Tout ce que vous devez savoir sur les lois anti-spam en France

Qu’est-ce que le spam ?

Avant de définir les lois anti-spam, il faut peut-être savoir ce qu’est un spam. Nous avons toutes et tous une idée du spam : pour certains, il s’agira de l’ensemble des emails qui proviennent d’expéditeurs qu’ils ne connaissent pas ; pour d’autres, les spams seront globalement toutes les communications venant de marques, sollicitées ou non. Dans l’imaginaire collectif, le spam (ou pourriel, si vous suivez les recommandations de l’Académie française) est un message intrusif.

Mais comme pour presque tout, la loi nous donne une définition précise – bien qu’un tantinet froide et administrative – de ce qu’est le spam. En France, si l’on suit la loi du 21 juin 2004 pour la confiance dans l’économie numérique, est considéré comme spam « la prospection directe au moyen […] d’un courrier électronique utilisant […] les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen. », conformément à l’article L. 34-5 du code des postes et des communications électroniques.

En d’autres termes : si vous n’avez pas la possibilité de prouver que vos destinataires vous ont bien autorisé à ce que vous leur envoyiez des emails de prospection ou de sollicitation commerciale, vous êtes un spammeur.

Une brève histoire du spam

Si la loi susmentionnée date de 2004,le spamming est bien plus ancien. L’email a été inventé en 1965 au MIT, avant d’être déployé sur Arpanet (l’ancêtre d’Internet) à partir de 1971. Cette époque idyllique où l’email – et Internet dans son ensemble finalement – n’est le fait que de quelques geeks passionnés durera une douzaine d’années, avant que le premier spam électronique officiellement reconnu ne soit envoyé en 1978 par un certain Gary à quelques 393 destinataires peu heureux de cette invention.

Ce nouveau procédé hyper intrusif de communication sera rapidement adopté par les joueurs de MUD (pour Multi-Users Dungeons), que l’on peut considérer comme les premiers jeux de rôle en ligne, et donc comme les ancêtres des MMORPG. Et donc, ces joueurs de MUD, pour… agacer leurs adversaires de jeu, ont fait bon usage du spam. Ce seraient d’ailleurs eux qui auraient baptisé cette invention gênante « spam », en référence à un fameux sketch des Monty Python.

Le spam est un problème vieux de plusieurs décennies maintenant. Bien que les lois anti-spam permettent d’en réduire le volume, les événements les plus récents ont vu l’émergence d’une nouvelle vague d’emails malveillants. Ces efforts de lutte ont par exemple été ralentis durant la première phase de la crise liée à la Covid-19, durant laquelle l’envoi de spam à connu un bond. Il faut donc rester vigilants et suivre les évolutions des lois anti-spam.

Qu’est-ce qu’une loi anti-spam ?

Une loi anti-spam, vous l’aurez compris, est donc un texte visant à limiter l’impact négatif de l’envoi et surtout de la réception de messages électroniques non sollicités. Elle donne un cadre et une définition légale à ce qu’est le spam, et indique des mesures pour le prévenir. Elle contient aussi généralement un volet de mesures punitives en cas de non-respect.

La souplesse de ces lois et la sévérité des sanctions encourues varient d’un pays à l’autre. Mais comme le droit du pays de réception des emails s’applique lorsqu’il s’agit de lutte contre le spam, vous devez prendre garde à bien respecter ces lois nationales.

Les lois sur le spam en France

Dès 1978, alors même que les premiers spams émergeaient de l’autre côté de l’Atlantique, le Législateur français prenait les devants en adaptant la loi n°78-23 du 10 janvier 1978 sur la protection et l’information des consommateurs de produits et de services. Dans ce texte – depuis abrogé – la collecte frauduleuse d’adresses électroniques (emails, mais aussi numéros de télécopieurs, car nous sommes à la fin des années 1970) est donc réprimée.

De fait, dans un premier temps, c’est bien l’adaptation de lois existantes liées à la protection des informations personnelles – et des consommateurs – qui constituent un premier barrage à la menace du spam. Mais il faut attendre le tournant des années 2000 pour que des dispositions et des mesures de punition spécifiques émergent.

