une équipe de 15 personnes dédiée à la lutte technique anti-spam ».
Par ailleurs, l’EuroISPA, qui représente la grande majorité des fournisseurs d’accès européens, mène depuis plus de deux ans désormais une
lutte contre le « spamming » et s’est à plusieurs reprises rapprochée des
autorités nationales de protection des données personnelles pour soutenir la thèse du consentement préalable des personnes à l’utilisation
commerciale de leur e-mail, laquelle, selon cette association, est seule
de nature à permettre le respect de la directive 95/46/CE du 24 octobre
1995.
En France, le Comité Réseaux des Universités (CRU) gère plusieurs milliers (7000) de listes de diffusion dans lesquelles la plupart des étudiants
et universitaires français se sont inscrits, ainsi que les services de messagerie électronique d’une portion importante de la population étudiante
et universitaire française.
Les membres du CRU déclarent subir un préjudice important lié au phénomène du « spamming ». Tout d’abord, les utilisateurs de leurs services
déclarent rencontrer des difficultés de gestion et de tri des messages
électroniques qu’ils reçoivent.
Ensuite, les utilisateurs excédés par le volume de courriers non sollicités
ont des réactions de rejet de la messagerie électronique. Enfin, le CRU
fait état de l’importance du surcoût des dispositifs techniques destinés à
prévenir ou à filtrer, autant que faire se peut, les courriers non sollicités.
Dès lors, le constat de la faible pénétration des envois massifs de courriers commerciaux non sollicités ne doit pas dissuader l’Union européenne de fixer clairement la règle, à des fins de sécurité juridique, que
104
les professionnels du commerce électronique doivent respecter lors de
leurs communications électroniques.
Il y a dès lors lieu de se féliciter que la prospection commerciale non sollicitée puisse trouver les limites juridiques encadrant son existence avant
que de se développer sauvagement, comme les internautes américains
ont pu en faire l’expérience.
Mais est-on toujours sûr, lorsque l’on évoque les garanties devant être
apportées en matière de « spamming » ou de prospection commerciale
non sollicitée, que l’on parle bien de la même chose : ces garanties résultent-elles des règles applicables à la collecte d’une adresse électronique, de celles régissant les conditions dans lesquelles des messages
commerciaux peuvent être expédiés ou de tout cela à la fois ?
105
Chapitre V : De la confusion des approches à la variété des pratiques
Les précédents développements de ce rapport ont notamment fait état du consensus existant entre les professionnels autour de la solution des listes d'opposition à la prospection commerciale non sollicitée. Ce consensus a eu l'occasion de se cristalliser lors de la discussion de la directive sur le commerce électronique, entre la fin de l’année 1998 et l’été 2000. Cependant, derrière une apparente uniformité du point de vue des professionnels, une confusion semble
exister sur ce qu’il est possible de faire en Europe, selon que l’on prospecte :
-
un client ou un prospect qui a lui-même fourni son e-mail au prospecteur ;
-
une personne dont le prospecteur a obtenu l’e-mail auprès d'un tiers qui
l’avait lui-même obtenue directement de la personne concernée,
-
ou une personne dont l’adresse e-mail a été collectée dans un espace
public de l’Internet (site web, annuaire, liste de diffusion), à l’insu de la
personne concernée.
Tel est le constat qui peut être tiré des réponses fournies par les professionnels
dans le cadre de la présente étude. Cette confusion porte sans doute sur la
terminologie employée pour désigner des situations différentes. Elle semble ne
pas avoir été levée par le grand nombre de textes applicables à la prospection
commerciale non sollicitée. Elle semble renforcée par la perception que peut
avoir la plupart des professionnels du caractère autonome et suffisant de la directive 2000/31/CE sur le commerce électronique.
V.1) - Une certaine confusion dans les approches…
Reprise spontanément d’un sketch des « Monty Python », l’expression
« spamming » (66) apparaît pour désigner des pratiques de promotion
commerciale intrusives, relevant le plus souvent, pour les premières du
genre notamment, d’actes de piratage informatique.
66) Le mot « spam » semble trouver son origine d’un sketch des Monty Python, dans lequel
deux personnes parlant de mortadelle (ou saucisson, selon les pays) [“spam”], répètent le mot
“spam” tous les deux [« spam »] ou trois mots (“spam”), jusqu’à (“spam”) l’exaspération
(“spam”) des spectateurs (“spam”)!
106
En l’état, les lois américaines - non fédérales - traitant à ce jour du phénomène du « spamming » évoquent la notion de prospection commerciale non sollicitée. Telle est également la terminologie retenue, de longue date désormais, par les diverses directives européennes traitant du
sujet.
V.1.1) - Confusion entre « spamming » et prospection commerciale non sollicitée
Le « spamming » est généralement considéré comme l’envoi massif et
répété de messages commerciaux non sollicités provenant d’un expéditeur qui masque ou falsifie son identité. En cela, il constitue évidemment une méthode de prospection qui n’a pas été sollicitée. Cependant, il se distingue par son caractère massif, répété et déloyal. En
un mot, le « spamming » est forcément de la prospection commerciale
non sollicitée, mais toute prospection non sollicitée n’est pas du
« spamming ».
Le « spammeur » est souvent présenté, notamment par les professionnels, comme un « voyou » qui n’a rien de commun avec un commerçant soucieux de son image, parce qu’il n’hésitera pas à masquer
son identité ni à envoyer des messages en masse.
Sur le caractère massif, on observera que les « spammeurs » ont pu
utiliser une fonction encore trop souvent laissée ouverte dans les serveurs de messagerie des fournisseurs d'accès Internet, la fonction de
relai, par laquelle un serveur de messagerie adressera le message
qu’il reçoit d’un « spammeur » à l'ensemble des adresses électroniques qu'il gère. Aujourd’hui encore, il ressort des entretiens menés
avec certaines fédérations représentatives des fournisseurs d’accès
établis en Europe, que plus de 40 % des serveurs de messagerie en
service en Europe comportent encore une fonction de relais et sont,
dès lors, incapables de s’opposer techniquement à la transmission
d’un « spam » à l’ensemble des messageries électroniques qu’ils gèrent.
Les professionnels auraient, au moins implicitement, tendance à soutenir qu’il y a entre le « spamming » et les autres formes de prospection commerciale non sollicitée la différence qui, jadis, a été faite entre
les automates d’appels et la prospection téléphonique. Ainsi, le
« spamming » serait un mode de prospection agressif et déloyal réprouvé par la majorité des professionnels. Ce n’est probablement pas
faux et doit interpeller le juriste sur l’adaptation de la protection offerte
aux risques d’intrusion dans la vie privée.
107
En tout état de cause, l’automate d’appels fait sonner le téléphone et
dérange le prospect, tout comme le message électronique non sollicité, qu’il s’agisse ou non d’un « spam », peut aujourd’hui encombrer la
messagerie de l’internaute.
Les réponses des professionnels sur la question des conditions de
collecte des e-mails sont sur ce point révélatrices. En effet, si la
grande majorité des professionnels européens se défend de recourir
au « spamming » et le proscrit officiellement (voir supra : « l’attitude
prudente des fédérations professionnelles »), ces derniers restent très
majoritairement évasifs, voire silencieux, sur la possibilité qu’ils souhaitent se réserver ou non d’adresser à un internaute un message de
prospection qu’il n’aurait pas sollicité.
Cette confusion doit être prise en compte à deux égards. En premier
lieu, elle révèle qu’on peut être hostile au « spamming » entendu
comme l’envoi massif et déloyal de messages électroniques, sans
avoir pourtant pris à aucun moment une quelconque position sur la
question de la prospection commerciale non sollicitée. En deuxième
lieu et surtout, une question commune au « spamming » et aux autres
formes de prospection commerciale non sollicitée n’est quasiment jamais abordée par les professionnels : celle des conditions dans lesquelles les adresses e-mails utilisées pour prospecter les internautes
ont été collectées.
Or, plus on distingue le « spamming » des autres formes de prospection non sollicitée, moins la question essentielle de la collecte de l’email est abordée.
V.1.2) - Divergences sur la notion de prospection commerciale
non sollicitée
Au sens strict, une communication commerciale non sollicitée revêt
deux caractéristiques : être commerciale et ne pas avoir été sollicitée,
c’est à dire préalablement réclamée par l’internaute.
C’est en ce sens que paraît trancher la directive sur le commerce
électronique en ne distinguant pas selon que la communication commerciale est opérée par une entreprise à l’égard de l’un de ses clients,
ou d’un simple visiteur de son site (qui lui aurait fourni son e-mail pour
participer à un jeu-concours) ou encore à l’égard d’un internaute avec
lequel elle n’a auparavant jamais été en contact.
Il est symptomatique de constater que la plus grande organisation patronale française (67) exprime le souhait, dans la contribution qu’elle a
faite aux travaux de la CNIL en octobre 1999, que la notion de
67) Le MEDEF : Mouvement des Entreprises de France.
108
« communication commerciale non sollicitée » fasse l’objet d’une définition précise. Cette organisation conteste en effet que les mêmes
obligations pèsent sur les entreprises dans les trois situations précédemment décrites. Il lui apparaît, ainsi qu’à la FEDMA, qu’un message
commercial adressé par un prestataire à un de ses anciens clients ne
constitue jamais une communication commerciale non sollicitée. Selon
cette approche, la communication commerciale pourrait avoir été implicitement sollicitée par un prospect ou un visiteur d’un service qui,
sans souscrire à un service particulier, a fourni son e-mail dans une
rubrique de contact commercial. Dans une telle hypothèse, nul doute
que cette approche permet de considérer que la prospection qui sera
envoyée sera considérée comme étant sollicitée.
En définitive, toutes les confusions peuvent disparaître dès lors qu’on
veut bien considérer que les conditions de régularité de l’envoi d’un
message non sollicité sont d’abord liées aux conditions dans lesquelles les adresses électroniques utilisées ont été collectées.
V.2) - … que n’a pas réparé le grand nombre de textes
européens
V.2.1) - La directive 97/7/CE du 20 mai 1997
La directive 97/7/CE du 20 mai 1997 relative à la protection des consommateurs en matière de contrats à distance, en précisant que le
courrier électronique pouvait être utilisé en l’absence d’une opposition
manifeste de la personne, a pu légitimement donner l’impression aux
professionnels concernés que le choix européen était celui d’un « optout » minimal selon lequel toute prospection serait possible à l’égard
d’un client, d’un simple visiteur et d’un internaute qui n’aurait pas exprimé, et ce de manière manifeste, qu’il refusait d’être prospecté par
courrier électronique. C’est à l’internaute de se protéger : il est présumé consentir jusqu’à preuve contraire.
V.2.2) - La directive 95/46/CE du 24 octobre 1995
La directive du 24 octobre 1995 rend pourtant une telle approche
moins sûre en posant des règles strictes en matière de collecte des
données personnelles (finalité précise, légitimité, loyauté) et
d’information des personnes (droit d’opposition à l’utilisation commerciale et à la cession à des tiers).
109
Ce n’est plus à l’internaute de se protéger. L’entreprise est tenue à
des obligations particulières au moment de la collecte et avant toute
utilisation des données.
Dès lors, comment articuler les obligations de l’entreprise en matière
de protection des données personnelles avec l’apparente souplesse
de la directive sur la vente à distance ?
