|
Informatique et libertés Secteur internet Note2be : la Cour d'appel de Paris confirme l'injonction de suspension La Cour d'appel de Paris confirme l'injonction faite au site de notation Note2be.com de suspendre la mise en ligne des données à caractère personnel concernant les enseignants. A la suite de l'assignation de la société éditant le site Note2be.com par des enseignants et leurs syndicats, le Président du Tribunal de grande instance de Paris a fait injonction à cette société, aux termes d'une ordonnance du 3 mars 2008, de suspendre l'utilisation de données personnelles relatives aux enseignants aux fins de leur notation, y compris sur le forum de discussion qui devra également comporter une modération préalable à cette fin. La société en cause a fait appel. Dans un arrêt rendu le 25 juin dernier, la Cour d'appel de Paris a confirmé cette ordonnance de référé, à l'exception de la mise en place d'un procédé de modération sur le forum de discussion. La cour d'appel a, en effet, jugé que les données mises en ligne sur le site Note2be.com, sans qu'aucune règle ne soit fixée aux élèves qui souhaitent noter leurs professeurs, ne sont manifestement pas collectées de manière loyale, et ne présentent aucune garantie quant à leur pertinence et à leur caractère adéquat. Le forum de discussion étant "accessoire" au site de notation proprement dit, la Cour d'appel de Paris a jugé que l'injonction précitée serait vaine si le forum était maintenu en l'état, y compris avec un procédé de modération. Pour sa part, la Cnil, saisie de très nombreux signalements et plaintes d'enseignants, a publié un communiqué aux termes duquel elle a reconnu le caractère illicite dudit site mais "tenant compte de la publication de l'ordonnance du juge des référés du 3 mars 2008, la formation contentieuse de la CNIL ne jugeait pas utile de faire usage de son pouvoir de sanction s'en réservant la possibilité en cas de nouveau manquement constaté." CA Paris 14e ch. section A, 25 juin 2008 Attention avant de recourir aux services d’un moteur de recherche ! Le groupe des 27 Cnil européennes a adopté, le 4 avril, à l'unanimité, un avis précisant que les données personnelles enregistrées par les moteurs de recherche, doivent être effacées au plus tard au bout de 6 mois (1). Cet avis présente un ensemble de conclusions et recommandations sur les obligations des moteurs de recherche et les droits des internautes. L’un des points principaux de l’avis concerne la durée de conservation des données personnelles par les moteurs de recherche. Force est de constater que les pratiques actuelles des grands acteurs du secteur font état de durées de conservation bien plus longues (de l’ordre de 13 ou 18 mois). Or contrairement aux fournisseurs d’accès internet ou aux opérateurs de télécommunications, les moteurs de recherche ne sont pas légalement tenus de conserver des informations sur les connexions des utilisateurs. La conservation de l'historique des recherches sert en fait à enrichir le profil des internautes (à des fins notamment de ciblage commercial) et à utiliser les historiques de recherche pour envoyer des publicités ciblées. L’avis rappelle que l’activité de profilage nécessite le consentement des internautes qui doivent, par ailleurs, être clairement informés de l’ensemble de leurs droits (droits d’accès, de rectification et de suppression des données). Les entreprises qui ont recours, gratuitement ou non, aux divers services proposés par les moteurs de recherche sont également concernées par cet avis en tant que responsables des traitements de données. Leur responsabilité est, en effet ,engagée, même si les données font l’objet d’une opération de traitement de la part d’un sous-traitant. Elles doivent, notamment, vérifier si ce dernier présente des garanties suffisantes pour assurer la mise en œuvre de l’obligation de sécurité (2). La violation de l'obligation de sécurité est assortie de sanctions pénales pouvant aller jusqu’à cinq ans d'emprisonnement et 300 000 euros d'amende (3). Pour les personnes morales, la peine d'amende encourue est quintuplée et peut donc aller jusqu’à 1 500 000 euros. Quoiqu’il en soit, un dialogue devra s’engager avec les principaux acteurs du