Sarkospam : un scandale riche d’enseignements

Journaliste au Monde Informatique, mon travail consiste à enquêter sur les sujets de préoccupation de mes lecteurs. Parmi les sujets "casse-pieds" pour les informaticiens (notamment les administrateurs réseaux), il y a le spam. Il se trouve qu’un (encore futur à l’époque) candidat à l’élection présidentielle de 2007 a utilisé le spamming pour promouvoir sa personne à compter de la mi-2005. Tant le responsable politique en question, Nicolas Sarkozy, alors ministre de l’Intérieur (et donc en charge du respect de la loi) que la quantité de destinataires ayant reçu ses messages (plus de trois millions) ont fait du désormais fameux scandale du Sarkospam un cas d’école. Aucun autre politicien ne s’est risqué à, ensuite, refaire une opération similaire. Deux enseignements sont à tirer de cette affaire : ceux concernant Nicolas Sarkozy et son entourage d’une part, ceux concernant le spamming en France d’autre part.

Pour commencer, rappelons ce qu’est un spam. Ce mot d’origine anglaise désigne initialement du jambon épicé en boite (spiced ham abrégé en spam). Dans un sketch resté fameux des Monthy Python, un couple d’Anglais vient dans une gargotte commander un petit déjeuner et, dans tous les menus, il y a du spam, nourriture que déteste l’Anglaise. En fond, des Vikings chantent "spam, spam..." de plus en plus fort au fil du sketch. Au bout du compte, on n’entend plus que "spam". Ce mot a fini par désigner le bruit parasite désagréable qui empêche d’entendre ce que l’on veut. Sur Internet, "spam" désigne le courriel de masse non sollicité qui encombre la boîte aux lettres au point d’y noyer le courriel personnel désiré. Un spam (que l’on nomme pourriel en français, contraction de pollution et courriel) peut être légal. Généralement, cependant, il ne l’est pas.

Quelle est la loi, justement, en la matière ? La LCEN (Loi sur la confiance dans l’économie numérique, adoptée en 2004 - dossier très bien fait par le Forum des Droits sur Internet (FDI)) est précise. Je cite le texte de la loi : "Est interdite la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen". A la lecture de ce texte, on peut se dire que le spam est interdit en France, point final. Sauf que ce n’est pas si simple... et que les spammeurs savent jouer des flous et des trous de la réglementation. Ils savent également jouer avec l’absence de sanctions. Dès à présent, notons que la LCEN n’interdit que le spam commercial (pour le Sarkospam, ce détail aura son importance).

Un deuxième texte est important dès que l’on parle d’informations personnelles (comme une adresse de courrier électronique utilisée dans un envoi massif de courriels) : la Loi Informatique et Libertés ("Loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés" pour être exact, refondue par la Loi n° 2004-801 du 6 août 2004). Le texte complet de la loi est sur le site de la CNIL (Commission nationale Informatique et Libertés). Cette loi réglemente strictement tous les fichiers comportant des données personnelles. En particulier, un fichier doit disposer d’une finalité précise qui justifie l’existence même de celui-ci mais aussi son contenu, tant dans la qualité des informations incluses que dans leur quantité et dans les individus concernés.

Maintenant que le décor est planté, rentrons dans l’affaire elle-même.

En septembre 2005, l’Internet français bruisse de plaintes concernant la réception d’un courriel pour le moins étonnant et original, à savoir une invitation de Nicolas Sarkozy à le rejoindre sur son site. En fait, ce n’est pas un spam mais une vague de spams : plusieurs campagnes d’envois sont en effet réalisées, avec des messages variables.

