Interview de Thomas Fontvielle, secrétaire général Signal Spam
Entretien inédit avec Thomas Fontvielle, secrétaire général du site Signal-Spam.fr. Découvrez les coulisses de la lutte contre les abus liés aux communications électroniques en France et dans le monde.
................................
Êtes-vous le fondateur du site Signal-spam.fr ?
Non, la création de l’association Signal Spam est à l’initiative de la Direction du développement des médias sur dotation du gouvernement en 2005, j’ai intégré la structure au moment de sa refondation en 2011.
En quoi consiste votre rôle de secrétaire général ?
Mon rôle est de fournir un travail d’investigation sur les signalements fournis, de faire respecter le code de déontologie de l’association qui s’impose à ses membres, de sensibiliser le grand public sur les dangers et les abus liés aux communications électroniques, de promouvoir un haut niveau de bonne pratique et de respect de la loi auprès des professionnels de l’e-mail marketing, de veiller au fonctionnement technique des flux de données que l’association distribue à ses membres, de la représenter auprès des pouvoirs publics (notamment la CNIL), de répondre aux réquisitions des autorités, de représenter Signal Spam à l’international, et d’assurer le fonctionnement de l’association dans tous ses aspects (financier, administratif, etc.).
Quelles sont vos actions auprès du grand public ?
Nous publions un baromètre trimestriel de la perception du spam et nous participons aux travaux du GIP ACYMA (groupement d'intérêt public d’assistance aux victimes de cybermalveillance et de prévention du risque numérique). On crée des fiches pédagogiques sur toutes les problématiques liées à l’e-mail lorsque le groupement nous sollicite.
Quel est l’intérêt pour l’internaute d’utiliser Signal Spam, au-delà du signalement natif proposé par les messageries ?
L’intérêt de faire parvenir à Signal Spam les e-mails frauduleux, c’est d’activer tous les leviers de lutte disponibles, plutôt que de prendre des actions isolées avec des acteurs en milieu cloisonné. En effet, les FAI eux-mêmes soulignent l’importance d’obtenir des signalements de la part des internautes, pour identifier des postes compromis car ils ne peuvent légalement scanner les ports réseaux à la recherche d’une infection chez leur client…
Vous voulez dire par là que lorsque l’internaute utilise son système de filtre anti spam cela n’améliore que sa messagerie à titre individuel ?
Oui, tout à fait, c’est en ce sens que la lutte est partielle car seul le filtre de ladite messagerie est optimisé. En revanche, dans l’action de reporter à Signal Spam il y a une prise en compte globale de la plainte, et les statistiques serviront à organiser des contrôles par la CNIL, ou à diriger des enquêtes de services de police. L’impact ici est donc global et le travail collaboratif de chaque membre de la communauté profite potentiellement à tous.
Quels sont les types d’actions suite à un signalement ? Et quel est le délai de prise en compte ?
Tout se fait en temps réel.
Signal Spam s’efforce de centraliser les plaintes et d’apporter à chaque professionnel un élément utile dans les actions qu’il est en capacité de mener contre le spam et qui s’impose à lui sur le plan légal (la plainte client pour le FAI, la demande de désabonnement pour le routeur, la preuve numérique pour une autorité de contrôle, etc.). Il y a pour ainsi dire autant de traitements que de membres dans l’association, car chaque professionnel a des besoins bien spécifiques, donc nous fournissons des informations personnalisées.
Pour OVH, par exemple, on va leur fournir une liste des adresses IP ayant générées le plus de spams afin qu’ils puissent les bloquer automatiquement.
Pour les routeurs, on leur envoie tous les messages qui émanent de leur infrastructure afin de désabonner les internautes qui se sont plaints et pour en même temps surveiller les comptes clients qui émettent beaucoup de spams chez eux.
Pour la CNIL, on met à disposition un top 30 des sociétés qui émettent le plus de spams afin qu’ils puissent prendre des mesures et les sanctionner le cas échéant.
Pour certains acteurs de cybersécurité, on va fournir des emails signalés comportant des expressions correspondant à du phishing et à des activités frauduleuses...
