Droit de l’internet et des nouvelles technologies de l’information et de la communication
Les NTIC ont mis à l’évidence à leur apparition dans le secteur grand public un manque en matière de législation.
Aujourd’hui, avec la banalisation de l’informatique dans les ménages et l’internationalisation des échanges grâce à internet, certaines personnes clament encore qu’il y a un vide juridique sur internet.
Voici le plan du cours de droit de l’internet sur www.cours-de-droit.net
- Droit immatériel (internet, image, presse, marque, tv, radio)
- Droit des médias (télé, radio, presse, pub, communication)
- Droit du travail et technologies de communication
- Cours de droit des médias
- Droit du marketing et de la publicité
- Droit de la communication
- Droit à l’image
- Chapitre 1 : Sur a responsabilité de l’internaute
- L’identité numérique
- L’usurpation d’identité
- Les traces
- La correspondance privée :
- La protection des œuvres :
- Les licences des logiciels, des ressources
- Le téléchargement de musique et de films
- Les bons usages du numérique
- · Chapitre 2 : la création sur internet
- · 1 Créer
- o Droits d’auteur
- § Les conditions de protection d’une oeuvre .
- § Les droits de l’auteur
- o Les exceptions aux droits d’auteur
- § Utilisations garantissant la liberté d’expression
- § Utilisations à caractère privé
- § Utilisation garantissant le droit à l’information
- § Utilisations fondées sur des considérations pratiques
- § Les changements apportés par la loi sur les droits d’auteur du 1er Août 2006
- o Les autres droits sur la création
- § Les droits des artistes-interprètes
- § Les droits des producteurs de phonogrammes et de vidéogrammes
- § Les droits des entreprises de communication audiovisuelle
- § Les droits des producteurs de bases de données
- § A retenir…
- o L’exercice des droits sur la création
- § Gestion individuelle ou gestion collective ?
- § La cession des droits
- § Les licences « libres »
- § A retenir…
- · Chapitre 3 : la communication sur internet
- · Communiquer
- o Définition de la communication privée
- o Règles applicables à la communication privée
- § Le secret des correspondances et des communications
- § Le secret des correspondances privées au sein de l’entreprise
- § Les moyens techniques de protection des communications électroniques
- § A retenir
- o Définition de la communication publique .
- o Règles applicables à la communication publique
- § Les règles qui s’appliquent au « contenant
- § Les règles qui s’appliquent au « contenu »
- § A retenir…
- · Chapitre 4 : se protéger sur internet
- · Se protéger
- o La protection des données à caractère personnel
- § Les applications de la loi « Informatique et libertés »
- § Les devoirs de la personne responsable du traitement de données à caractère personnel
- § A retenir…
- o La LCEN ou Loi du 21 juin 2004 pour la confiance dans l’économie numérique
- o Les règles qui protègent les systèmes informatiques
- § Définition d’un système de traitement automatisé de données (STAD) .
- § Accès ou maintien frauduleux dans un STAD
- § A retenir.
- Chapitre 1 : Sur la responsabilité de l’internaute
- L’identité numérique
Il existe deux types de personnalités en droit :
- Personnes physiques qui ont des attributs (nom, adresse, nationalité, filiation…)
- Personnes morales : organisations qui ont des attributs aussi (raison sociale, établissements, siège, nationalité de l’entreprise, créateurs…)
Depuis qu’internet existe, l’identité numérique est apparue pour les personnes (morales ou physiques : une seule identité numérique), c’est l’ensemble des données qui sont associées à ses profils. Il est facile de retrouver l’identité numérique (adresse IP + adresse MAC qui est dans l’ordi perso). Cette identité contient les informations que l’utilisateur a laissé sur le web, que les autres laissent et qui le concerne, et toutes traces laissées inconsciemment (adresse mail, photos…)
Identifiant : le login/nom d’utilisateur, répond à la question « qui êtes-vous ? »
Authentifiant : « prouver-le », c’est-à-dire le mot de passe. On trouve deux types de mot de passe, authentification faible ou basique (identifiant + mot de passe) et l’authentification forte (au moins 3 vecteurs : authentification basique + badge/puce/biométrique.) Cette dernière n’est pas toujours acceptée en France, à part dans les zones sécurisées. Elle doit être acceptée par la CNIL ;
- L’usurpation d’identité
Il est toujours qu’une personne voit son identité usurpée. C’est la jurisprudence de 2010 (Alexandre P et Omar S). Soit on vole les identifiants authentifiants, soit on en invente. Il existe alors deux recours pour la victime :
- Saisie du tribunal de grande instance pour atteinte à la vie privée, atteinte au droit à l’image, préjudice moral. Elle peut alors toucher des dommages et intérêts plus un remboursement de ses frais
- Saisie du tribunal pénal, mais la victime n’y gagne rien. Le coupable doit en revanche payer une amende de 15000euros (au trésor public) et peut encourir jusqu’à un an de prison pour cause d’usurpation d’identité.
- Les traces
- Coordonnées avec certificats : pages sécurisées, certificats qui sont sur l’ordinateur et les certificats envoyés directement lors d’une commande, un achat….avec des informations personnelles.
- Publications sur différents sites, qui sont visibles dans tous les cas
- Profession
- Données (dropbox…), ghostery
- La correspondance privée :
C’est une loi de 1986 qui applique les règles de la correspondance privée à la correspondance numérique (code civil/code pénal). La règle est la suivante : « il y a correspondance privée quand le message est exclusivement destiné à une ou plusieurs personnes physiques ou morales, déterminées et individualisées. » Il n’y par exemple pas de correspondance privée sur les forums, sauf les forums privés, par exemple professionnels. Il faut connaitre le nom ou le pseudo de la personne à qui on envoie le message. A partir de 2004 la loi s’applique aux mails et aux courriels de manière précise.
La divulgation non autorisée par l’émetteur d’un courriel est une violation du secret de la correspondance qui engage la responsabilité pénale de l’auteur de l’infraction. C’est l’article 226.15 du Code pénal. La sanction est un an d’emprisonnement et 45000 euros d’amende. Il est normalement interdit de transférer des mails sans l’accord écrit de l’auteur du mail.
Le code civil s’intéresse aussi au secret de la correspondance. C’est l’article 9 du code civil qui dit que « quel que soit la teneur du message, si le message est destiné à des personnes identifiées, il est susceptible de protection. »
- Qu’en est-il de la correspondance privée des employés en entreprise ? Il y a un secret de la correspondance dans l’entreprise cependant l’employeur reste maître de la sécurité. L’employeur n’a pas le droit d’ouvrir des mails privés sauf s’il pense que cela représente un danger informatique. Deux personnes ont droit de regard sur la correspondance de l’entreprise : l’employeur et l’administrateur système. Ce dernier a le droit d’aller sur tous les postes mais ne doit pas divulguer les informations à l’employeur.
Ainsi tout ce qui est reçu dans le cadre de l’entreprise peut être vu par l’employeur. Si l’employé veut garder ses données personnelles sur le poste de l’entreprise doit créer un dossier intitulé « personnel » et qui va être protégé par le secret de la vie privée.
- Quel est l’étendue de la charte ?
L’employeur a un droit de contrôle et de surveillance. Ce droit s’exprime à travers la charte. Il émane du lien de subordination. Un contrat de travail a 3 éléments obligatoires : un travail, une rémunération et surtout un lien de subordination. La charte a la même valeur que le règlement intérieur c’est-à-dire que si l’on ne suit pas la charte on peut être licencié pour faute réelle et sérieuse.
Dans la charte on trouve donc certaines règles :
- L’employé ne doit pas se servir de l’adresse mail de l’entreprise pour son courrier personnel.
- L’employé ne doit pas envoyer de mails dans lesquels il pourrait y avoir de la violence, du racisme, de l’intolérance à partir de la boite mail professionnelle. (jurisprudence cour de cassation 2004)
- L’employé ne doit pas envoyer de mails dans lesquels il mettrait en cause la réputation de l’entreprise (cour de cassation 2004)
- L’employeur doit avoir des raisons tangibles de peur pour son système informatique pour aller dans la correspondance privée du salarié.
- Que faut-il faire ?
- Ne pas transférer sans autorisation
- Mettre en copie cachée lorsqu’il y a plusieurs destinataires
- Ne jamais rendre publique le contenu d’un message privé
- La protection des œuvres :
Elle se fait essentiellement par des brevets et les droits d’auteur. Il n’y a pas de brevets pour les logiciels dans toute la communauté européenne. En France, un brevet n’est donné que quand il y a invention scientifique qui ne pouvait être imaginée par un expert de la matière. Il n’est ainsi pas possible de créer de brevets pour les logiciels (ex : OpenOffice : l’écriture existe, les calculs existent, les bases de données existent…)
En France, les logiciels sont protégés par les droits d’auteur, qui protègent toutes les œuvres de l’esprit (textes, musiques, images vidéo/photos, schémas, programmes informatique…).
- Les éléments constitutifs des droits d’auteur :
- Droits patrimoniaux: permettent à l’auteur d’être rémunéré pour son œuvre. Leur durée de vie est de 70 ans. Ainsi pendant 70 ans l’auteur ou ses ayants-droits perçoivent une rémunération. Ces droits peuvent aussi être vendus.
- Droits moraux: reconnaissent la paternité à l’auteur et qui protègent l’intégrité de l’œuvre. Ces droits sont perpétuels. En réalité, une fois que l’œuvre n’a plus ses droits patrimoniaux, les droits moraux permettent de percevoir une rémunération.
- Domaine privé/domaine public :
Au bout de 70 ans, l’œuvre tombe dans le domaine public ; chacun peut s’en servir mais doit absolument conserver l’intégrité de l’œuvre. Certains auteurs décident de ne pas se servir de leurs droits patrimoniaux. L’œuvre ne tombe pas pour autant dans le domaine public.
Article 111.1 du CPI (code de la propriété intellectuelle) rappelle que les œuvres sont protégées du seul fait de leur création.
- L’étendue de la protection :
En France il n’y a qu’une seule règle, celle de l’antériorité. Pour prouver que je suis un auteur, je dois prouver que j’ai été le premier à créer l’œuvre.
La première méthode est une déclaration auprès de l’INPI (Institut National de la Propriété Intellectuelle) avec des copies écran du logiciel, code des fonctionnalités, code source… (Coût entre 200 et 10000 euros)
La deuxième méthode est un dépôt devant notaire : déposition d’une enveloppe auprès du notaire qui va déclarer la date de la remise. (Coût entre 200 et 400 euros)
La troisième possibilité est de d’envoyer une lettre recommandée avec tous les documents à soi-même sans jamais ouvrir l’enveloppe. (Coût 6,40 euros)
N.B : En France, le copyright n’a pas de sens contrairement aux pays anglo-saxons quand un institut l’accorde.
- Les licences des logiciels, des ressources
La licence est un contrat qui régit les conditions d’utilisation et de distribution de l’œuvre. L’acquisition de logiciels n’entraine que le droit d’utilisation.
6-1) Les licences libres
Libre ne veut pas dire gratuit, il existe des licences libres payantes. Propriétaire ne veut pas non plus dire payant.
Ex : base de données Oracle est un logiciel libre payant, logiciels Windows sont propriétaires mais gratuits.
Les logiciels libres offrent 4 possibilités :
- Utiliser l’œuvre pour tous les usages
- Etudier l’œuvre
- Redistribuer des copies
- Modifier et publier les modifications (possibilité d’accéder au code source)
6-2) Les licences propriétaires
Ce sont les logiciels à qui ils manquent les qualités du libre. Ex : Microsoft office
On va toujours avoir trois termes au contrat :
- La copie privée et la représentation sont restreintes au cercle familial. (œuvres vidéo, audio, mais aussi des logiciels)
- Possibilité d’éditer qu’une partie non essentielle. (ex : travail de calcul sur excel : possibilité de l’envoyer à un contact mais pas le logiciel en entier)
- On ne peut les exploiter en groupe qu’à des fins pédagogiques (ex: si cours sur un logiciel précis pas besoin que chaque élève ne l’achète)
- Les différents types de licence libre :
- GNU-GPL: ce sont des licences qui proviennent du droit anglo-saxon et donnent à l’utilisateur des droits très étendus.
