Première publication le 14 juin 2004

La Commission s'inquiète des problèmes de droits posés par l'utilisation du service DidTheyReadIt, censé avertir, à l'insu des destinataires, que les mails ont bien été lus.

DidTheyReadIt , le service lancé par une société américaine permettant à l'expéditeur d'un e-mail de savoir si son message a été lu, quand et où, et à l'insu du destinataire, va faire l'objet d'une alerte en bonne et due forme de la part de la Commission nationale informatique et liberté (Cnil) dans les prochains jours.

Non pas pour pointer l'illégalité du service en lui-même, mais plutôt les éventuelles violations de la vie privée que peut entraîner son utilisation, notamment par les entreprises, à qui ce service est surtout destiné. Car, même si la Cnil tique un peu, il n'est pas possible de faire grand chose contre Rampell Software, qui commercialise DidTheyReadIt.

D'abord parce que la société est située aux Etats-Unis, mais aussi parce que « si une société française était éditrice du même logiciel, elle ne serait pas dans l'illégalité » , estime Emilie Passemard, chargée de mission à la Commission.

C'est bel et bien dans l'utilisation de DidTheyReadIt que résident les problèmes. Avec ce service « remontant », sans le dire aux correspondants, des informations très précises sur la lecture du mail par le destinataire et sur son installation informatique, « les clients vont se rendre coupables de stockage de fichiers nominatifs, ce qui tomberait sous le coup de la loi » .

Si la question n'est pas nouvelle, la Cnil ayant dans ses attributions de veiller à ce type d'emploi de logiciels, la nouveauté réside dans ce que l'éditeur ne vend pas son service pour autre chose. Il est conçu, promu et vendu pour cet emploi à la limite de la légalité.

« C'est un aspect nouveau, mais le côté positif de l'affaire, c'est que cela alerte les gens sur le fait que ce genre de chose est possible. » Et donc peut les rendre un peu plus vigilants. D'autant que les moyens de se prémunir contre les indiscrétions de DidTheyReadIt existent.

Le logiciel utilise par exemple de petits programmes, les « Web bugs », greffés au message sans apparaître à l'écran. Développés en javascript, ce sont eux qui remontent les informations sur la vie du message. « La solution serait alors de désactiver tout ce qui exécute des script Java, ou au moins demander à être prévenu quand il y en a. » Et comme ces programmes s'exécutent dans des e-mails en HTML, le service de Rampell Software (la société le précise elle-même d'ailleurs) ne fonctionne pas si le destinataire lit ses messages en mode texte.

L'action de la Cnil sur ce sujet précis entre dans le cadre d'un rôle plus vaste de sensibilisation (qui fait l'objet d'un espace dédié sur le site Web de la Commission). « Cela fait longtemps qu'on alerte les gens sur les traces laissées sur Internet , rappelle Emilie Passemard. Il est tentant de les exploiter. Didtheyreadit n'est qu'une évolution d'un problème ancien. »

La Commission ne peut pour l'instant qu'alerter au coup par coup et surtout après coup, mais les adaptations de la loi Informatique et Libertés de 1978 , en cours de discussion au Parlement, devraient lui permettre d'agir en amont. L'article 3 prévoit ainsi qu' « elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elles les a reconnus conformes aux dispositions de la présente loi » .

Elle doit aussi se tenir « informée de l'évolution des technologies de l'information et [rendre] publique le cas échéant son appréciation des conséquences qui en résultent pour l'exercice des droits et libertés ». Le texte arrive en deuxième lecture au Sénat le 29 juin.