Catégories
Non classé

Publications

Internet dans l’EntrepriseJanvier 1998
Par Valérie SEDALLIAN
Avocat à la Cour de Paris Article présenté lors d’un séminaire organisé par EUROFORUM sur le thème : Quel cadre juridique pour l’Internet “, à Paris les 28 et 29 janvier 1998.

I. LA PROTECTION DES DONNEES PERSONNELLES Un site Internet est susceptible de comporter des données nominatives. Certaines de ces données vont concerner les utilisateurs du service, par exemple dans le cas d’un site WEB marchand avec possibilité de commander des produits en ligne. Les donnés diffusées peuvent également concerner les salariés de l’entreprise : présentation des ressources humaines de l’entreprise, diffusion d’nformations relatives aux membres de la direction (Par exemple : identité, photographie, fonction, vie professionnelle). Sur un Intranet, on peut trouver notamment les services suivants : • mise en ligne d’nformations concernant l’activité de la société (organigrammes, documents administratifs, techniques, commerciaux, juridiques) • messagerie • forums de discussion • annuaire • gestion des commandes

• résultats commerciaux.

On voit que certains des services fournis sur l’ntranet vont utiliser des données relatives aux salariés de l’entreprise : la messagerie, les forums, l’annuaire, les résultats par commercial par exemple. Un contrôle des accès à l’ntranet va sans doute être mis en place : journal des connexions, gestion des mots de passe. Tous ces services sont mis en place, gérés et exploités par le biais d’applications informatiques.

La loi Informatique et Liberté du 6 janvier 1978 prévoit que tout traitement informatique d’nformations nominatives mis en œuvre par une personne privée doit faire l’objet d’une déclaration préalable avant sa mise en service auprès de la CNIL, Commission nationale de l’nformatique et des libertés.

Une donnée nominative au sens de la loi, c’est toute donnée qui permet l’dentification de la personne, même indirectement. Il n’est pas fait de distinction selon le caractère professionnel ou non des données. Une donnée strictement professionnelle va donc relever du même régime qu’une donnée relative à la vie privée stricto sensu. Cette loi s’applique aux informations nominatives diffusées et collectées sur son site Internet ou son Intranet.  

1.1 Cadre juridique

Rappel des grandes lignes de la réglementation relative aux fichiers informatiques Les données sensibles (origine raciale, opinions politiques, philosophiques ou religieuses, appartenance syndicale) ne peuvent être recueillies en l’absence d’accord express de l’ntéressé, c’est-à-dire d’accord écrit.

La loi pose un principe général de loyauté et indique que la collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite (article 25 de la loi). Les personnes auprès desquelles sont recueillies les données utilisées dans le traitement doivent être informées (article 27 de la loi) : du caractère obligatoire ou facultatif des réponses, des conséquences d’un défaut de réponse, des personnes destinataires des informations, de l’existence d’un droit d’accès et de rectification. Le questionnaire de collecte des données doit comporter un avertissement relatif à ces informations. Si une cession du fichier est envisagée, les personnes auprès desquelles ces informations sont collectées doivent en être informées afin d’être en mesure de s’y opposer. En outre, la loi pose le principe que toute personne a le droit de s’opposer, pour des raisons légitimes, à ce que les informations nominatives la concernant fassent l’objet d’un traitement (article 26). La loi oblige également à prévoir une durée de conservation des données et à préserver la finalité du traitement. Une obligation de sécurité pèse sur la personne responsable du fichier (non divulgation à des tiers non autorisés).  

La déclaration du traitement :

Tout traitement mis en place par les entreprises du secteur privé doit faire l’objet d’une déclaration préalable auprès de la CNIL. Le traitement ne peut en principe être mis en œuvre qu’à réception du récépissé de la CNIL. En pratique, compte tenu des délais de traitement des dossiers, il n’est pas toujours aisé de respecter cette obligation. Pour le secteur public, la mise en oeuvre des traitements est subordonnée à la publication d’un acte réglementaire pris après avis de la CNIL portant création du traitement. La transposition de la directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Directive n°95/46/CE, JOCE n° L 281 du 23 novembre 1995) devrait être l’occasion de simplifier ce régime des déclarations et autorisations préalables, mais en attendant, le dispositif actuel continue de s’appliquer. La CNIL a édité un formulaire type (CERFA n° 9901) de ” déclaration d’un traitement automatisé d’nformations nominatives ” qui doit être rempli en suivant les instructions données dans la notice explicative accompagnant le formulaire.

On peut se procurer ce formulaire auprès de la CNIL : 21, rue Saint Guillaume, 75 340 Paris Cedex 07, tél. : 01 53 73 22 22 et sur son site web : http://www.cnil.fr.

La déclaration doit notamment préciser : la finalité du traitement, le service auprès duquel s’exerce le droit d’accès, les caractéristiques de l’application, les mesures relatives à la sécurité, les catégories d’nformations traitées et leur durée de conservation, les destinataires des informations. Toutes ces obligations sont sévèrement sanctionnées en cas de non respect (peines d’emprisonnement prévues allant jusqu’à 5 ans), mais en pratique, la CNIL est favorable aux régularisations et transmet rarement un dossier aux tribunaux. Enfin, la déclaration du fichier n’exonère pas la personne de la responsabilité de respecter les dispositions de la loi.

Diffusion de photographies

Sur le fondement de l’article 9 du Code civil, la jurisprudence a consacré un droit à l’mage : toute personne peut sur le fondement du droit au respect de la vie privée s’opposer à la diffusion sans son autorisation expresse, de son image, considérée comme un attribut de sa personnalité. Si une personne a consenti à une utilisation déterminée de son image, l’autorisation donnée ne couvrira pas nécessairement les modes de publication non prévus dans l’autorisation.  

1.2 Applications : les droits des salariés au regard de la diffusion des données les concernant sur Internet ou sur un Intranet

Site Web :

Le site Internet de l’entreprise, s’l utilise des données nominatives doit faire l’objet d’une déclaration. La CNIL considère que la diffusion de données nominatives sur Internet comporte des risques inhérents à la structure de ce réseau, tels que leur capture, leur falsification et le détournement de leur finalité car les données diffusées peuvent être récupérées sans que l’on puisse contrôler l’utilisation qui sera faite de ces données par des tiers. Par exemple : capture d’une photographie qui est ensuite déformée et reproduite sur un autre site Web (Il ne s’agit pas d’une hypothèse d’école). Elle recommande donc que les personnes soient informées, avant mise sur le site des informations les concernant, des risques inhérents à la diffusion d’nformations au moyen du média Internet ainsi que de leur droit de s’opposer à tout moment à la diffusion des informations qui les concernent sans avoir à en indiquer le motif. Si le site comporte la diffusion de données relatives à l’dentité de personnes physiques, salariées ou non de la société, ces personnes doivent être informées de leurs droits : droit d’accès si l’accès à Internet n’est pas offert à tous les salariés, de rectification et d’opposition : droit à ce que les données soient supprimées pour motif légitime, service auprès duquel s’exerce ce droit. Pour la diffusion de photographies, il faut l’autorisation des intéressés. Cette information des salariés peut se faire sous forme d’une note d’nformation générale qui sera diffusée à toutes les personnes concernées. La CNIL a élaboré un exemple de note d’nformation préalable.

Dès lors que les informations sont mises en ligne sur Internet, la CNIL considère qu’l y a transmission d’nformations entre le territoire français et l’étranger. Une annexe doit compléter la rubrique correspondante du formulaire (annexe 10). On devra indiquer par exemple : ” Compte tenu du fait que le traitement objet de la déclaration concerne un site Web sur Internet, il peut y avoir transmission d’nformation entre le territoire français et l’étranger. Ceci est inhérent au moyen de communication utilisé. “.

Annuaires

En 1995, la CNIL s’est prononcée sur la diffusion d’annuaires professionnels de chercheurs (Institut Physique du Globe de Paris, Institut de Physique Nucléaire de Paris, Délibérations du 7 novembre 1995). Elle a posé des conditions strictes à la mise en ligne des données figurant sur les annuaires, alors même qu’l s’agissait de données d’ordre strictement professionnel. En effet, la CNIL a demandé : • qu’un questionnaire soit distribué aux personnes concernées et que leur accord soit recueilli, avant que les données les concernant soient sur Internet • qu’avant de pouvoir accéder aux informations nominatives contenues dans les annuaires , toute personne se connectant au serveur puisse prendre connaissance d’un texte rappelant les droits et garanties offerts par la loi du 6 janvier 1978 et les normes juridiques européennes en en matière de protection des données personnelles • que l’nterdiction de capture des informations à des fins d’enrichissement de bases de données commerciales ou publicitaires soit mentionné. Dans une délibération n°96-065 en date du 9 juillet 1996, portant avis concernant un modèle de création sur Internet d’un site destiné à abriter les annuaires des personnels du CNRS, les mêmes exigences ont été reprises. En réalité, certaines de ces exigences vont au-delà de la lettre de la loi et même si la CNIL indique que sa doctrine reste la même, elle a été en réalité assouplie. En effet, il n’est plus exigé que l’accord express des personnes référencées dans l’annuaire soit recueilli.

Dans une délibération du 8 juillet 1997 portant recommandation relative aux annuaires en matière de télécommunications, concernant notamment la diffusion d’annuaires sur un réseau international ouvert, après avoir rappelé que ” la diffusion sur un réseau international ouvert tel Internet de listes d’abonnés ou d’utilisateurs des réseaux ou services de télécommunications, doit être soumise à la CNIL ” la CNIL recommande :

que les abonnés soient clairement et préalablement informés par les éditeurs d’annuaires sur Internet des risques inhérents à la diffusion sur un réseau international ouvert des données les concernant “. L’nformation préalable des intéressés doit donc être assurée, mais il n’apparaît pas nécessaire de recueillir leur accord préalable express. Quand aux mentions concernant la loi de 1978 et à l’nterdiction de capture, il s’agit d’une exigence de la CNIL qui va au-delà de la lettre de la loi, mais qui n’est nullement imposée par les textes. La CNIL a édité un formulaire spécialement adapté à la déclaration d’annuaires sur Internet. En résumé, quelles sont les règles à respecter concernant la mise en ligne d’annuaire ? • déclarer l’annuaire à la CNIL • si les données diffusées sont déjà en possession de la société, informer les personnes concernées par une note qui leur rappelle à quelles fins vont être utilisées les données ainsi que leur droit d’accès, de rectification et d’opposition. • si les données destinées à être diffusées doivent être collectées, envoyer un questionnaire à remplir par l’ntéressé, en indiquant les mentions facultatives, les conséquences d’un défaut de réponse (exemple : l’mpossibilité de traitement), les personnes destinataires (exemple : tous les internautes) et en rappelant le droit d’accès, de rectification et d’opposition.

Intranet

Les différents services offerts par l’ntranet qui incluent le traitement de données personnelles devront être mentionnés dans la déclaration. Pour chaque service (messagerie, forum, annuaire etc.…), il faudra détailler dans chaque annexe la finalité du traitement, les mesures concernant le droit d’accès et de rectification, la liste des catégories d’nformation traitées, les destinataires des informations, la durée de conservation. C’est au regard de la finalité qu’est appréciée la pertinence des informations enregistrées. L’annexe 13 concerne les mesures prises pour assurer la sécurité du traitement. On indiquera par exemple les mesures d’authentification s’agissant d’un Intranet dont l’accès est réservé (contrôle de l’accès), l’existence d’un firewall, de bases de données cryptées, les sauvegardes effectuées et leur durée de conservation. Du point de vue juridique, la spécificité d’un Intranet tient aux possibilités de contrôle de l’activité des salariés qu’l implique. Par exemple, le service informatique qui gère le système a accès potentiellement à toutes les données se trouvant sur l’ntranet, y compris la messagerie, cela est inhérent à la technique informatique. Statistiques d’utilisation, sauvegarde de tous les messages émis et reçus, authentification des salariés sur l’ntranet, journal des connexions pour détecter les intrusions non autorisées, toutes ces mesures devront être mentionnées dans la déclaration. En outre, les mesures de contrôles prises doivent respecter les principes posés par la législation du travail.

II. LA SURVEILLANCE DES SALARIES

  Il existe des règles qui s’mposent à l’employeur qui veut mettre en place des procédés de contrôle de ses salariés comme la vidéosurveillance, les écoutes téléphoniques. Ce sont les mêmes principes qui s’appliquent en matière de contrôle des salariés dans le cadre d’un Intranet.  

2.1 La légalité des moyens de contrôle de l’activité des salariés

Deux principes s’opposent et doivent être mis en balance : d’un côté l’employeur est en droit de contrôler la bonne exécution de leur travail par ses salariés. D’un autre côté, le salarié a droit au respect de sa vie privée même dans le cadre de son contrat de travail. Le contrôle de l’employeur doit s’opérer sans porter atteinte à la vie privée de ses salariés. Trois conditions sont nécessaires :

L’nformation préalable des salariés

Une obligation constante se dégage de la jurisprudence : l’nformation préalable des salariés. L’nstallation d’un système de contrôle doit être porté à la connaissance du personnel de telle sorte qu’l ne puisse pas ignorer les contrôles dont il peut faire l’objet. Si un enregistrement a été réalisé à l’nsu du salarié, il ne peut pas être utilisé contre lui. Ainsi, un arrêt de la Chambre sociale de la Cour de cassation a refusé d’admettre comme mode de preuve l’enregistrement effectué par une caméra dissimulée à proximité de la caisse d’une vendeuse d’un magasin révélant que la salariée avait dérobée de l’argent (Soc. 20 novembre 1991). Dans un arrêt en date du 22 mai 1995, la Cour de cassation a adopté la position de principe suivante :

..si l’employeur a le droit de contrôler et surveiller l’activité de son personnel durant le temps de travail, il ne peut mettre en œuvre un dispositif de contrôle qui n’a pas été porté préalablement à la connaissance des salariés “.

Cette jurisprudence consacre un principe posé par l’article L 121-8 du Code du travail :

Aucune information concernant personnellement un salarié ou un candidat à l’emploi ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié ou du candidat à un emploi.

L’information des organes représentatifs

Selon l’article 432-2-1 du Code du travail, :

Le comité d’entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés.

L’employeur doit veiller à ce que les moyens de contrôle n’entravent pas l’exercice des fonctions de délégué du personnel ou syndical.

La justification du contrôle

Le dispositif de contrôle doit être justifié par un intérêt légitime. Ce principe est consacré par l’article 120-2 du Code du travail :

Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché “.

Par exemple, l’usage de la vidéosurveillance sur le lieu et pendant le temps de travail est admis, à condition que le recours au système soit justifié par un intérêt légitime, comme prévenir la fraude ou assurer la sécurité des salariés. Mais la vidéosurveillance ne peut pas avoir pour seul but de contrôler l’activité professionnelle des salariés. Pour la CNIL, les données collectées en vue de la mise en œuvre de mesures techniques ou d’organisation visant à garantir la sécurité et le bon fonctionnement des systèmes d’nformation automatisés ne peuvent servir à contrôler le comportement des employés. L’dée générale est que l’employeur est fondé à prendre des mesures nécessaires au fonctionnement de l’entreprise, mais sans porter atteinte à la vie privée de ses salariés. Dans le cadre d’un Intranet, les outils de surveillance peuvent être justifiés par des motifs de sécurité, pour assurer la gestion d’un outil mis à leur disposition par l’employeur. Cette information des salariés sur les dispositifs de contrôle mis en place dans le cadre de l’ntranet peut se faire par le biais d’une charte sur laquelle on pourra consulter les organes représentatifs du personnel. Cette charte qui servira également à informer les salariés des mesures concernant leur droit d’accès et de rectification, devra être jointe au dossier de déclaration à la CNIL.  