- CeCILL-B/CeCILL-C: même droit que celles anglo-saxonnes mais l’auteur initial doit systématiquement être mentionné. Dans le cas contraire, il peut demander des dommages et intérêts. Ce sont en réalité des outils de promotion car elles promeuvent à chaque fois l’auteur. La différence entre ces deux licences est le champ d’application : CeCILL-C n’englobe pas les champs commerciaux.
- Licence Copyleft: plus restrictive, toute modification ne peut être éditée que si le logiciel conserve sa qualité de logiciel libre. (ex : récupérer un logiciel libre, le modifier et en faire un logiciel propriétaire n’est pas autorisé)
- Licence de domaine public : l’œuvre peut être commercialisée une fois modifiée. Ce type de licence comporte des variantes de CeCILL-B et de licences anglo-saxonnes (ex : logiciel canadien appelé openerp libre et gratuit dont tout le monde peut se servir, mais si j’apporte des modifications je peux choisir de les revendre)
- Licence compatible (ni libre ni propriétaire) : ce sont des licences qui obligent celui qui les modifie à rester dans le même type de licence sinon la modification est interdite. (ex : logiciels VLC et Gimp sont sous licence GPL, Explorer/Outlook sont sous licence propriétaire)
- Licence Creativ Commons :ces 3 dernières années dans l’Education Nationale et la recherche les administrateurs ont créé des plateformes de partage de travaux universitaires (cours, TD, articles produits…). Les enseignants se sont rendu compte que les entreprises les récupéraient pour ensuite les vendre aux étudiants. Cette licence est dont maintenant appliquée à quasiment toutes les œuvres : possibilité de les lire, de les travailler mais pas de les vendre.
- Le téléchargement de musique et de films
Le problème est que jusqu’à l’arrivée d’Internet, pour se procurer une œuvre il fallait soit l’acheter, soit la recopier mais de façon très limitée. Pour les films, les auteurs étaient rémunérés en fonction des achats. Pour la musique, la CSSM répertoriaient le nombre de fois que la musique était diffusée à la radio, dans des fêtes publiques… Les œuvres tombées dans le domaine public étaient visionnables ou écoutables de manière gratuite. Quand l’auteur était rémunéré, son éditeur l’était aussi.
Il y a deux possibilités de rémunérer les auteurs :
- La licence globale: tous les internautes sans exception vont payer à partir de leur abonnement internet une certaine somme (Belgique : 6euros HT, France : 5,50 HT/mois) pour avoir accès à toutes les ressources sans exception à des plateformes qui offrent sans limitation des œuvres de qualité. Mais problème pour les éditeurs car les stratégies marketing habituelles ne fonctionnent pas sur Internet donc ils ne seraient plus payés. Cette licence n’était appliquée qu’en Belgique.
- L’achat ponctuel de chaque utilisation de l’œuvre : VOD, iTunes… Mais Netflix est attaqué par les consommateurs français car ce site proposait des séries anciennes et ils ont traduit littéralement le droit américain au droit français, or ces droits sont totalement différents.
Les méthodes légales et illégales vont se servir des mêmes outils informatiques.
- La neutralité d’internet est une règle suivie normalement par tous les Etats. C’est en réalité deux règles :
- Une règle technique : sur n’importe quel réseau aucune autorité administrative ne peut interdire l’utilisation d’un outil ou obliger à utiliser un outil spécifique, que ce soit des réseaux privés d’entreprise, ou des réseaux sociaux. Problème de la loi ADOPI qui interdisait le P-2-P (problème de la neutralité d’internet et tous les partis ont mis sur leur site des vidéos de promotion qui fonctionnait avec le P-2-P donc il aurait fallu fermer leurs sites)
- Toutes les sources sont égales : on va demander à celui qui se sert du réseau de faire le partage entre les sources pertinentes et non crédibles mais toutes les sources se valent.
Je peux contraindre l’internaute à ne pas aller sur le site mais je ne peux pas fermer le site. ADOPI s’est aussi heurté très violemment à la constitution française car dès le moment où un des deux contractants ne remplit pas ses obligations l’autre peut résilier le contrat : en effet l’idée d’ADOPI était de priver le pirate d’internet pendant un an en cas de téléchargement massif. Or, l’individu n’a pas à payer pour un service qu’un prestataire privé ne lui rend pas. La sanction d’ADOPI est donc anticonstitutionnelle et ne peut pas s’appliquer. ADOPI n’a pas non plus le droit de couper l’accès à l’information d’une personne. Enfin, en droit pénal, on ne peut pas sanctionner quelqu’un qui n’a pas commis un délit et en cas de coupure d’internet pour une famille on supprime internet à l’ensemble de la famille.
Si un ayant droit, auteur, éditeur… demande à ADOPI d’intervenir sur un site où il a vu que son œuvre était déposée, comme ADOPI ne peut pas intervenir sur le site, il va intervenir auprès des personnes qui téléchargent. Il va leur envoyer un 1er mail en passant par leur fournisseur d’internet : si le contrevenant continue, une lettre en recommandé avec accusé de réception lui sera envoyé. En cas de récidive, une amende sera prononcée en fonction de ses agissements.
ADOPI ne s’est pas intéressé au streaming pour les raisons citées précédemment. Le gouvernement a passé des accords avec Google qui, petit à petit, déréférence des sites de téléchargement de streaming.
Pour l’instant, il y a un vide juridique relatif autour du téléchargement.
- Les bons usages du numérique
- Les obligations légales applicables à une page web
On doit faire la différence entre une page web commerciale et non-commerciale. La page web commerciale va devoir suivre la loi Hamon de mars 2014.
La CNIL a été créée en 1978 suite à la loi des libertés informatiques notamment suite à la création du fichier SAFARI qui permettait de connecter les fichiers EDF, des impôts et de la police. Les parlementaires ont donc demandé qu’une commission soit nommée pour surveiller les fichiers nominatifs (fichiers où l’on peut directement ou indirectement retrouver une personne).
Les pages web comprennent les blogs et les sites internet. Lors de la création de toute page web, on doit inscrire le numéro d’accord de la CNIL s’il y a traitement de données personnelles. La CNIL doit avoir le nom des champs : (= colonne), le numéro d’identifiant, les coordonnées de la personne…Cette déclaration doit se faire soit de manière imprimable soit informatiquement. Si la CNIL ne répond pas au bout de 2 mois, cela veut dire que la création de la page web est acceptée (pour les déclarations qui ne font pas appel à des données sensibles).
Pour les déclarations d’une base de données avec des informations sensibles (politiques, religieuses, philosophiques, sexuelles, raciales ou d’origine), l’individu doit faire une déclaration spéciale à la CNIL et doit attendre son autorisation écrite. La sécurité nationale n’a bien sûr pas à faire de déclarations.
L’individu doit donner le nom du responsable de traitement des données personnelles, les finalités du traitement, le destinataire des informations, rappeler l’existence des droits d’accès, de rectification et de suppression des données. Sur les forums précisément, il faut rappeler l’existence du droit de réponse.
La page doit rappeler le statut juridique : association, sarl…Plus de 70% des forums sont maintenant créés pour la promotion d’une marque.
Le fichier HEDVIGE est un fichier de la police nationale dans lesquelles sont placées les données concernant l’ADN. Ce fichier pose plusieurs problèmes : vont être entrés dans ce fichier les personnes qui ont commis des délits ou des crimes mais aussi ceux qui ont commis de plus petits délits ainsi que tous les témoins de n’importe quelle infraction. Un des problèmes importants est que jusqu’à maintenant, n’importe qui peut y avoir accès.
LA CNIL peut aller visiter n’importe quelle entreprise, n’importe quand, pour vérifier si sur les ordinateurs de fichiers nominatifs (4 ans de prison et 45000euros d’amende). La jurisprudence de la CNIL a déclaré que les fichiers nominatifs non déclarés n’ont pas de prix : pour la CNIL, si un fichier non déclaré est acheté, elle va obliger le vendeur à rembourser l’acheteur.
La troisième obligation est l’obligation de création d’un nom de domaine, unique. Il faut le déclarer et il sera affecté après vérification de son unicité. Le nom de domaine est acheté, à partir d’environ 12euros l’année.
La dernière obligation est la gestion des cookies (programme qui va faciliter la navigation). Ces cookies récupèrent les données personnelles pour faire du marketing comportemental. Le législateur européen interdit les cookies sauf ceux qui permettent une navigation plus rapide.
- Les obligations légales pour les pages de e-commerce
La loi Hamon de mars 2014 oblige à une sécurisation des paiements par des organismes certificateurs, à un horodatage (date et heure de la création de chaque pièce qui constituent les preuves) et toutes les autres obligations liées à la vente par correspondance.
- Accessibilité des pages web
Les pages web doivent être accessibles par tout le monde, y compris par ceux qui ont des handicaps lourds, des personnes âgées avec une mauvaise vue… Il faut donc la faire vérifier par un organisme appelé le W3C, qui répond dans l’instant. Cet organisme est gratuit, la jonction d’une fac américaine et de celle de Tokyo, et vérifie que la page est accessible sur tous les navigateurs.
- La nétiquette
Toujours bien se comporter sur les réseaux : ne pas menacer, insulter, inciter à la haine…On va y mettre tous les éléments d’éthique (ne pas hacker un site gouvernemental…)
Chapitre 2 : La création sur internet
1 Créer
1.1 Droits d’auteur
Le droit d’auteur désigne l’ensemble des règles qui protègent les œuvres de l’esprit (textes, photographies, films, musiques, …).
Le droit d’auteur permet de protéger tous types d’œuvres, et notamment (la liste n’est pas limitative) :
- Les œuvres littéraires : livres, articles (littéraires, artistiques et scientifiques), discours, manuel universitaire ;
- les œuvres musicales : musiques avec ou sans parole, de tous types (opéra, jingle, musique électronique, …) ;
- les œuvres artistiques : peintures, sculptures, gravures, etc. ;
- Les œuvres audiovisuelles : films, courts-métrages, documentaires, spots publicitaires ;
- les œuvres utilitaires : mode d’emploi d’un appareil, motifs d’un papier peint, carte géographique ;
- Les logiciels : le code source d’un logiciel est protégé comme une oeuvre littéraire. Seul le code source est protégeable car contrairement au code objet compréhensible uniquement par la machine, il contient des éléments intelligibles par l’homme.
- Les conditions de protection d’une œuvre
Pour qu’une œuvre soit protégée, il faut que deux conditions soient réunies : elle doit d’une part se concrétiser dans une forme, d’autre part être originale.
Le droit d’auteur ne protège pas les idées. Les idées (qu’elles soient d’ordre artistique, politique, philosophique, scientifique ou autre) peuvent être exprimées et reprises par tous. Seules les œuvres qui se concrétisent dans une forme perceptible par les sens peuvent être protégées par le droit d’auteur.
Le droit d’auteur protège uniquement la forme des œuvres, pas les idées qu’elles expriment ou traduisent.
Une œuvre est protégée uniquement si elle est originale. Ceci ne signifie pas que, pour être protégée, l’œuvre doit être nouvelle.
On considère qu’une œuvre est originale si elle porte l’empreinte de la personnalité de son auteur.
Dès lors que ces deux conditions sont remplies, l’œuvre est protégée.
Contrairement à une idée reçue, il n’est pas nécessaire de déposer l’œuvre auprès d’un notaire ou d’un organisme de dépôt pour qu’elle soit protégée. A la différence des marques ou des brevets, les œuvres originales sont protégées du seul fait de leur création (même inachevée).
Le dépôt peut toutefois s’avérer utile en cas de litige pour pouvoir démontrer que l’on est bien l’auteur de l’œuvre et pour prouver la date de la création.
Le dépôt peut être effectué à l’INPI, auprès d’une société de gestion collective, chez un notaire ou auprès d’une société commerciale spécialisée. Une autre solution, beaucoup moins coûteuse (mais également moins fiable), est de s’envoyer l’œuvre à soi-même par lettre recommandée avec accusé de réception, en prenant soin de laisser l’enveloppe cachetée : le cachet de la poste permettra d’attester de la date de création.