On peut vraiment savoir beaucoup de choses au travers des signalements, et les traitements seront très différents selon que le spam est d’origine cybercriminelle ou s'il relève d’un abus de la prospection commerciale.
Ces derniers temps, j’ai cherché en vain à me désinscrire de la newsletter « Les Inrockuptibles ». J’ai donc fini par utiliser le filtre de ma messagerie, mais supposons que je déclare cet expéditeur à Signal Spam, que va-t-il se passer pour ce média que j’apprécie par ailleurs ?
Exemple intéressant. Nous avons assez peu de plaintes que je peux matcher avec le seul mot clef *Inrockuptible*. Mais effectivement, l’annonceur passe par un routeur belge que nous connaissons : Selligent. Donc, dans un tel cas de figure, le signalement est remonté par Signal Spam à Selligent afin que vous soyez placé en opposition sur leur infra d’envoi. Et Selligent a l’obligation de remonter cette information à son client. Si l’annonceur envoie sa campagne en faisant appel à plusieurs routeurs, ce qui semble toujours suspect mais peut être légitime dans certains cas (peu nombreux), il y a moins de chance que la prise en compte du désabonnement soit effective. Et lorsque les volumes de plaintes sont conséquents, les FAI bloquent la possibilité pour l’IP émettrice de délivrer de nouveaux messages sur leur plateforme.
De la même manière, si un internaute effectue un signalement par erreur auprès de votre plateforme, que se passe-t-il ?
Un signalement unique n’aura pas vraiment d’incidence, c’est probablement un faux-positif* qui sera donc traité en tant que tel. C’est le nombre de plaintes similaires qui donne du poids au signalement.
Lors de mon inscription à Signal Spam, j’ai bien reçu votre e-mail de confirmation… mais dans mes courriers indésirables !
Oui, malheureusement, car le mot "spam" est assez mal supporté par les filtres des messageries…
Envisagez-vous de changer d’adresse d’expédition ?
Non, car c’est notre domaine et notre nom de marque, alors on le garde ! Nous devons plutôt prendre contact avec les messageries qui ne connaissent pas bien notre domaine et travailler - comme n’importe quel expéditeur - sur notre réputation.
Votre volume de signalements est en forte progression (entre 2 à 3 millions chaque mois) et votre nombre d'utilisateurs en augmentation constante également (+ 26 195 sur le second trimestre 2023), mais le volume global de courriers indésirables émis chaque minute serait de l'ordre de 10 millions ! Par conséquent, est-ce que la cause n’est pas un peu vaine et perdue d’avance ?
Ici, il convient de distinguer la part des e-mails effectivement livrés des tentatives d’accès à votre messagerie : environ 95 % des sollicitations seront rejetées très en amont car il s’agit de pure cybercriminalité. Notre métier se concentre donc sur les 5 % résiduels ! Ce que les internautes sont susceptibles de signaler à notre dispositif, ce sont les e-mails indésirables compris dans les 5 % résiduels.
Vu sous cet angle, la démarche collaborative de signalement du spam apparaît en effet bien plus réaliste et motivante…
L’internaute peut légitimement avoir le sentiment que signaler un spam ne sert à rien, car cela n’offre pas la garantie de ne jamais plus le recevoir. Cependant, à moyen terme, le signalement permet de développer des outils d’assainissement du marché et de lutte contre la cybercriminalité.
Signal Spam bénéficie d’un indice de confiance très élevé auprès de tous les acteurs concernés. Car pour effectuer un signalement, l’internaute doit s’inscrire, apprendre à afficher le code source du spam, ou télécharger un module qui le fait à sa place. C’est donc une démarche citoyenne lourde de sens qu’un acteur de l’e-mail marketing ne peut ignorer, ou en tout cas ne devrait pas ignorer, lorsqu’il fait l’objet d’un signalement.
J’observe que votre site Signal-spam.fr est bilingue anglais, votre association lutte-t-elle contre les abus sur messagerie à l’échelon international ?
