DidTheyReadIt… un spyware illicite dans vos courriels

/ /
Publié le 1 juillet 2004
Par .

Après le profilage des internautes sur la toile, voici venu le temps du profilage de n’importe quel lecteur de courriel ! La technique utilisée par les spammeurs pour tracer les comportements des destinataires de spams est à la portée des internautes. Mais ces derniers savent-ils que c’est illégal en France ? En effet, la mise sur le marché récente…

Après le profilage des internautes sur la toile, voici venu le temps du profilage de n’importe quel lecteur de courriel !

 

La technique utilisée par les spammeurs pour tracer les comportements des destinataires de spams est à la portée des internautes. Mais ces derniers savent-ils que c’est illégal en France ?

 

En effet, la mise sur le marché récente d’un nouveau logiciel espion de suivi de courriers électroniques a fait vivement réagir la CNIL. Dans son communiqué du 22 juin, elle vise spécifiquement le logiciel « Did they read it ? » (« L’ont-ils lu ? »), commercialisé par la société Rampell Software. Moyennant le paiement d’un abonnement, l’expéditeur du courrier électronique se voit envoyer un rapport identifiant le moment où le message électronique est lu, pendant combien de temps il est ouvert, la zone géographique où il est lu (dans quelle ville pour les Etats-Unis, dans quel pays et parfois quelle région s’agissant de la France), l’adresse IP de l’ordinateur qui reçoit le courriel, à travers quel fournisseur d’accès à Internet et avec quel navigateur. Et ce, même si le courriel n’est pas ouvert par le double-clic, mais simplement vu par l’entremise du volet de lecture de Microsoft Office.

 

La grande différence avec les confirmations de lecture habituelles réside en ce que le destinataire ne sait en aucune façon que le logiciel espion est utilisé et que ses comportements sont tracés par l’expéditeur du message.

 

C’est bien ce que la CNIL dénonce en adressant un avertissement à tout utilisateur de ce logiciel sur le territoire français. Elle prévient qu’une telle application tomberait sous le coup de l’article 25 de la loi du 6 janvier 1978 « Informatique et Libertés » qui interdit la collecte frauduleuse, déloyale ou illicite de données nominatives. Les utilisateurs de ce logiciel encourent une sanction de cinq ans d’emprisonnement et de 300 000 € d’amende, selon les dispositions de l’article 226-18 du Code pénal. Ce qui est illégal, c’est de traiter des informations nominatives sans que le destinataire en soit clairement informé et sans qu’il ait pu être à même de s’y opposer ou, au contraire, d’y consentir.

 

La société Rampell Software reconnaît avoir déjà reçu des milliers de réactions depuis l’ouverture de son service, fin mai 2004, soit parce que ce logiciel porte atteinte à la vie privée des internautes, soit … parce qu’il ne marche pas dans tous les cas ! En effet, le moyen de s’en prémunir semble être de lire ses emails au seul format texte, car la technique du logiciel utilise des pixels invisibles pris en charge par le langage html.

 

Aux Etats-Unis, où la société a établi son siège social, la prochaine loi fédérale anti-spyware devrait pouvoir régir de telles pratiques. Sans attendre qu’elle franchisse les longues étapes avant sa mise en vigueur (voir Sandrine Rouja, « Première loi  »anti-spyware », source de nombreux conflits d’intérêts« , Juriscom.net, 10 juin 2004), un internaute pourrait s’appuyer sur la Common law qui sanctionne le délit d’atteinte à la vie privée. Il faudra alors généralement prouver que le plaignant avait « a reasonable expectation of privacy », c’est-à-dire une attente raisonnable au respect de sa vie privée (voir Parry Aftab, « The Privacy Lawyer: Monitoring Employees’ Internet Communications: Big Brother Or Responsible Business?« , informationweek.com, 21 juin 2004).

 

Il semble cependant évident que, quel que soit le lieu où est établi l’expéditeur du message tracé, l’utilisation de ce logiciel soit contraire à la déontologie qui régit les communications électroniques, la « Netiquette ».

 

Sandrine Rouja

Secrétaire de rédaction de Juriscom.net