- Les droits de l’auteur
La loi reconnaît à l’auteur d’une œuvre originale deux types de droits : certains sont d’ordre intellectuel et moral (les droits moraux), d’autres d’ordre patrimonial (les droits patrimoniaux).
Toute atteinte à ces droits constitue une contrefaçon qui peut être sanctionnée pénalement (jusqu’à trois ans d’emprisonnement et 300.000 euros d’amende) et civilement (versement de dommages et intérêts à l’auteur).
1.1.2.1 Droits moraux
La loi reconnaît à l’auteur des droits moraux (également désignés sous l’expression générique de « droit moral »). Ces droits sont destinés à protéger, au travers de l’œuvre, la personnalité de l’auteur.
Toute utilisation d’une œuvre protégée doit ainsi respecter :
- Le droit de divulgation : seul l’auteur peut décider du moment auquel il souhaite faire connaître son œuvre au public. Nul ne peut le faire à sa place. L’auteur est également le seul à pouvoir décider des conditions de la divulgation : il peut, par exemple, la limiter à certains modes de diffusion
- Le droit à la paternité : toute reproduction ou communication au public de l’œuvre doit s’accompagner d’une mention du nom de l’auteur (ou, le cas échant, de son pseudonyme), sauf si l’auteur a exprimé sa volonté de rester anonyme.
- Le droit au respect de l’œuvre : toute modification de l’œuvre qui porte atteinte à son intégrité (ex. : déformation, altération, suppression d’une partie de l’œuvre, adjonction de nouveaux éléments, etc.) est interdite. Le fait de présenter l’œuvre dans un contexte qui la déprécie ou la dénigre peut également constituer une atteinte au droit moral de l’auteur.
- Le droit de repentir ou de retrait : si l’auteur estime, après la divulgation de son œuvre, que celle-ci ne reflète plus sa personnalité, il est libre de la retirer de la circulation (si l’œuvre a
été éditée en plusieurs exemplaires, il pourra demander le retrait du commerce de la totalité de ces exemplaires).
Caractéristiques des droits moraux
Ils sont perpétuels : ils ne s’éteignent jamais. A la mort de l’auteur, ils sont transmis à ses héritiers (et à leurs descendants).
Ils sont inaliénables : ils ne peuvent pas être cédés à un tiers (éditeur, producteur,…). Ils sont attachés à la personne de l’auteur.
Ils sont insaisissables : les créanciers de l’auteur (c’est-à-dire les personnes à qui il doit de l’argent) ne peuvent demander la saisie d’une œuvre non divulguée pour se rembourser. Par exemple, ils ne pourront pas forcer un peintre à mettre en vente un tableau qu’il n’a pas achevé.
Ils sont absolus : Seul l’auteur est capable d’apprécier s’il y a eu atteinte à ses droits moraux. Le juge ne peut pas le contredire. Toutefois, le juge peut refuser de sanctionner l’atteinte s’il estime que l’exercice du droit moral est abusif (par exemple, si le droit moral n’est exercé que pour nuire à quelqu’un).
1.1.2.2 Les droits patrimoniaux
La loi reconnaît à l’auteur un monopole d’exploitation sur son œuvre : l’auteur est le seul à pouvoir autoriser la représentation ou la reproduction de son œuvre. Grâce à ce monopole, l’auteur pourra demander une rémunération en contrepartie des utilisations de son œuvre.
La représentation d’une œuvre consiste à communiquer l’œuvre au public.
Cette communication peut se faire :
- De façon directe, en présence du public (ex. : une représentation théâtrale, un concert ou une exposition de peintures).
- De façon indirecte, par le biais d’un procédé de télécommunication ou d’un support (ex. : la télédiffusion d’un film, l’écoute d’un disque dans une boîte de nuit ou l’affichage d’une photographie sur la page d’accueil d’un site web).
La reproduction d’une œuvre consiste en la fixation matérielle de l’œuvre.
La fixation peut se faire :
- Manuellement (par exemple, recopier à la main un texte ou un schéma).
- Par des moyens techniques (graver un CD, imprimer une photographie, réaliser un moulage d’une sculpture sont également des actes de reproduction).
Le cas du « Peer to Peer »
Les réseaux « Peer to Peer » permettent la communication, le partage simple d’informations (le plus souvent des fichiers) sur Internet. Le « Peer to Peer » permet à chaque participant au système de proposer des ressources aux autres participants tout en accédant aux ressources disponibles dans le réseau. La circulation d’une œuvre protégée sur un réseau « Peer to Peer » met en œuvre les droits de reproduction et de communication publique.
La durée des droits patrimoniaux
A la différence des droits moraux, les droits patrimoniaux peuvent être cédés.
Les droits patrimoniaux durent toute la vie de l’auteur et subsistent 70 ans après sa mort (on dit que les droits ont une durée de 70 ans post-mortem). A l’issue du délai de 70 ans, l’œuvre tombe dans le domaine public. Elle peut alors être librement exploitée, sans autorisation des héritiers (à condition toutefois de ne pas porter atteinte au droit moral).
1.1.2.3 Vous avez dit Hadopi ?
La loi « Création et Internet » n°2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet dite « loi Hadopi » est une loi française qui sanctionne le partage de fichiers en pair à pair (P2P) lorsque ce partage constitue une infraction au droit d’auteur.
Cette loi a pour but de lutter contre le téléchargement illégal de musique ou de films via les réseaux P2P
L’HADOPI ou Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet, est une autorité publique indépendante créée par la loi « Création et Internet ». Elle est chargée d’encourager l’utilisation des offres légales, d’observer les utilisations licites et illicites sur Internet
Elle est chargée de veiller à la prévention et, éventuellement, à la sanction du piratage des œuvres.
1er principe de la loi Hadopi : Surveillance des pirates par les personnes détenant les droits d’auteur
Si une infraction est constatée, la Haute Autorité peut être alertée et il est possible d’obtenir l’adresse du contrevenant (via FAI).
2ème principe : notion de « riposte graduée »
- Un 1er mail d’injonction est envoyé.
- Si une récidive survient dans les 6 mois : 2nd mail d’avertissement + une lettre recommandée.
- Dans le cas d’une 3ème infraction : suspension de l’abonnement à internet (mais pas son paiement) et impossibilité de réouverture d’une ligne chez un autre FAI, durant la durée de la sanction, associé à une amende de 3 750 €.
Toute personne poursuivie peut demander un appel qui sera suspensif.
1.1.2.4 A retenir
- Une œuvre est protégée par le droit d’auteur si elle se concrétise en une forme et si elle est originale. Une œuvre est originale si elle porte l’empreinte de la personnalité de son auteur.
- L’auteur d’une œuvre originale bénéficie de droits moraux et de droits patrimoniaux.
- Les droits moraux sont composés du droit à la paternité, du droit au respect de l’œuvre, du droit de divulgation, du droit de retrait et de repentir. Les droits moraux sont perpétuels et ne peuvent être cédés.
- Les droits patrimoniaux sont composés du droit de représentation et du droit de reproduction. Ils ont une durée de 70 ans post-mortem et peuvent être cédés.
1.2 Les exceptions aux droits d’auteur
- Utilisations garantissant la liberté d’expression
Certains auteurs peuvent voir d’un mauvais œil que leurs œuvres soient analysées, critiquées, caricaturées ou parodiées. Pour éviter que le droit d’auteur ne vienne nuire à la liberté d’expression, certaines utilisations échappent au contrôle de l’auteur.
L’auteur d’une œuvre ne peut pas interdire les analyses et courtes citations. La loi pose toutefois des conditions strictes, destinées à éviter que l’exception ne soit détournée de sa finalité :
- Le nom de l’auteur et la source doivent être clairement indiqués ;
- L’analyse ou la citation doivent être utilisées à des fins critique, polémique, pédagogique, scientifique ou informative;
- Les extraits repris doivent être courts : ils ne peuvent être trop importants, ni par rapport à la taille de l’œuvre citée, ni par rapport à celle de l’œuvre « citante ».
L’auteur ne peut pas interdire les parodies, caricatures ou pastiches de son œuvre. Ces pratiques sont autorisées si l’intention humoristique est claire et qu’il n’y a pas de risque de confusion entre l’œuvre parodiée et la parodie elle-même.
- Utilisations à caractère privé
Deux exceptions concernent les utilisations effectuées dans un cadre privé :
- La première autorise les représentations privées et gratuites effectuées exclusivement dans un cercle de famille.
- La seconde autorise les copies strictement réservées à l’usage privé du copiste (celui qui réalise la copie) et non destinées à une utilisation collective.
- Utilisation garantissant le droit à l’information
Il est souvent nécessaire, pour informer le public ou rendre compte d’un événement d’actualité, de reproduire ou représenter des œuvres. Des exceptions sont prévues pour garantir le droit à l’information.
La première autorise les revues de presse, c’est-à-dire la présentation et la comparaison d’articles de presse concernant un même thème d’actualité. Là encore, les noms de l’auteur de l’article et du journal dans lequel il a été publié devront être indiqués.
La seconde autorise les journalistes (presse écrite ou parlée) à diffuser certains discours destinés au public, dès lorsqu’il s’agit d’une utilisation « à titre d’information d’actualité » (pour diffuser un discours qui n’est pas d’actualité, il faudra demander l’autorisation de l’auteur). Les discours concernés sont ceux qui sont prononcés :
- Dans les assemblées politiques, administratives, judiciaires ou académiques;
- Dans les réunions publiques d’ordre politique;
- Dans les cérémonies officielles.
Même si le Code de la propriété intellectuelle ne le dit pas, la loi considère que seule la presse peut bénéficier de cette exception.
- Utilisations fondées sur des considérations pratiques
L’utilisation d’un logiciel, d’une base de données ou des réseaux peut nécessiter des reproductions provisoires, sans aucune signification économique. Lorsque l’on exécute un logiciel, par exemple, le code du logiciel est reproduit de façon temporaire sur le disque dur et en mémoire vive. Ce sont des actes nécessaires à l’utilisation du logiciel. Bien qu’ils soient en principe soumis au droit d’auteur (toute reproduction du logiciel est soumise à l’autorisation de l’auteur), ces actes de copie technique sont libres.
- Les changements apportés par la loi sur les droits d’auteur du 1er Août 2006
La loi sur les droits d’auteur introduit de nouvelles exceptions et de nouvelles conditions d’exercice.
Les nouvelles exceptions :
- L’exception pour la reproduction et la représentation d’œuvres dans le cadre de l’enseignement et de la recherche;
- L’exception pour la reproduction et la représentation d’œuvres en vue d’une consultation strictement personnelle par des personnes atteintes d’un handicap physique ou mental.
Les nouvelles conditions d’exercice des exceptions au droit d’auteur :
Les exceptions énumérées par la loi ne peuvent porter atteinte à l’exploitation normale de l’œuvre ; ni causer un préjudice injustifié aux intérêts légitimes de l’auteur.
1.2.5.1 A retenir…
L’auteur ne peut pas interdire certaines utilisations de son œuvre. Ce sont les exceptions au droit d’auteur.
L’exception de courte citation autorise la reproduction de courts extraits d’une œuvre à des fins critique, polémique, pédagogique, scientifique ou informative.
L’exception de copie privée autorise une personne à effectuer une copie de l’œuvre pour son usage privé.
1.3 Les autres droits sur la création
Les droits voisins: Il existe, à côté de l’auteur, d’autres « acteurs de la création » : certaines personnes interprètent des œuvres, d’autres les financent, d’autres encore les diffusent. Le Code de la propriété intellectuelle reconnaît des droits à certaines d’entre elles. Comme ces droits se trouvent dans le sillage du droit d’auteur, on les appelle les « droits voisins » du droit d’auteur. Les titulaires des droits voisins sont :
- Les artistes-interprètes ;
- Les producteurs de phonogrammes et de vidéogrammes ;
- Les entreprises de communication audiovisuelles (chaînes de télévision et de radio).
