Archives par mot-clé : Internet

Conservation des données et libertés de l’internaute : « L’Etat veut-il tuer Internet en France ? »

Publié le par

Bis Repetita. Quatre ans après la première polémique déclenchée par le projet de décret sur la conservation des données, voici que finalement la publication au J.O. du 1er mars de ce même décret remis au goût du jour reprovoque une levée de boucliers de la part des FAI et des hébergeurs.

Début 2007, souvenez-vous, Nicolas Sarkozy était alors ministre d’Etat-ministre de l’Intérieur, sous l’autorité du Premier ministre de l’époque, Dominique de Villepin…
Cette année-là fut présentée une toute première mouture du décret imposant aux opérateurs télécoms, fixes ou mobiles, fournisseurs d’accès à Internet (FAI) et aux hébergeurs des contenus du Web de conserver – durant un an – toutes les données
et les traces des internautes. A l’époque déjà, cette obligation prévue par la loi du
21 juin 2004 sur la confiance dans l’économie numérique (LCEN), avait déclenché
l’ire des acteurs du Net.

Tous les contenus sous surveillance
Le président du Groupement des éditeurs de services en ligne (Geste), Philippe Jannet, s’était même fendu d’un point de vue dans Le Monde daté du 21 avril 2007 pour interpeller le gouvernement : « L’Etat veut-il tuer Internet en France ? ». Après ce tollé, plus rien. Un an après, en février 2008 cette fois, le premier gouvernement de François Fillon – Nicolas Sarkozy est alors chef de l’Etat depuis huit mois – revient à la charge avec un autre projet de décret à peine différent du premier. A nouveau la polémique. Puis, plus rien ! Il faudra alors attendre trois ans avant de voir le décret sur « la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne » signé le 25 février 2011.
La question est maintenant pour lui de savoir si le Geste (1) va le contester devant le Conseil d’Etat. « Il est clair que nous allons en discuter », a indiqué Philippe Jannet à Edition Multimédi@. Même son de cloche du côté l’Association des services Internet communautaires (Asic), dont le secrétaire général, Benoît Tabaka, parle aussi d’un recours possible une fois ses membres (2) consultés. De son côté, le président de French Data Network (FDN), Benjamin Bayart, nous confirme qu’il étudie également un recours pour attaquer ce décret devant la Haute juridiction administrative – comme il l’avait fait pour contre deux décrets de la loi Hadopi (3) : en mai dernier contre celui du 5 mars sur le traitement automatisé des données à caractère personnel et en août contre celui du 26 juillet 2010 sur la procédure des ayants droits devant la commission de protection des droits. Dans les deux cas, il est reproché le fait que l’Arcep n’a pas été saisie pour avis. Pourtant, il est prévu dans le premier décret que les FAI sont tenus de « communiquer dans un délai de huit jours suivant la transmission par la commission de protection des droits (CPD) de [l’Hadopi] des données techniques nécessaires à l’identification de l’abonné ». Et Iliad, la maison mère de Free, sera-t-elle tentée de prêter main forte aux contestataires ? L’opérateur de la Freebox par ailleurs attaqué le 10 décembre un autre décret de l’Hadopi forçant les FAI – Free en tête (4) – à envoyer à leurs abonnés les e-mails d’avertissement en cas de piratage en ligne. Quant au DG de la Fédération française des télécoms (FFT), Yves Le Mouël, il nous répond que « la fédération n’a pas encore travaillé sur le sujet ». Le Conseil d’Etat a déjà de quoi faire sur la question des données personnelles des internautes. Le décret paru le 1er mars au J.O. prévoit de conserver un inventaire à la Prévert : identifiant de la connexion (comme l’adresse IP), identifiant attribué à l’abonné, identifiant du terminal utilisé, dates et heure de début et de fin de connexion, caractéristiques de la ligne de l’abonné, identifiant de la connexion à l’origine de la communication, identifiant attribué
au contenu, objet de l’opération, types de protocoles utilisés pour la connexion au service et pour le transfert des contenus (notamment peer-to-peer), nature de l’opération, date et heure de l’opération, identifiant utilisé par l’auteur de l’opération, identifiant de cette connexion, nom et prénom ou raison sociale, adresses postales associées, pseudonymes utilisés, adresses de courrier électronique ou de compte associées, numéros de téléphone ou encore mot de passe, données permettant de le vérifier ou de le modifier. Sans oublier en cas de transaction, le type de paiement utilisé,
la référence du paiement, le montant, la date et l’heure de la transaction.