Le spam est fréquent, chacun le sait. Mais, premier sujet d’étonnement : l’expéditeur affiché. Quand quelqu’un vous invite par ce moyen à le rejoindre sur son site, il s’agit en général d’une charmante jeune femme qui veut vous vendre des vidéos la mettant en valeur. Ou bien c’est pour vous vendre une petite pilule bleue. Le Sarkospam est le premier spam politique en France. Aucun filtre anti-spam n’est, à cette époque, prévu pour bloquer ce genre de message. Deuxième sujet d’étonnement : la quantité de gens se plaignant. Le Sarkospam est probablement l’une des opérations de publicité électronique les plus importantes jamais réalisées en France. Et le ciblage est pour le moins aléatoire : de nombreux opposants déclarés à Nicolas Sarkozy le reçoivent, y compris l’association Attac !

D’abord incrédule, je finis par recevoir l’un des messages, transmis par une victime. J’applique alors la procédure standard quand un spam mérite mon attention, à savoir je lance une recherche de qui a fait quoi et à partir de quel fichier. Pour cela, il existe le moyen simple : appeler les numéros de téléphone notés dans le message. Il existe aussi des moyens plus sophistiqués, en faisant appels à divers fichiers (registre du commerce et des sociétés, annuaire téléphonique...), en les croisant, et en examinant la composition technique du message (contenu de l’en-tête, localisation des images mentionnées dans le code HTML, etc.). A cette époque, même si je ne suis pas sympathisant de l’UMP, je n’ai pas vraiment d’animosité particulière à l’égard de Nicolas Sarkozy.

Je vais suivre, comme dans la plupart des enquêtes en matière de spamming, deux pistes en parallèle : celle de l’expédition technique du message d’une part, celle de l’expéditeur affiché du message (à savoir l’UMP) d’autre part. J’appelle chacun de mes interlocuteurs par téléphone en me présentant. Pour l’UMP, je passe très officiellement par le service des relations presse. Je n’ai jamais (à ce jour) rencontré physiquement de protagonistes de cette affaire, sauf Nicolas Sarkozy (en conférence de presse) et pour d’autres sujets. J’ai eu au téléphone toutes les entreprises et personnes mentionnées ci-après qui m’ont expliqué ce que je résume. J’ai souvent dû recouper des informations et rappeler des personnes qui ne m’avaient pas tout dit, voire franchement menti.

Commençons par l’UMP, ce sera plus simple. On m’envoie sur le portable de Franck Louvrier, directeur de communication de l’UMP, qui me confirme que l’UMP est bien à l’origine de l’opération mais celle-ci est, selon lui, pleinement légale. Pour les détails, il me demande de joindre l’entreprise auprès de qui l’UMP a sous-traité l’opération, à savoir l’Enchanteur des nouveaux médias, dirigée par Arnaud Dassier. A partir de là, je vais boucler avec les prestataires techniques.

Côté prestataires techniques justement, l’expéditeur "réel", ce que l’on nomme le "routeur", est E-Mail Vision. Un routeur ne sait faire qu’une seule chose : aligner des serveurs informatiques pour envoyer des messages réalisés par quelqu’un d’autre sur un fichier fourni par son client. Son activité n’est pas en elle-même illégale : les routeurs envoient ainsi toutes les newsletters auxquelles vous êtes abonnés. Le message a été réalisé par l’Enchanteur des nouveaux médias et envoyé sur un fichier fourni par un loueur nommé Impact.Net, dirigé par Sohrab Hesmati. C’est là que les choses se compliquent. En effet, la quantité d’adresses utilisée est telle (Arnaud Dassier m’a parlé de trois millions) que le fichier utilisé est en fait une compilation de fichiers. Ceci dit, le rôle d’une société comme Impact-Net est justement de réaliser de telles compilations. Mais... et l’autorisation préalable obligatoire pour envoyer des messages ? C’est là que l’on voit qu’une société comme Impact-Net flirte avec les limites de la légalité. En effet, quand chacun de nous s’inscrit pour recevoir telle ou telle chose sur Internet, un certain nombre de prestataires glissent dans leurs conditions générales de services des clauses assez vagues sur l’utilisation de notre adresse électronique. C’est ainsi que celle-ci est considérée comme opt-in (inscrite volontairement par son propriétaire dans le fichier), c’est-à-dire, en clair, bonne à spammer... Or il se trouve que, dans le cas du Sarkospam, beaucoup d’adresses utilisées n’étaient pas du tout opt-in... Certaines provenaient visiblement de registres WhoIs (liste des propriétaires de noms de domaine sur Internet), d’autres d’aspiration sur le web (adresses de contact notées sur des sites web et collectées par des automates, captation totalement illégale en France), d’adresses professionnelles (interdites d’usages pour le e-commerce, comme au CEA par exemple) arrivées là on se demande comment, etc. Impact-Net, bien sûr, plaide l’innocence et prétend que si de tels problèmes existent, c’est la faute de ses propres fournisseurs de fichiers.