Pour pouvoir reproduire ou représenter une œuvre, il faudra généralement obtenir, en plus de l’autorisation de l’auteur, celle des titulaires de droits voisins.
Les droits des producteurs de bases de données.
- Les droits des artistes-interprètes
L’artiste-interprète est « la personne qui représente, chante, récite, déclame, joue ou exécute de toute autre manière une œuvre littéraire ou artistique ». Un chanteur, un acteur, un musicien, par exemple, sont des artistes-interprètes (mais un joueur de foot, par exemple, ne l’est pas.).
Le Code de la propriété intellectuelle reconnaît à l’artiste-interprète :
- Des droits moraux : droit à la paternité, droit au respect de son interprétation ;
- Des droits patrimoniaux : La fixation de la prestation (par ex. : la captation d’une pièce de théâtre), sa reproduction ou sa communication au public requièrent l’autorisation écrite du ou des artistes-interprètes.
La durée des droits patrimoniaux des artistes-interprètes est de 50 ans à compter du 1er janvier de l’année civile suivant celle de l’interprétation.
- Les droits des producteurs de phonogrammes et de vidéogrammes
Le Code de la propriété intellectuelle reconnaît aux producteurs de phonogrammes et de vidéogrammes des droits patrimoniaux :
- Le droit de reproduction : l’autorisation du producteur est requise avant toute reproduction du phonogramme ou du vidéogramme. Par exemple, une discothèque ou un bar qui souhaiterait stocker des phonogrammes sur le disque dur d’un ordinateur en vue de les diffuser à ses clients devra obtenir l’autorisation du producteur ;
- Le droit de mise à disposition : le producteur a le droit de contrôler la vente, l’échange ou la location du phonogramme ou du vidéogramme ;
- Le droit de communication au public : l’autorisation du producteur est requise pour toute communication, directe ou indirecte, de l’œuvre au public.
Une limitation : la licence légale
Il serait difficile pour les radios d’obtenir, avant chaque diffusion de chanson, l’autorisation des artistes-interprètes et du producteur de phonogrammes. Conscient du problème, un mécanisme de « licence légale » a été introduit. Dès lors qu’un phonogramme est dans le commerce, les artistes-interprètes et les producteurs de phonogrammes ne peuvent pas en interdire la radiodiffusion ou la communication directe dans un lieu public (un salon de coiffure, par exemple). En contrepartie, la loi leur reconnaît un droit à rémunération (la loi fixant les modalités de calcul de la rémunération et de sa répartition entre producteurs et artistes-interprètes).
La durée des droits patrimoniaux des producteurs de phonogrammes et de vidéogrammes est de 50 ans à compter du 1er janvier de l’année civile suivant celle de la fixation de la séquence de son ou d’images.
- Les droits des entreprises de communication audiovisuelle
Les chaînes de télévision et de radio sont des entreprises de communication audiovisuelle. Elles ont des droits sur leurs programmes (tout ce qu’elles diffusent).
On ne peut pas reproduire et communiquer au public les archives d’une émission de radio au format MP3 si l’on n’a pas obtenu l’autorisation de la radio.
La durée des droits patrimoniaux des entreprises de communication audiovisuelle est de 50 ans à compter du 1er janvier de l’année civile suivant celle de la communication au public du programme.
- Les droits des producteurs de bases de données
Une base de données est, selon le Code de la propriété intellectuelle :
- Un recueil d’œuvres, de données ou d’autres éléments indépendants,
- disposés de manière systématique ou méthodique,
- et individuellement accessibles par des moyens électroniques ou par tout autre moyen
La sélection des données, le choix de leur disposition, l’élaboration de la structure peuvent porter l’empreinte de la personnalité de l’auteur de la base de données. Si c’est le cas, la base de données sera protégée par le droit d’auteur.
La durée de protection de la base de données est de 15 années à compter du 1er janvier de l’année civile qui suit l’achèvement de la base de données. Si le producteur procède par la suite à un nouvel investissement substantiel, la base de données sera protégée pendant un nouveau délai de 15 ans.
- A retenir…
Le droit de la propriété intellectuelle prend en compte d’autres types de protection que le droit d’auteur :
- Les droits voisins:
- Des artistes-interprètes ;
- Des producteurs de phonogrammes et de vidéogrammes ;
- des entreprises de communication audiovisuelles (chaînes de télévision et de radio).
Pour pouvoir reproduire ou représenter une œuvre, il faudra généralement obtenir, en plus de l’autorisation de l’auteur, celle des titulaires de droits voisins.
Les droits des producteurs de bases de données
Une base de données (par exemple une banque d’images accessible en ligne) peut être protégée par le droit d’auteur si elle est originale (que les données contenues dans la base soient ou non protégées par le droit d’auteur).
La durée des droits voisins est de 50 années à compter du 1er janvier de l’année civile qui suit la date de la première fixation ou communication publique.
1.4 L’exercice des droits sur la création
- Gestion individuelle ou gestion collective ?
L’auteur peut choisir de s’occuper seul de la carrière de ses œuvres. Dans un tel système de gestion individuelle, c’est lui qui :
- accorde les autorisations d’utilisation de son œuvre;
- perçoit les rémunérations versées en contrepartie de ces utilisations;
- vérifie que son œuvre ne fait pas l’objet d’utilisations non autorisées (contrefaçons).
Le plus souvent, la gestion individuelle est difficile à mettre en œuvre. Par exemple, dans le domaine de la musique, un auteur-compositeur ne pourra pas vérifier lui-même quelles radios, quelles discothèques ou quels salons de coiffure diffusent ses titres.
L’auteur peut adhérer à une société de gestion collective qui, grâce aux moyens dont elle dispose, pourra assurer une gestion beaucoup plus efficace.
Une société de gestion collective est une société civile qui reçoit le mandat de ses membres (auteurs, compositeurs, artistes…) de gérer en leur nom leurs droits.
Les principales fonctions d’une société de gestion collective sont de :
- percevoir les rémunérations dues à ses membres auprès des utilisateurs des œuvres ;
- répartir les rémunérations perçues entre ses membres. Cette répartition se fait en principe individuellement, à chaque ayant droit, au titre de chaque exploitation de ses œuvres. S’il est impossible pour la société de gestion d’attribuer individuellement les sommes perçues, l’argent est utilisé à des fins sociales et collectives, comme par exemple l’aide à la création (financement de spectacles, de festivals…).
Seuls les droits patrimoniaux peuvent être gérés par une société de gestion collective. Les droits moraux peuvent être exercés seulement par leurs titulaires.
- La cession des droits
Pour exploiter un œuvre protégée par le droit d’auteur, il faut demander l’autorisation à l’auteur.
Cette autorisation prend le plus souvent la forme d’un contrat, dans lequel l’auteur cède une partie de ses droits, sous certaines conditions et le plus souvent moyennant rémunération (même si l’auteur peut parfois décider de céder ses droits gratuitement).
Rappelons que seuls les droits patrimoniaux peuvent être cédés. Les droits moraux sont par nature incessibles.
Les conditions de la cession des droits d’auteur sont régies par la loi.
La cession de droits peut être :
- totale ou partielle : l’auteur peut céder l’ensemble de ses droits patrimoniaux ou, par exemple, ne céder que le droit de représentation.
- exclusive ou non exclusive : l’auteur peut autoriser une personne à exploiter son œuvre sans pour autant se déposséder de ses droits. Il pourra alors autoriser d’autres personnes à exploiter l’œuvre. Cependant, la personne à qui l’auteur cède les droits souhaitera souvent en avoir l’exclusivité. Le contrat prévoira donc une cession exclusive des droits. Dans ce cas, l’auteur ne pourra plus exploiter son œuvre.
- Les licences « libres »
En principe, toute exploitation de l’œuvre qui n’est pas autorisée par l’auteur est interdite. Mais rien n’empêche un auteur d’autoriser très largement la diffusion et l’utilisation de ses œuvres et de ne demander aucune rémunération en contrepartie.
Les licences dites « libres » sont des sortes de contrats-types dont le but est de permettre aux auteurs qui y recourent de diffuser très largement leurs œuvres et d’autoriser un très grand nombre d’utilisations (y compris la modification).
Deux licences seront ici présentées : la licence publique générale GNU et la licence Creative Commons.
1.4.3.1 La licence publique générale GNU (ou GNU General Public License)
La licence publique générale GNU a été conçue pour permettre à chacun d’adapter un logiciel à ses besoins et de contribuer ainsi à son amélioration. C’est le principe du « logiciel libre ».
La personne qui met son œuvre sous licence GPL reconnaît aux utilisateurs quatre libertés :
- Liberté d’exécuter le logiciel à n’importe quelles fins.
- Liberté d’étudier le logiciel et de l’adapter à ses besoins
Cette liberté implique que le code source du logiciel soit mis à la disposition de l’utilisateur. C’est l’une des caractéristiques de la licence.
- Liberté de redistribuer le logiciel à d’autres personnes
Un logiciel « libre » n’est pas forcément gratuit. La licence GPL n’interdit pas la redistribution commerciale. Un logiciel libre peut faire l’objet d’une exploitation commerciale.
- Liberté d’améliorer le logiciel et de publier ces améliorations.
1.4.3.2 Les licences « Creative Commons »
Les licences « Creative Commons » ont pour but de simplifier l’exploitation des œuvres.
Simples à utiliser et intégrées dans les standards du web, ces autorisations non exclusives permettent aux titulaires de droits d’autoriser le public à effectuer certaines utilisations, tout en
ayant la possibilité de réserver les exploitations commerciales, les œuvres dérivées ou le degré de liberté (au sens du logiciel libre, par exemple le droit de modifier ou d' »améliorer » une œuvre).
Pour publier son œuvre sous licence « Creative Commons », l’auteur de l’œuvre se connecte au site Creative Commons et choisit entre plusieurs types de licence, qui combinent les critères suivants, selon le libre choix de l’auteur :
La combinaison de ces critères aboutit pour l’auteur à un choix entre six types de licences Creative Commons.
- A retenir…
L’auteur peut céder ses droits patrimoniaux à un tiers (éditeur, producteur…), à titre exclusif ou non exclusif.
Les contrats de cession doivent définir très précisément les droits que l’auteur cède. L’auteur conserve l’ensemble des droits qu’il n’a pas expressément cédés.
L’auteur peut choisir d’autoriser très largement la diffusion de son œuvre. Pour ce faire, il peut recourir à certaines licences prérédigées, telle que la licence publique générale GNU ou la licence Creative Commons.
Chapitre 3 : La communication sur internet
2.1 Définition de la communication privée
Par définition, un message est privé lorsqu’il n’est pas destiné à être connu de tout le monde.
Ainsi, on est en présence d’une communication ou correspondance privée lorsqu’un message est destiné à une ou plusieurs personnes déterminée(s) et individualisée(s).
2.2 Règles applicables à la communication privée
Les messages échangés entre deux personnes sont protégés par le droit au respect de la vie privée. Nul ne peut prendre connaissance d’une correspondance ou d’une communication qui ne lui est pas destinée.
Le droit au respect de la vie privée est un droit fondamental, reconnu par plusieurs textes internationaux. Entre autres : la Déclaration universelle des Droits de l’Homme et la Convention européenne des Droits de l’Homme.
Remarque : Si le droit protège la vie privée des individus, cela ne signifie pas que tout ce qui se passe dans la sphère privée échappe au droit. Ainsi, même s’il reste secret, l’échange par courrier électronique de contenus à caractère pédophile ou d’informations de nature à porter atteinte aux intérêts fondamentaux de la nation est toujours illégal.
- Le secret des correspondances et des communications
Le Code pénal interdit le fait, lorsqu’il est accompli de mauvaise foi (Une personne qui accomplit ces actes de façon accidentelle ou sans savoir qu’elle porte atteinte à une communication privée ne pourra pas être condamnée.) :
- d’ouvrir, de supprimer, de retarder ou de détourner des correspondances destinées à des tiers,
- de prendre connaissance des correspondances destinées à des tiers.