V.2.3) - La directive 97/66/CE du 15 décembre 1997
Bien que silencieuse en matière de prospection par courrier électronique, elle subordonne les moyens de communication commerciale les
plus intrusifs (automates d’appels et prospection par télécopieur) au
consentement des personnes. Rien n’est possible sans le recueil du
consentement préalable.
Comment, dès lors, concilier un tel niveau de garantie avec les textes
précédents alors que les caractéristiques de la prospection électronique sont très proches de celles des automates d’appels et que, de
tous les moyens de prospection, l’e-mailing passe pour être le moyen
le plus intrusif, puisqu’il est a priori irrésistible, et surtout le plus coûteux pour l’internaute (voir infra, conclusions de la 1ère partie) ?
V.2.4) - La directive 2000/31/CE du 8 juin 2000
Consacrant le plus petit dénominateur commun sur ce sujet, la directive sur le commerce électronique paraît ne plus établir de lien entre la
régularité de l’envoi d’un message non sollicité et la volonté de
l’internaute, qu’il s’agisse du consentement préalable (directives
95/46/CE et, dans une certaine mesure, 97/66/CE), de l’opposition
manifeste (directive 97/66/CE), de l’opposition simple (directives
95/46/CE et 2000/31/CE et, dans une certaine mesure, 97/66/CE) ou
de l’abstention.
En effet, la règle posée par l’article 7.1 ne concerne que les caractéristiques du message envoyé : l’identification du caractère commercial
du message doit être immédiate. Ce dispositif est apparu à la grande
majorité des professionnels comme suffisant à assurer la licéïté formelle d’une prospection commerciale non sollicitée.
Certes, un registre de « opt-out » doit être mis en œuvre afin de permettre aux internautes de manifester leur opposition. Mais les professionnels ne paraissent pas tenus par ce texte de consulter systématiquement ce registre d’ « opt-out » avant toute campagne de prospection. Les Etats membres doivent seulement veiller à ce qu’ils le fassent régulièrement. On pourrait donc penser que l’ère du « opt-out »
110
minimum posée par la directive « vente à distance » du 20 mai 1997
constituait un « âge d’or de la protection du consommateur » ! Désormais, l’opposition pourrait être manifeste mais inutile dans la mesure
où elle serait exercée dans le cadre d’un régime de simple consultation « régulière » des registres « opt-out », dont le recensement par
les professionnels eux-mêmes semble impossible.
Sans doute la situation est-elle moins grave qu’il n’y paraît dans la
mesure où l’article 7 renvoie aux « autres exigences de la législation
communautaire », au titre desquelles la protection des données personnelles et les principes généraux posés par la directive 95/46/CE ne
peuvent juridiquement ou politiquement être absents.
Il convient cependant de reconnaître que cette référence floue faite à
la législation communautaire existante n’est guère explicite et peu de
nature à éclairer les professionnels sur les trois questions qui se posent :
-
ai-je le droit ou non, et si oui à quelles conditions, d’adresser un
message électronique commercial à un de mes clients ?
-
ai-je le droit ou non, et si oui à quelles conditions, d’adresser un
message électronique commercial à un des visiteurs de mon site
Web ?
-
de quels moyens puis-je disposer pour me faire connaître
d’internautes qui ignorent mon existence ?
Il en a globalement résulté que le débat entourant l’adoption de la directive 2000/31/CE s’est davantage focalisé sur les conditions de régularité de l’envoi d’un message commercial que sur les conditions
initiales de la collecte des e-mails.
V.3) - Une grande variété des pratiques professionnelles
V.3.1) - De la case à cocher à la case pré-cochée
Des sites web de plus en plus nombreux font le choix d’apposer une
case à cocher permettant à l’internaute d’exprimer son choix de recevoir ou de refuser des courriers de prospection de la part du site qu’il a
consulté et, plus généralement encore, une case à cocher lui permettant de s’opposer à la cession de ses données à des tiers à des fins
commerciales.
111
Une étude menée par la CNIL en avril 2000 sur les 100 plus importants sites de commerce électronique français témoigne que cette
pratique est très mai 2000généralement suivie. En outre, de nombreuses organisations professionnelles européennes la préconisent. Il
est remarquable de constater que cette pratique va bien au delà du
dispositif prévu par la directive sur le commerce électronique. On peut
s’interroger, dès lors, sur la pertinence d’un texte que les professionnels ne semblent pas considérer comme assurant les garanties minimales suscitant la confiance des internautes.
Toutefois, probablement sous une certaine influence américaine, des
professionnels européens mettent en œuvre des formulaires électronique de collecte d’information comportant une case déjà cochée autorisant par défaut, si l’internaute n’y prend garde, non seulement
l’utilisation commerciale des données collectées mais également leur
transmission à des tiers, notamment à des fins commerciales
Le développement de telles pratiques comme celles consistant à dissimuler les mentions d’information obligatoire sur l’usage qui sera fait
des données collectées dans une rubrique de mentions légales abondantes, peu accessibles ou rédigées en termes peu clairs, est tout à
fait préjudiciable au droit des internautes et contraire tout à la fois à la
transparence des pratiques et à la loyauté minimale requises par la directive du 24 octobre 1995.
De manière particulière, et s’agissant de la cession des données à
des tiers, on constate quelques fois les plus grandes ambiguïtés. Ainsi, on trouve des formules telles que « vos données personnelles sont
destinées exclusivement à la société X et ses partenaires, filiales, affiliés et ne sont pas communiquées à des tiers » ou encore, « vos données personnelles sont destinées exclusivement à la société X et ses
partenaires, filiales, affiliés, elles peuvent être communiquées à des
tiers ; dans ce cas vous pouvez vous y opposer en cochant la case cicontre ».
Cependant, certains professionnels, dans le souci de se dégager de
telles pratiques qu’ils considèrent aussi blâmables et préjudiciables à
la confiance que le « spamming », préfèrent afficher clairement le
choix du « opt-in » -le consentement préalable- , qu’ils considèrent
comme la solution la plus favorable au commerce.
V.3.2) - Du succès de la case à cocher au « opt-in »
La tendance actuelle forte des professionnels en faveur du « opt-in »
résulte d’un calcul commercial qui rejoint les objectifs de protection
des données personnelles.
112
Certains n’hésitent pas à reconnaître que la case à cocher accompagnée d’une mention claire permettant aux internautes d’exprimer un
refus d’être prospectés (opt-out) a un effet psychologique très fortement incitatif sur ces derniers. Les internautes sont, selon certains
professionnels, une très forte proportion (parfois jusqu’à 70%) à cocher la case. En un mot, l’existence même d’une telle case à cocher
suscite un geste réflexe : la cocher. Lorsque cette case à cocher a
pour objet de recueillir le refus d’être prospecté, ce sont donc autant
d’adresses électroniques exclues du champ de la prospection.
Il suffit alors, pour inverser cette tendance, de maintenir la case à cocher, de croire toujours au réflexe des internautes, mais de changer la
formule en « je souhaite recevoir toutes vos propositions commerciales » ou « je souhaite recevoir toutes les propositions commerciales
que vous pourriez me faire, ainsi que vos partenaires, dans les domaines suivants : cinéma, informatique, etc.».
Au lieu de suggérer la fin d’une relation commerciale par l’offre du
« opt-out » (le droit d’opposition) le commerçant invite l’internaute à la
poursuite de leurs échanges : le « permission marketing » est en marche.
Certains professionnels américains et européens ont en effet compris
qu’un modèle de relations interactives -le « opt-in »-, offre de multiples
avantages commerciaux.
Une relation de « permission marketing » favorise en effet la fourniture
d’un service attendu par l’internaute puisqu’elle lui suggère d’exprimer
ses attentes. Ce faisant, les centres d’intérêts exprimés par
l’internaute sont des informations à haute valeur ajoutée qui peuvent
être classées et tarifées tout en étant assorties de l’autorisation de les
utiliser. Ainsi, la collecte et l’utilisation commerciale fondées sur le
consentement préalable des personnes constitue à la fois une source
de rentabilité, un modèle de financement nouveau du commerce électronique et le meilleure moyen de garantir une traçabilité de l’utilisation
qui est faite des données collectées.
Dans ce schéma, le commerçant qui a collecté une information peut
être rétribué lorsqu’un de ses partenaires utilise cette information dans
une opération de prospection. Le prospecteur, pour sa part, est assuré
de s’adresser à une population ouverte aux sollicitations commerciales et obtient une meilleure efficacité dans ses communications commerciales. Enfin, lorsque l’internaute demande la suppression des informations qui le concerne ou l’origine de la collecte de ses données,
le prospecteur et le collecteur initial des données peuvent être en mesure de lui indiquer précisément à quel moment, à qui et pour quoi il a
fourni son e-mail.
113
Les entreprises qui renoncent à une politique de prospection « à
l’aveugle » contre productive - car impopulaire - sur le réseau, adoptent ainsi les pratiques des internautes et suscitent leur confiance. S’il
s’agit de raisonner en termes de registres, les registres de « opt-out »
sont hors du commerce, à la différence -majeure- de ceux composés
à partir du consentement des internautes, qui peuvent être rentabilisés.
Cette tendance forte au « permission marketing » a trouvé une confirmation en Europe lors d’une conférence internationale réunie à Paris du 12 au 15 septembre 2000 (www.webcommerce-europe.com) et
tout particulièrement lors d’une table ronde consacrée au e-mailing à
laquelle participaient notamment les filiales européennes des sociétés
américaines Message Média et 24/7 Media. L’impression laissée à
l’assistance fut celle d’un pénible décalage entre cette nouvelle tendance et les défenseurs du « opt-out », tels que la FEDMA ou encore
la DMA américaine.
Cette tendance a pris très récemment en Finlande la forme d’un code
de déontologie adopté par les professionnels du marketing direct à la
suite de l’application de la loi du 22 avril 1999 sur la protection des
données personnelles dans le secteur des télécommunications, notamment son article 21 qui a retenu la garantie du consentement préalable (opt-in).
114
Chapitre VI : La nécessité d’une clarification
Des obligations juridiques qui passent pour être contradictoires, des pratiques
professionnelles fortement divergentes et une tendance lourde en faveur du
« opt-in », rendent urgente une clarification européenne sur le sujet.
VI.1) - L’application du droit actuel
Une opération de publipostage électronique peut provenir de trois sources radicalement différentes qu’il convient de décrire et d’analyser juridiquement à la lumière des directives applicables.
VI.1.1) - Prospection d’un internaute avec lequel le prospecteur a
eu un contact préalable
Dans cette hypothèse de collecte directe, le fichier utilisé est constitué
à partir des mails des clients ou des visiteurs avec lesquels le prospecteur a été en contact direct.
Il résulte de la directive du 24 octobre 1995 (directive 95/46/CE) qu’un
commerçant qui a collecté des mails directement auprès des internautes peut leur adresser des courriers électroniques de prospection,
sous la seule réserve du droit dont disposent ces internautes de
s’opposer à en recevoir.
Il doit être souligné que l’article 10 de la directive 95/46/CE implique
que l’internaute soit informé de la finalité de la collecte, notamment de
l’utilisation commerciale des données par le collecteur. Par ailleurs, si
le commerçant collecteur des données souhaite les céder à des tiers,
il doit, en application de l’article 14 de la directive de 1995, en informer
préalablement l’internaute et le mettre en mesure de s’opposer à cette
cession, préalablement à sa réalisation.