Ce rejet de responsabilité est une constante dans les affaires de spamming. Chacun se couvre avec des attestations plus ridicules les unes que les autres (j’en ai vu un certain nombre, dans diverses affaires de spamming, bourrées de références légales fantaisistes, de fautes d’orthographe et garantissant des choses tellement vagues que l’attestation n’avait aucun sens). Arnaud Dassier restera cependant droit dans ses bottes : "Avant de donner mon accord à l’envoi, je me suis assuré d’avoir un document écrit de la part de nos fournisseurs garantissant que les bases [d’adresses de courriers électroniques] étaient opt-in". Je n’ai jamais vu, dans le cas du Sarkospam, lesdites attestations. Impact-Net acceptera de reconnaître une trentaine seulement de plaintes (alors que mes seuls contacts directs concernés et s’étant plaints étaient plus nombreux) mais "la grand majorité (plus de 80%) des demandes [de retrait du fichier] est relative aux campagnes menées par nos confrères et ne peut être traitée par nos services".

Une autre constante dans les affaires de spamming est la quantité de sites web, de services et d’entreprises qui croisent leurs fichiers au point qu’une chatte y perdrait ses petits. Ainsi, parmi les fournisseurs de fichiers du Sarkospam apparait soudain le service OK2Mail (il faut bien chercher pour se rendre compte que c’est un service d’Impact-Net). Qui connait ce truc ? Personne. Ses partenaires affichés ? Tous plus inconnus les uns que les autres. Idem pour un autre fournisseur de fichiers : Ciblo-Net. Au final, j’arrive à tomber sur un "gros" fournisseur : Maximiles. Pas en remontant par les prestataires techniques : simplement par les rumeurs de gens n’ayant mis leur adresse que sur ce service de mutualisation de programmes de fidélité. J’ai alors interrogé Marc Bidou, PDG de Maximiles. Celui-ci m’a confirmé avoir cédé son fichier (plus de 500 000 adresses) pour une opération UMP via un loueur nommé Directinet. En soi, l’opération est banale. Vous ne savez pas qui est Directinet ? Ce n’est pas grave... Le problème, c’est que Maximiles dispose d’un énorme fichier issu de 45 partenaires gérant 59 sites permettant l’affiliation au programme... dont la SNCF. Marc Bidou est tellement catastrophé par le nombre de demandes de radiation "bien supérieure à l’habitude" (mais il ne sera pas plus précis) qu’il me jure bien que plus jamais il ne fera de location de fichiers à des fins politiques.

Faisons maintenant une pause pour observer plus attentivement quelques acteurs. J’ai réalisé mon enquête de manière interactive, écrivant des compte-rendus réguliers du 27 septembre 2005 au 18 octobre 2006 sur le sujet sur mon blog professionnel. Des lecteurs habituels, des responsables associatifs ou de simples victimes de passage m’ont beaucoup aidé et je tiens, une fois encore, à les remercier. Ils m’ont souvent orienté, en particulier pour comprendre un peu qui est qui ou qui a fait quoi. Notons également que le web a de la mémoire, ce que certains avaient peut-être oublié...
Impact-Net (plus exactement son patron) a déjà été condamnée en 2002 pour une affaire de spamming, après dépôt de plainte de la CNIL. A l’époque, de telles condamnations sont très rares. Impact-Net fut d’ailleurs la seule à être véritablement poursuivie jusqu’au bout.