Aujourd’hui, depuis le 1er juin 2019, la France s’est conformée au droit européen en incluant dans des textes existants les mesures du Règlement général sur la protection des données, plus connu sous le sigle de RGPD. Elle précise notamment les circonstances d’utilisation et de traitement des données personnelles. Pour ce faire, la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite Informatique et Libertés, a été considérablement modifiée.

Quelles sont les principales lois relatives à l’email dans le monde ?

Comme dit plus haut, respecter les lois relatives au spam en vigueur ne suffit pas. Il faut également vous informer sur les textes en vigueur dans les pays de vos destinataires. Voici quelques uns des textes principaux en vigueur dans les pays de vos potentiels destinataires :

RGDP

Il s’agit probablement du texte dont vous avez le plus entendu parler. Adopté par le Parlement européen le 27 avril 2016 (et entré en vigueur en mai 2018), ce texte assure davantage de protection des données personnelles pour les ressortissants de l’Union Européenne, et régule la façon dont ces données sont collectées et traitées.

Data Protection Act 2018

Depuis le Brexit, le fait que le Royaume-Uni ne suive plus les recommandations du RGPD inquiétait les autorités européennes. Avec la promulgation du Data Protection Act 2018, qui renforce et adapte certaines mesures du RGPD, le Royaume-Uni est considéré comme un pays tiers suivant le RGPD.

CAN-SPAM

Le Controlling the Assault of Non-Solicited Pornography And Marketing Act of 2003 (ou CAN-SPAM) est la première loi américaine régulant les pratiques de l’emailing au niveau fédéral. Assez peu contraignante, elle pourrait être remplacée par un texte ressemblant au :

CCPA

Le California Consumer Privacy Act of 2018 est un texte entré en vigueur en 2020. Cette loi, assez proche du RGPD, rend plus transparente l’acquisition et le traitement des données personnelles des personnes vivant en Californie. D’autres États américains suivent le mouvement et sont en train d’adopter des lois similaires : la Virginie (VDPB), New York, l’Utah sont quelques exemples. Une loi fédérale est actuellement proposée au Sénat mais pour l’instant rien de concret n’est proposé…

CASL

La Loi visant l’élimination des pourriels sur les réseaux Internet et sans fil (aussi appelée CASL pour Canada’s anti-spam legislation) est effective depuis juillet 2014 sur l’ensemble du territoire canadien. Elle demande à ce que les expéditeurs d’emails obtiennent le consentement de leurs destinataires avant de pouvoir leur envoyer des messages. CASL distingue le consentement implicite (données entrées lors d’un achat en ligne, par exemple) qui a une durée de vie limitée, et le consentement explicite, permanent jusqu’au désabonnement, qui nécessite un aval clair et traçable de l’abonné (par exemple par double opt-in).

Directive 2002/58/CE (ePrivacy)

La directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques (2002/58) (ou ePrivacy) est une directive européenne relative à la vie privée sur Internet. Dans son article 13, elle interdit notamment le spam, et oblige la collecte d’adresses email à des fins marketing via l’opt-in simple.

Les différents types de lois anti-spam

Pour y voir un peu plus clair, et plutôt que de vous plonger dans les codes régissant le droit des données de dizaines de pays différents, nous avons réuni les principales lois régissant le spam en trois grandes catégories. Ces catégories sont établies en fonction de degrés de sévérité croissants : les lois (trop ?) souples, les lois strictes, et les lois très strictes.

On remarquera également que certains pays, parmi les principaux émetteurs de spam par ailleurs, n’ont à ce jour toujours pas de législation spécifique régulant l’envoi d’emails non légitimes. Parmi eux, on compte la Russie, le Brésil, l’Inde ou la Bulgarie. Cependant, des acteurs indépendants locaux existent et font pression pour plus de régulation anti-spam.