marché (Google, Yahoo, Microsoft et les moteurs nationaux) pour éviter l’explosion de plaintes de la part des internautes. (1) Avis du G29 sur les moteurs de recherche (version anglaise) ; (2) Loi du 6-1-1978 art.35 ; (3) C. pén. art. 226-17. Rapport de synthèse de la consultation 2008 des internautes Le Forum des droits sur l’Internet a publié fin mars le rapport de synthèse d’une consultation réalisée auprès des internautes entre le 5 février et le 4 mars 2008. Ce rapport permet de dégager trois thèmes principaux sur lesquels les internautes se sont exprimés. Ces derniers ont tout d’abord exprimé leur préoccupation au regard de la protection de la vie privée et des libertés fondamentales sur internet. La question de la protection de l’identité numérique et de la collecte des données personnelles par des tiers, notamment sur les sites de socialisation, a été souligné par les internautes comme étant un problème majeur. Par ailleurs, les discussions ont porté sur la question de l’enseignement et d’internet. A ce titre, les internautes estiment qu’il est nécessaire de former les personnes aux technologies de l’information dès le plus jeune âge et d’améliorer la formation des enseignants aux nouvelles technologies. Enfin, un nombre important des messages a porté sur les difficultés rencontrées par les internautes au regard de leur fournisseur d’accès internet. Ces derniers sont pointés du doigt en raison des nombreuses coupures d’accès à internet. Les internautes réclament également davantage de protection du consommateur sur Internet et dénoncent le caractère intrusif des nombreuses publicités en ligne. Rapport de synthèse FDI de la consultation 2008 Un agent assermenté de la Sacem peut-il être qualifié d’auxiliaire de justice et mettre en place un traitement relatif à des infractions ? Non. Un agent assermenté de la Sacem ne peut être qualifié d’auxiliaire de justice au sens de l’article 25 de la loi Informatique et libertés et doit en conséquence obtenir l’autorisation de la Cnil avant de mettre en place un traitement relatif à des infractions. Le 6 septembre 2007, le Tribunal de grande instance de Saint-Brieuc a, en matière correctionnelle, rendu une décision précisant la notion d’auxiliaire de justice prévue par la loi Informatique et libertés du 6 janvier 1978 en son article 25. En l’espèce, les traitements automatisés avaient été mis en œuvre par un agent assermenté de la Sacem et portaient sur des données à caractère personnel relatives à des infractions au Code de la propriété intellectuelle. Le tribunal a considéré que dans la mesure où l’article 33-I-2 du Code la propriété intellectuelle assimilait un agent assermenté de la Sacem à un agent ou à un officier de police judiciaire, il ne pouvait être qualifié d’auxiliaire de justice. En conséquence, il a considéré que l’agent assermenté de la Sacem ne pouvait mettre en œuvre un tel traitement sans avoir obtenu préalablement une autorisation de la Cnil. Il a également considéré que le procès-verbal de constat dressé par l’agent assermenté de la Sacem sur les fondements de ce traitement devait être déclaré nul. Tribunal de grande instance de Saint-Brieuc du 6 septembre 2007 Pour la Cour d’appel de Paris, l’adresse IP n’est pas une donnée à caractère personnel
Dans ces deux arrêts relatifs à des actes de contrefaçon, commis via des logiciels « Peer to Peer », la Cour d’appel de Paris a considéré que les adresses IP ne constituaient pas des données à caractère personnel(1). Or, cette affirmation semble en contradiction avec la définition de données à caractère personnel de la directive européenne n° 95/46/CE «Protection des données à caractère personnel» reprise dans l’article 2 de la loi du 6 janvier 1978. Ce dernier stipule que constitue une donnée à caractère personnel toute information permettant d’identifier directement ou indirectement une personne physique. Selon le groupe 29 (composé des autorités de protection des données des Etats membres de l’Union Européenne)(2), il est préférable de ne pas restreindre indûment l’interprétation de cette définition afin de protéger la vie privée des personnes physiques. Or, une adresse IP est bien une donnée qui permet une identification indirecte