2.2 Les limites de l’utilisation des nouvelles technologies pour contrôler l’activité des salariés.

Même dans l’hypothèse où toutes les règles examinées ont été respectées, l’utilisation des preuves obtenues par la mise en place des dispositifs de à des fins de sanction doit être maniée avec prudence. En effet, les données obtenues peuvent être manipulées, modifiées, effacées, volontairement ou accidentellement. La jurisprudence en matière sociale semble donc refuser la recevabilité de la preuve numérique. En témoignent deux affaires : Un arrêt du 4 janvier 1994 de la Cour d’appel d’Aix a refusé de considérer qu’un film vidéo constituait un élément de preuve admissible permettant de démontrer la réalité des fautes invoquées à l’appui d’un licenciement. La Cour a considéré que compte tenu des possibilités de montage et de trucage qu’offre l’évolution des techniques, le document fourni ne présentait pas des garanties suffisantes d’authenticité, d’mpartialité et de sincérité concernant tant sa date que son contenu, pour qu’l puisse être considéré comme probant. Peu importe que l’enregistrement ait été réalisé au su des salariés. Cette décision doit être rapprochée d’une décision en date du 14 mai 1996 de la Cour d’appel de Rouen. Dans cette affaire, après avoir obtenu du salarié le code d’accès personnel à son ordinateur, l’employeur avait fait établir, plus de 24 heures après , en l’absence dudit salarié, un procès-verbal de constat qui avait révélé qu’étaient intégrés sur une disquette , trois logiciels étrangers à l’activité de la société. La Cour a considéré que cette preuve n’était pas recevable en raison des larges possibilités de manipulation du matériel. Indépendamment de la mise en place d’un Intranet, une entreprise peut offrir à ses salariés un accès à Internet.

III. VOS SALARIES SUR INTERNET

  Le salarié, comme tout internaute, va pouvoir utiliser les différents services que l’on trouve sur Internet : courrier électronique, participation à des forums publics, consultation de sites web. Des logiciels permettent aux employeurs de surveiller ce que font leurs salariés pendant qu’ls sont connectés : les sites Web visités, le temps passé, le type de fichiers téléchargés. Si de tels procédés de contrôles de l’activité en ligne sont mis en place, que l’entreprise bénéficie ou non d’un Intranet, ils doivent être déclarés à la CNIL, être justifiés, et donner lieu aux procédures d’nformation préalable examinées ci-dessus. Parmi les procédés qui font l’objet d’une surveillance, le courrier électronique occupe une place de choix. Il faut dire que les systèmes informatiques rendent particulièrement aisée la surveillance des courriers électroniques : certains systèmes sont programmés afin de conserver automatiquement une copie de tous les messages reçus ou envoyés, d’autres conservent la copie des courriers dans leurs disques durs, même si l’utilisateur croit les avoir effacés. Avec une procédure dite de “back-up”, il est possible de récupérer les courriers se trouvant stockés sur le disque dur. J’examinerai plus particulièrement la question du contrôle du courrier électronique, le moyen le plus utilisé pour échanger des correspondances sur l’nternet.  

3.1 Le contrôle des courriers électroniques des salariés

L’employeur peut-il surveiller les courriers électroniques de ses salariés ? Il faut distinguer deux hypothèses.

• L‘entreprise n’a pas de politique de contrôle spécifique.

t-elle intercepter les courriers électroniques de ses salariés ? Le salarié qui utilise Internet peut être amené à utiliser les moyens de communication privée offerts et notamment le courrier électronique à des fins personnelles, de la même manière que le téléphone n’est généralement pas exclusivement consacré aux conversations d’ordre professionnel. Certes le salarié qui reçoit des lettres à caractère professionnel ne peut pas opposer le secret des correspondances à son employeur (Crim. 16 janvier 1992) mais le seul fait qu’une correspondance de nature privée soit adressée à un salarié sur son lieu de travail n’autorise pas l’employeur à la soustraire ou à la retenir de façon indue. Un parallèle doit être fait avec le téléphone. Concernant l’usage du téléphone, l’écoute et l’enregistrement des conversations téléphoniques des salariés constitue une atteinte à la vie privée, une infraction passible d’un an d’emprisonnement et de 300 000 francs d’amende, prévue par l’article 226-1 du Code pénal qui réprime :

Le fait, au moyen d’un procédé quelconque, volontairement de porter atteinte à l’ntimité de la vie privée d’autrui :
1° En captant, enregistrant ou transmettant sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel;

2° En fixant enregistrant ou transmettant sans le consentement de celle-ci, l’mage d’une personne se trouvant dans un lieu privé “. Il a par exemple été jugé que commet le délit d’atteinte à la vie privé la personne qui enregistre des communications téléphoniques d’ordre personnel, données du bureau d’une entreprise, dès lors qu’elle n’gnore pas que lesdites communications ont par nature un caractère intime. (Crim. 8 décembre 1983). Ceci même si le salarié est avisé à l’avance que ses communications téléphoniques sont susceptibles d’être écoutées. Un arrêt récent de la Cour d’appel de Paris en date du 7 mai 1997 a condamné pour atteinte à la vie privée par captation de paroles d’une personne sans son consentement, un employeur qui avait mis en place un dispositif d’nterception des communications téléphoniques. Les salariés n’avaient pas été informés du dispositif mis en place. En outre, la décision relève qu’l n’était pas possible de distinguer, sauf précisément en les captant, les communications relevant exclusivement de la sphère privée. L’article 226-1 vise les paroles et ne s’applique donc pas au courrier électronique. Mais la loi du 10 juillet 1991 pose le principe du secret des correspondances émises par la voie des télécommunications et ce principe s’applique au courrier électronique. Le contrôle réalisé par l’employeur constituerait donc le délit d’atteinte au secret des correspondances prévu par l’article 226-15 du Code pénal :

Le fait commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 300 000 francs d’amende.

Est puni des mêmes peines le fait commis de mauvaise foi, d’ntercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’nstallation d’appareils conçus pour réaliser de telles interceptions.

“D’un autre côté, si la boîte aux lettres électronique est fournie par l’entreprise, on pourrait considérer le courrier électronique comme une correspondance professionnelle, au même titre que la télécopie et le courrier courant reçu dans l’entreprise par le salarié et donc librement utilisable à ce titre. Si le courrier électronique permet d’effectuer des échanges personnels comme avec le téléphone, il existe une différence fondamentale : toutes les données échangées peuvent faire l’objet de mesures de sauvegardes, une trace des courriers électroniques va être conservée dans la mémoire des ordinateurs, même en l’absence de politique de contrôle du contenu des courriers mis en place par l’entreprise. Le jour où un problème va se poser avec un salarié, l’entreprise va être tentée de consulter les courriers électroniques archivés. Un autre problème est qu’un tel système enregistre également le courrier que le salarié émet ou reçoit sur sa boîte aux lettres personnelle dès lors qu’l utilise un ordinateur de l’entreprise pour se connecter. Se pose également la question du respect de la confidentialité des échanges concernant les représentants du personnel. Afin d’éviter les contestations sur la nature privée ou professionnelle des courriers électroniques, il paraît prudent de respecter le principe d’nformation préalable des salariés et donc de les avertir que les courriers électroniques sont réservés à un usage professionnel exclusif, que le secret des correspondances par courrier électronique n’est pas garanti vis à vis de l’entreprise. Le salarié dûment averti pourrait plus difficilement invoquer une atteinte à son intimité, ou au secret de ses correspondances personnelles. A l’heure où l’usage du courrier électronique dans l’entreprise n’est pas encore une pratique courante, il est difficile de dégager des solutions qui dépendent à la fois du développement de cet usage et de la perception qu’en auront les utilisateurs.

Mise en place d’une politique de contrôle spécifique

Il est possible de programmer le serveur de la messagerie afin de conserver une copie de tous les messages émis et reçus. Les techniques informatiques permettent d’archiver un grand nombre d’nformations, et de faire des recherches par mot-clé, date ou nom. Notamment, l’enregistrement et le stockage peut être justifié pour des raisons de preuve. L’activité de l’entreprise, des motifs de sécurité peuvent également justifier un contrôle plus étroit. Il est possible de transférer des documents textes, des programmes, des images par la messagerie électronique. Un salarié malveillant pourrait être tenté de divulguer des secrets d’entreprise par ce procédé. Outre le fait qu’un tel système devrait faire l’objet d’une déclaration à la CNIL, d’une information des salariés et du comité d’entreprise le cas échéant, sa mise en place devrait être justifiée par un intérêt légitime et non dans le seul but de contrôler l’activité professionnelle des salariés. Enfin, des mesures particulières doivent être prises afin que l’exercice des droits et libertés des représentants du personnel ne soit pas entravé.  

3.2 Les communications publiques des salariés

Sur Internet, on peut communiquer de manière privée, grâce au courrier électronique, et également de manière publique en participant à des forums de discussion ou des listes de diffusion publiques. Les forums de discussion sont des bases de données de messages organisées par centre d’ntérêt. Les messages postés dans un forum sont accessibles librement par toute personne choisissant de lire ledit message. Les listes de diffusion permettent à un groupe de personnes de discuter par courrier électronique par thèmes d’affinités. La différence avec les forums tient à ce qu’l est nécessaire de s’abonner préalablement à la liste pour recevoir les messages échangés. Mais si la liste est ouverte, toute personne disposant d’un accès à Internet peut s’abonner à ces listes.

Qu’est ce qui distingue une communication privée d’une communication publique ?

Il y a communication publique à partir du moment où un message peut être lu par un nombre indéterminé de personnes. Inversement, il y a correspondance privée lorsque le message est réservé exclusivement à une ou plusieurs personnes , physique ou morale, déterminée ou individualisée. Il y a communication publique lorsque le message est destiné indifféremment au public ou à des catégories de public, sans que son contenu soit fonction de considérations fondées sur la personne. La frontière entre les deux est parfois délicate à établir. La notion de publicité est présente dans la loi du 29 juillet 1881 sur la liberté de la presse qui prévoit un certain nombre de délits relatifs à la protection de l’ntégrité et de la dignité humaine : provocation aux crimes et délits, apologie de certains crimes, provocation à la haine raciale, diffamation etc.. Ces délits requièrent l’existence d’une certaine publicité. Cependant, la diffamation et l’njure non publiques constituent des contraventions de 1ère classe (250 francs d’amende). L’article 23 de la loi de 1881 vise les lieux ou réunions publics. Dans le cadre de cette loi, la notion de réunion publique relève d’une acceptation large dont la jurisprudence détermine les critères de façon assez aléatoire. Tout dépend du nombre de participants, des conditions d’admission, de la nature des relations existant entre les participants. Ex. : sont des réunions privées : une assemblée d’actionnaires, la réunion d’un comité d’entreprise, d’une assemblée syndicale. La jurisprudence utilise également la notion de communauté d’ntérêts pour considérer qu’un groupe de personnes ne constitue pas un public au sens de l’article 23. Ainsi, ne constituent pas un public au sens de l’article 23 : le personnel d’une entreprise, les membres de la police nationale ou les membres d’une association. Ainsi les messageries électroniques reliant des personnes d’une même entreprise ne seraient pas publiques et un Intranet ne relèverait pas de la loi sur l’audiovisuel.

Le droit d’expression du salarié

Le salarié bénéficie d’un droit d’expression qui lui est garanti par l’article L 461-1 du Code du travail :

Dans les entreprises…, les salariés bénéficient d’un droit à l’expression directe et collective sur le contenu, les conditions d’exercice et l’organisation de leur travail. Cette expression a pour objet de définir les actions à mettre en œuvre pour améliorer leurs conditions de travail, l’organisation de l’activité et de la qualité de la production dans l’unité de travail à laquelle ils appartiennent et dans l’entreprise.

Les opinions que les salariés, quelle que soit leur place dans la hiérarchie professionnelle, émettent dans l’exercice du droit d’expression ne peuvent motiver une sanction ou un licenciement.

L’article L 461-2 précise que ” le droit institué à l’article L 461-1 s’exerce sur les lieux et pendant le temps de travail.

Le salarié peut-il exercer ce droit sur les forums de l’ntranet ? Les propos tenus dans de tels forums doivent-ils être considérés comme tenus dans l’entreprise ? A partir du moment où l’ntranet peut être considéré comme un outil de communication au sein de l’entreprise, la réponse de principe est positive. Le salarié va-t-il bénéficier de ce droit d’expression s’l s’exprime sur Internet ? Si le salarié s’exprime sur Internet, on peut considérer dans ce cas qu’l s’exprime à l’extérieur de l’entreprise, même si l’accès à Internet lui est offert par son employeur. En réalité la distinction a peu d’mportance dans la mesure où la jurisprudence considère que le droit d’expression du salarié peut s’exercer en dehors de l’entreprise, où ce droit s’exerce dans toute sa plénitude, dès lors qu’l ne donne pas lieu à abus. Hormis le cas d’abus, le droit d’expression du salarié peut être limité s’l est tenu de par la nature de ses fonctions ou par son contrat de travail à une obligation de discrétion ou de respect du secret professionnel. Enfin, ce droit d’expression du salarié est limité par les lois encadrant la liberté d’expression. Le salarié peut également être amené à participer à des forums ou listes de discussion publique en rapport avec l’activité de la société.

Dans quelle mesure les propos tenus sur un forum peuvent-ils engager la responsabilité de la société ?

Par exemple, le salarié pourrait être amené à critiquer les produits de la concurrence. Si les propos tenus par le salarié sont diffamatoires, dénigrants, engage-t-il la responsabilité de son employeur ? Les lois sur la presse et l’audiovisuel prévoient une responsabilité en cascade pour certaines infractions, dont la diffamation. Sont responsables le directeur de la publication, à défaut l’auteur, à défaut le producteur en matière d’audiovisuel. Cependant, dans notre hypothèse, à mon avis, l’employeur n’est assimilable ni à un éditeur, ni à un directeur de la publication, ni à un producteur puisque son rôle est limité à la fourniture d’une boîte aux lettre à son employé. Ce serait donc au regard du droit commun que sa responsabilité devrait être appréciée : le commettant est responsable du dommage causé par ses préposés dans les fonctions auxquelles ils les ont employés (article 1384 alinéa 5 du Code civil). Selon la jurisprudence, les dispositions de cet article ne s’appliquent pas en cas de dommage causé par le préposé, qui agissant sans autorisation à des fins étrangères à ses attributions quels qu’en fussent ses mobiles, s’est placé hors des fonctions auxquelles il était employé. Jusqu’à présent, ces principes ont été appliqués pour des infractions du type détournement de fonds, vols, abus de confiance.

Quelles précautions prendre ?

En fonction de sa politique interne, une entreprise accordera plus ou moins d’autonomie à ses salariés. Elle peut tolérer un usage personnel de l’nternet à titre accessoire, dans la mesure où cela n’affecte pas le travail de ses salariés, ou au contraire en restreindre l’usage à des fins exclusivement professionnelles. Mettre en place des contrôles étroits des activités en ligne peut s’avérer contre-productif : création d’un climat de suspicion dans l’entreprise, temps perdu à collecter et analyser les données recueillies. Au fur et à mesure que les services offerts sur Internet vont se diversifier et s’enrichir, les politiques d’accès restreint à Internet vont freiner l’utilisation optimale des ressources offertes. Internet est très utile comme outil de veille. Cette veille peut passer par l’abonnement ou la consultation régulière de listes et forums publics. Si les salariés suivent ces forums dans le cadre de leur activité professionnelle, ils seront sans doute amenés un jour à s’y exprimer d’une manière ou d’une autre. Il n’y a pas de certitude d’absence de risques, mais les chances d’être assigné en raison de propos tenus par un employé sur une messagerie publique sont heureusement limitées. Il faut donc apprécier les risques réellement encourus. En revanche, il peut s’avérer utile pour attirer l’attention de chacun sur ses responsabilités de rédiger une charte d’utilisation de l’nternet. Cette charte résumera les droits et obligations des salariés, attirera l’attention sur leur responsabilités. Cette charte peut être l’occasion de rappeler les principales règles applicables en matière de diffamation, respect de la vie privée, droits de propriété intellectuelle. On pourra aussi y inclure des règles relatives à la sécurité : par exemple, ne pas utiliser le courrier électronique pour adresser des informations confidentielles, ne pas télécharger de logiciels directement etc.…  

3.3 L’établissement de profils

Un dernier point concernant l’utilisation des données personnelles relatives aux salariés mérite d’être examiné. Sur Internet, il est possible de recueillir des données nominatives qui circulent sur le réseau. Par exemple, certains serveurs indexent toutes les informations qui figurent sur les forums de discussion, sur lesquels il est possible d’effectuer des recherches nominatives et d’accéder ensuite à tous les messages qui ont pu être postés par une personne, quelle que soit la nature du message. Certaines listes de diffusion possèdent des archives qui sont mises en ligne sur le web. Utiliser ces archives pour établir des profils de ses salariés est-il licite ? Je rappellerai simplement le principe posé par l’article L 121-8 du Code du travail :

Aucune information concernant personnellement un salarié ou un candidat à l’emploi ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié ou du candidat à un emploi.

