Retour page d'accueil parodie.com

Protection des données personnelles

PLAN

1. Notions
2. Régime juridique loi française
3. La protection de la correspondance privée
4. Exceptions nécessaires à des fins privées
5. Protection des données personnelles à l'international
6. Menaces sur la liberté d'expression
7. Données personnelles et vie professionnelle
8. Données personnelles et fournisseurs d'accès
9. Données personnelles et hébergeurs
10. Données personnelles et surf sur le web
11. Données personnelles et le spam
12. Protection de la vie privée de l'internaute
13. Données personnelles et téléphonie mobile
14. Données personnelles et cartes de paiement
15. Données personnelles et lutte contre la contrefaçon
16. Fichiers sensibles
17. Affaires discutables
18. Conclusion
19. Liens

SYNTHESE

La loi Informatique et libertés de 1978 a instauré une légitime protection des données personnelles des personnes physiques contre l'abus de l'exploitation et des échanges de ces données par des tiers.
Cela permet théoriquement aux personnes physiques d'avoir un entier contrôle sur leurs données personnelles.
Cependant, si cette loi Informatique et Libertés parait être un arsenal juridique extrêmement puissant et répressif, dans la pratique, les formalités apparaissent très lourdes et contraignantes pour des fins privées.
De plus elles sont parfois inefficace dans le cas de spam : comment établir que l'on n'a pas fourni son adresse Email ou que l'on n'a pas voulu recevoir de publicité, et même si après avoir reçu cet envoi publicitaire non sollicité, on fait opposition par le web, comment établir que l'on a fait cette opposition et être sûr que l'on ne recevra plus de publicité : Les problèmes de preuve sont patents.
Enfin, cette loi Informatique et Libertés présente des menaces pour la liberté d'expression car aucune exception à des fins de journalisme ou de création intellectuelle n'est prévue. Même si la directive européenne sur la protection des données personnelles introduit de telles exceptions, certains dispositions restent menaçantes, notamment le passage de 3 mois à 3 ans la prescription en matière de diffamation et injure lorsqu'il y a lieu sur Internet (pourtant quasiment tous les journaux sont sur Internet), cette prescription étendue est particulièremetn menaçante comme cela a été illustré par l'affaire Front National contre le réseau Voltaire. On peut aussi citer le maintien d'une peine maximale d'un an de prison en cas de diffamation ou injure lorsque cela a lieu sur Internet.
On peut aussi citer l'obligation de déclarer à la Cnil les sites personnels et de transmettre son identité à son hébergeur.
Cette loi de 1978 mérite donc au plus vite une révision pour l'adapter, le bilan est contrasté car il y a une faible jurisprudence concernant la protection des données personnelles et cette loi est très souvent méconnue.
Il existe cependant une décision du Tribunal Correctionnel de Paris du 02/11/2000 indiquant clairement que l'Email est protégé par le secret de la correspondance, même dans le cadre d'un établissement d'enseignement et qui peut être étendu dans le cadre professionnel, mais cette décision n'a pas été prise dans le cadre de la loi de 1978.

1. Notions

1.1 Notion d'information nominative

est réputé nominative, toute information qui permet de façon directe ou indirecte l'identification d'une personne physique

1.2 Notion de traitement automatisé

Là aussi, la loi donne une définition très large du traitement automatisé : l'enregistrement, la collecte, la transmission, la conservation, la destruction...
Rien que l'enregistrement d'un fichier ou la transmission d'un fichier informatique est un traitement automatisé.

1.3 Conséquences

Sont donc des données nominatives au sens de la loi :
adresse IP + heure (ce n'est cependant pas toujours le cas, notamment dans le cas d'utilisation de proxy dans les entreprises ou la technique du masquerading)
nom patronymique
une adresse
numéro sécurité sociale
numéro de téléphone
photo avec visage
une adresse Email
une empreinte digitale
une empreinte génétique (tel qu'un mégot de cigarette ou une trace de salive sur un timbre)

La loi Informatique et Libertés s'applique à tout traitement automatisé d'informations nominatives. Il ne faut pas qu'il s'agisse d'un fichier structuré, tout fichier comportant des informations nominatives est soumis à la loi de 1978.

Doivent donc être déclarés à la CNIL :
Tout site web, dès lors qu'il comprend un lien vers une adresse Email OU le nom dune tierce personne ou un fichier de log avec adresse IP ou un formulaire avec un nom ou une adresse Email (Soit 99.99 % des sites Internet)
Les ordinateurs personnels, fax, les modems - répondeurs, les appareils photo numériques, les assistants personnels, les téléphones notamment mobiles comprenant un annuaire téléphonique, les photocopieuses numériques, les magnétoscopes...

1.4 Différences entre donnée personnelle et vie privée

La loi Informatique et Libertés vise à protéger la vie privée, elle a un champ d'application beaucoup plus large.
Toutes les données personnelles ne sont ainsi pas du domaine de la vie privée.
Par exemple : le fait de stocker votre nom et le nom de votre employeur, ou votre adresse, lorsque celle-ci est dans l'annuaire téléphonique, ne portent généralement pas atteinte à votre vie privée.
Par contre les données médicales et fiscales sont incontestablement du domaine de la vie privée. D'autres données sensibles sont les opinions politiques, syndicales, religieuses, origines ethniques ou raciales : elles ne doivent pas être accessibles à n'importe qui, notamment afin d'éviter que votre vie privée ait une répercussion sur votre vie professionnelle (certains employeurs n'aimant pas les marginaux).