d’une personne, comme l’a rappelé récemment la CNIL sur son site(3). En effet, chaque ordinateur connecté à Internet est identifié par un numéro unique appelé «adresse IP» qui permet de le retrouver parmi les ordinateurs connectés ou de remonter à l’expéditeur d’un message. Enfin, le raisonnement de la Cour d’appel de Paris semble également en contradiction avec le raisonnement adopté par le Groupe 29 et la CNIL, car selon la Cour, l’adresse IP ne permettrait pas d’identifier la ou les personnes ayant utilisé un ordinateur au motif que « seule l’autorité légitime poursuivant l’enquête, pourrait obtenir du fournisseur d’accès l’identité de l’utilisateur ». Or, le Groupe 29 précise, à l’inverse, que lorsque le traitement d’adresses IP a été effectué par un titulaire de droits d’auteur pour identifier le ou les utilisateurs d’un ordinateur contrefacteurs, le responsable du traitement sait qu’il sera possible d’identifier les personnes utilisant cet ordinateur par l’intermédiaire des tribunaux saisis, sinon la collecte d’informations serait inutile. Le Groupe 29 indique également que la seule hypothèse où de telles informations pourraient ne pas être considéreés comme étant des données à caractère personnelle serait celle des adresses IP données dans les cybercafés car dans ce cas, aucune identification de l’utilisateur n’est demandée. La solution retenue par la Cour d’appel ne fait donc pas l’unanimité, il conviendra d’attendre pour savoir si malgré cela, cette solution sera reprise par d’autres juridictions. (1)Cour d'appel de Paris du15 mai 2007et du27 avril 2007 (2) Avis n° 4/2007 du 20 juin 2007 du Groupe 29 (3) CNIL, rubrique « En bref » du 2 août 2007 La CNIL doit revoir sa position sur la surveillance des réseaux P2P
CE 23 mai 2007, n° 288149 Téléchargement illégal : une relaxe pour non respect de la loi informatique, fichiers et libertés
(*) SDRM : Société pour l'administration du droit de reproduction mécanique, créée à l'initiative de la Sacem (société des auteurs et compositeurs) SCPP/SCPP : Société Civile pour l'exercice des droits des Producteurs Phonographiques SPPF : Société civile des Producteurs de Phonogrammes en France L’internet, un outil de démocratie «directe» encadré par la Cnil La Cnil applique au domaine politique le principe de l’opt-in posé en matière commerciale par la loi pour la confiance dans l'économie numérique (LCEN) du 21 juin 2004. Elle fixe également certains garde-fous à cet outil de démocratie directe qu’est l’internet. Elle vient de mettre à jour les règles qu’elle avait successivement élaborée en 1991 et en 1996, alors que le spamming ne faisait pas encore partie de la panoplie des candidats à une élection. Elle a ainsi établi de nouvelles règles en ce qui concerne la gestion des fichiers internes des élus et partis politiques et l’organisation d’opérations de communication politique et d’opérations de parrainage. La principale nouveauté de cette recommandation concerne l'organisation d'opérations de parrainage, c’est-à-dire d’opérations par lesquelles les partis cherchent à s'adresser « directement » à une personne dont les données leur ont été communiquées par un tiers (collecte indirecte). Dans ce cas, la personne parrainée doit recevoir « un seul et unique message » qui devra préciser l'identité du parrain. Les coordonnées ainsi collectées devront être effacées à l'issue de l’envoi du message. S’agissant des opérations de communication, l'e-mailing politique ne peut concerner que des « personnes ayant exprimé leur consentement à être démarchées », principe de l’« opt-in » posé par la LCEN du 21 juin 2004 en matière de prospection commerciale « directe ». Un parti, un groupement à caractère politique, un élu ou un candidat peut donc utiliser, à des fins de communication politique, les fichiers commerciaux détenus par des tiers (fichiers de clients ou de prospects) ainsi que ceux qu’il détient à la condition toutefois que les personnes soient averties, au moment du recueil de leurs données, de la possibilité d’une telle utilisation et qu’elles ont par ailleurs, la possibilité de notifier leur accord ou leur refus. Cette contrainte pose des difficultés pour les bases de données constituées sur le