Arnaud Dassier n’est pas non plus un parfait inconnu. Lui aussi a déjà été condamné pour une campagne d’envois massifs de courriels, à l’époque où il était responsable de La Droite libre (un mouvement de droite bien à droite et se revendiquant comme tel, appartenant à l’UMP qui préférait à l’époque ne pas le crier trop fort). Il s’agissait alors de bloquer les serveurs de courriels des syndicats ayant déclenché une grève. Bref, c’est un brave petit gars sympathique adepte du dialogue social... Les amis de Nicolas Sarkozy ont souvent un passé très à droite, pour ne pas dire à l’extrème droite. L’exemple le plus connu n’est pas Arnaud Dassier mais Patrick Devedjian, ancien membre d’Occident (avec notamment Alain Madelin, Hervé Novelli, Claude Goasguen et Gérard Longuet). Il y a des erreurs de jeunesse très courantes parmi les Sarkoboys. Bizarrement, aucun ne semble avoir vendu l’Humanité (erreur de jeunesse de Jacques Chirac qui l’assume totalement)...

L’UMP a donc réalisé une bonne action : elle a assuré la réinsertion professionnelle de deux condamnés. Quant à considérer ceux-là comme "au dessus de tous soupçons", c’est peut-être un peu inconscient. Un peu comme si un directeur de banque confiait le gardiennage à d’anciens braqueurs pas vraiment repentis.

Un citoyen ordinaire s’attend sans doute à ce que le scandale du Sarkospam débouche sur quelques condamnations, au moins de lampistes.

Le premier acteur à devoir réagir face à de telles violations des us et coutumes d’Internet, c’est bien sûr la CNIL. Le 29 septembre 2005, j’interroge celle-ci. La date a son importance puisque la CNIL va devoir jouer serré entre ses obligations légales, les sympathies de son président Alex Türk (qui se défend à de nombreuses reprises de toute indulgence à l’égard de l’UMP alors qu’il est sénateur divers droite et ancien RPR), l’obligation de ne pas fâcher Son Altesse Nicolas Sarkozy, ministre de l’Intérieur qui aime beaucoup empiéter sur les prérogatives du ministère de la Justice (autorité de tutelle de la CNIL), le tout en pleine discussion budgétaire,etc. Christophe Pallez, secrétaire général de la CNIL, me confirme ce jour-là que la commission a demandé des explications à l’UMP, étant donné qu’elle avait été saisie de plaintes en nombre non précisé. Christophe Pallez a surtout fait une mise au point très intéressante sur le sujet de l’opt-in. "La LCEN [Loi pour la confiance dans l’économie numérique] prévoit une exigence d’accord préalable pour recevoir des sollicitations commerciales par, notamment, courriel. L’accord doit être fourni pour un type de courrier. On ne peut pas, par exemple, étendre un abonnement à une newsletter pour en faire un fichier de sollicitations commerciales." Si les déclarations d’Impact-Net sont exactes, cette société est donc, sur ce seul point, déjà en tort. "Les entreprises dont le métier est d’exploiter de tels fichiers d’adresses électroniques s’arrangent évidemment pour avoir des autorisations les plus vagues possibles" continue Christophe Pallez. Mais le plus intéressant est à venir.