Le même article punit le fait, commis de mauvaise foi :
- d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications,
- de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions.
L’atteinte au secret des correspondances est punie de peines pouvant aller jusqu’à un an d’emprisonnement et 45 000 euros d’amende.
Dans certains cas définis par la loi (protection de la sûreté de l’État, enquête criminelle, lutte contre le terrorisme…), les autorités publiques peuvent procéder à l’interception de courriers électroniques.
Ceci est possible uniquement si un juge ou les autorités compétentes l’ont ordonné. En aucune façon, un particulier ou une société ne peut être autorisé à intercepter des courriers électroniques ou à pratiquer des écoutes téléphoniques.
- Le secret des correspondances privées au sein de l’entreprise
Le respect de la vie privée ne s’arrête pas aux portes du domicile. Même dans le cadre de leur travail, les employés d’une entreprise ont droit au respect de leur correspondance privée.
Ainsi, l’employeur n’est pas autorisé à ouvrir les courriers électroniques clairement identifiés comme personnels (notamment ceux dont l’objet indique « personnel »).
Il peut toutefois, pour assurer le bon fonctionnement et la sécurité de l’entreprise :
- consulter les courriers à caractère professionnel de ses employés ;
- mettre en place un dispositif technique de surveillance permettant d’obtenir des statistiques sur la taille et le volume des courriers électroniques reçus et envoyés par chaque employé. Il devra toutefois informer les salariés, les représentants du personnel et la CNIL du recours à ce dispositif.
L’usage du courrier électronique peut-il être un motif de licenciement du salarié ?
L’entreprise peut-elle procéder à la « cybersurveillance » de ses salariés ? L’employeur peut, en effet, vouloir prouver les agissements fautifs de ses salariés en vérifiant l’usage du matériel informatique et de la connexion Internet mis à sa disposition.
L’utilisation de la messagerie électronique par les salariés à des fins personnelles est couverte par le secret des correspondances.
L’entreprise peut prévoir en complément de son règlement intérieur certaines restrictions à ce principe. Le salarié est alors supposé avoir été informé de ces restrictions, ce qui peut jouer en sa défaveur devant les tribunaux.
Cependant, la protection des correspondances privées ne peut justifier des comportements illicites.
Lorsqu’un salarié utilise le matériel informatique mis à sa disposition par son employeur pour procéder à des activités illicites, comme par exemple la création d’un site Internet contrefaisant, la responsabilité de l’employeur peut être engagée.
Le salarié peut être sanctionné voire licencié par son employeur pour perte de confiance si les circonstances sont particulièrement accablantes, comme par exemple la création d’un site à caractère pornographique, avec stockage de messages et de photos sur le disque dur de son ordinateur.
Les dossiers informatiques peuvent être ouverts par l’employeur, uniquement en présence du salarié.
- Les moyens techniques de protection des communications électroniques
Le courrier électronique n’est pas un moyen sûr d’échanger des informations.
Lorsqu’une personne envoie un courrier électronique à une autre personne, celui-ci transite par une multitude de serveurs avant d’arriver à destination. Lors de cet acheminement sur le réseau, le courrier peut être intercepté, voire modifié, sans que le destinataire du message s’en aperçoive.
Par ailleurs, il est extrêmement facile, techniquement, d’usurper l’identité d’une personne en envoyant un courrier électronique dont l’en-tête a été falsifié.
Pour toutes ces raisons, il peut être utile, lorsque l’on souhaite échanger des informations sensibles ou confidentielles, de crypter ses messages en utilisant une signature électronique sécurisée.
2.2.3.1 La cryptographie
Le mot cryptographie est un terme générique désignant l’ensemble des techniques permettant de chiffrer des messages, c’est-à-dire permettant de les rendre inintelligibles sans une action spécifique.
Le verbe crypter est couramment utilisé mais les informaticiens préfèrent le verbe chiffrer.
La cryptologie est essentiellement basée sur l’arithmétique : il s’agit dans le cas d’un texte de transformer les lettres qui composent le message en une succession de chiffres (sous forme de bits dans le cas de l’informatique), puis ensuite de faire des calculs sur ces chiffres pour :
- d’une part, les modifier de telle façon à les rendre incompréhensibles. Le résultat de cette modification (le message chiffré) est appelé cryptogramme (en anglais ciphertext) par opposition au message initial, appelé message en clair (en anglais plaintext) ;
- d’autre part, faire en sorte que le destinataire saura les déchiffrer.
Le fait de coder le message s’appelle chiffrement. La méthode inverse, consistant à retrouver le message original, est appelée déchiffrement.
Il existe deux méthodes de cryptographie.
La cryptographie symétrique (ou à clé privée)
Dans ce système, c’est la même clé qui permet de chiffrer et de déchiffrer le message. L’inconvénient est que, pour que le destinataire du message puisse le déchiffrer, il faut d’abord que l’expéditeur lui ait fait parvenir la clé. Lors de son transfert, la clé risque d’être interceptée. En raison de ce risque, on recourt plus fréquemment à la cryptographie à clé publique.
La cryptographie asymétrique (ou à clé publique)
Dans ce système, chaque individu se voit attribuer deux clés : une clé privée, gardée secrète, et une clé publique, destinée à être largement divulguée. Un message crypté avec la clé publique peut être déchiffré uniquement avec la clé privée correspondante (inversement, un message crypté avec la clé privée peut être déchiffré uniquement avec la clé publique correspondante).
Pour envoyer un message chiffré, il suffit d’utiliser la clé publique du destinataire (récupérée, par exemple, sur un annuaire public) pour crypter le message. Seul le destinataire, qui possède la clé privée correspondante, pourra déchiffrer le message.
Après avoir été soumise pendant longtemps à un contrôle étroit de l’État, l’utilisation de la cryptographie est aujourd’hui libre.
Toute personne peut désormais recourir à la cryptographie pour assurer la confidentialité de ses messages, les authentifier et en garantir l’intégrité.
L’État a toujours vu d’un mauvais œil l’échange d’informations cryptées, dans la mesure où celles-ci peuvent servir des activités contraires aux intérêts fondamentaux de l’État (terrorisme, espionnage, grand banditisme…). Si aujourd’hui l’utilisation des techniques cryptographiques n’est plus soumise à aucune déclaration ou autorisation, le contrôle est néanmoins maintenu au niveau des personnes qui fournissent des moyens de cryptologie (équipements ou services), dès lors que ceux-ci n’ont pas pour seule fonction l’authentification ou le contrôle d’intégrité.
2.2.3.2 La signature électronique
Qu’est-ce qu’une signature électronique?
Une signature électronique permet de garantir l’identité de l’expéditeur d’un message et de s’assurer que le message transmis n’a subi aucune altération.
Schématiquement, la signature d’un courrier électronique se fait de la façon suivante :
- L’expéditeur doit d’abord créer une « empreinte » du message qu’il souhaite envoyer. Cette opération fait intervenir une fonction cryptographique dite de « hachage » (à un message donné correspond un « haché » donné).
- L’expéditeur chiffre ensuite le « haché » au moyen de sa clé privée. Le résultat obtenu est la signature électronique. L’expéditeur joint la signature électronique à son message.
- Lorsqu’il reçoit le courrier électronique, le destinataire calcule le « haché » du message qu’il a reçu. Puis, il utilise la clé publique de l’expéditeur (récupérée sur un annuaire) pour déchiffrer la signature. Il compare alors le « haché » du message envoyé avec celui du message reçu. S’ils sont identiques, le message n’a subi aucune altération.
L’intérêt de la signature électronique est double :
- Intérêt pratique: l’utilisation de signatures électroniques permet à deux personnes qui s’échangent des courriers électroniques de s’assurer de leurs identités respectives et d’être sûres que leurs messages n’ont pas été modifiés lors de leur acheminement.
- Intérêt juridique : les messages et documents électroniques signés numériquement peuvent servir de preuve s’ils reposent sur des techniques fiables.
Il peut être nécessaire de procéder à la vérification de la signature électronique. A cette fin, il existe des certificats de signature. Ces certificats électroniques doivent être délivrés par des prestataires de certification dûment habilités par les autorités compétentes.
Quelle est la valeur juridique de la signature électronique?
Juridiquement, la signature électronique a la même valeur que la signature manuscrite, dès lors qu’elle permet de garantir :
- l’identité du signataire : la signature d’une personne exprimant son consentement, il est essentiel de pouvoir affirmer avec certitude que la signature électronique a bien été apposée par cette personne (et non par une autre) ;
- l’intégrité du document sur lequel a été apposé la signature : une personne ne signe un document que parce qu’elle est d’accord avec ce qu’il contient (ex. : les clauses d’un contrat). Il est donc impératif de garantir que le contenu ne pourra pas être modifié après signature.
- l’indissociabilité de la signature et du document signé : il ne doit pas être possible d’extraire la signature électronique apposée par une personne sur un document pour l’intégrer à un autre document.
La signature électronique sécurisée est recevable comme preuve en justice au même titre qu’une signature manuscrite, mais la fiabilité du procédé devra être démontrée en cas de contestation.
- A retenir…
Lorsque l’on est en présence d’un message destiné à une ou plusieurs personnes déterminée(s) et individualisée(s), il faut appliquer les règles propres aux communications privées. Les messages destinés à un public indéterminé sont couverts par les règles relatives à la communication publique.
Les communications et correspondances privées sont couvertes par le secret des correspondances.
Le secret des correspondances protège même les courriers électroniques à caractère personnel envoyés et reçus par un employé dans le cadre de son travail.
Pour protéger ses courriers électroniques et s’assurer de l’identité de son interlocuteur, on peut recourir à une signature électronique.
La signature électronique a la même valeur juridique que la signature manuscrite.
2.3 Définition de la communication publique
La communication publique (ou communication au public) consiste à communiquer des informations au public (c’est-à-dire un ensemble de personnes indéterminées et non individualisées). On ne s’intéressera ici qu’à la communication au public par voie électronique.
La loi définit la communication au public par voie électronique comme :
- Toute mise à disposition du public par un procédé de communication électronique (site web, un blog, un réseau peer-to-peer…)
- …de signes, de signaux, d’écrits, d’images, de sons ou de messages de toute nature.
- …qui n’ont pas le caractère de la correspondance privée.
- Règles applicables à la communication publique
La communication au public par voie électronique est libre. Toute personne peut librement créer un site web ou un blog. Aucune autorisation ne doit être demandée.
Cette liberté ne signifie pas que le créateur d’un site web peut faire tout ce qu’il veut. Si le contenu diffusé est illégal ou porte atteinte aux droits d’autres personnes, sa responsabilité civile et/ou pénale pourra être engagée.
Toute personne qui met des contenus à disposition du public sur Internet est soumise à certaines obligations. Certaines sont liées au « contenant » (le site web ou le blog sur lequel les contenus (textes, images, sons…) sont mis à disposition), d’autres au « contenu » lui-même.
- Les règles qui s’appliquent au « contenant »
- Quelles sont les précautions à prendre lors de la création du site web ?
Tout site web (ou blog) a une adresse qui permet de l’identifier et de le distinguer des autres sites web. Cette adresse, aussi appelée « nom de domaine », peut prendre plusieurs formes :
- Si le créateur du site web a déposé un nom de domaine, il sera de type www.nom-du-site.com (l’extension du nom de domaine pouvant également être .net, .org, .fr, etc.).
- S’il n’a pas déposé de nom de domaine, il se présentera sous la forme www.nom-de-l’hébergeur.com/nom-du-site ou nom-du-site.nom-de-l’hébergeur.com. Généralement, les hébergeurs de site web ou de blog offrent la possibilité de choisir le nom du site.
- Dans un cas comme dans l’autre, il faut être prudent au moment de choisir le nom du site ou le nom de domaine. Notamment :
o Le nom ne doit pas être identique ou similaire à une marque déposée ou à un nom de société.
o Une personne qui déposerait le nom de domaine www.coca-cola-passion.com s’exposerait à une condamnation pour contrefaçon de la marque Coca-Cola®. La contrefaçon sera également constituée si le nom de domaine reprend la marque sous une forme proche.
o Le nom ne doit pas reprendre celui d’une personne connue.