Cependant, il pourrait être soutenu que, d’un strict point de vue juridique, la directive de 1995 n’impose pas explicitement à un commerçant
électronique d’informer un internaute de son droit de s’opposer à re-
115
cevoir des prospections commerciales non sollicitées dès lors que ces
prospections proviendraient de ce commerçant : le droit de l’internaute
existerait, il pourrait être exercé à tout moment, mais il ne fait peser
aucune obligation a priori sur le commerçant.
A contrario, on peut considérer, sur le fondement de l’article 6 de la directive 95/46/CE et en application du principe de loyauté tel que défini
notamment par l’article 10 (b et c) de la directive 95/46/CE, que
l’expression de « traitement envisagé » retenue par l’article 14 de la
directive 95/46/CE implique implicitement mais nécessairement une
information préalable des personnes dont les données sont susceptibles d’être transmises à des tiers.
Cette interprétation de la directive 95/46/CE n’est pas contrariée par la
directive 97/7/CE du 20 mai 1997 sur la vente à distance, qui prévoit
que tout est possible, sauf « opposition manifeste de l’internaute ». Or,
l’opposition manifeste ne peut être exprimée qu’à l’égard d’une information préalable, elle-même manifeste, c’est à dire explicite. On ne
saurait, en effet, supposer que le législateur communautaire, dans un
texte devant offrir un haut niveau de protection harmonisée des consommateurs, a entendu laisser à l’imagination des personnes le fait de
savoir si une donnée recueillie sera ou non transmise à un tiers.
La directive « télécommunications » du 15 décembre 1997 ne fait pas
davantage douter d’une telle solution dans la mesure où elle ne subordonne pas explicitement la prospection électronique au consentement préalable des personnes, même si certains États membres
(l’Autriche, le Danemark, la Finlande et l’Italie) ont saisi l’occasion de
la transposition de cette directive pour élargir la garantie du consentement préalable à la prospection électronique.
Dans cette hypothèse, c’est paradoxalement la directive 2000/31/CE
sur le commerce électronique qui impose des obligations supplémentaires au commerçant qui prospecte son propre client : l’identification
du caractère commercial du message, d’une part, la consultation
« régulière » d’un registre d’opposition, d’autre part. Il y a lieu
d’observer que cette dernière obligation pourra priver une entreprise
de contacter naturellement son client lorsque ce dernier se sera inscrit
sur une liste nationale s’imposant à n’importe quel prospecteur.
Au regard de cette analyse juridique, la confusion générale et la directive 2000/31/CE sur le commerce électronique contribuent à ajouter
des obligations ou à nourrir des débats (« opt-in » ou « opt-out » ;
case à cocher, etc…) dans lesquels chacune des thèses qui
s’affrontent peut être confortée par des arguments juridiques pertinents. L’objectif d’une sécurité juridique pour le commerce électronique n’est donc pas atteint.
116
VI.1.2) - Prospection d’un internaute dont l’adresse e-mail a été
fournie par un tiers
Dans cette hypothèse de collecte indirecte, l’adresse e-mail a été
fournie par l’internaute à un commerçant qui a, ensuite, cédé son fichier d’e-mails à un tiers aux fins de prospection.
La cession de ce fichier de mails est régulière au regard des règles de
protection des données personnelles dès lors que le marchand qui a
initialement collecté les adresses et s’apprête à les céder à un tiers, a
informé les personnes concernées que leurs données pouvaient être
communiquées à un tiers à des fins de prospection et a mis ces dernières en mesure de s’y opposer gratuitement et en ligne.
L’article 14 de la directive générale du 24 octobre 1995 indique clairement qu’aucune information ne saurait être cédée à des tiers si les
personnes n’ont pas préalablement été mises en mesure de s’y opposer. Appliquée à la collecte de données en ligne, cette prescription
commande d’apposer une case à cocher assortie d’une mention claire
d’information devant figurer sur le formulaire électronique de collecte
des données. On relèvera que seule la directive de 1995 évoque cette
hypothèse sous la forme de principes généraux.
VI.1.3) - Prospection d’un internaute dont l’adresse e-mail a été
collectée dans les espaces publics de l’Internet
Dans cette dernière hypothèse, l’adresse électronique est capturée
dans les espaces publics de l’Internet (espaces de discussion, listes
de diffusion, annuaires diffusés sur des sites web, etc.) sans que les
personnes concernées ou le responsable du site diffusant les données
n’en aient eu connaissance.
Au regard de la directive du 24 octobre 1995, une telle pratique est
prohibée. Elle n’est pas régulière au regard de l’article 6 (principe de
finalité). Ainsi, une personne qui s’est exprimée dans un espace de
discussion déterminé et sur un sujet précis, ou qui s’est inscrite dans
une liste de diffusion pour partager des informations avec un groupe
d’interlocuteurs intéressés par un sujet commun, ignore, par hypothèse, qu’un tiers puisse traiter ses données pour une autre finalité
que celle de l’espace de discussion.
Cette pratique paraît contestable au regard de l’article 7.(f) de la directive de 1995 (légitimité du traitement). En effet, sauf à considérer
que la collecte automatisée à des fins de prospection commerciale de
tous les mails figurant dans des espaces publics de l’Internet satisfait
un intérêt commercial légitime qui prévaut sur l’intérêt légitime des in-
117
ternautes, la directive générale 95/46/CE subordonne un tel traitement
au « consentement indubitable » des personnes concernées.
Cette pratique méconnaît également les dispositions des articles 10 et
11. L’obligation d’information qui pèse sur le collecteur de données
doit être accomplie au moment de la collecte des données ou, - si une
cession à un tiers est envisagée - au plus tard lors de leur première
transmission à des tiers. En tout état de cause, ce dispositif interdit à
un commerçant qui a collecté des e-mails dans les espaces publics de
l’Internet, de les utiliser pour son propre compte s’il n’en a pas préalablement informé les personnes et de les céder à des tiers s’il n’a pas
préalablement informé les internautes concernés de leur droit de s’y
opposer.
Elle viole les dispositions de l’article 14 de la directive 95/46/CE, qui
reconnaît à toute personne le droit de s’opposer à l’utilisation commerciale de ses données ou à la transmission de ses données à des
tiers.
Les deux directives du 20 mai 1997 sur la vente à distance et du 8 juin
2000 sur le commerce électronique, en ne traitant que des conditions
dans lesquelles un message électronique non sollicité peut être envoyé, ne traitent aucunement de conditions de régularité de la collecte
de l’e-mail, lesquelles relèvent de la directive 95/46/CE (et, s’agissant
des données de trafic et de facturation, de l’article 6 de la directive
97/66/CE) et doivent obéir aux exigences précédemment décrites.
VI.2) - Passer du débat sur la régularité d’un envoi commercial au débat sur les conditions de loyauté de la
collecte des données
VI.2.1) - Le débat s’est limité aux conditions de régularité des envois commerciaux
De nombreuses contributions professionnelles évoquent le format ou
le poids du message, l’indication de son caractère commercial, ou
préconisent un lien hypertexte vers une liste d’opposition dont la philosophie est la suivante : l’acceptabilité des messages commerciaux
sera acquise si le message est court, identifié en tant que commercial,
et offre la possibilité d’en rester là (c’est-à-dire de n’en recevoir qu’un
seul et de pouvoir faire aussitôt opposition).
La directive sur le commerce électronique paraît faire triompher cette
approche, malgré le rappel de l’application « des législations communautaires existantes ». Ce faisant, les mêmes contraintes
118
s’imposeraient au vendeur à l’égard de son client et au « spammeur »
qui aurait irrégulièrement collecté des e-mails.
Cette approche est contestée par la CNIL française, par l’Agence espagnole, par le groupe « protection des données » institué par l’article
29 de la directive du 24 octobre 1995 et par des professionnels, de
plus en plus nombreux, tenants d’une politique de « opt-in ».
Cela n’est pas pour surprendre tant cette approche fait l’impasse sur
les conditions de régularité de la collecte et, plus généralement,
d’usage des données qui doivent reposer sur un principe de loyauté.
Or, toute l’histoire de l’Internet en témoigne, la méconnaissance du
principe de loyauté et l’absence de transparence ont porté gravement
préjudice au développement du commerce électronique et altéré la
confiance.
Les débats qui se sont succédés autour des fichiers « cookies », du
numéro de série du processeur Pentium III de la société Intel, du numéro de série des logiciels édités par Microsoft, ont davantage été
provoqués par l’absence d’explication, de pédagogie, ou de transparence, que par la malignité des professionnels concernés. La sensibilité des internautes à des pratiques commerciales loyales s’est encore
manifestée à l’occasion de certaines opérations de parrainage dans
lesquelles des professionnels sollicitaient d’internautes avec lesquels
ils étaient en contact la communication des adresses électroniques de
leurs proches moyennant rétribution (cas de la société « Ikéa » actuellement porté devant les juridictions américaines), forme nouvelle
de marketing viral autrement appelée « chaîne de messages ».
C’est donc le principe de loyauté et le souci de s’abstenir de toute initiative susceptible de susciter la méfiance qui doivent commander la
réflexion.
VI.2.2) - Pour un débat sur la loyauté de la collecte
L’analyse qui précède sur les différentes situations dans lesquelles ont
été collectées les e-mails qui seront utilisées à des fins de prospection
commerciale non sollicitée témoigne de la complexité du cadre juridique applicable, des confusions qu’il génère, des pratiques qu’il pourrait paraître autoriser et du doute qu’il entretient encore sur des pratiques qui devraient être clairement interdites.
La directive du 24 octobre 1995 prohibe la collecte d’e-mails dans les
espaces publics de l’Internet et, tout particulièrement dans les forums
de discussion.
119
En revanche, aucune directive n’impose clairement une solution de
« opt-in » dans la relation directe entre un commerçant et son client.
Or, au delà des discours de certains professionnels qui justifient leur
action en faveur du « opt-out » par l’obligation -implicite- de mettre en
œuvre les dispositions de la directive sur le commerce électronique, la
tendance générale de l’Internet est déjà au « opt-in ».
La timidité des textes européens sur ce point paraît dépassée et, de
surcroît, ne plus correspondre à l’intérêt objectif des commerçants
électroniques. En outre, en imposant les mêmes obligations à tous les
professionnels, la directive sur le commerce électronique n’atteint pas
son objectif. Il peut paraître en effet contestable d’imposer à un professionnel qui aurait choisi l’« opt-in », qui se sera soucié des centres
d’intérêts de son client, qui l’aura informé clairement de l’usage commercial de son adresse e-mail, de consulter une liste d’opposition généraliste, nationale, européenne ou transnationale qui pourrait lui interdire d’informer ce client de ses nouvelles offres commerciales.
S’attacher à préciser les conditions d’une collecte loyale des données,
c’est permettre au commerçant et à l’internaute de reprendre la main
sur la nature et la poursuite de leurs relations dans un climat de transparence.
Au delà de l’intérêt partagé des internautes et des commerçants électroniques, il paraît naturel d’appliquer à la prospection électronique les
règles communes posées en matière de prospection par automate
d’appels ou par télécopie, leur caractère intrusif et irrésistible leur
étant commun. Dans tous ces cas, l’internaute ne peut pas interrompre la réception du message commercial et, s’agissant du courrier
électronique, il supporte les coûts de réception (68).
Par ailleurs, l’histoire des différents modes de communication commerciale montre que plus le coût de la prospection est faible, plus les
risques d’abus sont grands, ce dont témoigne, par exemple, le fait que
les États-Unis, dès 1974, aient adopté une législation subordonnant
les opérations de prospection par fax au consentement préalable des
destinataires. Or, la prospection par courrier électronique est, de loin,
la forme de prospection de masse la moins chère connue à ce jour.