Christophe Pallez relève en effet : "L’envoi de messages politiques n’est pas une prospection commerciale. Il est donc exclu du champ de la LCEN. On en revient donc à la seule application de la loi Informatique et Libertés. Il n’y a donc pas à obtenir une autorisation avant l’envoi de messages mais à simplement informer lors de la collecte de l’adresse électronique que celle-ci peut être utilisée pour de l’envoi de messages politiques, avec la possibilité de s’y opposer". Le problème, c’est qu’il n’existe, à cette époque du moins, aucun fichier constitué dans le but d’une prospection politique... Le Sarkospam est donc bien illégal, pas au titre de la LCEN mais à celui de la Loi Informatique et Libertés. Nicolas Sarkozy, ministre au moment des faits et agissant dans le cadre de ses fonctions politiques, est donc passible de la cour de justice de la République. L’ensemble des protagonistes de l’affaire sont passibles soit en tant qu’acteurs soit en tant que complices (notamment en tant que commanditaires) des peines prévues par les articles 226-16 à 226-24 du code pénal (d’un an d’emprisonnement et 15 000 € d’amende à cinq ans d’emprisonnement et 300 000 euros d’amende selon les cas). Bien sûr, on est loin du scandale du sang contaminé dans les conséquences de l’affaire. Juridiquement, cependant, ce n’est pas si éloigné...

Aucune des plaintes déposées par ceux ayant reçu le Sarkospam devant la CNIL ou un quelconque tribunal n’aura la moindre suite, du moins à ce jour.
Quand on veut enterrer une affaire, chacun sait qu’il faut créer une commission avec des sous-commissions aux tâches bien précises. La CNIL fera une table ronde avec l’UMP, le Parti socialiste, les Verts, l’UDF... et pas le Front national (malgré sa demande expresse d’y participer), le 9 mai 2006. Plusieurs demanderont à ce que la LCEN soit renforcée et que, en particulier, les messages politiques ne soient plus distingués des messages commerciaux sur le plan du régime légal. Mais cela ne relève pas de la compétence de la CNIL. Une proposition de loi aurait pu être déposée par des sénateurs, par exemple (l’un des leurs présidant la CNIL), mais cela ne fut pas le cas. Le 18 octobre 2006, la CNIL organisera une conférence de presse à laquelle j’assistai pour expliquer les bonnes pratiques qui devront être appliquées désormais par les partis politiques en matière de démarchage électronique : c’est la délibération 2006-228. Grosso modo, la CNIL exige des pratiques claires. Cela suppose, en particulier, que les fichiers employés soient valides pour l’envoi de messages politiques mais... sans que l’on constitue de listes de gens refusant de recevoir des messages de tel ou tel parti (ce qui serait indirectement une liste d’opposants !).

Au cours de la séance de questions, Isabelle Falque-Pierrotin, membre de la CNIL et présidente du FDI, a admis que le SarkoSpam était le plus gros dossier politique traité à ce jour mais que d’autres plaintes avaient été enregistrées : l’ usage légal d’une liste électorale mais sans mention de la source des adresses (d’où une certaine inquiétude de quelques citoyens), l’usage des e-mails de fonctionnaires territoriaux par des membres de l’opposition à la majorité en place, etc. Isabelle Falque-Pierrotin a reconnu, sur ma question insistante, qu’il était déplorable que des donneurs d’ordres (politiques ou commerciaux) se dédouanent sur une cascade de fournisseurs (routeurs, loueurs, courtiers de fichiers....) mais qu’en l’état actuel de la loi, rien ne pouvait être fait contre cette déresponsabilisation générale.
Mais Alex Türk a lourdement insisté sur le fait que les règles sont désormais claires et que tout parti qui ne les respecterait pas ferait l’objet d’une procédure contentieuse avec, à la clé, éventuellement, des sanctions. Le cas ne s’est jamais produit à ce jour. Le plus drôle, lors de cette conférence de presse, fut probablement les périphrases employées par Alex Türk et Isabelle Falque-Pierrotin pour ne pas citer l’UMP et le Sarkospam jusqu’à ne plus pouvoir faire autrement...

C’est très bien de traiter l’avenir. Mais et le cas du Sarkospam ? A ce jour, personne n’a été poursuivi (du moins à ma connaissance) et, évidemment, condamné.