Une personne a le droit d’utiliser son nom et/ou son prénom dans l’adresse de son site web. Les autres personnes qui portent ce nom ne pourront pas l’en empêcher. En revanche, il n’est pas permis de reprendre le nom d’une personne connue et d’utiliser sa notoriété pour attirer des visiteurs sur le site.
En matière de dépôt de nom de domaine, il n’y a pas de règles juridiques particulières, si ce n’est la règle du « premier arrivé, premier servi ». Aucun ordre de priorité n’est accordé à une personne détenant par exemple une marque de fabrique et qui se voit devancer par un tiers déposant un nom de domaine portant le nom de la marque.
Cependant, si la phase du dépôt est libre, tout déposant mal intentionné risque des poursuites judiciaires des personnes titulaires de droits.
Ces derniers sont souvent gagnants sur le terrain :
- du droit de la propriété intellectuelle (ex : marques)
- ou du droit de la personnalité (dans ce cas, le droit au nom).
Le fait d’enregistrer de mauvaise foi des noms de domaine portant atteinte aux droits des tiers est appelé « cybersquattage ».
Le Registrar (Un registrar, ou bureau d’enregistrement, est une société ou une association permettant le dépôt de noms de domaine Internet) peut néanmoins se réserver le droit de vérifier si l’enregistrement d’un nom de domaine ne se heurte pas aux droits des tiers pour parfois bloquer l’enregistrement.
2.4.1.2 Quelles sont les informations qui doivent figurer sur un site web ?
Toute personne qui édite un site web doit pouvoir être identifiée. La loi exige que certaines informations figurent sur le site web. Celles-ci ne sont pas les mêmes selon que la personne à qui appartient le site est un professionnel ou, au contraire, un particulier.
Site web édité à titre professionnel
Les personnes dont l’activité est d’éditer un service de communication au public en ligne (site web, blog ou autre) sont tenues d’indiquer sur leur site web certaines informations permettant de les identifier et de les contacter :
- Leurs nom et prénoms, s’il s’agit de personnes physiques, leur dénomination ou leur raison sociale s’il s’agit de personnes morales
- Leur domicile (personnes physiques) ou leur siège social (personnes morales)
- Leur numéro de téléphone
- Le cas échéant, leur numéro d’inscription au registre du commerce et des sociétés (RCS) ou au répertoire des métiers.
Site web édité à titre non professionnel
La loi autorise les personnes qui éditent un site web à titre non professionnel à rester anonymes.
La loi pose deux conditions à cet anonymat :
- La personne qui édite le site web doit fournir à son hébergeur l’ensemble des informations permettant de l’identifier et de la contacter (nom, prénoms, adresse, numéro de téléphone). Généralement, ces informations seront fournies au moment de l’inscription auprès de l’hébergeur.
- Les informations permettant d’identifier et de contacter l’hébergeur devront figurer sur le site web.
Si le responsable du site (professionnel ou non) recueille des données qui concernent ses visiteurs, il faudra également qu’il s’assure qu’il n’est pas soumis aux obligations prévues par la loi « informatique et libertés ».
- Les règles qui s’appliquent au « contenu »
- Les contenus contraires à l’ordre public
Certains contenus, contraires à l’ordre public, ne peuvent pas être diffusés.
Il s’agit notamment :
- des photographies ou films à caractère pornographique représentant un mineur
- des messages qui font l’apologie des crimes contre l’humanité
- des messages incitant à la haine raciale ou à la discrimination.
La loi fait obligation aux fournisseurs d’accès à Internet et aux hébergeurs de sites web :
- de mettre en place un dispositif facilement accessible et visible permettant à toute personne de leur signaler l’existence d’un site web hébergeant ce type de données ;
- d’informer promptement les autorités publiques lorsque l’existence de ces données leur est signalée.
La publication de contenus de ce type est très sévèrement sanctionnée (plusieurs années d’emprisonnement et plusieurs centaines de milliers d’euros d’amende).
2.4.2.2 Le droit à l’image
Le droit à l’image des personnes
Toute personne a le droit de contrôler l’utilisation de son image. Elle peut notamment s’opposer à ce que l’on diffuse ou publie une photographie qui la représente.
Avant de publier une photographie sur un site, il faut donc obtenir une autorisation, de préférence écrite (afin de pouvoir prouver, le cas échéant, que l’autorisation a bien été donnée).
Si la photographie représente un enfant, il faudra obtenir l’accord de ses parents pour pouvoir la publier. Naturellement, la publication d’une photographie à caractère pornographique représentant un enfant est interdite, même avec l’autorisation des parents.
Dans certains cas, aucune autorisation ne sera nécessaire :
- Lorsque la personne n’est pas reconnaissable (photo floue, personne de dos, etc.) : il n’y a dans ce cas aucune atteinte à son image et l’autorisation ne sera donc pas requise.
- Lorsque la personne se trouve dans une foule, de sorte que son image se perd parmi celles des autres personnes. En revanche, si la mise au point est faite sur une ou plusieurs personnes en particulier (ex. : un couple à une terrasse d’un café), il faudra leur demander l’autorisation pour publier la photographie.
- Lorsque la photographie représente un personnage public ou une célébrité dans le cadre de l’exercice de son activité et qu’elle est publiée à des fins d’information.
Le droit à l’information peut faire échec au droit à l’image ou à la vie privée.
Exemple :
Si la photo d’une victime d’un attentat est reproduite, le droit à l’information l’emporte sur le droit à l’image (d’autant que dans une telle hypothèse, il est fréquent que la personne ne soit pas reconnaissable).
Le droit à l’image des biens
Une personne a le droit d’interdire la reproduction ou la communication au public de l’image de ses biens (maison, voiture…).
Pour publier une photographie représentant un bien, il faudra donc, en principe, obtenir l’autorisation de son propriétaire. En pratique, l’absence d’autorisation ne posera généralement pas de problème. Il existe cependant des situations dans lesquelles l’autorisation doit impérativement
être demandée :
- lorsque la publication de la photographie est susceptible de troubler la tranquillité du propriétaire.
Si la photographie d’une maison permet de savoir où se trouve cette maison ou de déterminer à qui elle appartient, il faudra demander l’autorisation du propriétaire avant de la publier.
- Lorsque la photographie est destinée à un usage commercial.
Le propriétaire d’une maison pittoresque pourra poursuivre la personne qui, sans demander
son autorisation, a photographié son bien et en a tiré des cartes postales, vendues aux touristes.
En revanche, aucune autorisation ne sera nécessaire si le bien n’est pas le sujet principal de la photographie.
2.4.2.3 La diffamation et l’injure publique
La diffamation publique
La diffamation est l’allégation ou l’imputation d’un fait qui porte atteinte à l’honneur ou à la considération de la personne à laquelle le fait est imputé.
La diffamation sera constituée :
- même si la personne à laquelle est imputée le fait déshonorant n’est pas explicitement nommée mais est identifiable,
- même si l’imputation passe par des voies détournées (forme ironique, dubitative, interrogative…).
Le fait d’écrire sur un site web que le directeur comptable d’une société nommée (personne identifiable) « n’est sans doute pas étranger » (imputation indirecte) à la disparition de sommes importantes des caisses de la société pourra entraîner une condamnation pour diffamation.
La personne visée par les propos diffamatoires a 3 mois pour porter plainte.
La diffamation publique est un délit, puni de peines qui peuvent atteindre un an d’emprisonnement et 45 000 euros d’amende.
Une personne poursuivie pour diffamation pourra toutefois échapper à la sanction si elle peut prouver que les faits allégués sont vrais (c’est ce que l’on appelle l’exception de vérité). La preuve des faits ne sera toutefois pas possible dans certains cas, notamment si les faits concernent la vie privée de la personne ou s’ils remontent à plus de 10 ans.
On notera enfin que la responsabilité de la personne qui édite un site web ou un blog sera mise en cause, même s’il n’est pas l’auteur des propos diffamatoires (ou injurieux) publiés sur le site.
L’injure publique
Certains propos publiés sur un site web ou un forum peuvent ne renfermer l’imputation d’aucun fait précis mais être néanmoins violents ou outrageants envers la personne visée. Ils pourront être sanctionnés dans la mesure où ils constituent une injure.
La loi définit l’injure comme « toute expression outrageante, termes de mépris ou invective qui ne renferme l’imputation d’aucun fait ».
L’injure publique est un délit puni de peines pouvant aller jusqu’à six mois d’emprisonnement et 22 500 euros d’amende.
Des propos diffamants s’accompagnent fréquemment d’injures. Même lorsque l’auteur des propos diffamants est en mesure de prouver que les faits rapportés sont vrais (et peut ainsi échapper aux poursuites en diffamation), il peut être sanctionné pour injures.
En cas de publication d’un message illicite, l’action judiciaire intentée s’exerce-t-elle de la même manière dans l’environnement papier et sur Internet ? Plus précisément, le délai de prescription doit-il être le même?
La loi sur la presse précise que l’action doit être portée devant les tribunaux dans les trois mois suivant la publication du contenu litigieux. Or comment peut-on appliquer cette règle à un contenu diffusé sur Internet qui, bien souvent, change au fil du temps, avec des modifications successives des pages web ?
La jurisprudence a refusé d’accorder à Internet un régime dérogatoire. La loi sur la presse s’applique donc à Internet. Le point de départ du délai de prescription est la date de publication, c’est-à-dire la date de la mise à disposition du public. Cependant, toute la question réside dans la manière d’apprécier quand une « première publication » a lieu sur Internet.
2.4.2.4 Le droit de réponse et de contestation
Toute personne nommée ou désignée sur un site web ou un blog a le droit de contester ou de rectifier les propos tenus à son sujet.
On parle de droit de réponse dans le cadre du droit de la communication audiovisuelle si le contenu diffusé sur Internet entre dans la définition de la communication audiovisuelle (un contenu de radio ou de télévision).
En dehors de cette hypothèse, on parle de contestation. On ne se situe alors plus sur le terrain du droit de la communication audiovisuelle mais sur celui du droit de la presse classique.
Le droit de réponse ou la contestation peuvent être mises en œuvre même si les propos en cause ne sont ni diffamants, ni injurieux.
Ce droit de réponse ou cette contestation peuvent être exercées dans les 3 mois qui suivent la publication du message, en adressant une demande :
- Au directeur de la publication (la personne qui exploite un site web à titre professionnel ayant l’obligation de mentionner, sur le site, son identité et ses coordonnées)
- à l’hébergeur, si le site web est celui d’un particulier qui a choisi de rester anonyme (l’identité et les coordonnées de l’hébergeur devant en ce cas être accessibles sur le site web).
A partir du moment où il reçoit la demande, le directeur de la publication a 3 jours pour insérer (gratuitement) les réponses de la personne nommée ou désignée.
2.4.2.5 La question de la responsabilité des intermédiaires techniques
En présence de contenus illicites (contraires à l’ordre public, diffamatoires, violant le droit à l’image ou contrefaisants), la question de la responsabilité des divers intermédiaires techniques participant à la mise en ligne des sites litigieux se pose. C’est d’ailleurs l’une des questions les plus délicates aujourd’hui, tant du point de vue technique que juridique, voire même politique.
La responsabilité des hébergeurs et des fournisseurs d’accès
Les hébergeurs et les fournisseurs d’accès sont responsables (civilement et pénalement) seulement si :
- ils avaient effectivement connaissance du caractère illicite des contenus
- dès qu’ils ont eu connaissance de ces contenus, ils n’ont pas agi promptement pour les retirer ou en rendre l’accès impossible.
La responsabilité des modérateurs de forums de discussion
La loi n’envisage pas expressément le cas des forums de discussion. Cependant, le juge peut décider de rattacher le régime de responsabilité des modérateurs de forums aux régimes existants, en fonction du mode de modération pratiqué :
- Le forum est modéré a priori
L’administrateur du forum peut être considéré comme un directeur de publication, soumis au régime de responsabilité éditoriale de la loi sur la presse. Toutefois, ce régime de responsabilité étant plus lourd que celui prévu pour les intermédiaires Internet, les tribunaux ont parfois tendance à
l’appliquer uniquement dans des cas limités, notamment si l’administrateur effectue une véritable exploitation éditoriale du forum.