En outre, l’histoire de la protection des données personnelles montre
que la protection offerte aux personnes a toujours été adaptée au risque d’atteinte à la tranquillité et à la vie privée, dans une gradation
connue de longue date de la plupart des États membres allant du droit
d’opposition (prospection par téléphone) au consentement préalable
(prospection par automate d’appels et par télécopieur).
68) Cf. page 73
120
En définitive, le « opt-in » paraît la solution la plus adaptée à l’internet,
elle permet une gestion rentable des bases de données d’e-mail, elle
entretient la relation personnalisée d’un commerçant avec un internaute et paraît -les Etats-Unis et certains prestataires européens en
font l’expérience- la pratique la plus conforme à la culture et aux attentes des internautes. En revanche, le « opt-out » ne permet plus à
l’internaute de maîtriser l’usage qui sera fait de ses données une fois
celles-ci collectées à défaut d’opposition, ni au professionnel souhaitant écrire à son client d’être distingué du « spammeur » qui aura
trouvé une virginité ou une légitimité de façade dans les registres
d’opposition.
VI.3) - Validité et acceptabilité du « opt-in »
Pratiquement tous les professionnels européens disent préférer la solution du « opt-out ». Pourtant, certains d’entre eux ont déjà mis en œuvre
des solutions reposant sur le consentement préalable des personnes,
permettant une valorisation réelle des données collectées. A la manière
de Monsieur Jourdain -le bourgeois gentilhomme de Molière-, ils font du
« opt-in » sans le savoir ou sans le dire. Les autres -parfois au sein des
mêmes fédérations professionnelles- prennent le risque commercial, en
mettant en œuvre des mécanismes de « opt-out », de solliciter leurs
prospects jusqu’à l’exaspération de ces derniers, laquelle se traduit en
un droit d’opposition exercé du fait d’un seul prospecteur mais
s’imposant à tous.
La solution du « opt-in » présente un autre avantage que ceux précédemment évoqués : l’assurance d’utiliser une donnée dans le respect de
la volonté de l’internaute. Comment, en effet, être sûr que le prospect
que l’on contacte ne s’est pas déjà inscrit dans un registre d’opposition ?
Aujourd’hui cette question n’est pas résolue par les partisans d’une solution de « opt-out ». Ainsi, la FEDMA indique sur son site internet qu’elle
procède à une vaste enquête pour recenser les registres d’opposition
existants. A terme, il est aisé d’imaginer qu’une solution de « opt-out »
durable nécessiterait, pour des raisons de sécurité juridique, l’adoption
d’une règle communautaire contraignante visant à compiler dans un registre communautaire unique l’ensemble des oppositions exprimées.
L’inconvénient d’une disparition dans un tel registre des liens particuliers
qui lient un commerçant et un internaute sera alors décuplé. L’opposition
d’un internaute à être prospecté par un ou quelques commerçants serait
opposable à tous. En conséquences, la solution du consentement préalable à être prospecté semble favoriser au mieux les liens personnalisés qu’un professionnel peut entretenir ou cesser d’avoir avec un internaute.
121
VI.3.1) - Le « opt-in » n’interdit pas la prospection commerciale à
l’égard de clients ou de visiteurs
Pas davantage qu’il n’est interdit à une entreprise d’écrire à ses clients
par télécopie, le « opt-in » n’interdit pas de faire de la prospection. Au
contraire, il l’autorise.
Il suffit que l’information donnée à l’internaute ait été suffisamment
claire et univoque sur ce point. D’ores et déjà, la pratique professionnelle consistant à apposer une case à cocher accompagnée d’une
mention explicite d’information est mise en œuvre. Le choix de la formule d’information, comme cela a été expliqué précédemment, n’est
pas dicté par un débat théorique entre les partisans du « opt-in » et
ceux du « opt-out ». Elle l’est par le marché, animé par un devoir de
transparence du commerçant, lui-même soucieux de disposer d’un
consentement précis, utile à la rentabilité de la collecte de l’e-mail.
En outre, la solution du « opt-in » fait le pari de la continuité de la relation et non de son interdiction. Ainsi, de nombreux sites proposent-ils
déjà à leurs visiteurs, s’ils le souhaitent, de s’abonner à une « newsletter », de s’inscrire à une liste de diffusion, d’être informés des modifications du site, des nouvelles offres… Dans tous ces cas, l’adresse
e-mail est collectée avec le consentement de la personne et pourra
être utilisée dans le cadre de ces finalités sans autre formalité, jusq’au
souhait contraire de l’internaute.
VI.3.2) - Le « opt-in » n’interdit pas la cession à des tiers des
données fournies par les internautes
La directive du 24 octobre 1995 impose déjà d’informer clairement les
internautes de toute éventuelle cession de leurs données à des tiers à
des fins de prospection commerciale et de les mettre en mesure de
s’y opposer. La pratique de la case à cocher, à cet égard, se développe, notamment aux Etats-Unis et en France.
La solution du « opt-in » en matière de communication électronique
non sollicitée est étrangère à la question de la transmission à des tiers
des données collectées. Elle n’ajoute donc aucune obligation à celles
(information et droit d’opposition) qu’impose déjà l’application des règles générales relatives à la cession commerciale de données personnelles à des tiers (article 14 de la directive de 1995).
VI.3.3) - Le « opt-in » n’interdit pas la compilation de listes d’emails
122
Dans le monde réel, l’existence de fichiers de personnes favorables à
recevoir des informations sur telle ou telle catégorie de produits ou de
service est courante et ne pose aucun problème particulier. Elle est,
au contraire, au cœur du marché des fichiers de prospection commerciale et permet leur réelle valorisation. Elle peut prospérer sur Internet.
Le « opt-in » présente d’ailleurs un considérable avantage en termes
de marketing, puisque les listes ainsi compilées expriment une multitude de désirs de consommation et de centres d’intérêts précis et non
plus un inventaire de silences, de souhaits inexprimés et de prospects
improbables ou imprévisibles.
VI.3.4) - Le « opt-in » interdit la collecte et l’usage déloyaux des
données
En cela il garantit une protection efficace des données personnelles,
une sécurité juridique aux commerçants, un climat de confiance et
permet de ne plus opposer artificiellement l’Internet libertaire des origines à l’e-business.
Certes, les conditions dans lesquelles le consentement peut être acquis mériteraient d’être précisées. Est-il admissible, par exemple, de
solliciter le consentement d’un internaute en l’incitant par un avantage
financier ? L’internaute apprécie-t-il toujours la portée de son consentement ? Sans doute consent-il à recevoir des sollicitations conformes
à ses centres d’intérêt, mais a-t-il conscience que son profil de consommateur ou de citoyen en sera déduit ?
Ces questions sont aujourd’hui encore ouvertes. Mais elles ne pourront trouver leur solution que si un terme est mis à la confusion par un
engagement résolu vers la raisonnable solution du « opt-in », seule de
nature à donner un cadre juridique et économique favorable et sûr aux
relations interactives inhérentes au commerce électronique.
123
Conclusions de la Deuxième Partie
La nécessité d’un cadre juridique cohérent pour l’ensemble des communications électroniques
La question de la nature des garanties qui doivent être offertes aux personnes à
l'égard de la prospection commerciale agite l’Europe depuis maintenant plus de
sept ans.
Durant la discussion de la directive du 24 octobre 1995, la question s’était déjà
posée de savoir s'il convenait de préciser la nature du droit reconnu en matière
de prospection commerciale : droit d’opposition ou consentement préalable ?
Finalement, le texte communautaire a retenu le principe d'un droit d’opposition
à l’utilisation commerciale des données, le consentement préalable étant réservé aux cas dans lesquels l’intérêt et les droits fondamentaux de l’individu prévalent (articles 7f et 7a de la directive 95/46/CE)et le consentement préalable et
explicite étant réservé au traitement des données sensibles (article 8 de la directive 95/46/CE).
La directive du 15 mai 1997 sur la vente à distance ne pouvait retenir une autre
solution que celle dégagée en 1995. Le secteur professionnel concerné obtint
cependant la création d'un nouveau droit d’opposition plus restreint dans le
paysage des garanties existantes : l'opposition « manifeste » -il n’y avait pourtant aucun risques qu’un consommateur invoque un jour le bénéfice d'un droit
d'opposition implicite.
Le secteur des télécommunications, qui traite par nature de données touchant à
l'intimité des personnes (qui on appelle, par qui on est appelé, quand, d’où,
etc.) et qui faisait déjà l'expérience avant 1997 des pratiques de prospection
commerciale automatisée, fut soumis par la directive du 15 décembre 1997 à
un régime tenant compte de l’importance du risque d’intrusion dans la vie privée
des personnes. Dès lors, la prospection par automate d’appels et par télécopieur était soumise à un régime de consentement préalable, la prospection par
téléphone étant autorisée uniquement si, au choix des États membres, elle est
soumise à un régime de consentement préalable ou de simple droit d'opposition.
Ainsi, la position commune européenne était claire : la protection offerte aux
personnes doit être d’autant plus forte que le risque d'intrusion dans la vie privée des personnes est élevé. Cette clarté, porteuse de sécurité juridique pour le
124
secteur marchand, a été oubliée dans la directive sur le commerce électronique.
Les dix-huit mois de discussion de l’article 7 de la directive 2000/31/CE ont
principalement porté sur la question de savoir quelle solution pouvait paraître
acceptable aux commerçants électroniques et non de savoir quelle protection
devait être offerte aux personnes. On oublia alors non seulement les caractéristiques de la prospection électronique non sollicitée (déloyauté, intrusion, frais
pour le destinataire), mais également la législation existante et les réflexions
qui, par le passé, avaient permis d’aboutir à une règle claire, sûre et adaptée
aux risques.
Ainsi, le consensus européen se cristallisa en mai 2000 autour d'une référence
implicite à la législation existante. Cette référence voilée est à l'origine du trouble qui règne actuellement dans les esprits et que la présente étude tente de
rapporter. Le mécanisme de consultation régulière des registres d'opposition
prévu par la directive 2000/31/CE du 8 juin 2000 et la forte implication des fédérations représentatives des commerçants électroniques dans la discussion de
cette directive, ont pu persuader la plus grande partie de ces acteurs que le
texte nouveau était seul à régir la matière de la prospection commerciale non
sollicitée. Pourtant, il ne suffisait pas de taire l'existence de la directive du 24
octobre 1995 pour l'abroger, ni en droit, ni en fait.
Dans le même temps, aux États-Unis, le marché cherchait une règle. Des lois
assorties de sanctions pénales ont été adoptées dans un certain nombre
d’États. Les praticiens du « e-mail marketing », conscients que l’adoption d’une
règle légale contraignante découle toujours de l’impopularité d’une pratique
commerciale, ont alors pris en compte les revendications des « privacy advocates » et décidé de s’engager dans les mécanismes du « permission marketing ».
Aujourd'hui, la situation européenne est hybride.
D'une part, cinq États membres connaissent un régime de consentement préalable : l’Allemagne, l’Autriche, le Danemark, la Finlande et l’Italie.