Lois souples

Par lois souples, on comprend les lois n’obligeant pas à la mise en place de solution opt-in (accord préalable des destinataires), mais de solutions opt-out, donc de désabonnement. Le lien de désinscription doit être clairement indiqué dans l’email. C’est le degré zéro de la loi anti-spam, le socle de référence à peu près partout dans le monde. CAN-SPAM, la loi anti-spam de référence au niveau fédéral aux Etats-Unis, suit ces recommandations. Le Japon, la Corée du Sud, le Mexique, l’Argentine… sont également des pays où l’opt-out est de mise.

Lois strictes

Les lois strictes ne vous permettent d’envoyer vos emails qu’à des destinataires ayant consenti à les recevoir, via un processus d’opt-in : les contacts ont rempli un formulaire avec leurs informations de contact et ont coché une case montrant qu’ils sont bien volontaires pour recevoir vos emails.

Le principe de l’opt-in est désormais largement établi dans le monde de l’emailing. L’essentiel des pays européens l’ont adopté, ainsi que le Canada et l’Australie. En outre, la directive européenne ePrivacy, ainsi que le RGPD (en vigueur dans l’Union Européenne depuis 2018) stipulent que le consentement des utilisateurs à s’inscrire à une base de données doit être explicite et positif. Les cases de validation ne peuvent donc plus être pré-cochées.

Lois très strictes

Mais on peut aller plus loin pour s’assurer du bon consentement des contacts en passant par le double opt-in. Après avoir rempli le formulaire d’inscription à vos emails, le ou la destinataire recevra un email de confirmation avec un lien sur lequel il faudra cliquer pour bien confirmer l’inscription. Cela vous permet par ailleurs d’obtenir une preuve numérique du consentement de votre destinataire.

Pour l’heure, aucun pays ne semble faire du double opt-in un impératif légal. Cependant, les jurisprudences en Allemagne et en Suisse font état de jugements où l’accord explicite des destinataires impliquait l’utilisation de ce double opt-in. Même si aucun texte légal suisse ou allemand n’oblige son utilisation, les tribunaux ont toujours considéré que cette méthode prévalait sur l’opt-in simple.

Pourquoi surveiller les lois anti-spam ?

Parce que l’envoi de spam peut vous coûter gros, moralement et financièrement. Il en va d’abord de votre réputation de marque et d’expéditeur.

Le spam impacte votre délivrabilité

Si vous lisez régulièrement notre blog, vous savez que les réactions négatives de vos destinataires aux emails que vous pouvez leur envoyer ont un impact lourd sur la livraison de vos emails. Mais pour résumer : en tant qu’expéditeur ou expéditrice d’emails marketing, vous disposez d’une réputation d’expéditeur. Cette réputation s’appuie sur votre adresse IP d’envoi et au nom de domaine associé (généralement le nom de votre marque).

Les FAI et services de messagerie utilisent votre réputation d’expéditeur pour déterminer s’ils acceptent ou non que les messages que vous envoyez atteignent bien les boîtes de réception de leurs utilisateurs. Votre réputation d’expéditeur est calculée en fonction d’une multitude de paramètres, mais les réactions de vos contacts à vos emails sont probablement les principaux signaux que les FAI et messageries vont consulter.

Ainsi, si vous envoyez beaucoup d’emails non sollicités – DES SPAMS – la probabilité que vos destinataires se désabonnent ou marquent votre message en spam est très élevée. Et cela aura des conséquences calamiteuses sur votre réputation d’expéditeur, et donc sur votre délivrabilité.

Votre image de marque peut également être touchée

Par ailleurs, en plus de nuire terriblement à votre réputation d’expéditeur et à votre délivrabilité, l’envoi de spam a un impact non négligeable sur votre image de marque. Vos messages n’atteindront évidemment pas les bonnes personnes, soit parce qu’elles ne seront jamais intéressées par ce que vous avez à proposer, soit, tout simplement, parce que les FAI et messageries vous ont bloqué : vos futurs messages, même légitimes, n’atteindront jamais les boîtes de réceptions !