En outre l’établissement de tels profils constituerait certainement une violation de l’article 25 de la loi de 1978 qui pose le principe : ” la collecte de données opérées par tout moyen frauduleux, déloyal ou illicite est interdite “.

Il a par exemple été jugé que la collecte d’nformations réalisée à l’nsu des intéressés constituait une manœuvre déloyale dans la mesure où la personne concernée n’avait pas eu la possibilité de faire jouer son droit d’opposition à la collecte.

Conclusion

L’nternet est un nouvel outil. Quelle que soit l’utilisation faite par l’entreprise des nouvelles technologies, les principes fondamentaux posés par le droit du travail, la loi sur la protection des données personnelles et la loi relative au secret des correspondances doivent être respectés.

Catégories
Non classé

Actualités

Mai 2006

Marque reproduite sur un site internet étranger et compétence territoriale : vers un revirement de jurisprudence ?

Selon une jurisprudence classique et bien établie, confirmée notamment par un arrêt de la Cour de cassation du 9 décembre 2003 (http://www.juriscom.net/jpt/visu.php?ID=411), les juridictions françaises sont compétentes pour statuer sur une contrefaçon de marque reproduite sur un site passif. Sur le fond, la distinction entre site passif et site actif reprend tout son intérêt : le demandeur doit démontrer que le site vise un public français s’il veut obtenir gain de cause dans son action en contrefaçon (aff. Hugo Boss, Cass. com. 11 janvier 2005 http://www.juriscom.net/jpt/visu.php?ID=652).

Le débat, qui semblait réglé, vient d’être relancé par un récent arrêt du 26 avril 2006 de la Cour d’appel de Paris.

Dans cette affaire, il était reproché par une société française NORMALU à une société libanaise, la société ACET, d’avoir imité sur son site internet sa marque “Ceilings that S-T-R-TE-C-H your imagination”.

La société ACET soulève l’incompétence des tribunaux français au profit des tribunaux libanais, exception qui est rejeté en première instance (TGI Paris 7 janvier 2005) dans une motivation conforme à la jurisprudence de la Cour de cassation :

“lorsqu’une infraction aux droits de propriété industrielle a été commise par une diffusion sur le réseau Internet, le fait dommageable se produit en tous lieux où les informations litigieuses ont été mises à la disposition des utilisateurs éventuels du site.”

Sur le fond, l’action en contrefaçon est rejetée, au motif qu’aucun acte de contrefaçon n’avait été réalisé sur le territoire français. La société NORMALU interjette appel de la décision, et la société ACET reprend devant la Cour son exception d’incompétence, à laquelle la Cour fera droit.

La Cour relève en premier lieu que “sauf à vouloir conférer systématiquement, dès lors que les faits ou actes incriminés ont eu pour support technique le réseau internet, une compétence territoriale aux juridictions françaises, il convient de rechercher et de caractériser, dans chaque cas particulier, un lien suffisant, substantiel ou significatif, entre ces faits ou actes et le dommage allégué.”

En second lieu, la Cour relève que : “en l’espèce, force est de constater que le site www.barrilux.com exploité par la société ACET qui est rédigé en langue anglaise, n’offre aux consommateurs français aucun produit à la vente, circonstance, au demeurant non contestée par les appelants qui, par ailleurs, n’allèguent pas que les produits ou services proposés sur ce site aient été effectivement vendus ou exploités en France.”

Et la Cour conclut :

“Considérant que la seule reproduction partielle de la marque litigieuse ne saurait caractériser, de ce seul fait, un lien suffisant, substantiel ou significatif, avec le préjudice allégué de nature à permettre au tribunal de grande instance de Paris de retenir sa compétence territoriale.”

Les juges de la Cour d’appel ont été sensibles à certaines critiques selon lesquelles les principes fondamentaux du droit international privé ne sont pas respectés par la jurisprudence française en matière de compétence territoriale. Ces auteurs réclamaient la caractérisation d’un lien suffisant entre le litige et l’ordre juridictionnel français. Ils ont enfin été entendus.

Cet arrêt marque un revirement avec la jurisprudence précitée du 9 décembre 2003. Pour la Cour d’appel, le préjudice subi en France doit être caractérisé dès le stade de la “recevabilité” de l’action, et pas seulement sur le fond.

Valérie Sédallian Avocat au barreau de Paris

Catégories
Non classé

Avocat spécialisé en droit de l’informatique

Activités du cabinet d’avocat de Valérie Sedallian

Nos domaines d’intervention couvrent l’ensemble des branches juridiques impactant votre technologie et la protection de vos actifs immatériels : droit de l’informatique, des réseaux et des nouvelles technologies.
Nous sommes là pour vous assister aussi bien dans le cadre de litiges :

  • Procédure civile devant le tribunal de commerce et le tribunal de grande instance : assignation, référé, procédure d’appel.
  • Procédure pénale.
  • Arbitrage.
  • Transaction, médiation.

Qu’en matière de conseil :

  • Rédaction et négociation d’achat et vente de licences de logiciels et prestations informatiques, contrats de distribution et d’agents, accords de partenariat, de confidentialité, d’infogérance, de prestations intellectuelles, de développement spécifique, de co-marketing, …
  • Audits, consultations : concurrence, droit des affaires, règlementation communautaire, marques, droits d’auteur, données personnelles …
  • Formations et conférences relatives à la sensibilisation aux risques juridiques en entreprise. Rédaction de procédures et de politiques juridiques.

Nos capacités d’écoute et d’aptabilité nous permettent d’apporter des solutions pragmatiques à une clientèle des plus diversifiées : institutionnels, grands comptes, PME, particuliers.

Quelques-unes de nos références :

  • Commission européenne : Nomination en qualité d’experte internationale auprès de la Commission européenne dans le cadre du projet Ecomleb relatif à l’élaboration d’un cadre législatif complet pour le commerce électronique au Liban (septembre 2004 – mai 2005).
  • Opérateur télécom : étude relative à la stratégie de partage et de gestion des données personnelles utilisateurs (fixe, mobile et internet).
  • Projet inter-ministériel : préparation de dossiers de demande d’avis ayant abouti à un avis favorable de la CNIL.
  • Groupes industriels internationaux : consultations sur la loi Informatique et Libertés et les transferts internationaux de fichiers informatiques.
  • PME et données personnelles : déclarations de traitements auprès de la CNIL, audits de traitements de données à caractère personnel, rédaction de chartes d’usage des outils informatiques : industrie, agro-alimentaire, informatique.
  • Négociation et rédaction de contrats pour des entreprises du secteur informatique et internet : développement, prestations informatiques, licence de logiciel, maintenance, sous-traitance, hébergement, accès à internet, distribution, confidentialité, commerce électronique, gestion des noms de domaine etc.
  • Audit et consultation relative au site de commerce électronique d’une grande enseigne de la distribution.
  • Audit de contrats relatifs à des échanges électroniques sécurisés pour un organisme d’assurance maladie.
  • Rédaction d’une étude sur l’archivage électronique légal pour la filiale française d’un éditeur américain de solutions d’archivage.
  • Consultation sur les logiciels libres pour un projet relatif à la mutualisation de composants logiciels.
  • Contentieux relatifs à la responsabilité des prestataires internet pour des fournisseurs d’accès et d’hébergement.
  • Litiges en matière de marques, noms de domaine, droit d’auteur, concurrence déloyale, fraude informatique, droit commercial.
  • Veille juridique : correspondant pour la France de la société Cullen International qui offre des prestations de veille règlementaire européenne sur le commerce électronique et le multimédia.

Le traitement des dossiers prend en compte l’analyse des risques juridiques et financiers et les prestations sont adaptées aux besoins concrets des clients. Une convention d’intervention et d’honoraires est proposée afin de fixer l’étendue de la mission confiée, les modalités de traitement du dossier et le montant des honoraires.

Biographie

Publications

Le contrat d’achat informatique, Aspects juridiques et pratiques, ouvrage co-rédigé avec Jérôme Dupré, publié aux éditions Vuibert, 2005.

Droit de l’Internet , ouvrage publié aux éditions Net Press, 1997, ISBN 2-9510901-0-2.

Légiférer sur la sécurité informatique : la quadrature du cercle ? Juriscom.net et Cahiers Lamy ” Droit de l’Informatique”, Décembre 2003.

La sécurisation des échanges électroniques, étude réalisée pour les éditions Eurostaf, Mars 2003.

La directive européenne “Vie privée et communication électroniques”, Legipresse, Janvier-Février 2003, p.12. Responsabilité de l’employeur fournisseur d’accès à l’Internet, LEGICOM, n° 27, 2002/2, page 47.

Garanties et responsabilités dans les logiciels libres , Juriscom.net Septembre 2002 et Cahiers Lamy “Droit de l’Informatique”, Novembre 2002.

L’archivage de l’acte électronique , Cahiers Lamy Droit de l’informatique et des Réseaux, Juillet 2002.

Les engagements des prestataires informatiques , Juriscom.net et Cahiers du Lamy Droit de l’Informatique et des Réseaux, Octobre 2001.

Commentaires de l’affaire Yahoo ! :

• A propos de l’ordonnance du Tribunal de Grande Instance de Paris du 22 mai 2000 , Juriscom.net et Cahiers Lamy du Droit de l’Informatique et des Réseaux, novembre 2000.

• Commentaire de l’ordonnance de référé du Tribunal de Grande Instance de Paris du 20 novembre 2000 , Juriscom.net et Cahiers Lamy du Droit de l’Informatique et des Réseaux, décembre 2000.

A propos de la responsabilité des outils de recherche , Cahiers Lamy du Droit de l’informatique et des réseaux, mai 2000.

Internet et l’évolution de la pratique profesionnelle, l’expérience d’un avocat , contribution à l’ouvrage collectif, Droit et Intelligence artificielle, sous la direction de Danièle Bourcier, Patricia Hassett, Christophe Roquilly, édtions Romillat, 2000.

Les droits des salariés au regard du traitement et de la diffusion de données les concernant sur un intranet, JCP E, 1999 n° 49 p. 1952.

La responsabilité des prestataires techniques sur Internet dans le Digital Millenium Copyright Act américain et le projet de directive européen sur le commerce électronique , Cahiers Lamy du Droit de l’Informatique et des Réseaux, janvier 1999.

Les problèmes posés par la législation française en matière de chiffrement, Revue Droit de l’informatique et des télécoms, 1998/4 p. 23.

La responsabilité des fournisseurs d’accès à Internet, Bulletin de la Compagnie Nationale des Experts Judiciaires en Informatique et Techniques Associées, mai 1997.

Conférences

Valérie Sédallian participe régulièrement à des conférences sur le droit des nouvelles technologies. On citera par exemple :

Les responsabilités des prestataires techniques en droit français, Université de Montréal, Séminaire sur les lois de la société numérique, Montréal, 7 octobre 2004.

Les licences de logiciels libres, CEJEM-ADIM, Centre Panthéon, 13 Mars 2003.

Séminaire Droit et Toile, organisé par l’UNITAR, l’Institut des Nations Unies pour la Formation et la Recherche, pour des juristes et acteurs locaux des NTIC, Ouagadougou, Burkina Fasso, 13-17 janvier 2003.

Archivage électronique, Aspects juridiques, 19ème Congrès IDT/Net , Session relative à la pérennisation de l’information numérique, Paris, 4-6 juin 2002.

Internet et droit d’auteur, Autour du libre 2002 , INT Evry, 29-31 mai 2002.

Offres de services en ligne pour les professionnels de l’information : les clauses importantes, Rencontres de l’ ADBS relatives  aux  systèmes d’information-documentation en réseau et performance de l’entreprise, Reims, 30-31 mars 2001.

Preuve et signature électronique , 4ème séminaire franco-allemand co-organisé par l’Association des avocats conseils d’entreprises et le deutscher anwalt verein sur le thème “Droit et nouvelles technologies”, Nice, 14-15 avril 2000.

La transposition de la directive européenne sur les données nominatives et le conflit avec les Etats-Unies , Congrès IDT/Net, Session relative à l’actualité juridique, Paris, 8-10 juin 1999.

Les problèmes juridiques posés par le système des tiers de confiance, Congrès International sur la Sécurité des Systèmes d’information et des Communications, Paris La Défense, 4-5 juin 1998.

L’utilisation d’Internet dans l’entreprise , conférence Euroforum : “Quel cadre juridique pour l’Internet “, Paris 28 et 29 janvier 1998.

26ème conférence de l’International Bar Association, Berlin, 23 octobre 1996, Media Law Committee ” Censoring the Internet : a lawyer’s deceit “, intervention sur : Controlling illegal content over the Internet : the French situation .

Catégories
Non classé

Publications

Messagerie et Newsgroups : Comment concilier sécurité, confidentialité, liberté du salarié et éviter les dérapages engageant la responsabilité de l’entreprise ? Octobre 2000
Par Valérie SEDALLIAN
Avocat à la Cour de Paris Article présenté lors d’un séminaire organisé par EUROFORUM sur le thème : “NTIC et contrôle des salariés”, à Paris les 24 et 25 octobre 2000.

Introduction

Position du problème

Avec les forums intranet et sur internet, le droit d’expression au sein et à l’extérieur de l’entreprise trouve un nouveau champ d’application puisqu’il devient possible à chacun de s’adresser à tous, instantanément.

Le courrier électronique est l’objet de toutes les attentions : les premières affaires judiciaires viennent devant les tribunaux, et une loi très contestée vient d’être adoptée au Royaume-Uni, autorisant le contrôle des courriers électroniques échangés sur le lieu de travail.

   

I. Communications publiques

1.1 Droit et obligations des salariés

1.1.1 Droits du salarié

Contexte : le salarié peut s’exprimer sur les forums de l’intranet, ou sur internet :

• sites dédiés à l’expression des salariés (exemple : www.tchooze.com),

• création de pages personnelles (exemple : le site du syndicat virtuel de Moët Hennessy),

• dans le cadre de forums professionnels

• participation à des forums boursiers.

  Le salarié bénéficie d’un droit d’expression qui lui est garanti par l’article L 461-1 du Code du travail :

« Dans les entreprises…, les salariés bénéficient d’un droit à l’expression directe et collective sur le contenu, les conditions d’exercice et l’organisation de leur travail. Cette expression a pour objet de définir les actions à mettre en œuvre pour améliorer leurs conditions de travail, l’organisation de l’activité et de la qualité de la production dans l’unité de travail à laquelle ils appartiennent et dans l’entreprise.

Les opinions que les salariés, quelle que soit leur place dans la hiérarchie professionnelle, émettent dans l’exercice du droit d’expression ne peuvent motiver une sanction ou un licenciement.