D'autre part, la plupart des fédérations professionnelles du commerce électronique s'organisent pour mettre en œuvre les registres « opt-out » mentionnés par la directive du 8 juin 2000 sur le commerce électronique. Certaines fédérations européennes s’associent à des registres « opt-out » américains sans
que l’objectif de telles associations, à but lucratif, ne soit compréhensible sur le
terrain commercial ou juridique. Enfin, certains commerçants électroniques européens, attirés par la dynamique commerciale portée par le « opt-in » et tirant
les conséquences positives du « permission marketing » américain, mettent en
pratique des mécanismes sollicitant le consentement préalable des personnes
à recevoir des communications commerciales.
125
Dans ce contexte, dont le maintien n'est profitable à personne, la proposition de
directive concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques,
émise par la Commission européenne le 12 juillet 2000 (69), intervient à point
nommé. Elle a vocation à remplacer la directive 97/66/CE du 15 décembre
1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications.
L’objectif affiché de la Commission européenne est que le cadre juridique
communautaire de protection des données personnelles et de la vie privée soit
indépendant des technologies utilisées, c’est à dire « technologiquement neutre ».
Au delà cette volonté affichée, il convient de relever que la proposition de la
Commission présente également l’intérêt majeur d’être « sectoriellement neutre », s’agissant des communications électroniques non sollicitées. En effet,
l’exigence du recueil du consentement préalablement à l’envoi d’une communication électronique non sollicitée est proposée quel que soit l’objet des services
proposés par l’expéditeur : télécommunications, vente à distance traditionnelle,
commerce électronique, ou encore vente à distance de produits et services financiers.
La Commission propose donc une nouvelle rédaction de l’article 12 de la directive 97/66/CE sur les communications non sollicitées, rédigée dans un nouvel
article 13 de la proposition de directive, rédigé comme suit : « l'utilisation de
systèmes automatisés d'appel sans intervention humaine […] de télécopieurs
ou de courrier électronique à des fins de prospection directe ne peut être autorisée que si elle vise des abonnés ayant donné leur consentement préalable ».
L’option retenue par la Commission européenne en faveur du « opt-in » doit
aboutir, notamment en raison des constats du présent rapport sur les situations
américaine et européenne. Au delà de cette première nécessité, il convient de
saisir cette occasion de concilier des législations nationales déjà divergentes avant même la transposition de la directive sur le commerce électronique- pour
dégager une position européenne commune sur la forme concrète du recueil du
consentement préalable, après avoir rappelé la portée exacte de la notion de
consentement en matière de protection des données personnelles.
La portée du consentement
Le consentement de la directive du 24 octobre 1995 est conçu comme l'exercice absolu par la personne des droits qui lui sont reconnus. Ainsi, on peut consentir (article 8) au traitement de données à caractère religieux, politique, etc,
consentir (article 26) au transfert de ses données vers un pays tiers n’offrant
69) Proposition de directive concernant le traitement des données à caractère personnel et la
protection de la vie privée dans le secteur des communications électroniques, JOCE
COM(2000) 385, 12 juillet 2000.
126
pas un niveau de protection adéquat ou consentir purement et simplement à un
traitement s’il n’a pas d’autres base légitime (article 7a). Les théoriciens du
permission marketing le revendiquent : une fois le consentement acquis, tout
serait possible.
Cette conception doit interroger le juriste comme le politique. A l’heure de la
marchandisation des données, la primauté du consentement des personnes sur
toute autre considération pourrait favoriser l’émergence d’une protection des
données personnelles à deux vitesses : une protection pour les plus démunis,
qui se réduirait à mesure que des offres commerciales inciteraient les personnes à consentir à tout, notamment à ne pas exercer leurs droits, et une protection pour les autres, dont l’aisance financière garantirait l’indépendance du consentement.
Cette approche doit cependant être nuancée. D’une part et juridiquement, le
consentement ne peut porter que sur un traitement dont la finalité doit être déterminée. La portée du consentement dépendra donc en pratique de la clarté
avec laquelle la finalité du traitement a été exposée, c’est à dire la transparence
de l’information préalable fournie à la personne concernée. D’autre part, le consentement est toujours révocable par celui qui a consenti. Il peut être retiré par
l’exercice du droit d’opposition au traitement ultérieur des données ou par
l’exercice du droit de suppression des données traitées.
Toutefois, ces nuances ne suffisent pas à effacer totalement la crainte que le
consentement, qui est le témoignage de l’existence d’un droit quasi-absolu,
puisse être le moyen par lequel la personne concernée peut renoncer à la protection qui lui est offerte par les législations de protection des données personnelles. Or, deux facteurs essentiels de protection des personnes sont indissociablement liés au consentement : l’information préalable de la personne sur la
portée du consentement (principe de consentement « éclairé » ou « informé »)
et la liberté de choix de la personne (principe de consentement libre).
L’exigence de clarté de l’information qui doit être fournie à l’internaute au moment du recueil de son consentement découle également de la chronologie univoque qui s’attache au consentement : il est recueilli préalablement.
Ainsi, à la grande différence de l’exercice du droit d’opposition, qui peut avoir
lieu a priori dès la collecte des données (refus d’être prospecté) ou a posteriori
à tout moment (demande de ne plus être prospecté), le recueil du consentement doit être entendu par nature comme étant préalable au traitement de marketing électronique.
Les modalités de recueil du consentement en ligne sont à préciser
La forme américaine du « opt-in » se traduit en un mécanisme de recueil de
l’autorisation expresse de l’internaute, parfois assortie d’une confirmation (systèmes de « double opt-in ») en raison de l’absence de cadre juridique. Le mar-
127
ché a donc pu librement choisir la règle qui lui semble susciter le plus la confiance des internautes et la sécurité juridique du commerçant. En l’espèce, la
règle la plus protectrice des personnes mise en avant par les théoriciens du
« permission marketing » est celle de l’autorisation expresse préalable.
La modalité de recueil du consentement porteuse de la plus grande sécurité
juridique, selon la pratique américaine, est celle du « double opt-in »,
l’internaute confirmant alors son consentement par le renvoi vers le collecteur
de l’e-mail d’un message déposé par ce dernier à la suite de la collecte de l’email .
En Europe, il est frappant de relever que ni les États membres représentés au
sein du comité institué par l’article 31 de la directive, ni les autorités nationales
de contrôle réunies au sein du groupe « protection des données » dit « de
l’article 29 », n’ont à ce jour adopté d’avis officiel commun décrivant les critères
ou les formes du recueil du consentement préalable à un traitement ou à un
transfert. Peut-être a-t-il semblé peu urgent aux États européens de s’accorder
sur cette question et ce probablement en raison des vertus consensuelles reconnues à la généralité de la norme juridique.
Sur ce point, on rappellera en premier lieu que la directive du 24 octobre 1995
fournit une définition très fortement exigeante du consentement à l’article 2 [h].
Il s‘agit de « toute manifestation de volonté, libre, spécifique et informée par
laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement ». La simple lecture de cette
définition, par les mots qu’elle emploie (« manifestation de volonté […] par
laquelle la personne accepte que ») incite à penser qu’il ne peut exister qu’une
forme possible de consentement : l’autorisation expresse, qui consiste en [1] un
acte positif de volonté [2] en faveur de quelque chose.
On rappellera toutefois que la directive de 1995 prévoit plusieurs catégories de
consentement. En effet, la directive générale prévoit, d’une part, un consentement indubitable au traitement des données (article 7 [a]) et au transfert de
données vers un pays tiers n’assurant pas un niveau adéquat de protection (article 26),, et, d’autre part, le « consentement explicite » de l’article 8.2 [a] sur le
traitement des données sensibles (opinions politiques, religieuses, philosophiques, etc.).
L’existence des deux notions de « consentement indubitable » et de
« consentement explicite » pourrait conduire à s’interroger sur les hypothèses
dans lesquelles le consentement d’une personne serait considéré comme indubitable sans pour autant être explicite. Une telle interrogation constitue cependant un facteur d’insécurité juridique que n’a manifestement pas souhaité le
législateur communautaire tant la définition du consentement donnée par
l’article 2 [h] précité est précise et univoque.
Sans doute le mécanisme d’accusé de réception prévu par l’article 11.1 de la
directive 2000/31/CE relatif à la passation d’une commande pourrait-il être in-
128
voqué par les partisans d’une solution européenne de « double opt-in » (consentement préalable confirmé). Il s’agirait alors pour ces derniers de considérer
que cette disposition peut s’appliquer à toute forme d’engagement en ligne.
Ainsi, la personne qui a fourni son e-mail pour recevoir des informations commerciales sur un produit ou un service déterminé recevra dans sa messagerie
une demande de confirmation de sa « commande », dont le renvoi au commerçant sera la garantie d’une commande confirmée (le « double opt-in »).
On relèvera cependant que l’article 11.3 de cette même directive ne peut, rigoureusement, être d’aucun secours, dans la mesure où il exclut expressément les
échanges par courrier électronique du champ de l’article 11.1 précité sur les
commandes en ligne.
En conséquence, il apparaît que la manière la plus évidente d’être assuré que
l’internaute a donné son consentement à être prospecté par voie électronique
consisterait à rendre obligatoire l’expression de sa volonté en la matière. Ainsi,
le recueil du consentement à être prospecté lors de la collecte des données
auprès de l’internaute pourrait consister en un champ à remplir (, case ou
champ à cocher) au sein du formulaire de collecte d’informations. Cette forme
concrète de recueil du consentement respecterait la définition donnée par
l’article 2 [h] de la directive du 24 octobre 1995. A défaut pour l’internaute
d’activer lui-même un champ réservé au recueil de son consentement à être
prospecté, le consentement ne saurait être considéré comme acquis.
Le recueil du consentement préalable consisterait ainsi à mettre la personne,
au moment où elle fournit ses données (sur le support de collecte), en mesure
d’indiquer explicitement si elle accepte ou si elle refuse de recevoir des prospections électroniques ultérieures. Dans le même temps, la vigilance la plus
grande doit être apportée à la clarté de l’information de l’internaute associée à
la case à cocher.
On relèvera qu’un tel mécanisme, mis en œuvre au moment de la collecte,
permet de collecter les données personnelles en même temps que les conditions que la personne a attaché à leur traitement. Dans cette perspective, il est
évident que la pratique consistant à proposer des cases pré-cochées présente
pour seul intérêt de révéler l’intention déloyale du collecteur des données.
Ce mode de recueil du consentement, parce qu’il se situe au moment de la
collecte initiale de l’e-mail, favorise par sa seule existence les conditions d’une
collecte loyale des données, principe fondateur des législations de protection
des données personnelles existantes.
Il repose sur une conception productive du traitement des données collectées
directement sur support électronique : la collecte des données et des droits qui
s’y attache doit être concomitante afin de permettre immédiatement un usage
commercial sûr des données collectées et le respect des droits des personnes.
129
La nécessaire transparence qui s’attache au mécanisme du consentement préalable doit aujourd’hui atteindre un stade de maturité et de généralisation dans
lesquelles chacun aura compris qu’il est préjudiciable au développement du ecommerce de contraindre les internautes à des recherches ou des démarches
pour s’assurer de la loyauté du commerçant avant l’achat d’un produit ou d’un
service.
131
Annexe 1 :
« Anti-spam Policies » des sociétés de
e-mail marketing
133
SPAM POLICY
Overview:
Neither Exactis.com Inc. nor Exactis.com Express, Inc. (collectively referred to herein as
« Exactis.com ») condones unsolicited, off-topic bulk e-mail (« Spam »); thus, Exactis.com prohibits the practices commonly known as « spamming. » This document defines Exactis.com’s
policy regarding Spam and applies to the clients of Exactis.com.