1 an de prison et 75.000 euros d’amende
Bref, toute la panoplie d’identification de l’internaute que tout hacker aimerait bien se procurer ! Si un FAI n’obtempère pas, il est passible d’un an de prison et de 75.000 euros. En 2007, la Cnil – qui a considéré l’adresse comme une donnée à caractère personnelle – avait émis des réserves mais n’avait dit mot sur le mot de passe (5). En 2008, l’Arcep avait été critique aussi (6). Reste à savoir maintenant si le Conseil d’Etat sauvera Internet en France et, par la même, les libertés fondamentales de la démocratie. Rien de moins. @

Charles de Laubier

Des téléchargements aux réseaux sociaux : la liberté du salarié sous contrôle

Publié le par

Avec l’accès à Internet, les sites de téléchargement et les réseaux sociaux, le
lieu de travail est plus que jamais ouvert sur l’extérieur. Face aux risques liés
aux contenus illicites, comment le contrôle de l’employeur peut-il s’exercer
sans empiéter sur les libertés du salarié ?

Par Christiane Féral-Schuhl*, avocate associée, Bâtonnier désigné, cabinet Féral-Schuhl/Sainte-Marie.

L’accès Internet est devenu, à l’instar du téléphone, un véritable outil de travail. La connexion au Web fait partie
des moyens mis à la disposition de l’employé lui permettant d’exécuter son travail. Néanmoins, les employés utilisent également leur connexion professionnelle pour accéder à
des sites de commerce électronique, à des plateformes
de téléchargement d’œuvres culturelles ou encore à des réseaux sociaux (1).

Liberté, responsabilité et piratage
Si une zone de tolérance de cette utilisation à des fins privées est admise, elle est, néanmoins, limitée. En effet, la chambre sociale de laCour de cassation a considéré
qu’un licenciement pour faute grave était fondé dèslors que « le salarié avait usé de
la connexion Internet de l’entreprise, à des fins non professionnelles, pour une durée totale d’environ 41 heures durant le mois de décembre 2004 » (2).
L’essor de ces outils modernes de communication et d’échange s’accompagne dans
bien des cas d’une volonté accrue de contrôle de la part de l’employeur. Après avoir consacré le droit pour le salarié au respect de sa vie privée « même au temps et sur le lieu de travail » (3), la jurisprudence est intervenue pour encadrer ce droit. Se trouvant dans une relation de subordination, l’employé est tenu à l’égard de son employeur à un devoir de loyauté (4) lui imposant également une obligation de discrétion tant visà- vis des tiers que des autres employés. Le lien de subordination unissant le salarié au contrat de travail ne le prive pas pour autant de ses droits fondamentaux tels que la liberté d’opinion et d’expression. En tant que salarié, l’article L.2281-1 du Code du travail lui reconnaît un « droit à l’expression directe et collective sur le contenu, les conditions d’exercice et l’organisation de leur travail ». L’employé ne peut néanmoins abuser de ce droit en proférant des propos injurieux ou diffamatoires.
L’article 1384 alinéa 5 du Code civil dispose que l’employeur engage sa responsabilité civile en cas de faute commise par l’un de ses employés ayant agi dans le cadre de ses fonctions. Cette connexité peut être retenue lorsque la faute est commise par l’employé avec les moyens mis à sa disposition par l’employeur. Ce dernier a donc tout intérêt à contrôler l’usage de l’outil informatique par ses employés, afin de prévenir le risque d’utilisation illicite de ce dernier et les échanges des contenus illicites. Avec le dispositif de « réponse graduée » mis en oeuvre par la Haute autorité pour la diffusion des œuvres et pour la protection des droits sur Internet (Hadopi), à la suite de la promulgation des lois Hadopi 1 et 2 , adoptées respectivement les 13 juin et 29 octobre 2009, et de son décret d’application du 25 juin 2010 instituant une contravention de négligence caractérisée, la responsabilité de l’employeur peut en effet être aussi engagée. Et ce, en sa qualité de « titulaire de l’accès à des services de communication au public en ligne » dès lors que les téléchargements illégaux sur Internet (musiques, films, livres, logiciels, jeux vidéo, etc) réalisés par un salarié seront identifiés par l’adresse IP dont est titulaire son entreprise.
Le décret d’application publié le 26 juin 2010 impose aux entreprises d’installer des moyens de sécurisation de l’accès Internet pour éviter tout téléchargement de contenus illicites.

Pouvoir de contrôle de l’employeur
À défaut, il encourt les sanctions de la contravention de négligence caractérisée (5) punie de l’amende prévue pour les contraventions de cinquième classe (1.500 euros, somme multipliée par cinq pour les personnes morales). Par conséquent, il est conseillé à l’employeur de s’assurer que les contenus échangés ne portent pas atteinte aux droits d’auteur, au droit des marques, au droit des consommateurs, … Pour cela, l’employeur peut sensibiliser ses employés par des pages-écrans ou des notes de service expliquant les risques d’échanges de contenus illicites, mais surtout, il doit installer des moyens de sécurisation adéquats.