»  

L’article L 461-2 précise que « le droit institué à l’article L 461-1 s’exerce sur les lieux et pendant le temps de travail. »

   

Peut-on considérer que le salarié qui s’exprime sur ses conditions de travail sur l’intranet ou sur internet, exerce son droit d’expression « sur les lieux et pendant le temps de travail » ?

En réalité, la distinction a peu d’importance, dès lors que la jurisprudence considère que le droit d’expression du salarié peut s’exercer en dehors de l’entreprise, où ce droit s’exerce dans toute sa plénitude, dès lors qu’il ne donne pas lieu à abus.  

1.1.2 Obligations du salarié

  Ce droit d’expression du salarié est limité par les lois encadrant la liberté d’expression : il doit s’abstenir de tenir des propos diffamatoires, dénigrants, injurieux, incitant à la discrimination raciale etc…. Il doit respecter le droit des tiers et en particulier le droit à la vie privée, le droit d’auteur, le droit des marques.

Dans le cadre de son contrat de travail, le salarié est tenu à une obligation de loyauté vis à vis de son employeur et de discrétion.

Les salariés ne doivent pas divulguer d’informations à caractère secret. Certains salariés peuvent être tenus à une obligation particulière de confidentialité du fait de leurs fonctions ou d’une clause de leur contrat de travail.   1.2 La responsabilité de l’employeur

1.2.1 Quels sont les abus possibles et les risques pour l’employeur ?

 

Les salariés peuvent tenir sur internet, dans le cadre de leur droit d’expression des propos de nature à nuire à l’image de marque de l’entreprise (cf affaire AXA / Infonie, Tribunal d’Instance de Puteaux, 28/09/99) ou des propos dénigrants sur un concurrent.

Dans le cadre des forums internes, des dérapages sont possibles. Dans le cadre de forums professionnels, certains salariés vont vouloir prendre position au nom de leur entreprise. L’adresse du salarié fait apparaître le nom de l’entreprise (martin@societe.com), ou sa signature automatique en bas du message.  

L’employeur peut voir sa responsabilité engagée sur le fondement de l’article 1384 alinéa 5 : « les maîtres et commettants, (sont responsables) du dommage causé par leur domestiques et préposés dans les fonctions auxquelles ils les ont employés ».

  L’employeur est responsable si le préposé a agit à l’occasion de l’exercice de ses fonctions (jurisprudence traditionnelle) ou si l’employé n’a pas excédé les limites de sa mission (Assemblée plénière 25 février 2000).   Exemple :

Mise en garde de la COB le 21 février 2000 (des employés auraient proposé des produits financiers aux investisseurs en utilisant les moyens Internet de leur société sans y être habilités) : la COB considère que la responsabilité de la société et/ou de ses dirigeants pourrait être engagée si des employés indélicats utilisent à des fins personnelles ou frauduleuses, les sites internet ou les courriers électroniques des sociétés qui n’auraient pas mises en place des procédures de contrôles adéquates.

1.2.2 Solutions   Elles sont à  déterminer en fonction de la politique de l’entreprise, de sa taille, et des risques réellement encourus. Il s’agit de donner des directives claires aux salariés, par exemple :  • rappel des limites à la liberté d’expression ; • rappel de l’obligation de confidentialité ; • interdiction de s’exprimer au nom de l’entreprise sur internet (prérogative du service communication); • interdiction de s’exprimer à titre privé avec la messagerie de l’employeur (il existe des messageries anonymes du type Yahoo !, Caramail etc..) • participation à des forums professionnels sur internet : sur autorisation de la hiérarchie ; • forums internes : nomination d’un modérateur chargé d’éviter les dérapages ;

• insertion d’un avertissement du type «  ce message reflète mon opinion personnelle et n’engage pas mon employeur ». Elle ne garantit pas toute recherche de la responsabilité de l’employeur, mais: le salarié signifie clairement qu’il n’agit pas dans le cadre d’une mission confiée par son employeur.

II. Communications privées

Deux principes s’opposent :

D’un côté, la messagerie est un outil professionnel, destiné à un usage professionnel : l’employeur auarait le droit de contrôler les courriers électroniques de ses salariés.

Il a déjà été jugé que le salarié ne peut pas opposer la violation du secret des correspondances à son employeur s’il reçoit des correspondances à caractère professionnel sur son lieu de travail (Crim. 16 janvier 1992).

D’un autre côté, la loi n° 91-646 du 10 juillet 1991 pose le principe du secret des correspondances émises par la voie des télécommunications : l’atteinte au secret des correspondances est un délit prévu et réprimé par l’article 226-15 du Code pénal :

« Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 300 000 F d’amende.

Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions.

» Des clauses de règlement intérieur autorisant l’employeur à ouvrir le courrier personnel des salariés ont été annulées. Question : doit-on raisonner pour le courrier électronique dans les mêmes termes que pour les écoutes téléphoniques ? L’entreprise va-t-elle étendre au courrier électronique la tolérance accordée pour le téléphone (utilisation occasionnelle à des fins privée autorisée en principe) ?

En matière de contrôle des écoutes téléphoniques, pratiquées notamment dans les salles de marchés (ordres de bourse), pour la vente à distance, les services de réservation des compagnies aériennes, la CNIL recommande que les salariés puissent disposer de lignes non connectées au dispositif d’écoute et ce notamment pour leurs conversations passées à titre privé. Elle n’autorise l’enregistrement systématique des conversations téléphoniques que dans les cas où le travail du salarié consiste pour l’essentiel à téléphoner.

Autres données du problème : • Le courrier électronique peut favoriser la divulgation d’informations sensibles. Or, le secret des correspondances n’est pas garanti sur internet : les courriers électroniques transitent par différents serveurs et routeurs, et à cette occasion ils peuvent faire l’objet d’interceptions. • Les courriers électroniques sont enregistrés et conservés sans que le salarié en ait nécessairement conscience (il croit les avoir supprimés et les messages sont archivés par le système central) ; • Il faut assurer le respect de la confidentialité des échanges des représentants du personnel.

2.2 Contrôle du courrier électronique : le cadre légal

Les mêmes principes que pour tout système de surveillance des salariés sont applicables (Voir notre article sur Internet dans l’entreprise) :

• information préalable des salariés ; • information préalable du Comité d’entreprise; • déclaration du traitement à la CNIL ; • principe de proportionnalité : le contrôle doit être justifié par un intérêt légitime (par exemple : la sécurité). Question : si les salariés ont été informés, l’entreprise est-elle en droit de contrôler tous les courriers électroniques de ses salariés ? Quelle est l’étendue du pouvoir de contrôle de l’employeur ? Les juristes sont divisés : • certains considèrent que l’employeur a seulement le droit de vérifier les destinataires et les expéditeurs des messages, pas de prendre connaissance du contenu des messages, • d’autres considèrent que l’employeur peut accéder sans réserve à la messagerie dès lors qu’il a informé les salariés, • d’autres que si l’employeur a exclu toute communication personnelle sur l’intranet, l’article 226-15 du Code pénal n’est pas applicable (concerne les échanges au sein de l’entreprise), • d’autres enfin, que l’employeur a le droit d’accéder à la messagerie si des faits suspicieux viennent à être portés à sa connaissance.

On attend une recommandation de la CNIL sur la cybersurveillance des salariés pour la fin de l’année 2000.

Un avis du 3 avril 2000 de la Commission de protection de la vie privée belge (CNIL belge) considère que la prise de connaissance du contenu des courriers électroniques est excessive, de la même façon que le serait l’écoute et/ou enregistrement des communications téléphoniques de l’employé. Elle considère qu’il existe d’autres solutions qui permettent de cibler les courriers suspects, tels les logiciels qui identifient l’expédition de courriers électroniques en chaîne ou qui isolent et/ou bloquent ceux dont la taille est excessive. C’est sur la base d’une liste de courriers et non de leur contenu (comme pour le téléphone), que l’absence de respect des règles posées par l’employeur pourrait être décelée. La Commission émet enfin des réserves en ce qui concerne les courriers entrants, l’employeur n’étant pas auteur de ces derniers. Les premières affaires viennent devant les tribunaux : • Le Conseil de Prud’hommes de Montbéliard dans le Doubs a débouté le 19 septembre une salariée qui contestait sa mise à pied pour avoir entretenu une correspondance privée par e-mail depuis son bureau. Cette comptable d’une société spécialisée dans la fabrication de matériel orthopédique et déléguée syndicale s’est vue reprocher d’entretenir une correspondance par e-mail avec une ancienne salariée de cette même entreprise licenciée économique. Le conseil des Prud’hommes a confirmé la sanction, car l’entreprise avait pris soin d’informer ses salariés préalablement (par note interne) que leur messagerie électronique était placée sous surveillance. De plus, il est reproché à la comptable (qui a depuis démissionné) d’avoir communiqué des informations sur la restructuration en cours au sein de l’entreprise et donc de ne pas respecter son devoir de confidentialité.

Texte du jugement disponible sur Legalis.net.

• Le Tribunal de Grande Instance de Paris vient de condamner le 2 novembre 2000 le directeur d’unlaboratoire et deux administrateurs systèmes à des peines d’amende pour violation du secret des correspondances d’un étudiant. Il considère que le courrier électronique entre personnes déterminées et individualisées est protégé par le secret des correspondances.

Texte du jugement disponible sur Juriscom.net.

Les solutions : • informer les salariés : le salarié informé peut plus difficilement invoquer une atteinte à ses libertés individuelles ; • donner des directives claires aux salariés sur les tolérances pouvant ou non exister en matière de courriers électroniques personnels ; • avertir les salariés si les courriers électroniques sont directement archivés par le service informatique central ; • la surveillance systématique de tous les courriers électroniques doit respecter le principe de proportionnalité : elle peut être justifié dans certains cas : une adresse électronique de l’entreprise destinée exclusivement à la réception et à la confirmation des commandes ou au service à la clientèle devrait pouvoir faire l’objet d’un contrôle permanent même si elle est attribuée, au sein de l’entreprise, à un employé identifié ;

2.3 L’accès à la messagerie par le service informatique

Le service informatique dans le cadre de l’exercice de ses fonctions, de la surveillance du système de communication, pour régler des incidents techniques, peut être amené à prendre connaissance des correspondances transitant par le serveur de messagerie. Cela est très fréquent en pratique. Selon certains auteurs, si l’intrusion est justifiée par une nécessité technique, il n’y aurait pas d’infraction de violation du secret des correspondances. Cette doctrine est inspirée des droits américains et canadiens dont les législations concernant la confidentialité des communications fournissent aux opérateurs de systèmes de fréquentes exceptions à la prohibition d’interception de communications privées, notamment lorsque la surveillance est nécessaire à la bonne administration du système informatique. Cette exception n’est pas prévue en droit français. Elle pourrait être fondée sur un principe du droit pénal qui veut qu’il n’y ait point de crime ou délit sans intention de le commettre, sans volonté délibérée (absence de mauvaise foi dans ce cas). Ce moyen de défense a été refusé dans le jugement du 2 novembre 2000 précité : le jugement considère que la sécuritédu système informatique n’était pas en cause lors de l’intervention dans la messagerie électronique de l’étudiant.

Le service informatique est le service qui exploite les traitements informatiques. A ce titre, il est tenu de respecter l’obligation de confidentialité des données nominatives auxquelles il peut avoir accès dans le cadre de ses fonctions.

Catégories
Non classé

Publications

A propos de l’affaire “Tati c/ Kitetoa” : Appliquons nous la politique de l’autruche en matière de sécurité ?Mai 2002
Compte-rendu de la réunion de la Commission Juridique de l’ISOC du 15 mai 2002Débat animé par Sébastien Canevet, maître de conférence en droit privé et Valérie Sédallian, avocate au barreau de Paris, animateurs de la Commission juridique de l’ISOC France.
Invité : Antoine Champagne, journaliste et webmestre du site Kitetoa.

Rappel de l’affaire KITETOA / Ministère Public et Tati Le Tribunal correctionnel a rendu sa décision dans l’affaire qui oppose la société Tati au site Kitetoa. Celui ci dénonce régulièrement les sites commerciaux qui sécurisent mal (voire pas du tout) les données personnelles concernant leurs clients. Ainsi, en 1999, avait-il signalé à l’hébergeur du site des magasins Tati une faille de sécurité permettant d’accéder au contenu des bases de données du serveur grâce à un simple navigateur. La 13e chambre du Tribunal de Grande Instance de Paris a reconnu dans une décision en date du 13 février 2002 que la société Tati ne semblait pas avoir respecté l’obligation de sécuriser un fichier de données nominatives (article 226-17 du Code pénal), mais a néanmoins condamné le webmestre de Kitetoa à une amende de 1000 euros avec sursis, sur le fondement de l’article 323-1 du Code pénal (accès et maintien frauduleux dans un système de traitement automatisé de données). La société Tati a été déboutée de sa demande en dommages et intérêts. La relative clémence du jugement s’explique probablement par le caractère purement informatif de la démarche suivie par Kitetoa, mais cette décision retient néanmoins que l’accès et le maintien par Kitetoa dans le fichier de Tati présente un caractère frauduleux. Le Parquet général a décidé de faire appel de cette décision. En effet, le Ministère public avait demandé la relaxe lors de l’audience. Sébastien Canevet regrette le fait que la société TATI n’ait pas été poursuivie pour manquement à l’obligation de sécuriser son fichier de clients (note : l’infraction éventuellement commise est prescrite). Antoine Champagne explique que le moteur de recherche Google offre des fonctionnalités de recherche très précises. Bien que le moteur ne l’indique pas, il fait également des recherches sur les fichiers « .mdb », qui sont l’extension pour les fichiers Access (logiciel de base de données édité par Microsoft). [Note : pour limiter une recherche à un format de fichier, il faut indiquer dans le champ de recherche : « filetype :nom de l’extension ». Exemple : « toto filetype :xls »]. C’est ainsi que l’on peut à l’occasion d’une recherche, obtenir dans les résultats des bases de données mises sur un serveur, et non protégées par un mot de passe, bien qu’elles ne soient pas destinées à être rendues publiques. Le fichier litigieux dans l’affaire TATI était un fichier .mdb. Il ne faisait l’objet d’aucune protection par un mot de passe. Antoine Champage évoque ensuite une proposition de décision-cadre du Conseil présentée par la Commission européenne le 22 avril 2002 relative aux attaques visant les systèmes d’information.

Cette proposition est disponible à : http://europa.eu.int/eur-lex/fr/com/

pdf/2002/com2002_0173fr01.pdf

.
Elle est synthétisée sur le site du Forum des droits de l’Internet : http://www.foruminternet.org/actualites/lire.phtml?id=307. Cette proposition vise à rapprocher les législations pénales des états membres en matière d’atteinte aux systèmes informatiques. Elle propose des définitions des délits d’accès illicite à un système d’information et d’interférence illicite avec celui-ci. Antoine Champagne considère que ce type de proposition est une mauvaise réponse au problème des attaques contre les systèmes informatiques. Pour le webmestre de Kitetoa, toutes les atteintes n’ont pas le même niveau de gravité.

L’attention semble se focaliser sur des attaques très médiatisées du type de celle ayant affecté les principales sociétés de commerce électronique américaines en février 2000, rendant inaccessible les sites pendant quelques heures en les saturant par l’envoi de nombreuses requêtes. Les dégâts provoqués par cette attaque ont été évalués à des centaines de millions de dollars américains (voir par exemple : http://www.rcmp-grc.gc.ca/news/cm-00-03.htm), chiffre avancé sans aucune vérification et en 24 heures. Or, même les grands cabinets d’audit ne peuvent rendre une évaluation de ce type dans un délai aussi bref. Ce chiffre semble totalement surévalué si on le rapporte au chiffre d’affaires des sociétés visées (et dont les comptes sont publiés sur le site de la SEC, la COB américaine). Un intervenant fait remarquer que l’on doit distinguer la valorisation boursière des pertes d’exploitation. Si les pertes d’exploitation sont faibles, en revanche l’attaque a sans doute fait baisser les cours de bourse des sociétés concernées (note : à l’époque, la survalorisation des valeurs internet était à son plus haut niveau).