Je voudrais, pour finir, revenir sur les réactions de deux personnes lorsque je les ai interrogées au début de mon enquête, en septembre et octobre 2005.
Arnaud Dassier, tout d’abord, patron de l’Enchanteur des nouveaux médias : "Je suis estomaqué que les gens soient plus choqués de recevoir un e-mail les invitant démocratiquement à participer au débat politique que de recevoir un mail commercial de Mac Donald ou de Microsoft. Les réactions épidermiques constatées veulent se placer sur un plan juridique, sur une accusation d’un délit, le spam, mais il faut bien y voir une irritation politique de la part de gens qui n’aiment pas Nicolas Sarkozy."

Plus tard, par le même : "Comment oser comparer un tel message [le Sarkospam], qui invite les Français à débattre, au spam, pratique qui consiste à utiliser des bases d’adresses volées - sans aucun consentement d’aucune sorte - de manière ultrarépétitive pour inonder les boîtes de messages pornographiques ou autres à 95 % d’origine américaine ou extra-européenne ?". Puis : "Ce que je constate de manière certaine, c’est que ce sont à 98 % les opposants politiques de monsieur Sarkozy qui crient au spam. Quelques centaines d’opposants politiques ont-ils le droit d’interdire - pour un préjudice qu’on a du mal à comprendre et à définir - à des dizaines de milliers d’autres le droit de recevoir un message politique ?"

Franck Louvrier, directeur de la communication de Nicolas Sarkozy et de l’UMP avait une position claire : "Nous demandons à un prestataire, L’enchanteur des médias, de réaliser une opération conforme aux normes légales. Il semblerait que cette opération [de mass-mailing] soit parfaitement légale et c’est à ceux qui prétendent le contraire de le prouver." Et si c’était effectivement prouvé, l’UMP se retournerait-elle contre le prestataire ? "On verra" répondit-il. Mais il ajouta : "Le vrai problème, vous le savez bien, c’est qu’il n’y a pas de distinction par les prestataires entre les fichiers selon les finalités purement commerciales et les finalités politiques, religieuses ou associatives..." Ne serait-ce pas justement le travail d’un certain ministre de l’Intérieur d’y veiller ? "Ne confondons pas tout, ceci est une opération UMP !". Certes. Enfin, argument massue : "Lorsqu’Attac a réalisé une opération de mass-mailing similaire durant la campagne référendaire européenne, personne n’a critiqué. Le problème est donc bien que des opposants à Nicolas Sarkozy veulent transformer en spam une simple opération de communication menée sur les fichiers que tout le monde utilise". Attac, qui a reçu sur plusieurs adresses le Sarkospam, est-il le modèle de l’UMP ? Malheureusement, non. La campagne d’e-mailing liée au dernier référendum sur la Constitution européenne, selon Attac, "a été réalisée sur le fichier constitué via des inscription sur notre site web. Nous n’avons procédé à aucun achat de fichier à l’extérieur. Notre hébergeur Internet est d’ailleurs extrêmement à cheval sur la "netiquette" et nous n’aurions donc pas pu faire autrement". Et voilà comment Franck Louvrier perdit une occasion de se taire...

Dans ces deux réactions, que voit-on ? Le déni. Le Sarkospam n’est pas un problème. Tout va bien. Il est normal qu’un candidat à l’élection présidentielle inonde la France avec sa prose en utilisant des fichiers et des prestataires pour le moins douteux. La recevoir est même érigé en droit absolu. Pour Arnaud Dassier, d’ailleurs, recevoir des courriers électroniques non désirés n’est de toute façon pas un problème qui porte préjudice. Non, vous ne rêvez pas.

Mais Arnaud Dassier et Franck Louvrier doivent cependant avoir raison puisque, rappelons-le, aucune poursuite judiciaire ne les a jamais inquiétés pour le Sarkospam, malgré les nombreuses plaintes. Il en a été de même pour Nicolas Sarkozy. Du moins à ce jour.