En outre, avoir un comportement de spammeur est agaçant pour vos destinataires. Le nom de votre entreprise sera associé au spam dans la tête de vos prospects et clients. En bref, vous ne donnerez clairement pas une bonne impression.

Cela peut vous coûter cher

Si le fait de perdre toute crédibilité auprès des acteurs de l’emailing et de vos clients ne vous suffit pas, sachez que le non respect des lois anti-spam peut vous coûter très cher. Vous vous exposez à des amendes administratives allant de 3 000 € à 300 000 €, ainsi qu’à de la prison dans certains cas. Et nous ne parlons pas des tentatives de hameçonnage, d’arnaques commerciales ou d’escroqueries, qui relèvent là de la cybercriminalité manifeste pure et simple, avec les peines qui vont avec.

Si nous prenons le temps de vous informer de toutes ces mesures, c’est pour vous faire comprendre que le spam est pris très au sérieux par le Législateur depuis maintenant une vingtaine d’années, et qu’à mesure que le temps passe, les réglementations anti-spam deviennent plus punitives. Aussi, il est essentiel de les respecter.

Comment respecter les lois anti-spam ?

Pour vous assurer que vous respectez bien ces lois, la première chose à faire est évidemment d’en discuter avec le ou la responsable juridique de votre entreprise, qui doit être au fait des différents règlements. Par ailleurs, contactez le ou la déléguée à la protection des données (DPO), qui est la personne chargée de s’assurer que toutes les données traitées par votre entreprise – qu’il s’agisse de données produites en interne comme des données de vos clients/destinataires. Votre DPO saura comment sont récoltées et utilisées les données utilisateurs.

Et si votre entreprise ne dispose pas de DPO alors même que vous utilisez abondamment les données… faites appel à un consultant externe, ou contactez vos responsables ressources humaines pour recruter un ou une DPO au plus vite !

Nous vous conseillons également d’entrer en contact avec l’agence nationale de protection des données qui agit dans votre pays. Il s’agira de :

• La Commission nationale de l’informatique et des libertés (CNIL) pour la France ;

• L’Autorité de protection des données pour la Belgique ;

• Le Préposé fédéral à la protection des données et à la transparence pour la Suisse ;

• Le Commissariat à la protection de la vie privée du Canada pour le Canada ;

• La commission nationale de contrôle de la protection des données à caractère personnel pour le Maroc.

  Ces agences ont pour but de protéger les internautes de leurs pays respectifs et de garantir leurs droits numériques. Elles sont donc au fait des dernières évolutions des lois locales en matière de protection des données et de spam, et seront les plus à même de vous orienter vers les démarches à suivre si vous voulez vous conformer aux lois anti-spam du pays. Car vous ne devez pas suivre que les lois anti-spam en vigueur dans votre pays. La loi en vigueur dans le pays de votre destinataire peut aussi être appliquée ! Il est donc impératif pour vous de continuer à vous éduquer sur ces différentes lois, via ces différentes agences.

Que fait Mailjet pour vous garantir un bon respect des lois anti-spam ?

Vous l’aurez compris, il faut veiller à beaucoup de choses pour vous assurer du bon respect de ces différentes lois. Et si la lecture de cet article vous a fait tourner la tête à cause des différentes mesures à mettre en place pour vous conformer aux différentes lois anti-spam, ne vous inquiétez pas. Si vous utilisez déjà Mailjet, il est très probable que vous respectez déjà l’essentiel de ces lois !

Mailjet met tout en œuvre pour garantir à vous et vos destinataires un respect total des lois anti-spam : des formulaires intégrables avec double opt-in, un respect scrupuleux du RGPD, des serveurs en Europe (plus précisément en Allemagne et en Belgique) et de nombreuses certifications. Saviez-vous que notre DPO, basée en France, a reçu la certification des compétences du DPO remise par la CNIL ?

Si vous avez des doutes, vous pouvez consulter notre politique de confidentialité, notre accord sur le traitement des données personnelles et notre politique d’envoi pour vous en assurer.