La loi CAN-SPAM pose un cadre règlementaire pour les e-mails et autres messages émanant d'entités commerciales.
Cet article s'articule autour des points suivants :
Contenu associé
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Le CAN-SPAM Act est une loi américaine qui impose une série d'exigences pour les courriels et autres messages provenant d'entités commerciales, comme les entreprises, les spécialistes du marketing et les organisations à but non lucratif. Les courriels soumis à la loi doivent respecter les règles relatives aux lignes d'objet, aux divulgations et aux en-têtes. En outre, la loi établit le droit des destinataires de demander à être retirés des listes d'adresses électroniques et détaille les sanctions encourues par les entreprises qui violent la loi.
Le nom complet de cette loi est « Controlling the Assault of Non-Solicited Pornography and Marketing Act ». Elle a été adoptée en 2003 et est appliquée par la Federal Trade Commission. Elle remplace certains types de lois anti-spam adoptées par les différents États, mais pas tous.
Le CAN-SPAM Act s'applique à tous les messages commerciaux, y compris les courriers électroniques, qu'ils soient destinés aux consommateurs ou aux entreprises. La FTC définit un « message commercial » comme « tout message électronique dont l'objectif principal est la publicité ou la promotion d'un produit ou service commercial ». Même si le destinataire donne son accord en donnant un consentement affirmatif préalable, une entreprise doit respecter tous les aspects de la loi.
Certains tribunaux fédéraux ont interprété le terme « message électronique » comme incluant les messages envoyés dans la boîte de réception d'un utilisateur du média social ou postés sur son mur ou son flux. La FTC affirme que la loi s'applique également à certains types de messages textuels.
L'objectif premier du message doit être un contenu commercial pour que la loi CAN-SPAM s'applique. S'il se rapporte à une transaction entre l'entité commerciale et le destinataire qui est soit en cours, soit déjà convenue, comme la confirmation d'un achat ou une mise à jour du suivi d'un article en transit, il n'est pas soumis à la loi. Le site de la FTC donne plus de détails sur ce sujet.
Par exemple, imaginons qu'Alice achète un livre en ligne et reçoive un e-mail de confirmation. Comme il s'agit d'une transaction en cours, il n'est pas soumis au CAN-SPAM Act. Si le vendeur lui envoie par la suite un courriel de marketing concernant une promotion, ce courriel de marketing doit respecter les règles de la loi.
Les règles du CAN-SPAM sont assez simples. Les expéditeurs d'courriels peuvent contribuer à assurer la conformité en employant ces tactiques :
La directive « Vie privée et communications électroniques » régit les courriers électroniques non sollicités, l'utilisation des cookies, la minimisation des données et d'autres aspects de la confidentialité des données. Il s'agit d'une directive, ce qui signifie que tous les États de l'UE doivent l'adopter, mais ils sont autorisés à l'adopter comme leur propre législation. Un règlement sur la protection de la vie privée en ligne est en cours d'élaboration et finira par remplacer la directive sur la protection de la vie privée en ligne.
La plus grande différence entre la directive "vie privée et communications électroniques" et la loi CAN-SPAM est que la première spécifie que les personnes doivent accepter de recevoir des courriers électroniques, alors que la seconde ne concerne que la possibilité de refuser.
Toutefois, l'exigence de l'opt-in de la directive ne s'applique pas si une organisation a une relation commerciale existante avec le destinataire. Une exclusion existe également pour la "commercialisation de produits ou de services similaires" auprès d'un destinataire, pour autant que l'expéditeur soit la même entreprise qui a initialement collecté l'adresse électronique de la personne.
En outre, la directive « vie privée et communications électroniques » stipule que :
Les entreprises utilisent des listes d'exclusion, également appelées listes de suppression, pour suivre les adresses électroniques des anciens destinataires qui se sont désinscrits.
La norme CAN-SPAM comporte plusieurs règles concernant les requêtes de désabonnement–:
Les entreprises ont le choix du mécanisme d'exclusion - elles peuvent fournir une adresse électronique que le destinataire pourra contacter ou utiliser une autre méthode basée sur l'internet, comme un lien vers un site web avec un formulaire à remplir.
Les amendes peuvent atteindre 43 792 dollars pour chaque message individuel, et plusieurs parties peuvent être tenues responsables pour le même message. Les entreprises sont responsables du comportement des tiers qu'elles engagent pour des opérations de marketing.
Il est à noter que les particuliers n'ont pas la qualité pour agir pour intenter une action en justice en vertu de cette loi. Au lieu de cela, la FTC, les procureurs de l'État et les fournisseurs d'accès Internet intentent des procès au nom d'un utilisateur.
La FTC recommande trois options pour les plaintes :
Parfois, les spammeurs envoient des messages électroniques qui violent la loi CAN-SPAM tout en utilisant le nom de marque d'une organisation légitime, une technique connue sous le nom de domain spoofing. Ils utilisent l'usurpation de domaine pour que les messages électroniques paraissent plus légitimes et incitent davantage d'utilisateurs à lire le message et à cliquer sur les liens intégrés.
Bien que la loi CAN-SPAM ne pénalise pas les organisations pour les courriels envoyés par des spammeurs qui usurpent leur identité, les organisations peuvent prendre quelques mesures pour rendre plus difficile l'usurpation de leur domaine par des tiers.
À l'aide de l'assistant DNS de Cloudflare Email Security, il est possible de configurer DKIM, SPF, et DMARC - trois types de méthodes d'authentification des courriels - afin d'empêcher l'usurpation de domaine.