Pour notre invité, une société cotée en bourse s’expose à des variations de son cours. Pour lui, le mineur canadien qui a été poursuivi et condamné pour ces faits aurait en fait servi de bouc émissaire. Note : cette opinion peut être rapprochée d’un article publié sur cette affaire par un site canadien :

« En fait, la simplicité des armes utilisées les met à la portée de tous, et c’est peut-être ce qui est, sans tomber dans la psychose, le plus inquiétant.  Non pas que des méthodes pour contrer de telles attaques n’existent pas, mais elles n’avaient manifestement pas été mises en place chez les victimes.
On est aussi en droit de se montrer sceptique face aux déclarations du FBI qui, 72 heures après le début de la vague d’attentats, ne dit avoir aucune idée sur l’origine des attaques, sur leurs motifs, sur leurs auteurs.  À défaut d’obtenir rapidement des résultats dans leur enquête, les autorités risquent de perdre sérieusement la face
. » (Source : Les chroniques de Cybérie, 10 février 2000, http://www.cyberie.qc.ca/chronik/es0210.html).

Ainsi, cette attaque, bien que très médiatisée, a des conséquences beaucoup moins graves que des attaques susceptibles d’affecter par exemple le réseau SWIFT par lequel les banques échangent des fonds. Autre exemple, il est possible d’accéder à des réseaux d’entreprise par les terminaux téléphoniques, qui ne sont pas protégés. Notre invité pense que seuls les petits « pirates » sont poursuivis, mais que les vrais hackers (ceux par exemple disposant des compétences nécessaires pour s’attaquer aux réseaux bancaires) échappent de facto aux poursuites. Antoine Champagne souligne que ces hackers n’ont pas aujourd’hui d’objectifs politiques, mais que rien ne dit que leur état d’esprit n’évolue pas dans l’avenir. Les liens parfois peu transparents entre certains hackers et les sociétés spécialisées dans la sécurité sont ensuite évoqués. En conclusion de son intervention, Antoine Champagne souhaite indiquer à l’attention du législateur qu’il serait plus intelligent de forcer les éditeurs à faire de meilleurs produits et les sociétés à mieux sécuriser leurs systèmes. Cette politique serait à son avis beaucoup plus efficace que d’élaborer des textes peu ou mal appliqués. Hervé Schauer, qui dirige une société spécialisée dans la sécurité informatique, est interrogé sur les précautions juridiques prises lorsque son entreprise pratique des tests d’intrusion, pour éviter de se voir éventuellement reprocher l’incrimination d’intrusion non autorisée. Il indique qu’il évite d’intervenir pour ce type de demande en qualité de sous-traitant. Les autorisations de pratiquer les tests sont données dans le contrat qui le lie à son client. Il reste un problème délicat en pratique : lorsque son entreprise doit pratiquer un test sur des données hébergées par un prestataires externe. Le client doit garantir qu’il est bien propriétaire de toutes les données sur lesquelles le test est pratiqué. La question de savoir si la sécurité est une obligation de moyen ou de résultat est ensuite évoquée. Il s’agirait d’une obligation de moyens, c’est-à-dire que le prestataire s’engage à mettre en oeuvre les mesures conformes à l’état de l’art. En pratique, cela n’est guère contraignant. Il faut dire que le secteur informatique n’est pas soumis à des obligations de qualité. Un participant demande si l’affaire KITETOA ne peut pas être rapprochée de l’affaire Humpich (Rappel : Serge Humpich a découvert une faille dans le système de sécurité des cartes bleues et a réussi à fabriquer des cartes bancaires susceptibles de fonctionner avec n’importe quel mot de passe. Il a été condamné le 25 février 2000 par la 13ème chambre du TGI de Paris pour contrefaçon de cartes bancaires et intrusion non autorisée dans un système automatisé de traitement de données à 10 mois de prison avec sursis.

La décision est en ligne sur le site Legalis.net.

Voir aussi sur cette affaire : http://parodie.com/monetique/). Il semblerait que dans cette affaire, d’un strict point de vue juridique, l’infraction ait bien été constituée. Il reste qu’il est plus facile pour le législateur d’interdire la fabrication de fausses cartes bancaires ou d’aggraver les peines encourues que pour le GIE des cartes bancaires de garantir la sécurité de son système. En conclusion de ce compte-rendu, une citation de Bruce Schneier (expert américain renommé en matière de sécurité) semble bien résumer la situation actuelle en matière de politique législative :

« Les lois n’augmentent pas la sécurité des systèmes, ou évitent que les attaquants trouvent des trous. Leur rôle est de permettre à des fabricants de produits de se dissimuler derrière une sécurité imprécise, blâmant les autres pour leur propre inaptitude. Il est certainement plus simple d’implémenter de la mauvaise sécurité et de rendre hors la loi tous ceux qui le font remarquer que d’implémenter de la bonne sécurité. »

Catégories
Non classé

Publications

Commerce électronique : les réformes européennes

Intervention donnée le 2 juin 1999 dans le cadre du 13ème salon INFOSEC (Sécurité des systèmes d’information et des communications), sous le patronage du CLUSIF, et faisant partie des actes de la conférence.

RESUME
La Commission européenne mène actuellement différents travaux dans le domaine du commerce électronique. Elle a présenté récemment différents projets de directives couvrant tous les aspects juridiques du commerce électronique : signature électronique, contrats en ligne, monnaie électronique. Parmi ces différentes propositions, celle concernant la signature électronique revêt une importance particulière : la validité juridique de la signature électronique est en effet une question clé. Concomitamment, un projet de réforme sur le droit français de la preuve vient d’être annoncé. Ces projets montrent que l’on tend incontestablement vers une reconnaissance de la valeur juridique du document électronique. Le projet de directive sur la signature traite également de la fourniture des services de certification qui ne sont dotés en droit français d’aucun statut spécifique.  

INTRODUCTION

On assiste à une grande activité normative au niveau européen en ce qui concerne le commerce électronique. La Commission mène actuellement différents travaux dans ce domaine. L’objectif est celui d’une sécurité juridique optimale des transactions en ligne : les initiatives législatives se multipliant dans les états membres, la Commission souhaite mettre en place un cadre juridique harmonisé au niveau européen.  

1. Pourquoi le droit européen ?

Dans une perspective de veille juridique sur le commerce électronique, il est important de connaître ces projets européens et les orientations qui s’en dégagent : • la norme communautaire prime sur la norme nationale : le texte national devra tenir compte de la norme européenne ; • les directives communautaires une fois adoptées entrent en vigueur dans un délai moyen de deux ans : le juge doit interpréter le droit national à la lumière du texte et de la finalité d’une directive même non encore transposée (arrêts 193/88 Fratelli Costanzo du 22 juin 1989, 152/84 Marshall du 26 février 1986, C-106/89 Marleasing du 13 novembre 1990, C-91/92 Faccini Dori du 14 juillet 1994); • un règlement est directement applicable ; • actions de lobbying : indication aux institutions compétentes de la position de l’entreprise à l’égard de leur projet ; • une directive 83/189 du 28 mars 1983 prévoit une procédure d’information de la Commission dans le domaine des normes et réglementations techniques. L’information sur le droit communautaire en cours d’élaboration permet d’anticiper la norme à venir.  

2. Panorama des différents projets

Une des problématiques du commerce électronique est de créer les conditions de la confiance Cette confiance passe par la sécurité : sécurité technique mais aussi sécurité juridique. Pour chaque règle juridique concernant le commerce électronique, il existe un texte européen en cours de discussion :  

1. Réglementation de la cryptographie

Proposition de règlement du Conseil du 15 mai 1998 instituant un régime communautaire unifié de contrôle des exportations à double usage (COM (98) 257, JOCE du 21 décembre 1998) : prévoit la suppression des restrictions existantes aux transferts intra-communautaires en ce qui concerne les produits de cryptologie, remplacées par une procédure de notification.

2. Contrats

– Projet de directive sur un cadre commun pour les signatures électroniques du 16 juin 1998 (COM(98)297, JOCE du 23 octobre 1998) : vise à faire produire à la signature électronique des effets équivalents en matière de preuve, à la signature manuscrite et fixe les principes applicables à la fourniture de services de certification. – Proposition de directive relative à certains aspects juridiques du commerce électronique dans le Marché intérieur en date du 18 novembre 1998 : cette proposition concerne différents domaines : établissement des prestataires et informations générales à fournir, communications commerciales, contrats par voie électronique, responsabilité des intermédiaires techniques, codes de conduite, règlement des différents.

3. Sécurité des consommateurs

– Directive 97/7 du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance  (JOCE du 4 juin 1997); – Résolution du Conseil du 3 novembre 1998 sur les aspects de la société de l’information concernant les consommateurs : mise en avant de la nécessité de créer un climat de confiance pour les consommateurs. L’instauration de cette confiance repose sur l’offre dans le domaine des nouvelles technologies d’un niveau de protection équivalent à celui qui est assuré dans les transactions traditionnelles.

4. Systèmes de paiement

– Recommandation de la Commission du 30 juillet 1997 concernant les opérations effectuées au moyen d’instruments de paiement électronique, en particulier la relation entre émetteur et titulaire : fixe des exigences minimales dans la relation émetteur/ titulaire de l’instrument en matière de formation du contrat, responsabilité, voies de recours, information du client (Recommandation 97/489, JOCE du 2 Août 1997). – En date du 29 juillet 1998, deux propositions de directive concernant l’activité des institutions de monnaie électronique : ces projets visent à fournir un cadre réglementaire aux établissements émettant de la monnaie électronique. Les propositions définissent la monnaie électronique comme un montant monétaire stocké sur une carte à microprocesseur (carte prépayée ou ” porte-monnaie électronique “) ou sur une mémoire d’ordinateur (monnaie de réseau ou de logiciel) et qui est accepté comme moyen de paiement par des entreprises autres que l’émetteur. Les projets de directives sur le commerce électronique, la monnaie électronique, la signature électronique sont disponibles sur le site Internet de la DG XV , en français et en anglais :

http://europa.eu.int/comm/dg15/fr/media/eleccomm/index.htm

Parmi ces projets, celui concernant la signature électronique est particulièrement important en matière de commerce électronique : il s’agit d’une question centrale. En effet, les implications juridiques de la signature numérique couvrent aussi bien la formation du contrat en ligne, que la preuve, le paiement, ou les opérations de banque électronique. En outre, ce projet de directive s’articule avec une réforme en cours de préparation au niveau national sur le droit de la preuve.  

1.VERS LA RECONNAISSANCE JURIDIQUE DU DOCUMENT ELECTRONIQUE

1.1. La problématique de la preuve électronique en milieu ouvert

La sécurisation des échanges est plus complexe à organiser en milieu ouvert.

Etat présent du droit de la preuve

Le droit français de la preuve s’organise autour de la référence à l’écrit et reste marqué par le principe de prééminence de l’écrit. Même si le contrat est valablement formé sans écrit du seul fait de l’échange des consentements des parties, la nécessité pour les parties de se ménager la preuve de leur contrat impose en réalité le recours à un écrit. L’écrit au sens traditionnel, c’est le titre original revêtu d’une signature manuscrite et matérialisé dans un document papier. Un acte écrit est exigé pour toute convention dont l’objet vaut plus de 5 000 francs. Lorsqu’un écrit a été rédigé, on ne peut apporter la preuve contraire que par un autre écrit. La signature est traditionnellement associée à une expression manuscrite fixée sur un document papier. La signature n’est pas définie en droit français, même si le Code civil mentionne à plusieurs reprises l’obligation d’une signature : article 1322 sur les actes sous seing privé, article 1325 sur le contrat synallagmatique et la formalité du double original, article 1326 sur la reconnaissance de dette. La signature remplit deux fonctions juridiques de base : – identification de l’auteur ; – manifestation de sa volonté (approbation du contenu de l’acte), adhésion personnelle du signataire au contenu du document. Ce principe de la preuve écrite comporte un certain nombre d’exceptions. Notamment, et ce principe est important pour les entreprises, les conventions de preuve sont parfaitement valables : les dispositions relatives à la preuve n’étant pas d’ordre public, il est possible pour les parties de prévoir dans un contrat les questions relatives à l’admissibilité et la valeur probante des documents numériques, et de décider que la preuve des contrats conclus s’effectuera par d’autres moyens que l’écrit. La jurisprudence a reconnu la validité de telles conventions en matière de paiement par cartes bancaires (affaire Crédicas, 8 novembre 1989, D. 1990, 369). C’est ce principe qui est utilisé pour l’EDI, Echange de Données Informatisées : un contrat cadre permet d’établir les conditions juridiques et techniques d’utilisation de l’EDI dans le cadre de relations commerciales et administratives. Les parties sont assurées de la validité et des effets juridiques des messages échangés.

Cependant, la validité de la preuve électronique et de la signature numérique reste contestable en dehors du cadre des conventions sur la preuve.

En outre, la liberté contractuelle n’est pas absolue :

– entre professionnel et non professionnel : la convention sur la preuve ne doit pas constituer une clause dite abusive (Article L 132-1 du Code de la consommation ; directive 93/13 du 5 avril 1993). Or, les moyens de preuve sont détenus par l’exploitant du système. Une recommandation de la commission des clauses abusives demande par exemple que soient éliminées des contrats ” porteurs ” proposés par les émetteurs de cartes, les clauses ayant pour objet ou pour effet ” de conférer aux enregistrements magnétiques détenus par les établissements financiers ou bancaires une valeur probante en dispensant ces derniers de l’obligation de prouver que l’opération contestée a été correctement enregistrée et que le système fonctionnait normalement ” (Recommandation n° 94-02 relative aux contrats porteurs des cartes de paiement, BOCCRF 30 mai 1995, p. 182).

– le cadre de la convention sur la preuve nécessite que les parties aient une relation préexistante : client/banque ; partenaires commerciaux. Or, on assiste en milieu ouvert à une dématérialisation du processus contractuel lui-même : dès l’accord des volontés, l’utilisation du service vaut adhésion dématérialisée à un contrat. En droit, le contrat peut naître du simple échange de consentements. Mais le problème de la preuve du contrat et de l’étendue de l’accord de consentement du cocontractant reste entier. – les conventions sur la preuve ne sont pas opposables aux tiers (effet relatif du contrat). Or, il peut s’avérer nécessaire d’administrer la preuve d’un acte à l’égard d’un tiers au contrat (créancier du donneur d’ordre, bénéficiaire d’un virement). – certains textes imposent des conditions de forme faisant référence explicite à l’écrit. Il en est ainsi de la directive sur les contrats à distance qui prévoit la confirmation par écrit ou sur un autre support durable de certaines informations relatives au contrat (article 5 de la directive). Or la définition du contrat à distance inclus les contrats conclus sur Internet. On peut citer également le formalisme du droit cambiaire (Cass. Com. 26 novembre 1996, JCP E 97, II, 906). Une réforme du cadre juridique pour l’adapter aux nouvelles technologies apparaît inéluctable. Il n’existe pas encore de texte définitif que ce soit au niveau européen ou en droit français, mais on tend incontestablement vers une reconnaissance de la valeur juridique du document électronique. 1.2.1. Le projet de directive sur les signatures électroniques Cette directive vise à instituer un cadre juridique homogène et approprié à l’utilisation de ces signatures dans la Communauté. Elle définit un ensemble de critères qui constituent la base de la reconnaissance juridique de la signature électronique. Elle institue notamment le principe de non-discrimination entre signature électronique et manuscrite (article 5). La signature n’est pas définie de manière abstraite, mais se rattache à des données : La signature électronique est définie comme :

 une signature sous forme numérique intégrée, jointe ou liée logiquement à des données, utilisée par un signataire pour signifier son acceptation du contenu des données, et qui satisfait aux exigences suivantes : (a) être liée uniquement au signataire ; 1. permettre d’identifier le signataire ; 2. être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ;et

3. être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectée. 