Purpose:
E-mail is a powerful and focused communication tool. Used effectively it can help establish
valuable relationships with your customers. Used improperly it can cause irreparable harm and
undermine the value of an important communication line between you and your customers.
Based on considerable experience with our own subscriber lists and others’ mailing lists, certain
guidelines should be followed to maximize the effectiveness of e-mail as a relationship-building
tool.
Definitions:
« List » is a set of e-mail addresses provided by the client to Exactis.com for the purpose of
sending e-mail to them. « Opt-In Approach » is a method whereby a person who wishes to subscribe must request to be added to the List. « Opt-Out Approach » is a method whereby a person is automatically subscribed, and they must ask to be removed from the List.
Summary:
To comply with Exactis.com’s Spam policy, demonstrable evidence must exist that the e-mail,
its objective and its sender fits expectations established with the subscriber when they provided
their e-mail address.
Policy:
1. Subscriber Expectations
If the subscribers deliberately provided their e-mail addresses to receive the e-mail to be
sent, Exactis.com will send the mail. If the subscribers are not expecting the e-mail as a
direct result of providing their e-mail addresses, the issue of content relevance must be
addressed.
2. Content Relevance
A determination must be made whether the content of the mailing contains subject matter
relevant to the List. That is, the content of the e-mail must reasonably fit subscribers’ expectations of what they were going to receive when they provided their e-mail address.
For instance, a subscriber who elected to receive recent news items about high-tech developments could reasonably expect to receive Silicon Valley updates from the same
content provider, but would not reasonably expect to receive general world news.
After a dialogue with the client about relevance, Exactis.com will make a determination
regarding send viability. In the rare event of a difference of opinion, small scale testing of
a List can be conducted to provide additional data for a decision by Exactis.com. If relevancy exists, the subscribers may be added to a List through an Opt-In Approach or OptOut Approach mailing. Opt-Out Approach mailings are only available if a previous relationship exists between the client and the addressee. The Opt-In Approach mailing may
be either a multiple issue trial (of reasonable duration) or a one-time mailing (announcing
the offer). Any Opt-In Approach or Opt-Out Approach mailing must explicitly inform the
end-user of the situation and their options to subscribe or unsubscribe.
If relevancy does not exist, Exactis.com will not send the proposed mailing until the client
has taken measures to allow subscribers to choose to participate in the List or not.
134
3. Additional Principles:
In the event the source of a List or expectations of all users on a particular List is unclear, or the duration of the time between when the addresses were collected and the
first e-mail is to be sent could cause confusion, clarity must be provided in the form of a
preamble in each of the first two e-mails sent. The preamble must explain whom the email is from, the reason the person is receiving the message and the possible source of
the e-mail address (i.e. ways in which the address may have been gathered by the client) and clear instructions on how to unsubscribe.
Any client supplying Exactis.com with a new List to be added to the system or new subscribers
to be added to an existing List will be required to represent and warrant that the new names
adhere to Exactis.com’s policy regarding the source of names.
When an e-mail address is provided, the user should have clear expectations regarding information the client plans to send. This expectation should be based on direct notice from the client.
Unsubscribe instructions must be made readily available with in the e-mail body to all recipients.
Forging of header information (the practice of making it appear as though an e-mail message
originated from another source) or intentionally misleading subject lines is not permitted.
Publishers may not forward or otherwise propagate chain letters, whether or not the recipient
wishes to receive such mailings.
Malicious e-mail, including but not limited to « mailbombing » (flooding a user or site with very
large or numerous pieces of e-mail), is prohibited.
All one-time or announcement mailings completed for a client must adhere to these same policies.
Exactis.com reserves the right at any time to implement technical mechanisms to prevent such
activities, refuse to send e-mail that does not meet the aforementioned requirements, terminate
service or take other legal action against any Customer that engages in or tolerates spamming
or any other illegal, harassing, obscene or other potential liability-causing activity. Exactis.com
reserves all legal and equitable rights in enforcing this policy.
Note: This policy has been created in conjunction with widely accepted policies on the Internet.
In addition, Exactis.com has conducted extensive tests, using our own subscribers, in setting
these policies. These tests generated measurable results that were used to form the basis of
this policy.
135
Ten Rules for Permission-based E-mail marketing
Marketers everywhere are embracing opt-in e-mail marketing. Though similar in many ways to
traditional direct marketing, opt-in e-mail operates under very different rules. Those who violate
the rules are often deluged with complaints and find that response rates suffer. These guidelines will help you avoid the problems and focus on success.
1. Send e-mail only to those who have "opted-in" to receive it.
Ideally you should use "confirmed" opt-in, in which a confirmation message must be
sent to the recipient, who in turn must reply to the message for the opt-in to take effect.
Avoid "opt-out," which forces the recipient to receive messages until he says no. This
widespread practice of opt-out appears to actually discourage e-commerce. A recent
survey by Intelliquest found that 63% of Web users agreed with the statement, "If I buy
online, I'll end up getting junk e-mail." And the trend is up - Intelliquest found only 58%
agreed with that statement in 1998. Perhaps this is why many people use fake e-mail
addresses when buying online; Shop.org found in a 1998 survey that 60% of surfers
have given false information when filling out online forms.
Bottom line: Consumer trust is something you have to earn. One of the best ways is to
respect their wishes when it comes to e-mail.
2. Always honor user requests to opt-out.
Make it a simple process and include a Web site URL in every message that allows the
user to opt-out. (A simple "reply to unsubscribe" does not always work if the user has
multiple e-mail accounts, which can be extremely frustrating for the end user.) For some
companies, it might make sense to "downsell" the end user. For example, a news site
that provides daily deliveries may have success in offering the user an opportunity to
"downgrade" to weekly digests. After all, many opt-outs are simply a natural reaction to
too much e-mail in general; a reduced burden is often welcome.
3. Confirm everything by e-mail: The initial opt-in, orders, shipping notification and
changes in the customer profile.
This blunts the problem of false information. If a fake e-mail address has been entered,
the confirmation will either bounce or be delivered to someone who possibly has never
heard of you, in which case he will contact you and let you know your database needs
to be updated. Always include an opt-out mechanism in these messages. As an added
bonus, use these messages as an upsell opportunity. For example, an airline could offer the user a reduced rate for renting a car from a particular sponsoring vendor.
4. Allow users to specify their preferences.
What kind of information do they want to receive? How often? Encourage users to give
you as much information as necessary to allow you to effectively target them in your email promotions and other e-commerce activities. But avoid asking for her life story. Instead, structure your program so that you gain more information over time -- with her
permission, of course!
5. Give and you shall receive.
Customers don't give you their e-mail address and other personal information out of altruism. They do it in exchange for something of value. It could be information (on your
Web site, via e-mail or through some other media), a free gift, a coupon or a chance to
win a sweepstakes. Be creative, but also follow through by delivering real value to the
recipient with every message.
6. Your list is an asset that only you can use; do not sell or rent it.
If you want to realize incremental revenue beyond your own offerings, allow the users to
opt-in to receive offers from your partners. If you do this, make sure you control the
mailings, and that your brand "introduces" other brands. Example: "Because you opted
to receive promotional offers of our valued partners, we at ABC Corp are please to give
you a special offer from XYZ Corp." Ask the company doing the promotion to give you
136
7.
8.
9.
10.
an exclusive on the offer for a limited time; limiting the offer to only your customers increases the value of opting in.
Develop and post a privacy policy for your web site.
Do NOT violate it!
Respond to customer e-mail inquiries promptly.
It reinforces how valuable they are to you and reminds them that there are real, live
people "behind the scenes" of your web site.
Do not use rented lists.
The only exception is vendors who use the method described in number 6.
Always remember the network effect.
Bad news travels much faster than good on the Internet.
An angry online customer can broadcast his ire to millions by creating an "I hate [your
company]" Web site, e-mailing the experience to friends, posting it on message boards
and other ways. Remember, in the new economy the customer is in control. Do not
make the mistake of treating e-mail and the Web like the telephone and snail mail.
137
Our List Member Guarantee
1.
Your privacy will be protected.
At NetCreations, we respect your right to privacy. Your name, email address, zipcode
and any other identifying information that you give us will not be revealed to any of the
direct marketers who rent our lists. Should we ever change our policy, you will be given
the chance to remove yourself from our lists before your information is disclosed.
2.
You will not be spammed.
We hate spamming, and we know that you do, too. When you sign up for our PostMasterDirect.com mailing lists, you will receive commercial email messages only about
those topical categories that you have selected. Before any mailing goes out, our staff
personally screens each marketer's message to make sure that it's relevant to the list's
topic.
3.
You will be able to get off our lists at any time, no questions asked.
Just because you joined a list a month ago doesn't mean you want to stay on it forever.
Every PostMasterDirect.com message we send out is coded with a special header and
footer that allows you to remove your name from all lists automatically by forwarding the
message to [email protected]. We also offer a Subscription Review
Service at http://review.postmasterdirect.com that enables you to unsubscribe from
specific lists and update your personal profile
139
Annexe 2 :
Références et extraits des lois nationales
citées dans l’étude et prévoyant le recueil
du consentement préalable
140
Allemagne :
Loi fédérale allemande sur les Télécommunications
du 31 juillet 1996 (extraits)
Traduction anglaise non officielle accessible notamment sur le site de l’autorité
fédérale allemande de protection des données personnelles à l’adresse :
http://www.bfd.bund.de/information/tkgeng.pdf
§89 Data Protection :
(1) The Federal Government shall issue, by ordinance having the force of law
with the consent of the German Bundesrat, provisions on the protection of the
personal data of those engaging in telecommunications which govern the collection, processing and use of such data for companies commercially providing
telecommunications services or contributing to the provision of such services.
These provisions shall take account of the principle of reasonableness, specifically of restricting collection, processing and use to that which is necessary, and
the principle of purpose-tying. Maximum storage periods shall be laid down and
overall the justified interests of the company and parties concerned taken into
account. Particulars of legal persons who are subject to telecommunications
secrecy shall be treated as
equivalent to personal data.
(2) Companies and persons commercially providing telecommunications services or contributing to the provision of such services may, in accordance with
the applicable ordinance, collect, process and use the data of natural and legal
persons insofar as this is necessary :
[…] (7) The companies and persons specified in (2) above may process
and use personal data which they have collected for the establishment,
framing of the content or modification of a contractual relationship insofar
as this is required for purposes of advertising, customer consulting or
market research for the companies and persons specified in (2) above and
the customer has given his consent. Personal customer data already collected by the companies and persons specified in (2) above at the date of entry
into force of this Act may be processed and used for the purposes referred to in
sentence 1 above if the customer does not raise any objections. His consent
shall be deemed given if he has been adequately informed but has not made
use of his right of objection.
141
Allemagne (suite) :
Loi fédérale allemande sur les Téléservices
du 13 juin 1997 (extraits)
Traduction anglaise non officielle accessible notamment sur le site du Commissaire à la protection des données personnelles du
Land de Berlin à l’adresse :
http://www.datenschutz-berlin.de/recht/de/rv/tk_med/iukdg_en.htm#a2
Article 5, § 2
1. The provider may collect, process and use the personal
data of a user to the extent necessary the data are required for concluding
with him a contract on the use of teleservices and for determining or modifying the terms of such contract (contractual data).