Notre outil s’adresse principalement aux citoyens français. Le spam signalé étant majoritairement francophones. Mais il n’existe pas d’autre initiative telle que Signal Spam à l’international. Les marchés sont différents, les régulateurs sont divers. En revanche, nous coopérons avec d’autres autorités internationales. Et nous appelons de nos vœux la création de « spam reporting centers » en capacité de regrouper toutes les parties prenantes nationales sur la question du spam. Nous possédons d’ailleurs des offres de duplication de nos instances techniques pour recréer facilement un Signal Spam étranger.
Peut-ton ainsi dire que la France est à la pointe en matière de régulation du marché de l’e-mail marketing ?
Le partenariat public-privé de Signal Spam est assez exemplaire et la mise à disposition d’outils techniquement performants qui en découlent est un modèle unique qui a une grande résonance. Signal Spam est reconnu par exemple au M3AAWG, le think tank mondial de réflexion contre les abus sur messageries. Mais cela ne fait pas pour autant de la France un acteur de choix en matière de régulation !
D’autres pays sont bien plus à la pointe en matière de régulation. Le Canada, par exemple, a promulgué une loi il y a environ 5 ou 6 ans qui donne beaucoup de moyens aux régulateurs, avec des outils répressifs pour les forces de l’ordre. Une telle prise de conscience au niveau étatique sur la question en France se fait encore attendre. Nous sommes loin d’avoir remporté la lutte et ce serait faux du reste de prétendre l’inverse, car cela viendrait contredire le ressenti des internautes… Le marché en France n’est pas assez mature et les régulateurs ne sont pas en capacité de prendre des sanctions et des mesures de nature à éradiquer le spam.
Est-ce que la mise en place du RGPD en mai 2018, qui est une réglementation européenne, a contribué à renforcer la lutte contre le spam en France ?
Pas vraiment, le RGPD n’a pas révolutionné la loi française car la doctrine de la CNIL était déjà avancée en la matière et c’est ce cadre qui était déjà appliqué. Le RGPD n’est pas vraiment le texte de référence pour l’e-mail marketing, c’est l’ancien cadre légal qui est toujours en vigueur, il y a juste les sanctions qui ont évoluées. Le RGPD donne les règles générales sur la protection des données personnelles.
Avez-vous observé tout de même un changement des mentalités lors de la mise en place du RGPD ?
Avec le RGPD, les signalements ont explosé ! Il y a eu comme une sorte d’hystérie de la part des annonceurs. Les entreprises ont paniqué en pensant qu’elles n’allaient plus pouvoir utiliser leur base de données anciennement constituée après le 25 mai 2018. Ce qui était faux. Un certain nombre d’entre elles ont pris contact avec leur routeur en les suppliant à titre exceptionnel de procéder à un ultime routage sur l’ensemble de leur base client, ce qu’ils ne faisaient jamais auparavant car ils segmentaient !
Un vent de panique en lien probablement avec le buzz autour de l’entrée en vigueur de cette nouvelle réglementation… Mais cette attitude témoigne d’une grande immaturité encore de la part des annonceurs en France. Car il ne s’agit pas de cas isolés, les routeurs membres de Signal Spam avaient du mal à contrôler la situation face à la multitude des opérations d’emailings « full base » tous azimuts ! Ce qui prouve qu’il y a encore bien des efforts à fournir dans la prise de conscience et dans la mise en conformité face à ses enjeux.
Note
*Faux positif : message légitime considéré comme spam.
Références juridiques
Sur la notion de prospection sans consentement préalable :
- Article L33-4-1 et Article L34-5 Code des postes et communications électroniques
- Article L470-1 du Code de commerce
- Article L121-20-5 du Code de la consommation
Sur la notion de pratique commerciale trompeuse :
- Article L121-2 et Article L213-1 du Code de la consommation
Sur la notion de pratique commerciale agressive :
- Article L121-6 du Code de la consommation
Sur la notion d'escroquerie, notamment lorsque le spam a pour fonction de tromper dans un but de captation de données ou de fonds :
- Article 313-1 du Code pénal
Publié le 02-07-2019
Soyez le premier à déposer un commentaire !
Veuillez vous connecter ou vous inscrire pour déposer un commentaire.