” Ici, la signature électronique est conçue comme un moyen technique de sécurisation, et n’est pas définie par rapport à ses effets juridiques. Dans la cadre d’une transmission de données, la signature électronique permet de vérifier l’origine des données (authentification) et de vérifier que les données n’ont pas été altérées (intégrité). La directive s’applique aux réseaux ouverts. Elle n’a pas vocation à s’appliquer aux ” groupes fermés ” tels que réseau d’entreprise ou système bancaire, dans lesquels des relations contractuelles sont établies : pour ces utilisateurs, c’est la liberté contractuelle qui prévaut. La directive se veut techniquement neutre. La directive va obliger les Etats à modifier leur régime de preuve, puisque la directive vise à reconnaître à la signature électronique une valeur probatoire.  

1.2.2. L’avant-projet de loi relatif à l’adaptation du droit de la preuve aux nouvelles technologies

On peut signaler une première étape vers la reconnaissance juridique de la signature électronique dans le décret relatif à la carte professionnelle de santé :

 Pour les applications télématiques et informatiques du secteur de la santé, la signature électronique produite par la carte de professionnel de santé est reconnue par les administrations de l’Etat et les organismes de sécurité sociale comme garantissant l’identité et la qualité du titulaire de la carte ainsi que l’intégrité du document signé. Ainsi signé, les documents électroniques mentionnés à l’article L 161-33 sont opposables à leur signataire ” (Décret n° 98-271 du 9 avril 1998, JO du 12 avril 1998, p. 5714, nouvel article R 161-58 du Code de la sécurité sociale).

Une importante proposition vient d’être formulée par un groupe de travail dit ” GIP droit et justice ” en vue d’une prochaine réforme législative. Les propositions du GIP ont été reprises par la Chancellerie. Les principales dispositions du projet : (voir le texte ci-après en annexe) – Nouvelle définition de la preuve par écrit qui englobe la preuve par écrit électronique ; – Admissibilité comme mode de preuve de l’écrit électronique : la valeur probante de l’écrit électronique est toutefois soumise à certaines exigences : elle n’est reconnue qu’à condition que les moyens techniques utilisés donnent des assurances aussi bien en ce qui concerne l’identité de celui dont émane cet écrit, que sur la fiabilité de son mode de conservation ; – Règlement des conflits entre une preuve électronique et une preuve sur support papier : le projet prévoit la prééminence de l’écrit sur support papier ; – Consécration de la validité des conventions sur la preuve ; – Définition de la signature et de la signature électronique. La définition de la signature souligne le double rôle de la signature : identification de l’auteur et manifestation du consentement à l’acte. La signature électronique doit reposer sur l’usage d’un processus fiable et permettant d’établir le lien avec l’acte sur lequel elle porte.   La disposition controversée de ce projet concerne le caractère subsidiaire de la preuve électronique par rapport à la preuve traditionnelle. Cette réserve est justifiée par le fait que les documents électroniques seraient aujourd’hui unilatéralement établis et archivés sans garantie de sécurité. La pleine reconnaissance de la valeur juridique du document électronique resterait subordonnée à une future intervention législative. Ceci est d’autant moins opportun que le projet prévoit que le juge a la possibilité de déterminer entre plusieurs titres le plus vraissemblable. Enfin, cette réserve pourrait être incompatible avec les exigences des directives européennes sur la signature et le commerce électronique.  

1.2.3 Le Contrat à distance

Le projet de directive sur la signature électronique ne couvre pas les autres aspects du contrat en ligne, liés à la conclusion et à la validité du contrat. Mais un autre projet de directive concernant le commerce électronique vient compléter les dispositions du projet sur la signature électronique : c’est la proposition de directive relative à certains aspects juridiques du commerce électronique. Ce projet de directive traite de différentes questions, dont celle des contrats par voie électronique. – traitement des contrats par voie électronique  (article 9): Les Etats membres doivent veiller à rendre effectivement possible le recours aux contrats par voie électronique. Il s’agit pour les Etats de faire un examen systématique de leur réglementations susceptibles d’empêcher, limiter ou dissuader l’utilisation des contrats par voie électronique. Pour appliquer effectivement cette obligation, les autorités nationales devront notamment : – supprimer les dispositions qui interdisent ou limitent l’utilisation des voies électroniques ; – ne pas donner au contrat par voie électronique un effet juridique faible qui reviendrait à favoriser en pratique l’utilisation des contrats sur support papier ; – adapter les exigences de forme qui ne peuvent pas être remplies par voie électronique. Par exemple, des exigences relatives au support du processus contractuel : être sur ” papier “, par ” écrit “, envoyer une ” lettre “, utiliser un ” formulaire “, avoir un ” original “, être ” imprimé “.   Certains contrats pourront rester exclus de ce dispositif : contrats notariés notamment en ce qui concerne la France (immobilier, successions, donations, contrats de mariage).   – informations à fournir (article 10) : Les modalités de formation d’un contrat par voie électronique doivent être expliquées par le prestataire de manière claire et non équivoque et préalablement à la conclusion du contrat. Il s’agit d’assurer ” un consentement complet et éclairé de la part des parties. ” Les professionnels peuvent déroger à cette exigence par contrat.   L’article 11 du projet traite également de la question du moment de conclusion du contrat en ligne. Le projet de directive ne traite pas des questions relatives au contenu du contrat. Il faut se référer aux autres directives qui peuvent s’appliquer aux contrats en ligne, notamment la directive 97/7 sur la vente à distance. La Commission considère que les exigences d’information de la proposition sur le commerce électronique , en ce qu’elles concernent le processus de formation du contrat électronique, sont complémentaires des informations préalables que doit fournir le fournisseur au consommateur avant la conclusion du contrat à distance. De même, les obligations en matière d’information prévues par d’autres directives ne sont pas modifiées.

 
2. LES SERVICES DE CERTIFICATION

2.1 L’ébauche d’un cadre juridique pour les autorités de certification
Le projet de directive sur les signatures électroniques couvre également la question des tiers certificateurs. Il vise à instaurer une reconnaissance internationale des services de certification des signatures électroniques.

D’après une recommandation n° 509 de l’UIT-T, une autorité de certification est “ une autorité chargée par un ou plusieurs utilisateurs de créer et d’attribuer leur clé publique et leur certificat. ” Il a pour fonction de formaliser le lien qui existe entre une personne physique ou morale et une paire de clés asymétrique.

Dans la directive, les tiers certificateurs sont appelés ” prestataires de services de certification ” (PSC). Le PSC est définit comme : ” toute personne physique ou morale qui délivre des certificats au public pour vérifier la signature électronique. 

Cette activité ne fait l’objet d’aucune réglementation spécifique en droit français, hormis en ce qui concerne la réglementation de la cryptologie. La directive, intégrée dans notre législation, donnerait un cadre juridique à ces services.  

2.1.1. La fourniture de services de certification

La fourniture de services de certification ne pourra être soumise à aucune autorisation préalable. Les états peuvent prévoir un processus de reconnaissance professionnelle, ou accréditation pour l’exercice de la mission de PSC. Cependant, la procédure d’accréditation repose sur le volontariat et n’aurait pas de caractère obligatoire. Par ailleurs, l’annexe II de la directive fixe un certain nombre d’exigences auxquelles doivent satisfaire les PSC, parmi lesquelles :   • jouir du crédit nécessaire ; • utiliser des systèmes fiables ; • archiver les informations relatives aux certificats ; • disposer de ressources financières suffisantes ; • ne pas conserver la clé privée de signature cryptographique.

Une des fonctions assurées par une autorité de certification est d’émettre des certificats. Un certificat sert à l’identification du titulaire de la clé privée correspondant à la clé publique mentionnée dans le certificat pour la signature. Le projet définit le certificat agréé comme ” une attestation numérique qui lie un dispositif de vérification de signature à une personne, confirme l’identité de cette personne “. Le certificat doit répondre à des exigences fixées par l’annexe I du projet de directive .

 

2.1.2 La responsabilité des PSC

Il doit exister des garanties juridiques pour le cas où le PSC manquerait à ses obligations. La question de la responsabilité du PSC est particulièrement sensible lorsque le certificat est erroné. Le projet prévoit la responsabilité des PSC sur l’exactitude des informations certifiées par eux et sur l’imputabilité de la signature (article 6).   D’une manière générale, le PSC a l’obligation d’assurer la sécurité du système mis en place (voir les Exigences concernant les PSC, Annexe II).  

2.1.3. Libre circulation des produits

Les services établis dans un Etat et les éventuelles accréditations délivrées par un Etat devront être reconnus dans les autres Etats. Les produits de signature électronique doivent pouvoir circuler librement sur le marché intérieur.  

2.1.4 Aspects internationaux

Dans la perspective de la mise en place d’un système de reconnaissance mutuelle des signatures et certificats avec les pays tiers, le projet de directive prévoit les conditions pour que les certificats délivrés par un PSC d’un pays tiers soient juridiquement reconnus comme équivalents aux certificats délivrés par un PSC établi dans la Communauté européenne. En particulier, un PSC établit dans la Communauté pourra avaliser les certificats d’un PSC d’un pays tiers.  

2.2 La cohérence avec la réglementation de la cryptographie

Il est difficile d’aborder la réglementation de la signature électronique et des services de certification sans évoquer la réglementation de la cryptographie : la cryptographie apporte la sécurité technique nécessaire à la signature, la fourniture de services de certification est liée aux techniques de cryptographie asymétrique. La loi française du 26 juillet 1996 repose sur la dichotomie entre les fonctions d’authentification et d’intégrité, soumise à un régime plus libéral, et les fonctions de confidentialité, sur lesquelles l’Etat entend garder un contrôle étroit. Elle prévoit pour l’utilisation de la cryptographie forte à des fins de confidentialité le recours au système des tiers de confiance.   Dans sa conférence de presse du 19 janvier 1999 sur la Société de l’Information, le Premier ministre a annoncé la refonte de la législation adoptée en 1996. Il est notamment envisagé de supprimer le caractère obligatoire du recours aux tiers de confiance. D’ores et déjà, en attendant la modification législative annoncée, deux décrets et un arrêtés publiés le 17 mars dernier on relevé le seuil de la cryptologie dont l’utilisation est libre de 40 bits à 128 bits.   En tout état de cause, la question de la compatibilité de la réglementation française avec le dispositif communautaire se serait posée tôt ou tard.  

2.2.1 La fourniture de produits de signature électronique

Un PSC serait aux termes de la loi française un fournisseur de prestation de cryptologie. Si la simple utilisation d’une signature électronique est libre, il n’en va pas de même pour la fourniture qui est soumise à la formalité de la déclaration préalable. Les fonctionnalités utilisées pour l’authentification et le contrôle de l’intégrité ne doivent pas permettre de chiffrer d’autres informations que les données nécessaires au contrôle d’accès, ni aucune autre information que celle nécessaire à l’authentification ou au contrôle d’intégrité des données elles-mêmes. Sinon, le produit relève de la formalité de la demande d’autorisation préalable. Du point de vue technique et de la sécurisation des échanges, séparer l’authentification de la confidentialité est artificiel.

Dans le projet de directive, les deux aspects sont liés. Ainsi, les PSC doivent : ” utiliser des systèmes fiables et des produits de signature électronique qui assurent une protection contre toute modification non autorisée desdits produits… ; ils doivent également utiliser des produits de signature électronique qui assurent la sécurité technique et cryptographique des processus de certification pris en charge par lesdits produits ” ou encore “prendre des mesures contre la contrefaçon des certificats, et au cas où le PSC génère des clés privées de signature cryptographique, garantir la confidentialité au cours du processus de génération desdites clés ” (annexe II, points e et f).

De même, la fonction d’autorité de certification est liée à la technique de la cryptographie asymétrique. Or, dans ce procédé, authentification et confidentialité sont liées sur le plan fonctionnel. Le projet de directive indique que les états membres doivent veiller à ce que les produits de signature électronique conformes à la directive puissent circuler librement sur le marché intérieur. Il s’agit d’un rappel du principe de libre circulation. Un produit de signature électronique librement commercialisé dans un autre pays de l’Union européenne doit pouvoir être fourni en France sans entrave. Cependant, le nouveau décret n°99-199 du 17 mars 1999 substitue la formalité de la déclaration à celle de l’autorisation pour les produits de cryptographie mis en œuvre par un algorithme dont la clé est inférieure ou égale à 128 bits.  

2.2.2 Tiers de confiance et autorité de certification

Le tiers certificateur joue un rôle dans la reconnaissance et la mise en œuvre juridique des signatures numériques, alors que le tiers de confiance vise à offrir un accès légal aux clés de chiffrement. Il a été envisagé que les tiers de confiance puissent proposer à côté des services de gestion et de séquestre des clés privées, des services de certification. Or, le projet de directive sur les signatures prévoit que les PSC ne doivent pas stocker ou copier les clés privées de signature cryptographique à laquelle le PSC a offert des services de gestion de clés à moins que cette personne en ait fait explicitement la demande (Annexe II, point i). Dans le même sens, la définition de la signature électronique indique que la signature électronique doit être créée par des moyens que le signataire puisse garder sous son contrôle exclusif.

Au regard de ces dispositions, la confusion entre les fonctions de tiers de confiance et de tiers certificateur n’aurait pas été sans soulever certaines questions.