2. Processing
and
use
of
contractual
data
for
the
purpose
of advising, advertising, market research or for the demand-oriented design
of the teleservices is only permissible if the user has given his
explicit consent.
Traité fédéral sur les Mediaservices du 23 juin 1997 (extraits)
Texte en allemand reprenant la même formulation que la loi du 13 juin 1997 sur
les Téléservices, accessible notamment sur le site du Commissaire à la protection des données personnelles du Land de Berlin à l’adresse :
http://www.datenschutz-berlin.de/recht/de/stv/mdstv.htm#nr14
Article 14, § 2
1. Der
Anbieter
von
Mediendiensten
darf
personenbezogene
Daten eines Nutzers erheben, verarbeiten und nutzen, soweit sie fur
die Begrundung, inhaltliche Ausgestaltung oder Anderung eines
Vertragsverhaltnisses mit ihm uber die Nutzung von Mediendiensten
erforderlich sind (Bestandsdaten).
2. Eine
Verarbeitung
und
Nutzung
der
Bestandsdaten
fur
Zwecke der Beratung, der Werbung, der Marktforschung oder zur bedarfsgerechten
Gestaltung
technischer
Einrichtungen
des
Anbieters ist nur zulassig, soweit der Nutzer in diese ausdrucklich
eingewilligt hat.
142
Autriche :
Loi de réglementation des télécommunications (extrait)
Traduction française non officielle de la section 101 de la loi de réglementation
des télécommunications, entrée en vigueur en août 1999
Section 101
Les appels -y compris par fax- ayant une finalité commerciale ne peuvent être
autorisés sans le consentement préalable des personnes. Ce consentement
peut être révoqué à tout moment ; l’envoi de courriers électroniques en masse
ou à des fins commerciales nécessite le consentement préalable du destinataire, révocable à tout moment.
143
Danemark :
Loi n° 418 du 31 mai 2000 (extrait)
Traduction française non officielle de la loi transposant en
droit interne danois la directive 97/66/CE du 15 décembre 1997
Article 6 a (1)
Les fournisseurs de biens matériels ou immatériels ou de services ne sont pas
autorisés à prospecter quiconque en recourant au courrier électronique, à des
systèmes automatisés d’appels (automates d’appels) ou à des télécopieurs
(fax) à des fins commerciales, à moins que le destinataire n’ait préalablement
sollicité de telles prospections.
Article 6 a (2)
Les fournisseurs de biens matériels ou immatériels ou de services utilisant des
moyens de communications autres que ceux cités à la section (1) ne sont pas
autorisés à contacter les personnes qui leur ont demandé à ne plus être contactées, ni les personnes qui figurent dans le registre d’opposition détenu et mis
à jour trimestriellement par le « Civil Registration System » (CPR).
Lors du premier contact avec une personne non inscrite dans le registre tenu
par le CPR et lorsque des procédés de communications autres que ceux cités à
la section (1) sont utilisés, le fournisseurs de biens ou de services doit informer
de manière claire et compréhensible le destinataire de l’appel de son droit de
s’opposer à recevoir des appels commerciaux et des moyens d’exercer ce droit.
144
Finlande :
Loi n° 1999/565 du avril 1999
Traduction anglaise non officielle du texte transposant la Directive 97/66/CE
Section 21 – Telecommunications in direct marketing
1. Telecommunications may not be used for direct marketing without the prior
consent of the subscriber if the calls to the called subscriber are made by
means of automated calling systems or facsimile machine unless otherwise
decided by the ministry under paragraph 4.
2. Without prejudice to the provisions of paragraph 1, telecommunications may
be used for direct marketing by means of automatic systems if a subscriber
who is not a natural person has not forbidden it unless otherwise decided by
the ministry under paragraph 4. However, a telefax may be used for direct
marketing to a subscriber who is not a natural person.
3. Telecommunications used for the purposes of direct marketing to a natural
person by other means than those referred in paragraph 1 shall be allowed
unless expressly forbidden by him. The subscriber must have a way of forbidding the direct marketing referred to in this subparagraph free of charge.
4. The ministry shall, where necessary, taking into account the functionality and
security of the telecommunications network and telecommunications services
as well as the reasonableness obligations ensuing on the providers of direct
marketing, decide in more detail on the means of telecommunications which :
-
would be allowed in telecommunications referred to in paragraph 1 without the consent of the subscriber provided, however, that the subscriber
is able to forbid or prevent the telecommunications referred to in this
subparagraph; as well as which
-
in telecommunications referred to in paragraph 2 require prior consent of
the subscriber.
Direct marketing directed at consumer shall further be governed by the provisions of the Consumer Protection Act (1978/38).
Section 22 – Availability of refusals to accept regarding direct marketing
The ministry shall, where necessary, decide in more detail on ways in which the
refusals referred to in section 20, paragraph 2, subparagraph 2 (direct marketing towards subscriber directories) and section 21 shall be held available to
those providing direct marketing.
145
Italie :
Décret d’application n°171 du 13 mai 1998
Texte transposant en Italie la Directive 97/66/CE et les dispositions de la directive 95/46/CE spécifiques à l’activité de journaliste
Traduction anglaise non officielle
Article 10 - Unsolicited calls
5. The use of automated calling systems without human intervention or facsimile machines for the purposes of direct marketing or sending advertising materials, or else for carrying out market surveys or interactive business communication shall only be allowed with the subscriber's express consent.
6. Any calls made for the purposes referred to in paragraph 1 by means other
than those mentioned therein shall be allowed in pursuance of Articles 11
and 12 of the Act.
Loi n° 675 du 31 décembre 1996
Texte transposant en Italie la Directive 95/46/CE
Article 11 - Data subject’s consent
1. Processing of personal data by private entities or profit-seeking public bodies
shall be deemed lawful only if the data subject gives his express consent.
2. The data subject’s consent may relate to the overall processing or to one or
more of the operations thereof.
3. The data subject’s consent shall be deemed to be effective only if it has been
given freely, in a specific form and in writing and if the data subject was provided with the information as per article 10.
Article 12 - Cases in which the data subject’s consent is not required
1. The data subject’s consent shall not be required :
a) if the processing concerns data collected and kept in compliance with an
obligation imposed by a law, regulations or Community legislation;
146
b) if the processing is necessary for the performance of obligations resulting
from a contract to which the data subject is a party, or for gathering information at the data subject’s request prior to entering into a contract, or
for the performance of a lawful obligation;
c) if the processing concerns data extracted from public registers, lists,
documents or records which are publicly available;
d) if the processing is carried out exclusively for scientific research or statistics purposes and complies with the codes of conduct and professional
ethics undersigned in pursuance of Article 31;
e) if the processing is carried out within the scope of the journalistic profession and for the sole purposes related thereto. In the latter case, the
code of conduct referred to in article 25 shall apply;
f) if the processing concerns data relating to economic activities which
have been collected, inter alia, for the purposes mentioned in para. 1,
subheading e), of article 13 without prejudice to the laws in force regarding business and industrial secrecy;
g) if the processing is necessary to safeguard life or bodily integrity either of
the data subject or of a third party, and the data subject cannot give his
consent because of physical or legal incapacity or mental disorder;
h) if the processing is necessary for carrying out the investigations referred
to in article 38 of the implementing, coordination and transitional provisions of the Criminal Procedure Code as approved by legislative decree
no. 271 of 28 July 1989, subsequently amended, or else for the exercise
or defence of a legal claim, provided that the data are processed exclusively for said purposes and for no longer than is necessary therefor.
Article 13 - Data subject’s rights
1. In respect of the processing of personal data, any data subject shall have the
right to:
2.
a) be informed, by having access, free of charge, to the register mentioned
under paragraph 1, subheading a), of article 31, of the existence of the
processing of data that may concern him;
b) be informed of what is mentioned under paragraph 4, subheadings a), b)
and h), of article 7;
c) obtain, without delay, either from the controller or from the processor:
1 - confirmation as to whether or not personal data relating to him exist,
regardless of their being already recorded, and the intelligible communication of such data and their source, as well as of the logic and the purposes underlying the processing; such request is renewable at intervals
of not less than ninety days, unless there are well-grounded reasons
therefore;
2 - the erasure, blocking or anonymization of data which have been
processed unlawfully, including those the keeping of which is not necessary for the purposes for which they were collected or subsequently
processed;
147
3 - the updating, rectification or, where interested therein, integration of
the data;
4 - the statement that the operations as per 2) and 3) above have been
notified, as also related to their contents, to the subjects to whom the
data were communicated or disseminated, except when the provision of
such information proves impossible or involves a manifestly disproportionate effort compared with the right that is to be protected;
d) object, in whole or in part, on legitimate grounds, to the processing of
personal data relating to him, even though relevant to the purpose of the
collection;
e) object, in whole or in part, to the processing of personal data relating to him which is carried out for purposes of commercial information or advertising or direct marketing, or else for the performance
of market or interactive commercial communication surveys, and be
informed by the controller, no later than at the time when the data
are communicated or disseminated, of the possibility to exercise
such right free of charge.
2. Where it is not confirmed that personal data relating to the data subject exist,
the latter may be charged a sum which shall not be greater than the expenses actually incurred, for each request as per para. 1, subheading c),
number 1), in accordance with the modalities and within the limits set out by
the regulations as per article 33(3).The rights as per paragraph 1, where relating to the personal data of a deceased, may be exercised by anyone who
is interested in them.
3. The data subject may grant, in writing, power of attorney or representation to
natural persons or associations in the exercise of the rights as per paragraph
1.
4. The provisions concerning professional secrecy of the journalistic profession
shall further apply as related to the source of the information.