On peut parler d’exploitation éditoriale d’un forum de discussion lorsque le modérateur rédige ou modifie des messages.
- Le forum n’est pas modéré ou est modéré a posteriori
Dans ce cas, l’administrateur du forum est considéré comme un hébergeur et se voit appliquer le régime de responsabilité prévu par la loi, pour l’hébergeur.
- A retenir…
Il est interdit de publier certains contenus contraires à l’ordre public, tels que les photographies pédophiles ou les textes incitant à la haine raciale.
Pour publier la photographie d’une personne identifiable, il faut obtenir son autorisation. Il en est de même pour la photographie d’un bien appartenant à une personne.
La publication de propos diffamatoires peut être sanctionnée, sauf si l’on peut prouver que les faits révélés sont vrais.
La publication d’injures (sur un site web ou un blog, par exemple) est interdite.
Toute personne visée dans un texte publié sur un site web peut exercer un droit de réponse ou de contestation.
Chapitre 4 : se protéger sur Internet
3 Se protéger
Les technologies de l’information et de la communication peuvent être utilisées pour porter atteinte à la vie privée, à l’identité et à la tranquillité des personnes. Le législateur a pris très tôt conscience de ces menaces et adopté, dès la fin des années 1970, des textes juridiques destinés à contrôler ou à sanctionner certains usages de l’informatique.
La loi du 6 juillet 1978 dite « loi informatique et libertés » est le texte fondateur en la matière. Cette loi a notamment institué la CNIL (Commission Nationale de l’Informatique et des Libertés), chargée de veiller au respect de la loi « informatique et libertés » et principalement au respect de la vie privée
et des libertés individuelles ou publiques. En 2004, cette loi a été modifiée afin de s’adapter aux communications électroniques.
Lorsqu’une personne ouvre un compte en banque, s’inscrit à un service de courrier électronique ou dépose un nom de domaine, il lui est demandé de fournir un certain nombre d’informations permettant de l’identifier. La collecte de ces données à caractère personnel peut avoir plusieurs finalités :
- Elle peut être imposée par la loi : par exemple, les banques sont tenues de vérifier l’identité de tout nouveau client.
- Elle peut être nécessaire à l’exécution du contrat : ainsi, un commerçant qui propose des produits sur Internet aura besoin du nom et de l’adresse de l’acheteur pour pouvoir le livrer.
- Elle peut avoir pour objectif de mieux cerner le profil et les besoins du client : beaucoup de sociétés procèdent à un « profilage » de leurs clients en vue de leur proposer des produits et services adaptés.
- Elle peut également répondre à des objectifs purement commerciaux : certaines sociétés ont par exemple pour activité principale de rassembler différents fichiers de clientèle en vue de les recouper et de dresser des profils extrêmement pointus (identité complète, coordonnées, profil de consommation, catégorie socioprofessionnelle, etc.), qu’elles vendront à leurs clients.
Origines de la loi « Informatique et liberté »
Associées à la puissance de traitement des ordinateurs, les opérations de collecte, de conservation et d’utilisation de données à caractère personnel peuvent constituer une menace pour la vie privée des personnes. Conscient de ces risques, le législateur français a adopté le 6 juillet 1978 une loi relative à l’informatique, aux fichiers et aux libertés, communément appelée loi « informatique et libertés ».
Fondée sur le principe que « l’informatique doit être au service de chaque citoyen » et qu’elle « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques », la loi « informatique et libertés » soumet les responsables de traitement de données à caractère personnel à certaines obligations et reconnaît des droits aux personnes concernées par ces traitements. Une autorité indépendante, la CNIL (Commission Nationale de l’Informatique et des Libertés), est chargée d’en assurer le respect.
Rôles de la CNIL: regrouper et contrôler l’ensemble des déclarations des traitements automatisés d’informations nominatives.
Missions :
- Recenser et contrôler les fichiers
- Réglementer
- Garantir le droit d’accès
- Instruire les plaintes
- Informer
Site de la CNIL : http://www.cnil.fr
3.1 La protection des données à caractère personnel
- Les applications de la loi « Informatique et libertés »
La loi « informatique et libertés » s’applique dès que l’on est en présence :
- d’un traitement automatisé de données à caractère personnel (c’est-à-dire les traitements qui sont réalisés de façon automatique par des machines)
- d’un traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans des fichiers.
Remarque : L’article 2 de la loi précise que les traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles sont exclus du champ d’application de la loi. Une personne qui conserve dans un fichier les coordonnées de ses amis ne sera donc pas soumise aux obligations posées par la loi.
Pour savoir si les droits et obligations définies par la loi s’appliquent, il faut donc se demander d’une part si l’on est en présence de données à caractère personnel, d’autre part si ces données font l’objet d’un traitement.
3.1.1.1 La notion de données à caractère personnel
Au sens de la loi « informatique et libertés », sont des données à caractère personnel :
- Les informations relatives à une personne physique identifiée
Lorsque l’on s’inscrit à un service en ligne, il est souvent demandé les nom et prénom ainsi que d’autres informations complémentaires (profession, centres d’intérêt, situation familiale…) : ces informations sont relatives à une personne physique identifiée et constituent donc des données à caractère personnel.
- Les informations relatives à une personne physique qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres (ex. : numéro de sécurité sociale, numéro de téléphone, adresse électronique, …).
En retenant une définition très large des données à caractère personnel, la loi peut appréhender un grand nombre de situations. Concernant les communications électroniques, de nombreuses données peuvent être considérées comme personnelles. Ainsi, par exemple, les données dites « de connexion » relèvent de la catégorie des données à caractère personnel.
Le cas des données de « connexion »
Les données de connexion, de manière générale, sont les informations produites ou nécessitées par l’utilisation des réseaux de communications électroniques, qu’il s’agisse des communications téléphoniques ou des connexions au réseau Internet (données de trafic, de localisation, de facturation, etc.).
Ces données permettent d’identifier les personnes à l’origine ou destinataires de communications électroniques. Bien que ces données doivent en principe être effacées, la loi peut exiger des opérateurs de communications électroniques de les conserver, dans certaines conditions et pendant une durée limitée. Les données ainsi conservées ne peuvent en aucun cas concerner le contenu des communications.
Le développement de la menace terroriste empruntant les moyens du réseau Internet a notamment amené le législateur à étendre les possibilités de conservation des données de connexion.
La loi française précise que les données pouvant être conservées pour les besoins de la recherche, de la constatation et de la poursuite des infractions sont :
- « les informations permettant d’identifier l’utilisateur « (nom, prénom, adresse, etc.)
- « les données relatives aux équipements terminaux de communication utilisés »(ceux des opérateurs de téléphonie et des fournisseurs d’accès)
- « les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication »(adresse IP, date et heure de connexion et de déconnexion)
- « les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs »
- « les données permettant d’identifier le ou les destinataires de la communication ». Il s’agit, par exemple, de l’adresse IP du destinataire d’un courrier électronique.
3.1.1.2 La notion de traitement de données
L’article 2 de la loi donne une définition peu précise des traitements de données : un traitement de données est une opération ou un ensemble d’opérations portant sur ces données, quel que soit le procédé utilisé.
La loi cite comme exemples de traitements de données :
- La collecte et l’enregistrement (ex. : recueillir des données au moyen d’un formulaire en ligne)
- L’organisation et la conservation (ex. : classer les données recueillies des fichiers, intégrer ces fichiers dans une base de données)
- L’adaptation et la modification
- L’extraction, la consultation, l’utilisation
- La communication par transmission, diffusion ou toute autre forme de mise à disposition
- Le rapprochement ou l’interconnexion (ex. : rassembler plusieurs fichiers et les recouper en vue d’élaborer des profils individuels intégrant des informations issues de chacun de ces fichiers)
- Le verrouillage, l’effacement ou la destruction.
- Les devoirs de la personne responsable du traitement de données à caractère personnel
Le responsable d’un traitement de données à caractère personnel est « la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement ».
Remarque : Il est important de noter que la loi « informatique et libertés » ne s’applique pas uniquement au secteur privé (commerçants, sociétés, etc.). Si le responsable du traitement est un organisme public, il sera également soumis aux obligations posées par la loi.
La loi « informatique et libertés » prévoit un certain nombre d’obligations à la charge du responsable du traitement.
Le non-respect de ces obligations peut être sanctionné pénalement (jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende).
3.1.2.1 Obligations relatives à la nature des données
Certaines données à caractère personnel ne peuvent être collectées. C’est le cas des données relatives :
- aux origines raciales ou ethniques,
- aux opinions politiques, philosophiques ou religieuses,
- à l’appartenance à un syndicat,
- à la santé ou la vie sexuelle.
La loi reconnaît toutefois quelques exceptions à cette interdiction, dans des hypothèses limitées et strictement encadrées.
Ex : Une banque ne sera pas autorisée à collecter des données relatives aux opinions politiques de ses clients. Mais la loi autorise les partis politiques à traiter des données relatives aux opinions politiques de ses membres.
Par ailleurs, les données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mises en œuvre que par certaines personnes :
- les juridictions (tribunaux, cours d’appel…), les autorités publiques et les personnes morales gérant un service public, dès lors qu’elles agissent dans le cadre de leurs attributions légales ;
- les auxiliaires de justice (avocats, huissiers, …), pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi ;
- les sociétés de gestion collective (ex. : SACEM, SACD…) ou les organismes de défense professionnelle (ex. : SCPP, SNEP…) agissant au titre de la gestion ou de la défense des droits de propriété littéraire et artistique.
Depuis la modification de la loi informatique et libertés en 2004, les sociétés qui gèrent et défendent les droits des auteurs, éditeurs, artistes-interprètes et producteurs peuvent procéder à la collecte et au traitement automatisé des adresses IP de certains internautes pris en flagrant délit de contrefaçon (utilisateurs de logiciels Peer-to-Peer notamment).
3.1.2.2 Obligation de déclaration ou d’autorisation
Préalablement à toute mise en œuvre du traitement, le responsable du traitement doit procéder à certaines formalités. Dans la majorité des cas, la loi exige uniquement une déclaration à la CNIL. Dans d’autres cas, une demande d’autorisation doit être adressée à la CNIL.
La déclaration a deux fonctions :
- elle permet d’informer la CNIL de l’existence du traitement ;
- elle comporte par ailleurs « l’engagement que le traitement satisfait aux exigences de la loi » : la personne qui envoie la déclaration est censée connaître l’ensemble de ses obligations et avoir pris toutes les mesures nécessaires pour s’y conformer.
Un certain nombre de traitements de données à caractère personnel sont exonérés de déclaration.
Voir la page « Faut-il déclarer ? » sur le site de la CNIL.
Certains traitements de données à caractère personnel particulièrement sensibles (données génétiques, biométriques, casier judiciaire, etc.) ne peuvent être mis en œuvre qu’après autorisation de la CNIL.
3.1.2.3 Obligation de transparence et d’information
L’idée centrale de la loi « informatique et libertés » est que tout traitement de données à caractère personnel exige le consentement des personnes concernées.
Pour pouvoir donner son consentement, une personne doit logiquement savoir que des données qui la concernent sont collectées. Le responsable du traitement est à ce titre tenu à une obligation de transparence. Le Code pénal punit sévèrement le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite.
Depuis quelques années, une pratique illicite est en plein essor : celle du phishing (ou « hameçonnage »). Elle consiste à obtenir frauduleusement certaines données personnelles (coordonnées, numéro de carte bancaire, mot de passe…) en se faisant passer pour un tiers de confiance (banque, organisme public, …). Les personnes concernées reçoivent un courrier
électronique reprenant les signes distinctifs de ce tiers (ex. : le logo et les couleurs de la banque) qui les invitent à se connecter sur un site web visuellement identique à celui du tiers et à fournir des données confidentielles. Ces pratiques sont évidemment illégales.