Catégories
Non classé

Publications

Pour une vraie liberté de crypter

Octobre 1998
Par Paul Vidonne
Expert judiciaire, vice-président de la CNEJITA, Compagnie nationale des experts judiciaires en informatique et techniques associées

Cet article est paru dans Le Monde du 15 mai 1996, p. 14

La réforme du droit des télécommunications est en cours d’examen par la représentation nationale. Compte tenu de l’importance des enjeux financiers, la modification du droit de crypter les messages, prévue à l’article 12 du projet de loi adopté par le Conseil des ministres du 3 avril 1996 et adopté le 10 mai en première lecture par l’Assemblée nationale, risque de passer relativement inaperçue. Pourtant, la France s’apprête à mettre en place un dispositif lourd, coûteux, ne protégeant pas vraiment le secret des correspondances et qui, surtout, ne permettra guère de lutter contre la délinquance. Il est encore possible de lui substituer un système beaucoup plus simple et plus efficace, sur le modèle de celui adopté par d’autres pays de l’Union européenne. L’interception et le décryptement des messages commerciaux, diplomatiques et surtout militaires semble une prérogative que se sont à peu près universellement arrogée les Etats. Aux Etats-Unis, la très secrète NSA (National Security Agency) rassemble la plus grande concentration mondiale de mathématiciens et a mobilisé, à elle seule, jusqu’à 2 % des dépenses de la défense nationale, soit deux fois le budget de la CIA. Pendant la première guerre mondiale, le décryptement des messages allemands par le ” Bureau 40 ” britannique ne fut pas étranger à la décision d’entrée en guerre des Etats-Unis. Les soviétiques n’ont jamais été de reste dans aucun des domaines de l’interception et du décryptement. La France a toujours eu une forte activité en matière de déchiffrement et aurait pu se passer d’un déchirement national si, un mois après l’arrestation du capitaine Dreyfus, elle avait fait confiance aux décrypteurs du télégramme de Panizzardi. Mais la France ne se borne pas à intercepter et déchiffrer les messages d’autrui, comme le font nombre d’autres pays. Elle se particularise par une interdiction très stricte de crypter tout message et d’user, fournir et exporter tout moyen de cryptologie. Depuis la loi du 29 décembre 1990, elle tolère tout au plus le cryptage de la signature et de la certification d’intégrité des messages, sur déclaration préalable auprès d’un service du Premier ministre, mais ne permet toujours pas le chiffrement du message lui-même, qui doit être transmis en clair. La loi prévoit bien que le cryptage du message peut-être accordé sur autorisation préalable, mais cette autorisation ne semble jamais donnée en matière commerciale ou privée. Pour répondre au besoin pressant des entreprises et des citoyens d’échanger des informations confidentielles, le projet de loi annonce un revirement. L’utilisation de moyens de cryptage, en vue d’assurer la confidentialité des messages eux-mêmes, deviendrait libre si lesdits moyens n’utilisaient que des clefs ” mises sous écrou ” auprès d’organismes agréés, les ” notaires électroniques ” ou ” centres de confiance “, et selon les procédures définies par ces derniers. Naturellement, ces clefs devraient être communiquées ou mises en oeuvre à la demande des autorités judiciaires, ce qui est légitime, ou des autres autorités habilitées, dont la liste n’est pas donnée. Ce principe général de liberté est immédiatement atténué, voire annulé, par la suite de la rédaction de l’article 12, où l’on peut lire que l’agrément des centres de confiance est assorti de la liste des moyens ou prestations de cryptologie que ces centres peuvent utiliser ou fournir. La raison bascule : les notaires électroniques ne se contentent plus d’être les dépositaires des clefs, ils deviennent les fournisseurs et donc les garants des moyens de cryptage utilisés. De quelle garantie seront-ils les dépositaires ? Celle de la certitude donnée à chacun de l’inviolabilité de sa correspondance, ou celle donnée à l’Etat du décryptement facile des messages privés ? Les rapports relatifs de la société civile et de l’Etat étant en France à peu près l’inverse de ce qu’ils sont aux Etats-Unis, la réponse ne fait guère de doute. La solution française sera à l’opposé du droit au secret qui prévaut outre Atlantique. Quelle sera l’efficacité de ce système déclaratif ” à la française ” ? A l’heure où chacun peut se procurer gratuitement sur Internet le logiciel PGP (Pretty Good Privacy), réputé inviolable, imagine t-on sérieusement que la mafia ou un réseau pédophile utilisera un logiciel de cryptage fourni par un ” centre de confiance ” et, de plus, lui remettra spontanément des clefs de codage qu’elle ne changera jamais ? Le système projeté risque bien de n’être mis en oeuvre que par les citoyens honnêtes, dont les autorités n’auront justement jamais besoin de décrypter les messages. Il est en revanche fort à parier que ce système entraînera de nouvelles formalités et surtout de nouveaux coûts pour les entreprises. Un système de contrôle, a posteriori, serait beaucoup plus simple et beaucoup moins coûteux à mettre en place. La liberté de crypter, laissant aux seuls utilisateurs le choix des moyens, serait compensée par l’obligation de communiquer les systèmes et clefs de cryptage à la requête de toute autorité judiciaire. Le refus explicite de communiquer serait très sévèrement réprimé, comme la perte ou l’oubli des clefs, qui seraient présumés de mauvaise foi.

Les pays qui ont mis en place un tel contrôle ne connaissent pas de criminalité particulière au regard de la communication. La France peut encore montrer qu’elle sait imaginer des réformes libérales, économiques et utiles.

Catégories
Non classé

Law firm of Valerie Sedallian

Legal practice

The areas of expertise of the law firm cover computer and information technology law. The legal services offered include litigation and advice (advising, negociating and drafting contracts, setting up of internal legal procedures). Following are examples of matters for which the firm has assisted clients on over the last years :

• International expert for the EU funded Ecomleb project for the drafting of an appropriate legal and regulatory framework for e-transactions in Lebanon (september 2004 – may 2005).

• litigations concerning liability of internet providers (acces and hosting service providers).

• litigations related to criminal computer law : software infringment, security of personnal data.

• litigations related to trademarks, infrigments, domain names.

• personnal data : audits, privacy policies, studies related to the marketing of databases and advertisement by e-mail for mass-marketing and communication sectors, filings with the French Protection Data Authority, transborder data flow agreements, legal advice for a ministerial project.

• negociating and drafting contracts : hosting and ISP agreements, copyright assignments, computer related services agreements, software licences, e-business contracts, domain names.

• advices and studies : security of electronic communications, information systems security, legal aspects of storage of electronic acts and electronic signature, open source softwares.

• legal watch : the firm is the French correspondant of  Cullen International which provides regulatory support services concerning the European Union and its Member States on e-business and multimedia law.

Resume

Valérie Sédallian was admitted to the Paris  Bar in 1992,  where she  worked as an associate in law firms engaged in general corporate law, before she deciding in 1997 to create her own law firm and to dedicate her practice to the field of computer and new information technology law. She has obtained her masters in law at the University of Paris XI, Sceaux (Maîtrise en Droit Privé 1989) and an advanced degree in business law at the Sorbonne (DEA  Droit des Affaires 1990).

In January 1996,  she decided to create  the Internet Juridique ,  the first French web site dedicated to information technology law.

She is the author of the “Internet Law” , ( Droit de l’Internet ), éditions Net Press, 1997, one of the first books published in France on the subject and the co-author of ” IT purchase contracts, legal and practical aspects ” (2005).

She lectures law students at the University of Paris X for the classes of the DESS de Droit public des NTIC and at the University of Poitiers for the classes of the  Magistère en droit des techniques de l’information et de la communication.

Publications

“Computer purchase contract, legal and practical aspects” ,

book written in cooperation with Jérôme Dupré, éditions Vuibert, 2005

“Internet Law” ,  Net Press éditions, 1997, ISBN 2-9510901-0-2.

Ensure the security of electronic exchanges, Eurostaf editions, March 2003.

Liabilities of employers as ISP, LEGICOM, n° 27, 2002/2, page 47.

“Warranties and liabilities in open source software”, Juriscom.net, September 2002

“Storage of electronic acts” , Cahiers Lamy Droit de l’informatique et des Réseaux, Juillet 2002.

“Contractual obligations of computer technology providers” , Juriscom.net et Cahiers du Lamy Droit de l’Informatique et des Réseaux, Octobre 2001.

Comments on the Yahoo France Case :

• Comments on the May 22, 2000 French Court ruling , Juriscom.net and Cahiers Droit de l’Informatique et des Réseaux, November 2000.

• Comments on the November 20, 20000 French Court Ruling   Juriscom.net and Cahiers Lamy Droit de l’Informatique et des Réseaux, December 2000.

“Comments on research tools liability” , Cahier Lamy Droit de l’informatique et des réseaux, May 2000.

“The Internet and the evolution of the legal practice : a lawyer’s experience” , contribution to the collective book, Law and Artificial Intelligence, under the direction of Danièle Bourcier, Patricia Hassett, Christophe Roquilly, édtions Romillat, 2000. Les droits des salariés au regard du traitement et de la diffusion de données les concernant sur un intranet, JCP E, 1999 n° 49 p. 1952.

“Liability of Internet Service Providers in the United States Digital Millenium Copyright Act and in the draft of the  European Directive on E-commerce” , Cahiers Lamy du Droit de l’Informatique et des Réseaux, janvier 1999.

“Questions raised by French legislation on cryptology” , Revue Droit de l’informatique et des télécoms, 1998/4 p. 23.

“Lliability of internet acces providers”, Bulletin de la Compagnie Nationale des Experts Judiciaires en Informatique et Techniques Associées, May 1997.

Oral presentations / Speeches

Valérie Sédallian has given various speeches and oral presentations on new technology law, such as :

Liabilities of ISP under French law, University of Montréal, Session on laws of the digital society, Montréal, Québec, Canada, October 7, 2004.

Open source software licences, CEJEM-ADIM, Centre Panthéon, March 13, 2003.

Droit et Toile Seminar, organized by UNITAR, United Nations Institute for Training and Research, Ouagadougou, Burkina Fasso, 13-17 January 2003.

“Legal aspects of storing electronic data” , 19th IDT/Net Congress , Session on continuance of digital information, Paris, June 4-6, 2002.

“Copyright law and the Internet” , Autour du libre 2002 , INT Evry, 29-31 mai 2002.

“On-line services offers for information technology professionals : the important contract terms” , software, ADBS  meetings on on-line information-documentation and business competitiveness,  Reims, March 30-31, 2001.

“Proof and electronic signature” , 4th French-German seminar organized by the Association des avocats conseils d’entreprises and the deutscher anwalt verein on “Law and New technologies”, April 14-15, 2000.

“Implementation of the European Directive on Personal Data and the inconsistency with the United States legislation” , IDT/Net Congress, Session on legal updates, Paris,  june 8-10, 1999.

“Questions raised by key-escrow systems” ,  International Congress on Information Technology Security, Paris La Défense, June 4-5, 1998.

“Use of the Internet within work places” , Euroforum conference: “Which legal framework for the Internet”, Paris January 28-29, 1998.

26th conference de the International Bar Association, in Berlin, October 23rd, Media Law Committee ” Censoring the Internet : a lawyer’s deceit “, presentation on : “Controlling illegal content over the Internet : the French situation “.

Other activities

Member of the Scientific Board of  Juriscom.net .

Member of the CLUSIF committee on “Security of health information systems”.

In charge of the law committee of the French Chapter of the Internet Society (ISOC)

Member of the Paris bar committee on new technologies and of the ADIJ, Association pour le Développement de l’Informatique Juridique.

Catégories
Non classé

Avocat spécialisé en droit de l’informatique

Audit CNIL – Données personnelles

Des fichiers informatiques contenant des données nominatives, toute entreprise en gère, quelle que soit sa taille et son secteur d’activité : fichier clients, gestion des salariés, vidéo-surveillance, contrôle des accès, listings téléphoniques, messagerie électronique, site internet… Et tous ces fichiers sont encadrés par la loi Informatique et Libertés du 6 janvier 1978.

Qu’est-ce que cette loi ?

Cette loi met à la charge des entreprises de nombreuses obligations, parmi lesquelles :

  • obligation de déclarer ses traitements informatiques auprès de la CNIL, cette fameuse autorité administrative chargée de veiller à l’application de la loi de 1978, voire dans certains cas d’obtenir son autorisation préalable à la mise en oeuvre des traitements ;
  • obligation de veiller à la sécurité et à la confidentialité des données nominatives traitées ;
  • obligation d’information des personnes dont les données sont traitées ;
  • insertion de clauses contractuelles ad hoc dans les contrats avec les prestataires.
  • interdiction de conserver les données au delà de la durée nécessaire à la finalité declarée.

Concrètement, quels sont mes risques ?

La très grande majorité des dispositions en la matière est sanctionnée par une amende allant jusqu’à 300 000 euros, et une peine de prison allant jusqu’à 5 ans.

Comment gérer ce risque ?

Notre cabinet d’avocat, grâce à une expertise de longue date, tant auprès de PME, que de groupes internationaux, dans des secteurs d’activité variés (industrie, agro-alimentaire, internet, distribution, communication, informatique, télécoms, santé), vous propose une solution concrète en vous fournissant un audit de vos traitements informatiques. La prestation proposée s’effectue en deux temps :

1ère phase : recensement des divers fichiers informatiques exploités par l’entreprise. Cette phase nécessite un déplacement au sein de l’entreprise en vue d’interroger les services concernés par l’exploitation de fichiers nominatifs (service informatique, DRH, service commercial notamment).

2ème phase : rédaction d’un rapport d’audit, formulations de recommandations en vue de mettre en conformité l’entreprise avec la législation sur les données personnelles.

Proposition financière

Le cabinet d’avocat propose de réaliser cet audit pour un montant forfaitaire de 2 000 € H.T, outre les frais de déplacement hors de Paris et de la banlieue parisienne (91, 92, 93, 94, 95, 78). Si l’entreprise possède plusieurs établissements à visiter, un forfait complémentaire sera appliqué. Certains secteurs sont régis par des réglementations spécifiques qui rendent la prestation plus complexe (santé, bancaire, télécoms, groupes internationaux par exemple). Dans ce cas, un forfait sur devis préalable est proposé.

Suite du rapport d’audit

Le rapport d’audit met en évidence la nécessité de régulariser certaines déclarations de traitements auprès de la CNIL, de modifier certains contrats avec les prestataires, de rédiger des notices d’information, des contrats relatifs aux flux internationaux de données. Bien entendu, nous sommes pleinement en mesure de vous accompagner dans ces démarches. Les tarifs du cabinet sont les suivants :

  • déclaration par référence à une norme simplifiée : 150 € H.T.
  • préparation d’un dossier de déclaration : à partir de 500 € H.T.
  • rédaction d’une notice d’information personnalisée : à partir de 300 € H.T.
  • rédaction d’une charte relative à l’usage des outils informatiques par les salariés : à partir de 1 000 € H.T.

Autres prestations (dossiers de demande d’autorisation, contrat de transfert international de données par exemple) : un forfait sera proposé sur devis préalable.

Quelques-unes de nos références en matière de données personnelles

  • Ministère : Assistance à maîtrise d’ouvrage juridique : préparation du dossier de demande d’autorisation ayant abouti à un avis favorable de la CNIL.
  • Etude relative au partage et à la gestion des données personnelles utilisateurs (fixe, mobile, internet) pour un opérateur de télécommunications.
  • Consultations sur le droit des données personnelles pour la direction juridique de la holding d’un groupe pétrolier international.
  • Etudes relatives aux bases de données marketing et à la publicité par courrier électronique pour la grande distribution et le secteur de la communication.
  • Préparation de dossiers pour la CNIL pour un groupe américain mettant en oeuvre des flux transfrontières de données entre les sociétés du groupe (secteur agro-alimentaire).
  • Déclarations de traitements auprès de la CNIL, audits de traitements de données à caractère personnel, chartes d’usage des outils informatiques pour des PME-PMI (secteurs des nouvelles technologies, agro-alimentaire, industrie, enseignement etc.).

Nous contacter

Nos avocats sont à votre disposition pour toute information complémentaire sur cette prestation, ou toute demande de consultation. N’hésitez pas à contacter le cabinet.

Catégories
Non classé

Publications

La responsabilité des prestataires techniques sur Internet dans le Digital Millenium Copyright Act américain et le projet de directive européen sur le commerce électronique

Cet article est paru dans les Cahiers du Lamy droit de l’informatique et des réeaux, n° 110, janvier 1999

Une des questions clé en matière de régulation de l’Internet est le régime de la responsabilité des prestataires techniques, c’est-à-dire les intermédiaires qui transmettent ou hébergent des informations émanant de tiers. Si la responsabilité de l’éditeur d’un contenu fait l’objet d’un consensus, la question de la responsabilité de ces intermédiaires reste une question controversée, généralement liée au débat sur le contrôle des informations diffusées sur Internet. Compte tenu de la connaissance limitée que ces intermédiaires ont des informations qu’ils transmettent ou stockent sur les réseaux, la difficulté est de déterminer l’étendue de leur responsabilité par rapport à la responsabilité des personnes ayant mis ces informations en ligne. En France, la problématique de la responsabilité des prestataires techniques sur Internet a fait l’objet d’analyses doctrinales et de plusieurs rapports, mais ces travaux et réflexions n’ont pas encore abouti à l’élaboration d’un projet de loi, et il n’existe encore aucune décision de fond sur cette question. Au niveau européen, les réflexions sont plus avancées, puisque la Commission vient de rendre public son projet de directive sur le commerce électronique, lequel traite, entre autres questions, de la responsabilité des intermédiaires. Aux Etats-Unis, la loi dite ” Digital Millenium Copyright Act ” a été définitivement adoptée le 28 octobre 1998. Ce texte ratifie les deux traités de l’OMPI en date du 20 décembre 1996 sur le droit d’auteur et sur les interprétations et exécutions et sur les phonogrammes. Cette loi contient également des dispositions spécifiques sur la responsabilité des prestataires techniques en matière de contrefaçon. Dans le cadre des réflexions sur la responsabilité des intermédiaires, ces deux textes sont importants à connaître. Dans le contexte de l’Union européenne, les travaux de la Commission doivent être examinés et pris en compte au niveau national. La proposition de directive a elle-même manifestement tenu compte des dispositions du Digital Millenium Copyright Act sur la responsabilité.