148
Annexe 3 :
Liste des personnalités et organismes
consultés dans le cadre de l’étude
I - AUTORITES NATIONALES DE PROTECTION DES DONNEES PERSONNELLES
Titre
Doktor
Doktor
Doktor
Monsieur
Miss
Prénom
Waltraut
Gustav
Anton
Paul
Lotte
Nom
KOTSCHY
MAIER
SPENLING
THOMAS
JORGENSEN
Fonction
Présidente
Doktor
Helmut
BAÜMLER
LfD D
Doktor
Mister
Ulrich
Bernd
DAMMANN
DANNEMANN
LfD D
LfD D
Mister
Alexander
DIX
LfD D
Doktor
Doktor
Mister
Doktor
Doktor
Doktor
Mister
Gerhard
Hansjürgen
Sven
Thomas
Rainer
Joachim
Klaus-Reiner
DRONSCH
GARSTKA
MÖRS
GIESEN
HAMM
JACOB
KALK
LfD D
LfD D
Doktor
Werner
KESSEL
LfD D
Miss
Doktor
Doktor
Silvia
Walter
Hans-Hermann
LIEBAUG
RUDOLP
SCHRADER
LfD D
LfD D
LfD D
Miss
Bettina
SOKOL
LfD D
Mister
Miss
Mister
Mister
Mister
Mister
Reinhard
Elisabeth
Juan-Manuel
Reijo
Konstantinos
Fergus
VETTER
FRANCE
FERNANDEZ-LOPEZ
AARNIO
DAFERMOS
GLAVEY
LfD D
Commissioner
Président
LfD D
LfD D
LfD D
Président
Ombudsman
Président
Président
Organisme
Pays
Datenschutzkommission und des Datenschutzrates
AUSTRIA
Datenschutzkommission und des Datenschutzrates
AUSTRIA
Datenschutzkommission und des Datenschutzrates
AUSTRIA
Commission de la Protection de la Vie Privée
BELGIQUE
Datatilsynet
DENMARK
Der Landesbeaufragte für den Datenschutz bei der Präsidentin
DEUTSCHLAND
des Schleswig-Holsteinischen Landtages
Der Bundesbeaufragter fur den Datenschutz
DEUTSCHLAND
Der Landesbeaufragte für den Datenschutz
DEUTSCHLAND
Der Landesbeaufragte für den Datenschutz und für das Recht
DEUTSCHLAND
auf Akteneinsicht Brandenburg
Der Landesbeaufragte für den Datenschutz Niedersachsen
DEUTSCHLAND
Der Berliner Datenschutzbeaufragte
DEUTSCHLAND
Der Berliner Datenschutzbeaufragte
DEUTSCHLAND
Der Sächsische Datenschutzbeaufragte
DEUTSCHLAND
Der Hessiche Datenschutzbeaufragte
DEUTSCHLAND
Der Bundesbeaufragter fur den Datenschutz
DEUTSCHLAND
Der Landesbeaufragte für den Datenschutz Sachsen-Anhalt DEUTSCHLAND
Der Landesbeaufragte für den Datenschutz MecklenburgDEUTSCHLAND
Vorpommern
Der Thüringer Landesbeaufragte für den Dantenschutz
DEUTSCHLAND
Der Landesbeaufragte für den Datenschutz Rheinland-Pfalz DEUTSCHLAND
Der Hamburgische Datenschutzbeaufragte
DEUTSCHLAND
Die Landesbeaufragte für den Datenschutz NordrheinDEUTSCHLAND
westfalen
Der Bayerische Landesbeaufragte für den Datenschutz
DEUTSCHLAND
Data Protection Commissioner
ENGLAND
Agencia de Proteccion de Datos
ESPANA
Data Protection Ombusdsman
FINLAND
Hellenic Data Protection Authority
GREECE
Data Protection Commissioner IRELAND
149
150
Doktor
Professor
Professor
Monsieur
Mister
Mister
Giovanni
Stefano
Giuseppe
René
Peter J.
Georg
BUTTARELLLI
RODOTA
SANTANIELLO
FABER
HUSTINX
APENES
Doktor
Joao
LABESCAT DA SILVA
Mister
Ulf
WIDEBËCK
Secrétaire Général Garante per la Protezione dei data Personali
ITALIA
Président
Garante per la Protezione dei data Personali
ITALIA
Vice-Président
Garante per la Protezione dei data Personali
ITALIA
Président
Commission à la Protection des données nominatives
LUXEMBOURG
Chairman
Registratiekamer
NETHERLANDS
Chairman Office
Data Inspectorate
NORWAY
Comissao Nacional de Protecçao de Dados Pessoais InformaChairman
PORTUGAL
tizados
Chairman
Datainspektionen
SWEDEN
II – ORGANISATIONS REPRESENTATIVES DES ACTEURS DE l’INTERNET
Titre
Mister
Mister
Prénom
Thomas
Hasso
BERENDT
HERBST
Nom
Mister
Michael
SCHNEIDER
Mister
Mister
Thomas
Klaus
STEINMARK
WIRTH
Fonction
Délégué Général Adjoint
Managing Director
Director of Regulation/ SelfRegulation
Délégué Général
Président
Miss
Hildergard
FISCHER
Secrétaire Général
Mister
Joseph
HAMBERGER
Délégué Général
Mister
Paul
MAILATH POKORNY
Président
Mister
Monsieur
Helmut
Michel
RITTER
CASTERS
Monsieur
Dirk
FRANS
Correspondant AEVPC
Président
Director General Business
Development
Monsieur
Didier
LAHACHE
Président
Mister
Rudi
ROTH
Monsieur
Alastair
TEMPEST
Monsieur
Paul
VAN LIL
Secretary General
Director General Public Affairs & Self Regulation
Délégué Général
Monsieur
Aad
WEENING
Délégué Général
Mister
Miss
Miss
Mister
Mister
Mister
Mister
Monsieur
Monsieur
Erick
Elena
Elena
Miguel
Miguel
Jouko
Sakari
Serge
Antoine
RYGE
GOMEZ DEL POZUELO
GOMEZ DEL POZUELO
REIRIS
REIRIS
KOVERO
VIRTANEN
AUMONT
BEAUSSANT
Délégué Général
Délégué Général
Délégué Général
Président
Président
Président
Délégué Général
Président
Organisme
BUNDESVERBAND DES DEUTSCHEN
DDV
Pays
ALLEMAGNE
ALLEMAGNE
EuroISPA
ALLEMAGNE
BUNDESVERBAND DES DEUTSCHEN
BUNDESVERBAND DES DEUTSCHEN
HANDELSVERBAND ARBEITSGRUPPE VERSANDHAUSER
DIRECT MARKETING VERBAND OSTER
HANDELSVERBAND ARBEITSGRUPPE VERSANDHAUSER
RITTER CONSULTING
BDMV/ABMD
FEDMA (Federation of European Direct Marketing)
ASSOCIATION EUROPEENNE DE VENTE PAR
CORRESPONDANCE
EuroISPA
ALLEMAGNE
ALLEMAGNE
AUTRICHE
AUTRICHE
AUTRICHE
AUTRICHE
BELGIQUE
BELGIQUE
BELGIQUE
BELGIQUE
FEDMA
BELGIQUE
BDMV/ABMD
ASSOCIATION EUROPEENNE DE VENTE PAR
CORRESPONDANCE
DANSK POSTORDREFOREINING
FECEMD
AEMD
FECEMD
AEMD
SSML
SSML
Comité Réseaux des Universités (CRU)
Groupement des Editeurs de Services en ligne
BELGIQUE
BELGIQUE
DANEMARK
ESPAGNE
ESPAGNE
ESPAGNE
ESPAGNE
FINLANDE
FINLANDE
FRANCE
FRANCE
151
152
(GESTE)
Madame
Nadia
BELMOURI
Secrétaire
Monsieur
Hubert
BRIN
Président
Monsieur
Henri
de MAUBLANC
Président
Monsieur
Etienne
DUPONT
Directeur
Monsieur
Jean-Christian
FANDEUX
Président
Monsieur
Monsieur
Georges
Michel
FISCHER
FRANCK
Président
Madame
Marie-Agnès
GIROUD
Chargée de mission
Monsieur
Noël
GOUTARD
Monsieur
Eric
HAYAT
Monsieur
Jacques
KUNTZ
Monsieur
Gérard
LADOUX
Monsieur
Jean-Christophe
Le TOQUIN
Monsieur
Jean-Christophe
Le TOQUIN
Monsieur
Madame
Monsieur
Jean-Pierre
Véronique
Jean-Marc
LEVIEUX
MILAN-BESLAY
PINCET
Monsieur
Pascal
POUPET
Monsieur
Bernard
SIOUFFI
Madame
Marie-France
TULASNE
Missis
Delphine
VARA
Mister
Lionel
WALSH
ACSEL
Union Nationale des Associations Familiales
(U.N.A.F.)
Association pour le Commerce et les services en
Ligne (ACSEL)
Association Française de Normalisation (AFNOR)
Fédération des Entreprises de Vente à Distance
(FEVAD)
Chambre de Commerce et d'Industrie de Paris
Chambre de Commerce et d'Industrie de Paris
Association pour le Commerce et les services en
Ligne (ACSEL)
Vice-Président du groupe
"RECHERCHE ET INNOVA- Mouvement des Entreprises de France (MEDEF)
TION"
Président du groupe "REMouvement des Entreprises de France (MEDEF)
CHERCHE ET INNOVATION"
Président de la Délégation de
Chambre de Commerce et d'Industrie de Paris
Paris
Association pour le Commerce et les services en
Secrétaire Général
Ligne (ACSEL)
Vice-Président
EuroISPA
Association des Fournisseurs d'accès et de serviDélégué Permanent
ces Internet (AFA)
Président
IAB France
Chargée de la communication Union Française du Marketing Direct
Directeur du Pôle Juridique Association Française de Normalisation (AFNOR)
Dép.Technologies de l'InforAssociation Française de Normalisation (AFNOR)
mation et Communication
Fédération des Entreprises de Vente à Distance
Délégué Général
(FEVAD)
Association pour le Commerce et les services en
Secrétaire
Ligne (ACSEL)
Executive Manager
Chambre de Commerce Internationale (ICC)
Directeur des communicaChambre de Commerce Internationale (ICC)
tions
FRANCE
FRANCE
FRANCE
FRANCE
FRANCE
FRANCE
FRANCE
FRANCE
FRANCE
FRANCE
FRANCE
FRANCE
FRANCE
FRANCE
FRANCE
FRANCE
FRANCE
FRANCE
FRANCE
FRANCE
FRANCE
Mister
Jim
DIXON
Director of Telecommunications Issues
EuroISPA
Mister
Colin
FRICKER
Legal Affairs
THE BRITISH DMA
Mister
Malcom
LANDAU
Délégué Général
THE MAIL ORDER TRADER'S ASSOCIATION
Mister
Colin
LLOYD
Directeur Général
THE BRITISH DMA
Mister
Jim
MARTIN
Président
THE MAIL ORDER TRADER'S ASSOCIATION
Mister
Mister
Mister
Mister
Mister
Mister
Mister
Mister
Mister
Mister
Mister
Mister
Mister
Mister
Mister
Mister
Mister
Mister
Mister
Mister
Ewan
Howard
Bill
John
Paolo
Mirko
Pier-Attilio
Pietro
Arne
Eddy
Tore
Herbert
Gerard
Menno
Frits
Joao
Tom
Erick
Lennart
Gunnar
BYRNE
JACOBS
MOSS
O'ROURKE
LAVINO
PLANTA
RUBINI
SANFELICE MORTEFORTE
EGGEN
HANSEN
KVARUD
HAAIJ
MARSMAN
VAN DER PUT
VAN DORST
NOVAIS DE PAULA
EKELUND
GRONBERG
HELGESSON
RYMAN
Président
Délégué Général
Chairman
Treasurer
Président
Managing Director
Délégué Général
Président
Chairman
Président
Délégué Général
Président
Président
Délégué Général
Managing Director
Secrétaire Général
Président
Délégué Général
Délégué Général
Président
THE IRISH MAIL ORDER ASSOCIATION
THE IRISH MAIL ORDER ASSOCIATION
IRISH DMA
IRISH DMA
ANVED
AIDIM
ANVED
AIDIM
NORSK DIREKTE MARKEDSFORDING FOR
NORSK POSTORDREFORENING
NORSK POSTORDREFORENING
DMSA
NEDERLANDSE POSTORDERBOND
NEDERLANDSE POSTORDERBOND
DMSA
ASSOCIACAO PORTUGUESA DE MD
SWEDISH DMA
SWEDISH DMA
SVENSKA POSTORDER FORENINGEN
SVENSKA POSTORDER FORENINGEN
GRANDEBRETAGNE
GRANDEBRETAGNE
GRANDEBRETAGNE
GRANDEBRETAGNE
GRANDEBRETAGNE
IRLANDE
IRLANDE
IRLANDE
IRLANDE
ITALIE
ITALIE
ITALIE
ITALIE
NORVEGE
NORVEGE
NORVEGE
PAYS-BAS
PAYS-BAS
PAYS-BAS
PAYS-BAS
PORTUGAL
SUEDE
SUEDE
SUEDE
SUEDE
153