Réseaux sociaux et vies privées
Ce pouvoir de contrôle doit s’exercer en toute transparence et de manière «proportionnée» (6). Au préalable, l’employeur doit déclarer les dispositifs de contrôle
à la Commission nationale informatique et libertés (Cnil), informer ses employés et le comité d’entreprise. A plusieurs reprises, la Cour de cassation a rappelé cette règle :
« Si l’employeur a le droit de contrôler et de surveiller l’activité de son personnel durant le temps de travail, il ne peut mettre en oeuvre un dispositif de contrôle qui n’a pas été porté préalablement à la connaissance des salariés » (7). Pour anticiper les conflits,
il est recommandé d’organiser les conditions d’utilisation des accès Internet dans le cadre d’un règlement intérieur ou d’une charte informatique intégrée à ce règlement. D’ailleurs, le fait de caractériser une faute grave dans la charte peut justifier un licenciement. Ainsi, dans un arrêt du 15 décembre 2010 (8), la Cour de cassation
a validé le licenciement d’un salarié ayant conservé des documents à caractère pornographique sur son ordinateur puisque cette faute était visée dans la charte informatique. Dans une autre affaire (9), aucune charte n’ayant été signée, le licenciement était dépourvu de cause réelle et sérieuse.
Les réseaux sociaux ont été définis dans un avis du 12 juin 2009 (10) du G29, groupe
des « Cnil » européennes, comme des plateformes de communication en ligne permettant à des personnes de créer des réseaux d’utilisateurs partageant des intérêts communs.
Une récente enquête (11) constate que 67 % des utilisateurs de réseaux sociaux pensent qu’Internet a profondément changé la manière dont ils s’informent sur les entreprises. Ainsi, l’e-réputation d’une entreprise comprend deux composantes : d’une part, la communication qu’une entreprise réalise pour son compte sur la toile et d’autre part, les propos ou contenus qui la concernent et sur lesquels son pouvoir de contrôle est beaucoup plus réduit. La décision du conseil de prud’hommes de Boulogne-Billancourt du 19 novembre 2010 (12) illustre la complexité d’appréciation du caractère privé ou public des propos tenus sur ces réseaux sociaux. En l’espèce, des salariés d’une société de conseil et d’ingénierie en technologies ont été licenciés pour faute grave au motif qu’ils auraient dénigré leur hiérarchie sur une page Facebook qu’ils ont créée et intitulée le « club des néfastes ». Ces propos avaient été publiés en dehors des horaires et du lieu de travail. Après avoir relevé que le salarié avait choisi de partager sa page Facebook avec « ses amis et leurs amis », les juges concluent que
« ce mode d’accès à Facebook dépasse la sphère privée et qu’ainsi la production aux débats de la page mentionnant les propos incriminés constitue un moyen de preuve licite du caractère fondé du licenciement ». Dans une autre affaire, la cour d’appel de Reims (13) a jugé que le « mur » d’un ami se rapporte à un forum de discussion dès lors que la personne dénommée « ami » est susceptible d’avoir une centaine d’amis
ou n’ait pas restreint l’accès à son mur.
Une affaire plaidée le 14 mars prochain devant le conseil de prud’hommes de Périgueux est attendue dans la mesure où les propos incriminés étaient publiés dans des circonstances de confidentialité plus strictes puisque les propos n’étaient accessibles qu’aux « amis ».
Face à cette nouvelle difficulté à définir les sphères publiques et privées, il faut conserver à l’esprit que diffuser du contenu n’est jamais anodin, d’autant plus que les réseaux sociaux sont davantage des outils de communication que de correspondance privée.

Inciter à une plus grande prudence
Plus précisément, la sphère privée sur un réseau social n’est plus synonyme de confidentialité puisque, par nature, ces réseaux ont pour philosophie la communication
et le partage des contenus. En publiant des propos sur un réseau social, même en paramétrant avec soins les destinataires, un salarié ne peut exclure que l’un de ses
« amis », puis « amis d’amis » transfèrent son message. Publier présente donc toujours un risque qui doit inciter à une grande prudence. @

* Christiane Féral-Schuhl a publié
aux éditions Dalloz (collection Praxis Dalloz)
la sixième édition de « Cyberdroit. Le droit à
l’épreuve de l’Internet » (2011-2012).

Filtrage du Net : les ayants droits veulent que les expérimentations soient enfin menées

Publié le par

Elles auraient dû être lancées à partir de novembre 2009, soit 24 mois après
la signature des accords de l’Elysée « pour le développement et la protection
des œuvres et programmes culturels sur les nouveaux réseaux ». Les expérimentations de filtrage sur Internet tardent. La Sacem le déplore.