I. La responsabilité des intermédiaires dans le Digital Millenium Copyright Act Le Digital Copyright Millenium Act limite la responsabilité des fournisseurs techniques à certaines conditions. Les limitations de responsabilité prévues se cumulent avec celles existantes en matière de droit d’auteur, telle que l’exception de ” fair use “. En d’autres termes, elles s’appliquent lorsque le prestataire voit sa responsabilité engagée en application des principes actuels du copyright. Les fournisseurs remplissant les conditions posées pour être exonérés ne peuvent se voir réclamer aucun dommage et intérêt ou tout autre sanction pécuniaire pour contrefaçon.

 

1.1 Principes généraux applicables La limitation de responsabilité est appréciée en fonction du type d’activité exercé, du rôle technique assumé et non en fonction du statut de l’opérateur. Les exonérations de responsabilité prévues peuvent donc non seulement être invoquées par les fournisseurs d’accès commerciaux, mais également par les universités, les entreprises, ou tout autre entité, dès lors qu’elle exerce une des activités décrites dans la loi. Pour pouvoir invoquer l’exonération de responsabilité, le prestataire technique doit adopter et mettre en œuvre vis-à-vis de ses abonnés une charte prévoyant la résiliation de l’abonnement de personnes qui commettent des actes de contrefaçon en ligne de façon répétée et doit s’adapter aux standards techniques utilisés par les titulaires de droit d’auteur pour identifier ou protéger leurs œuvres.  

1.2 Activités concernées

L’exonération de responsabilité concerne quatre types d’activités :

Le simple transport

Il s’agit de l’hypothèse où le fournisseur permet l’accès à des informations disponibles sur Internet. Le fournisseur d’accès ne peut voir sa responsabilité engagée si son rôle se limite à la simple transmission de données qu’il ne modifie pas, à des destinataires qu’il ne sélectionne pas. L’exonération couvre également le stockage intermédiaire et transitoire des données à condition que la transmission ou le stockage provienne d’un procédé automatique et que le matériel stocké ne soit pas accessible à d’autres personnes que le destinataire. L’hypothèse couvre le stockage intermédiaire nécessairement lié aux fonctions de transport de l’information. Par exemple, le courrier électronique, avant d’être relevé par l’utilisateur, doit nécessairement être stocké sur le serveur du prestataire. Il s’agit de limiter la responsabilité du prestataire qui a un simple rôle de transporteur passif de l’information. Les autres types d’activités concernent des données qui sont stockées, à des degrés divers, sur le système du prestataire. Dans les trois cas de figure prévus, le prestataire a l’obligation, sous certaines conditions, de retirer le matériel contrefaisant.

Le cache

Les fournisseurs d’accès peuvent mettent en place des serveurs relais, sur lesquels ils font des copies des sites les plus demandés et où ils stockent les services qui ont déjà été consultés. Cette technique permet d’améliorer le temps de connexion à des sites parfois situés à longue distance et évite d’encombrer les réseaux. Il s’agit de rendre plus efficace la transmission ultérieure de l’information déjà consultée à d’autres utilisateurs. Cette technique est connue sous le nom de ” cache “. Elle nécessite le stockage temporaire des données sur le système informatique du fournisseur. La loi américaine prévoit que le fournisseur est exonéré de responsabilité pour ces ” caches “, sous certaines conditions, notamment que : • l’information soit transmise sans modification aux utilisateurs ultérieurs ; • le prestataire respecte les instructions du site émetteur concernant la mise à jour de l’information, indiquée conformément aux standards de l’industrie ; • le prestataire respecte les conditions d’accès à l’information (tel que le paiement d’une redevance, la fourniture d’un mot de passe) ; • le prestataire n’interfère pas avec la technologie utilisée dans le but d’obtenir des données sur l’utilisation de l’information (telle que les statistiques de consultation) ; • le prestataire agisse promptement pour retirer ou empécher l’accès à l’information contrefaisante à réception d’une notification, dès lors que l’information a été retirée du site d’origine ou que le retrait de cette information a été ordonné par un juge.

L’hébergement

Cette limitation concerne la fonction d’hébergement, c’est-à-dire le stockage et le traitement de données à la demande de l’utilisateur du service sur le système du prestataire. Pour bénéficier de l’exonération de responsabilité prévue, le fournisseur d’hébergement : • ne doit pas avoir connaissance (actual knowledge) du caractère contrefaisant de l’information hébergée et ce caractère contrefaisant ne doit pas être apparent ; • doit retirer rapidement les informations contrefaisantes dès qu’il a de telles connaissances ; • ne doit pas percevoir une rémunération provenant directement de l’activité contrefaisante, lorsque le prestataire a le droit et la possibilité de contrôler cette activité. En outre, dès réception d’une notification effectuée par le titulaire du droit d’auteur selon des formes précises prévues par la loi, le fournisseur d’hébergement doit agir avec diligence pour retirer ou empêcher l’accès à l’information contrefaisante. Pour bénéficier de l’exonération de responsabilité prévue, le fournisseur d’hébergement doit désigner un mandataire habilité à recevoir les notifications. Les coordonnées du mandataire doivent être accessibles sur le service du prestataire, y compris sur son site Web et les mandataires doivent être déclarés auprès du Copyright Office. Le Copyright Office a d’ailleurs immédiatement, dès la promulgation de la loi, pris un règlement d’application et mis en place une procédure afin que les fournisseurs d’hébergement puissent déclarer leur mandataire et maintien sur son site Web un répertoire des mandataires habilités. La notification visée par la loi doit fournir au prestataire des informations suffisamment précises concernant le matériel contrefaisant, sa localisation et la partie plaignante.  

Moteurs de recherche et liens hypertextes (location tools)

Cette exemption couvre les liens hypertextes, répertoires, moteurs de recherche et autres aides pour localiser l’information disponible en ligne. Des règles similaires à celles prévues pour les fournisseurs d’hébergement sont prévues.

 

1.3 Les injonctions à l’encontre des prestataires
Identification des contrefacteurs La loi prévoit au bénéfice des titulaires de droit d’auteur une procédure allégée afin d’obtenir auprès des tribunaux américains des injonctions à l’encontre des prestataires techniques de fournir les éléments d’identification d’un contrefacteur présumé.

Injonctions de faire

Pour les activités de simple transport, il peut seulement être ordonné aux prestataires techniques de résilier le compte de l’abonné contrefacteur et de prendre des ” mesures raisonnables ” pour bloquer l’accès à des sites étrangers spécifiques et identifiés. Pour les autres types d’activités, il peut seulement être ordonné aux prestataires de résilier le compte de l’abonné contrefacteur ou de retirer le matériel contrefaisant de leur système. Dans tous les cas, le texte précise que les tribunaux accordant les injonctions devront tenir compte de la possibilité technique de prendre la mesure de blocage sollicitée, de la charge imposée au prestataire, des conséquences de la mesure sur l’accès à d’autres sites ne contenant pas de matériel contrefaisant, et du préjudice subi par le titulaire du droit d’auteur si des mesures ne sont pas prises.  

1.4 Notifications infondées

Une personne arguant d’une violation de droits d’auteur qu’elle ne possède pas engage sa responsabilité vis-à-vis du fournisseur de contenu. La loi contient également des gardes-fous pour limiter les notifications infondées auprès des prestataires. La responsabilité du prestataire ne peut pas être engagée par l’éditeur du contenu en cause pour avoir retiré l’information litigieuse ou en avoir bloqué l’accès. Cependant, pour pouvoir invoquer cette ” immunité “, le prestataire doit : • prendre des mesures raisonnables pour notifier à l’abonné qu’il a retiré ou empêché l’accès au matériel considéré; • dès réception d’une contre notification émanant de l’éditeur du contenu en litige : • informer promptement le titulaire du droit d’auteur ; • remettre en ligne le matériel dans un délai de 10 à 14 jours ouvrables, sauf s’il est informé dans ce délai par le titulaire du droit d’auteur que celui-ci a engagé une procédure judiciaire à l’encontre de l’éditeur du contenu.

Pour être efficace, la contre notification doit elle-même être effectuée dans les formes prévues par la loi. D’une manière générale, pour peu que les procédures prévues par la loi soient mises en place, la loi américaine apparaît favorable aux prestataires techniques. En ce qui concerne les sites hébergés aux Etats-Unis, les titulaires de droit d’auteur ont intérêt à connaître et utiliser les mesures de notification prévues pour faire valoir leurs droits.

II. La responsabilité des intermédiaires dans la proposition de directive sur le commerce électronique

  La proposition de directive de la Commission européenne sur le commerce électronique entend traiter cinq questions considérées comme essentielles en vue de permettre la libre circulation des services en ligne : lieu d’établissement des prestataires de services de la société de l’information, les communications commerciales, la conclusion en ligne de contrats, la mise en œuvre des réglementations et la responsabilité des intermédiaires. Seules les dispositions concernant la responsabilité des intermédiaires seront examinées dans le cadre de cet article.  

2.1 Principes généraux

La responsabilité des prestataires est traitée dans la section 4 : ” Responsabilité des intermédiaires “. L’activité d’intermédiaire est caractérisée par le fait que les informations traitées sont fournies, transmises ou stockées par ou à la demande des destinataires du service. Le terme de ” destinataire du service ” désigne non seulement le ” consommateur ” de l’information, celui qui y a accès, mais également toute personne qui rend accessible cette information, que ce soit à titre personnel ou professionnel. La responsabilité des prestataires techniques est abordée de manière transversale, sans distinguer entre les types d’activités illicites. Ainsi, le système de limitation de responsabilité institué a vocation à s’appliquer aussi bien en matière de concurrence déloyale, de publicité trompeuse, de contrefaçon, diffamation etc…et concerne aussi bien la responsabilité civile que pénale. Aux termes de l’article 15 du projet, les prestataires techniques ne doivent se voir imposer aucune obligation générale de surveillance sur les informations qu’ils transmettent ou stockent, ou aucun devoir général de procéder à une recherche active de faits ou circonstances indiquant des activités illicites. Cette règle n’exclut pas qu’une autorité judiciaire puisse demander à un prestataire de services de contrôler un site déterminé pendant une période donnée, dans un but de prévention ou de détection d’infractions pénales.  

2.2 Activités concernées

Le projet distingue trois types d’activités. Pour chaque type d’activité, le prestataire doit remplir certaines conditions pour bénéficier de l’exonération prévue. S’il ne remplit pas les conditions instituées, sa responsabilité est appréciée selon la législation nationale.

Le simple transport (” mere conduit “)

L’article 12 institue une exonération de responsabilité lorsque le prestataire agit comme simple transporteur d’informations fournies par des tiers ou comme simple fournisseur d’un accès au réseau de télécommunications. Pour bénéficier de l’exonération, le prestataire ne doit pas être à l’origine de la transmission, ne doit pas sélectionner le destinataire de la transmission et ne doit pas sélectionner ou modifier les informations faisant l’objet de la transmission. Les activités de transmission englobent le stockage automatique, intermédiaire et transitoire des informations transmises, pour autant que ce stockage serve exclusivement à l’exécution de la transmission sur le réseau de communications, c’est-à-dire qu’il corresponde à une nécessité technique.

Le ” caching “

L’article 13 concerne les caches. Le prestataire est exonéré de responsabilité pour ce type d’activité, à condition que : • il ne modifie pas l’information ;* il se conforme aux conditions d’accès à l’information ; • il se conforme aux règles concernant la mise à jour de l’information, indiquées d’une façon cohérente avec les standards de l’industrie ; • il n’interfère pas sur la technologie qui est utilisée dans le but d’obtenir des données sur l’utilisation de l’information ; • il agisse promptement pour retirer l’information ou rendre l’accès à celle-ci impossible dès qu’il a effectivement connaissance que l’information a été retirée du site d’origine, ou que l’accès à cette information a été rendu impossible, ou que son retrait ou le blocage de son accès a été ordonné par une autorité compétente.

L’hébergement

L’article 14 institue une limite de responsabilité en ce qui concerne l’activité de stockage effectuée à la demande des destinataires du service. Cette exonération de responsabilité est accordée à condition que le prestataire n’ait pas effectivement connaissance de ce qu’un utilisateur de son service se livre à une activité illicite, et pour les actions en responsabilité civile (le projet parle d'” action en dommage “), si le prestataire n’a pas connaissance de faits ou de circonstances selon lesquels l’activité est illicite est apparente. Dès le moment où le prestataire a de telles connaissances, il doit prendre rapidement des mesures pour retirer les informations ou en bloquer l’accès. Il n’est pas précisé ce que signifie ” avoir une connaissance  effective que l’activité est illicite ” ou de ” avoir connaissance de faits et circonstances selon lesquels l’activité illicite est apparente “. Toute information, qu’elle qu’en soit la nature, adressée au prestataire, aura-t-elle une légitimé suffisante pour constituer une connaissance effective ? Quel sera le niveau de connaissance exigé ? Le projet reste muet sur cette question laissée à l’appréciation des autorités nationales, bien qu’elle puisse recevoir des réponses divergentes. Dans les trois cas, la limitation de responsabilité dont bénéficie le prestataire technique exclut les actions en dommages et intérêts et les poursuites pénales, mais n’exclut pas la possibilité d’une ” action en cessation ” (prohibitory injunction). Sont sans doute visées les demandes en justice aux fins de retrait ou de blocage d’une information illicite. Hors du cadre de ces actions judiciaires, le projet n’impose au prestataire de retirer l’information illicite ou d’en bloquer l’accès que dans le cas des caches ou de l’hébergement.

2.3 Comparaison entre le projet de directive et la loi américaine

Le domaine d’application de la loi américaine est limité au copyright, mais certains auteurs américains soulignent que les critères dégagés par le ” On-Line Liability Act ” pourraient bien s’appliquer à d’autres formes d’activités illégales, au moins en matière de responsabilité civile. Le projet de directive sur la responsabilité des intermédiaires vise quant à lui tous les domaines du droit de manière horizontale. On ne peut manquer de relever à la lecture des deux textes que la Commission européenne semble s’être largement inspirée de la loi américaine pour élaborer la partie du projet de directive concernant la responsabilité des intermédiaires. On retrouve dans le projet de directive la distinction opérée par la loi américaine en fonction de l’activité exercée par le prestataire technique : les limitations de responsabilité ne sont pas fondées sur le type d’opérateur, mais sur le type d’activité exercé. Le projet reprend la classification entre les activités de transport, de cache et d’hébergement. Seule l’activité concernant les moteurs de recherche et les liens hypertextes n’est pas visée par le projet de directive européenne. Le fait que les deux textes reprennent la même classification n’est pas surprenant, dans la mesure où cette distinction entre le transport, le stockage temporaire et le stockage permanent correspond effectivement aux différentes tâches que les prestataires techniques peuvent être amenés à assumer. Dans les deux textes, l’exonération de responsabilité est accordée au prestataire sous certaines conditions, qui sont similaires. La loi américaine contient en revanche des dispositions assez précises relatives aux injonctions judiciaires qui peuvent être obtenues à l’encontre des prestataires et les notifications et contre notifications émanant respectivement des titulaires de droits d’auteur et des éditeurs de sites qui n’ont pas été reprises dans le projet de directive.

Concernant ces procédures de notification, la Commission préfère laisser les parties intéressées les mettre en place sur la base des principes prévus par l’article 14.1 alinéa 3.