Qu'est-ce que la loi CAN-SPAM ?

La loi CAN-SPAM pose un cadre règlementaire pour les e-mails et autres messages émanant d'entités commerciales.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Expliquer quels courriels sont soumis à la loi
  • Comprendre les meilleures pratiques en matière de conformité
  • Comparez le CAN-SPAM Act à la directive « vie privée et communications électroniques ».

Copier le lien de l'article

Qu'est-ce que la loi CAN-SPAM ?

Le CAN-SPAM Act est une loi américaine qui impose une série d'exigences pour les courriels et autres messages provenant d'entités commerciales, comme les entreprises, les spécialistes du marketing et les organisations à but non lucratif. Les courriels soumis à la loi doivent respecter les règles relatives aux lignes d'objet, aux divulgations et aux en-têtes. En outre, la loi établit le droit des destinataires de demander à être retirés des listes d'adresses électroniques et détaille les sanctions encourues par les entreprises qui violent la loi.

Le nom complet de cette loi est « Controlling the Assault of Non-Solicited Pornography and Marketing Act ». Elle a été adoptée en 2003 et est appliquée par la Federal Trade Commission. Elle remplace certains types de lois anti-spam adoptées par les différents États, mais pas tous.

À quels types de messages s'applique la loi CAN-SPAM ?

Le CAN-SPAM Act s'applique à tous les messages commerciaux, y compris les courriers électroniques, qu'ils soient destinés aux consommateurs ou aux entreprises. La FTC définit un « message commercial » comme « tout message électronique dont l'objectif principal est la publicité ou la promotion d'un produit ou service commercial ». Même si le destinataire donne son accord en donnant un consentement affirmatif préalable, une entreprise doit respecter tous les aspects de la loi.

Certains tribunaux fédéraux ont interprété le terme « message électronique » comme incluant les messages envoyés dans la boîte de réception d'un utilisateur du média social ou postés sur son mur ou son flux. La FTC affirme que la loi s'applique également à certains types de messages textuels.

Are transactional emails subject to the law ?

L'objectif premier du message doit être un contenu commercial pour que la loi CAN-SPAM s'applique. S'il se rapporte à une transaction entre l'entité commerciale et le destinataire qui est soit en cours, soit déjà convenue, comme la confirmation d'un achat ou une mise à jour du suivi d'un article en transit, il n'est pas soumis à la loi. Le site de la FTC donne plus de détails sur ce sujet.

Par exemple, imaginons qu'Alice achète un livre en ligne et reçoive un e-mail de confirmation. Comme il s'agit d'une transaction en cours, il n'est pas soumis au CAN-SPAM Act. Si le vendeur lui envoie par la suite un courriel de marketing concernant une promotion, ce courriel de marketing doit respecter les règles de la loi.

Quelles sont les meilleures pratiques pour assurer la conformité ?

Les règles du CAN-SPAM sont assez simples. Les expéditeurs d'courriels peuvent contribuer à assurer la conformité en employant ces tactiques :

  • Choisissez un objet qui se rapporte clairement au contenu principal de l'e-mail.
  • Indiquez clairement que le courriel est une publicité - ne soyez pas trompeur.
  • Incluez une adresse physique de l'entreprise quelque part dans le message.
  • Offrir aux destinataires la possibilité de se désabonner (de ne plus recevoir d'autres courriels).
  • Veillez à l'exactitude des informations figurant dans l'en-tête de l'e-mail, notamment le nom de domaine et l'adresse e-mail d'origine, ainsi que les champs « From », « To » et « Reply-To ».

Comment la loi CAN-SPAM se compare-t-elle à la directive ePrivacy de l'Union européenne ?

La directive « Vie privée et communications électroniques » régit les courriers électroniques non sollicités, l'utilisation des cookies, la minimisation des données et d'autres aspects de la confidentialité des données. Il s'agit d'une directive, ce qui signifie que tous les États de l'UE doivent l'adopter, mais ils sont autorisés à l'adopter comme leur propre législation. Un règlement sur la protection de la vie privée en ligne est en cours d'élaboration et finira par remplacer la directive sur la protection de la vie privée en ligne.