principe de l'accord du destinataire (opt out). La CNIL recommande alors aux gestionnaires de ces bases de recontacter les personnes concernées en leur adressant un courrier électronique pour les informer que leur adresse électronique est dorénavant « susceptible d’être utilisée à des fins de prospection politique et de la faculté qu’elles ont de s’y opposer ». Dans son guide pratique intitulé « L’utilisation des fichiers dans le cadre d’activités politiques : obligations légales et préconisations de la Cnil » (téléchargeable sur son site), l'autorité de contrôle ajoute une règle qui ne figure pas dans sa délibération et qui est pourtant lourde de conséquences : « il appartient au parti ou à l’élu de vérifier que les sociétés ont adressé un courrier électronique à chacune des personnes (…) » ! Elle déduit cette obligation du fait qu’au regard de la loi Informatique et libertés, c’est lui qui est responsable du fichier utilisé dans le cadre d’une opération de prospection politique, même s’il a recours à des prestataires techniques, notamment pour l’envoi de messages. Il est le « maître du fichier ». En conséquence, il devra gérer cette obligation au niveau du contrat avec les prestataires. La Cnil prévoit également des limitations dans la gestion des radiations exprimées par les personnes, réservée uniquement « aux sociétés prestataires, afin que les partis ne tirent pas de conclusions des orientations politiques des internautes ». Enfin la Cnil rappelle que si les fichiers utilisés à des fins de communication politique doivent être déclarés, ils peuvent faire l’objet d’une formalité allégée d’engagement de conformité à la nouvelle norme 34 adoptée par la Cnil en même temps que sa recommandation. Délibération n°2006-229 du 5 octobre 2006 portant adoption de la norme simplifiée numéro 34 Délibération n°2006-228 du 5 octobre 2006 portant recommandation Suppression du formulaire spécifique de déclaration de sites internet
Peer to peer : la Cnil autorise un système de détection du piratage sur internet
(1) Délibération n°2005-005 du 18 janvier 2005 (2) Loi n°78-17 du 6 janvier 1978 modifiée, Article 9 (3)Code des postes et communications électroniques, Article L.32-3 Condamnation d’une société qui, à travers un sondage prétendument anonyme, avait collecté des données personnelles sensibles
(1)Délibération n°02-054 du 9 juillet 2002 (2) T. cor. Nanterre 4 juin 2004 La collecte déloyale de données à caractère personnel sur les espaces publics de l'internet Aux termes de l’article 6 de la loi Informatique et libertés modifiée en août 2004, « les données sont collectées et traitées de manière loyale et licite ». Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. Pour les personnes morales, la peine d'amende encourue est quintuplée, soit 1 500 000 euros, et s'accompagne des peines prévues à l'article 131-38 du Code pénal. Il n’existe pas de définition légale de la collecte déloyale. Le caractère déloyal de la collecte est donc laissé à l’appréciation du juge. La collecte d'informations auprès de tiers, à l'insu des intéressés, constitue une manœuvre déloyale, ces derniers n'ayant pas la possibilité de faire jouer leur droit d'opposition à la collecte. Dans une décision du 14 mars 2006 la Cour de cassation a considéré que la collecte d’adresses électroniques personnelles dans les espaces publics de l’internet constituait une collecte déloyale. La Cour estime déloyal le fait de collecter des adresses sans en avertir les titulaires, en ne les mettant pas en mesure de consentir à cette collecte et de faire valoir leurs droits à ce moment. Cette position de la Cour de cassation contraint toutes les entreprises susceptibles de telles collectes à mettre les personnes concernées en mesure de faire valoir leurs droits sur leurs données, lors de la collecte. La présence d’une donnée à caractère personnel sur un espace public ne signifie pas que cette dernière soit libre d’utilisation. Lors de la collecte, il convient de s’assurer que les données peuvent être utilisées librement. Cass. crim. 3 novembre 1987 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Informations légales et CGU Téléright | © 1997-2008 Alain Bensoussan Avocats. Tous droits réservés. |