Il y a un an, lors de ses vœux à la Culture (1), Nicolas Sarkozy avait déclaré que :
« Mieux on pourra “dépolluer“ automatiquement les réseaux et les serveurs de toutes les sources de piratage, moins il sera nécessaire de recourir à des mesures pesant
sur les internautes. Il faut donc expérimenter sans délai les dispositifs de filtrage ».
Le chef de l’Etat le promet depuis les accords de l’Elysée « pour le développement
et la protection des œuvres et programmes culturels sur les nouveaux réseaux », signés le 23 novembre 2007.

Filtrer, c’est « ouvrir la boîte de Pandore »
Les signataires ont prévu que « dans un délai qui ne pourra excéder 24 mois à compter
de la signature du présent accord, les prestataires techniques s’engagent à collaborer avec les ayants droit sur les modalités d’expérimentation des technologies de filtrage des réseaux ». Lors des 2e Rencontres parlementaires sur l’économie numérique, organisées le 8 février dernier et présidées par le député Jean Dionis, un membre du directoire de la Sacem (2) – Claude Gaillard – a déploré que ces expérimentations de filtrage tardent à se mettre en place. « Il faut les mettre en oeuvre », a-t-il insisté. La mise en place de radars TMG sur le Net et le recours à la réponse graduée de l’Hadopi ne suffisent pas aux ayants droits. Après le filtrage des jeux d’argent en ligne illégaux
et le filtrage des sites web de pédopornographie, il est question de filtrer les sites de téléchargement ou de streaming illicites dans le cadre de la lutte contre le piratage
des œuvres culturelles (musiques, films, livres, …). « Mettre en place un processus de filtrage, c’est indéniablement ouvrir la boîte de Pandore », préviennent Nicolas Curien, membre de l’Arcep, et Winston Maxwell, avocat associé chez Hogan Lovells, dans leur livre « La neutralité d’Internet » (3).
Pour l’heure, deux lois françaises organisent déjà le filtrage de l’Internet par le blocage de sites web. La première promulguée le 13 mai 2010 porte sur les jeux d’argent et
de hasard en ligne et prévoit que le président de l’Arjel (4) « peut également saisir le président du TGI de Paris aux fins de voir prescrire, en la forme des référés, toute mesure destinée à faire cesser le référencement du site d’un opérateur » de site de jeu illégal (5). La seconde loi – celle sur la sécurité intérieure (ou Loppsi 2), actuellement examinée par le Conseil constitutionnel saisi le 14 février dernier – prévoit dans le cadre de la lutte contre la pédopornographie que « l’autorité administrative notifie [aux fournisseurs d’accès à Internet] les adresses électroniques des services de communication au public en ligne contrevenant (…), auxquelles ces personnes doivent empêcher l’accès sans délai ». Faire cesser et empêcher sont les deux maître-mots
du filtrage du Web à la française. Pour la Loppsi 2, les sages du Palais Royal devront dire si la décision de bloquer des sites sur Internet doit relever de la seule autorité
et du contrôle du juge, comme c’est le cas pour la loi sur les jeux d’argent en ligne
ou pour la loi Hadopi prévoyant la coupure de l’accès (6). En appui de la saisine des parlementaires, la Quadrature du Net (7) a remis au Conseil constitutionnel un
« mémoire complémentaire » où est dénoncé le « filtrage administratif » (sans intervention du juge) et le caractère anticonstitutionnel de cette mesure de blocage
« disproportionné », qui utilise dans certains cas la technologie dite DPI (Deep Packet Inspection). Comme pour le filtrage de sites de jeux d’argent en ligne non autorisés ou de sites pédopornographiques, la question de l’intervention judiciaire se posera au futur filtrage des sites de téléchargement ou de streaming illicites. Quant à la position de
la Commission européenne sur le filtrage, elle a été exposée le 5 février lors d’une audience de la Cour de justice de l’Union européenne (CJUE) qui a fait l’objet d’un rapport (8).

Le juge doit s’imposer à l’Europe
« Les directives [européennes (9)], interprétées notamment au regard du droit à la vie privée et de la liberté d’expression, ne font pas obstacle à ce que les États membres autorisent un juge national, saisi dans le cadre d’une action en cessation (…), à ordonner à un fournisseur d’accès de mettre en place, afin de faire cesser les atteintes au droit d’auteur qui ont été constatées, un système de filtrage destiné à identifier sur son réseau la circulation de fichiers électroniques concernant une oeuvre musicale, cinématographique ou audiovisuelle (…) », estime l’exécutif européen. La CJUE doit
se prononcer – à la demande de la cour d’appel de Bruxelles – sur une affaire où un FAI belge, Scarlet, avait été condamné en 2007 à bloquer sur les réseaux peer-to-peer les musiques dont les droits étaient gérés par la Sabam – la Sacem belge. A suivre. @

Charles de Laubier