La plus grande différence entre la directive "vie privée et communications électroniques" et la loi CAN-SPAM est que la première spécifie que les personnes doivent accepter de recevoir des courriers électroniques, alors que la seconde ne concerne que la possibilité de refuser.

Toutefois, l'exigence de l'opt-in de la directive ne s'applique pas si une organisation a une relation commerciale existante avec le destinataire. Une exclusion existe également pour la "commercialisation de produits ou de services similaires" auprès d'un destinataire, pour autant que l'expéditeur soit la même entreprise qui a initialement collecté l'adresse électronique de la personne.

En outre, la directive « vie privée et communications électroniques » stipule que :

  • Les courriels doivent offrir la possibilité de se désabonner
  • L'identité de l'expéditeur ne doit pas être trompeuse
  • Les courriels doivent contenir une adresse de retour valide

Comment fonctionne le processus d'exclusion ?

Les entreprises utilisent des listes d'exclusion, également appelées listes de suppression, pour suivre les adresses électroniques des anciens destinataires qui se sont désinscrits.

La norme CAN-SPAM comporte plusieurs règles concernant les requêtes de désabonnement–:

  • L'entreprise doit traiter la requête de désabonnement dans un délai de 10 jours ouvrables.
  • Le système permettant à une personne de se retirer doit être valable pendant au moins 30 jours après l'envoi du message.
  • Il doit y avoir une option permettant d'arrêter tous les messages futurs ; une entreprise peut ajouter une autre option permettant de n'arrêter que certains types de messages commerciaux, par exemple pour qu'un utilisateur reçoive des courriels sur des événements mais ne reçoive pas les annonces de nouveaux produits.

Les entreprises ont le choix du mécanisme d'exclusion - elles peuvent fournir une adresse électronique que le destinataire pourra contacter ou utiliser une autre méthode basée sur l'internet, comme un lien vers un site web avec un formulaire à remplir.

Quelles sont les sanctions en cas de violation de la loi CAN-SPAM ?

Les amendes peuvent atteindre 43 792 dollars pour chaque message individuel, et plusieurs parties peuvent être tenues responsables pour le même message. Les entreprises sont responsables du comportement des tiers qu'elles engagent pour des opérations de marketing.

Il est à noter que les particuliers n'ont pas la qualité pour agir pour intenter une action en justice en vertu de cette loi. Au lieu de cela, la FTC, les procureurs de l'État et les fournisseurs d'accès Internet intentent des procès au nom d'un utilisateur.

Comment les destinataires peuvent-ils signaler les violations du CAN-SPAM ?

La FTC recommande trois options pour les plaintes :

  • Signalez l'expéditeur à la FTC elle-même.
  • Transférer le message à un fournisseur de courrier électronique ou choisir l'option de marquer un message comme spam
  • Transférer le message au fournisseur de messagerie de l'expéditeur, si possible

Comment les organisations peuvent-elles empêcher les spammeurs d'usurper l'identité de leur domaine de messagerie ?

Parfois, les spammeurs envoient des messages électroniques qui violent la loi CAN-SPAM tout en utilisant le nom de marque d'une organisation légitime, une technique connue sous le nom de domain spoofing. Ils utilisent l'usurpation de domaine pour que les messages électroniques paraissent plus légitimes et incitent davantage d'utilisateurs à lire le message et à cliquer sur les liens intégrés.

Bien que la loi CAN-SPAM ne pénalise pas les organisations pour les courriels envoyés par des spammeurs qui usurpent leur identité, les organisations peuvent prendre quelques mesures pour rendre plus difficile l'usurpation de leur domaine par des tiers.

À l'aide de l'assistant DNS de Cloudflare Email Security, il est possible de configurer DKIM, SPF, et DMARC - trois types de méthodes d'authentification des courriels - afin d'empêcher l'usurpation de domaine.