Il ne suffit cependant pas que la collecte soit effectuée au grand jour. La personne auprès de laquelle sont collectées les données doit être à même de connaître précisément la finalité de la collecte et du traitement.
Le responsable doit ainsi respecter une obligation d’information et indiquer au moment de la collecte :
- son identité ;
- la finalité et la durée du traitement de données ;
- le caractère obligatoire ou facultatif des réponses ;
- les conséquences éventuelles d’un défaut de réponse ;
- les destinataires des données ;
- les droits dont dispose la personne auprès de laquelle sont recueillies les données ;
- les transferts éventuels de données dans un pays extérieur à l’Union européenne.
Ces informations sont importantes :
- elles permettent à la personne concernée par le traitement de données de savoir précisément quelle est la finalité de la collecte : c’est en se fondant sur ces informations qu’elle donnera son consentement à l’utilisation des données qui la concernent ;
- elles engagent le responsable du traitement qui, s’il effectue un traitement de données non conforme à ce qu’il a annoncé, s’expose à des sanctions pénales pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende.
L’obligation d’information subsiste même après la collecte. Pendant tout le temps que dure le traitement de données à caractère personnel, le responsable du traitement est tenu de fournir ces informations aux personnes qui lui demandent.
3.1.2.4 Obligation de sécurité
Le responsable du traitement est tenu de prendre toutes précautions utiles pour préserver la sécurité des données. Il doit notamment s’assurer qu’elles ne seront pas déformées ou endommagées et que des tiers non autorisés n’y auront pas accès.
Ces précautions peuvent prendre plusieurs formes : protection physique du bâtiment dans lequel sont conservés les fichiers sensibles (vigile, caméras de surveillance…), protection du système informatique au sein duquel sont stockées les données, … . Toutes les données ne nécessitent toutefois pas le même type de protection. La loi précise à cet effet que les mesures de protection doivent être proportionnées à la nature des données et des risques présentés par le traitement : plus les données sont sensibles, plus la protection devra être importante.
En cas de non-respect de cette obligation de sécurité, le responsable du traitement risque cinq ans d’emprisonnement et 300 000 euros d’amende.
Si la loi sanctionne le responsable du traitement qui ne prend pas les précautions utiles à la protection des données à caractère personnel, elle sanctionne également les personnes qui accèdent ou tentent d’accéder frauduleusement au système informatique qui contient ces données.
- Les droits des personnes concernées par un traitement de données à caractère personnel
La loi reconnaît aux personnes concernées par un traitement de données à caractère personnel des droits : un droit d’information, un droit d’accès, un droit d’opposition et un droit de rectification.
3.1.2.6 Droit d’information
Les personnes dont les données à caractère personnel font l’objet d’un traitement ont le droit de connaître la finalité du traitement.
Les informations que la personne est en droit d’exiger sont celles que le responsable du traitement est tenu d’indiquer.
3.1.2.7 Droit d’accès
Des données à caractère personnel peuvent figurer dans les fichiers d’une société alors même que la personne concernée ne se souvient pas les lui avoir fournies. La loi lui reconnaît le droit d’obtenir des informations sur ce traitement de données à caractère personnel : c’est ce que l’on appelle le droit d’accès.
L’article 39 de la loi « informatique et libertés » prévoit que toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir :
- la confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet d’un traitement ;
- des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires auxquels les données sont communiquées ;
- les informations relatives à d’éventuels transferts de données à caractère personnel dans un pays extérieur à l’Union européenne ;
- la communication, sous une forme accessible des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci ;
- les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé.
La personne concernée par le traitement de données à caractère personnel est en droit d’obtenir une copie des données en cause. En contrepartie, le responsable du traitement peut lui demander une somme couvrant le coût de la reproduction.
Un responsable de traitement qui n’aurait pas respecté ses obligations pourrait être tenté, après avoir reçu une demande d’accès, de détruire ou de dissimuler les données en cause. La loi prévoit qu’en cas de risque de dissimulation ou de disparition des données à caractère personnel, un juge peut ordonner toutes mesures de nature à éviter cette dissimulation ou cette disparition.
3.1.2.8 Droit d’opposition
Toute personne physique a le droit de s’opposer à ce que des données à caractère personnel qui la concernent fassent l’objet d’un traitement. Cette opposition doit se fonder sur des motifs légitimes.
Le refus de voir ses données à caractère personnel utilisées à des fins de prospection, notamment commerciale (envoi de messages publicitaires, appels téléphoniques…), est, en toutes hypothèses, un motif légitime d’opposition. Aucune justification supplémentaire ne sera donc nécessaire pour s’opposer à ce type d’utilisation.
Le « spam » (prospection directe par courrier électronique)
La prospection directe par courrier électronique (c’est-à-dire l’envoi d’un message destiné à promouvoir, directement ou indirectement, des biens ou services) n’est autorisée qu’à certaines conditions :
- le destinataire du courrier doit avoir donné son consentement préalable à l’envoi. Ce consentement peut être donné, par exemple, en cochant une croix dans un formulaire en ligne. La loi admet qu’un commerçant qui a déjà fourni des produits ou des services au destinataire puisse utiliser l’adresse électronique fournie par ce dernier pour lui envoyer des offres portant sur des produits ou services analogues.
- le caractère publicitaire du message doit pouvoir être identifié de manière claire et non équivoque : il est interdit d’envoyer un message volontairement ambigu pour « piéger » le destinataire du message et l’amener à se connecter sur le site web de l’expéditeur du message ;
- l’expéditeur doit indiquer des coordonnées valables pour permettre au destinataire d’exercer son droit d’opposition.
Dans certains cas, l’opposition ne sera pas possible. C’est le cas notamment lorsque le traitement des données résulte d’une obligation légale. Ainsi, on ne pourra pas refuser de figurer dans les fichiers des services de police, des impôts, de la sécurité sociale…
3.1.2.9 Droit de rectification
Une personne peut constater (notamment après avoir exercé son droit d’accès) que le responsable du traitement détient des données à caractère personnel qui le concernent et qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite par la loi.
Il est dans ce cas possible d’exiger du responsable du traitement qu’il rectifie, complète, mette à jour, verrouille ou efface les données.
Le responsable est tenu de procéder rapidement et sans frais aux rectifications. S’il a cédé, en tout ou partie, les données personnelles à des tiers, il doit faire le nécessaire pour qu’ils procèdent aux mêmes rectifications.
- A retenir…
La loi informatiques et libertés du 6 janvier 1978 encadre le traitement des données à caractère personnel. La Commission nationale de l’informatique et des libertés (CNIL) en assure le respect.
Le responsable d’un traitement de données à caractère personnel est soumis à plusieurs obligations :
- Obligation de déclaration ou, dans certains cas, d’autorisation ;
- Obligations relatives à la nature du contenu ;
- Obligation d’information et de transparence ;
- Obligation de sécurité.
Le non-respect de ces obligations par le responsable du traitement peut être sanctionné pénalement (jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende).
La personne concernée par un traitement de données à caractère personnel bénéficie de droits :
- Droit d’information ;
- Droit d’accès ;
- Droit d’opposition ;
- Droit de rectification.
- La LCEN ou Loi du 21 juin 2004 pour la confiance dans l’économie numérique
Cette loi est née de la nécessité de légiférer :
- La responsabilité des hébergeurs de sites
- La lutte contre le spam
- La libéralisation totale de la cryptographie
Texte complet : http://www.legifrance.gouv.fr/html/actualite/actualite_legislative/decrets_application/2004– 575.htm
Elle permet la :
- Définition du principe de liberté de communication par voie électronique et ses limites
- Définition du commerce électronique
- Réglementation de la publicité par voie électronique (spam)
- Réglementation pour les FAI et hébergeurs, responsabilités.
Cette loi traite également de la signature électronique, de la validité des actes juridiques sous forme juridique, contrat électronique.
Elle réglemente la cryptologie (Moyens et prestation, Liberté d’utilisation de la cryptologie).
3.3 Les règles qui protègent les systèmes informatiques
Les systèmes informatiques (tels que les ordinateurs) permettent de traiter un nombre considérable de données (textes, photos, courrier électronique, données comptables, …), de les stocker et de les organiser. Ils occupent aujourd’hui une place centrale dans la vie des particuliers et des entreprises.
Malgré toutes les précautions qui peuvent être prises pour assurer leur sécurité (pare-feu, anti-virus, cryptage…), les systèmes informatiques restent vulnérables face à la détermination des pirates informatiques.
Les atteintes portées aux systèmes informatiques peuvent avoir des conséquences graves :
- Divulgation d’informations confidentielles ou stratégiques ;
- Paralysie de l’activité de l’entreprise ;
- Atteinte à la vie privée ;
- Perte ou altération de données.
Pour « colmater » les inévitables failles de protection de ces systèmes, un chapitre traitant spécifiquement des atteintes aux systèmes de traitement automatisé de données (plus couramment désignés sous l’acronyme de STAD) a été introduit dans le Code pénal.
- Définition d’un système de traitement automatisé de données (STAD)
La loi ne définit pas les « systèmes de traitement automatisé de données ». Cette imprécision est volontaire : on a cherché à rester le plus neutre et le plus vague possible pour éviter que le texte ne se « périme » avec le temps.
Lors des débats parlementaires qui ont conduit à l’adoption du texte, une définition des STAD a toutefois été proposée : un STAD est un « ensemble composé d’une ou plusieurs unité(s) de traitement automatisé, de mémoire, de logiciel, de données, d’organes d’entrée et de sortie et de liaisons qui concourent à un résultat déterminé, cet ensemble étant protégé par des dispositifs de sécurité ».
Cette définition, qui est celle généralement retenue par les tribunaux, est assez complexe. Pour faire plus simple, on peut considérer que la notion de STAD est équivalente à celle de système informatique.
On peut citer quelques exemples de STAD :
- Les ordinateurs, les PDA ;
- Les sites web ;
- Les terminaux de paiement (distributeurs de billet, etc.) ;
- Les téléphones mobiles.
- Accès ou maintien frauduleux dans un STAD
La loi (couramment appelée « loi Godfrain ») interdit le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un STAD.
Plusieurs actes sont interdits :
- l’entrave au fonctionnement du STAD ;
- l’introduction, la modification ou la suppression de données contenues dans le STAD;
- la possession ou la mise à disposition de moyens permettant de réaliser l’un de ces actes.
La plupart des atteintes à un STAD feront intervenir plusieurs de ces actes, ce qui rendra d’autant plus aisé la condamnation des comportements illicites.
3.3.2.1 Accès frauduleux à un STAD
L’accès au système de traitement automatisé peut se faire de plusieurs façons :
- depuis l’extérieur du système : ainsi, un pirate qui pénètre dans un ordinateur connecté à Internet tombe sous le coup de la loi.
- depuis l’intérieur du système : un salarié qui, depuis son poste, pénètre dans une zone du réseau de l’entreprise à laquelle il n’a pas le droit d’accéder pourra être poursuivi.
L’accès est sanctionné uniquement s’il est frauduleux.
3.3.2.2 Maintien frauduleux dans un STAD
Généralement, l’accès frauduleux à un STAD est suivi d’un maintien frauduleux. Mais ce n’est pas toujours le cas. L’accès au STAD peut être « accidentel », le maintien dans le STAD est, lui, généralement intentionnel.
- A retenir…
Les atteintes aux systèmes de traitement automatisé de données (STAD) sont des délits. L’auteur d’une atteinte à un STAD risque jusqu’à cinq ans d’emprisonnement et 75.000 euros d’amende.
La notion de STAD est large. Notamment, un ordinateur, un site web ou un terminal de paiement sont des STAD.
Il est interdit d’accéder ou de se maintenir frauduleusement dans un STAD.
IL est interdit d’entraver ou de fausser le fonctionnement d’un STAD.
Il est interdit d’introduire frauduleusement des données dans un STAD ou de supprimer ou modifier frauduleusement les données qu’il contient.
Sauf motif légitime, il est interdit d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un moyen permettant de réaliser une atteinte à un STAD.