Certains pourtant n'hésitent pas à se fonder sur la loi Informatique et Liberté pour empêcher des tiers de parler de leur vie professionnelle : en effet, la loi Informatique et Libertés ne fait pas de distinction : on devrait théoriquement, selon cette loi, systématiquement avertir quelqu'un quand on stocke son nom dans un ordinateur, même à des fins professionnelles ou pour un article de journal

2. Régime juridique loi française

Déclaration traitement

Avant tout traitement d'information nominative, celui-ci doit être déclaré à la CNIL, sous peine de 3 ans de prison maximum, même en cas de négligence.
Il ne faut pas oublier la définition extensive de traitement d'information nominative. Dès qu'il y a un nom de personne physique stocké sur un ordinateur, il s'agit d'un traitement à déclarer.

Collecte

La collecte d'information nominative ne doit pas être frauduleuse ou illicite. Ainsi, ne doivent pas être collectées des adresses sur Internet pour un autre usage que celui prévu.

Information lors de la collecte

Toute personne doit être informée de la collecte d'information le concernant. Il doit être en mesure de faire valoir son droit d'accès, de rectification et d'opposition.
Se fondant sur ce texte, la CNIL considère que l'on ne doit pas mettre le nom de quelqu'un sur Internet, sans son autorisation préalable. Cette situation doit être particulièrement nuancée, tous les journalistes parlent de tierces personnes sans les avoir même consultées ou averties.

Informations sur le droit d'accès et de rectification

Lorsque vous remplissez un formulaire, vous devez être informé de la possibilité d'accéder aux informations vous concernant et de les rectifier.

Droit d'accès et de rectification

Pour obtenir le droit d'accès, il faut envoyer une lettre par voie postale en joignant un chèque de paiement de la redevance forfaitaire de 30 francs (20 francs pour le secteur public), justifiez de votre identité et demander la copie des informations nominatives vous concernant.
Si vous détectez des inexactitudes, vous pouvez exiger quelles soient rectifiées, dans ce cas, votre chèque de paiement de la redevance vous sera remboursé.
Pour information, l'expérience de ceux qui tentent d'exercer ce droit à plusieurs reprises par lettre recommandée donne cela : parfois le chèque est encaissé sans aucune réponse (malgré une relance immédiate par lettre recommandée et par téléphone) et dans les autres cas on retourne le chèque en disant qu'il n'y a aucune information nominative (menteurs).
Dans le cas du secteur public, il faut se déplacer en personne ou via un mandataire et payer 20 francs à l'aide de timbres fiscaux. Bien entendu, les rares tabacs vendant des timbres fiscaux n'ont que des timbres à partir de 75 francs ! Il faut donc se rendre dans une trésorerie des impôts.
La procédure est donc lourde et si on ne l'applique pas à la lettre, ce sera une raison de rejeter la demande.

Opposition suivant motif légitime

Dans certains cas, vous pouvez demander la suppression de toute information nominative vous concernant.
Ce droit d'opposition se fait directement auprès du responsable de traitement, il faut un motif légitime (
article 26 de la loi Informatique et libertés). Exemple de motif légitime : traitement non déclaré à la Cnil, non information ni autorisation à la collecte des informations, informations obsolètes, informations portant atteinte à la vie privée ou discriminatoires.
Ce droit d'opposition n'est pas toujours facile à mettre en œuvre : il faut voir dans tous les fichiers si des données nominatives concernant la personne y figurent, comment faire dans le cas de fichiers binaires, de photos, etc...
De plus, il faut aussi supprimer les copies de sauvegarde, qui peuvent être archivées sur des bandes ou des CD Rom et stockées en des endroits distants.
Comment supprimer une seule information d'un CD Rom ?
Dans certains cas ce CD Rom est une preuve de création d'œuvre intellectuelle (durée de protection = 70 ans après la mort de l'auteur, sans limitation de durée pour le droit moral)

Traitements rentrant dans le cadre de la déclaration

Bien entendu, une fois que le traitement déclaré à la CNIL, il faut s'y tenir :
La déclaration comporte l'utilisation des données, s'il y est indiqué que les données ne sont transmises à personne, il ne faut pas les divulguer à quiconque. De même, il ne faut pas envoyer d'Email à répétition à quelqu'un si ce n'est pas prévu dans le traitement.

Droit à l'oubli

Le droit à l'oubli est le droit de voir les données oubliées après un certain temps.
La convention 108 du conseil de l'Europe dispose que la durée de conservation doit être proportionnée aux finalités du traitement.
La CNIL estime à 3 ans la durée maximale de stockage des informations nominatives commerciales.
Cependant, dans certains cas, il peut être nécessaire de stocker plus longtemps, dans certains cas mettant en jeu la prescription de 5 ans.
Rappelons que cette disposition crée des problèmes sérieux avec les archives, les sauvegardes (backup sur CD ou bande magnétique) et les preuves numériques telles que les preuves de création d'œuvres de l'esprit.
Pour prendre en compte le droit à l'oubli, vous pouvez être contraint de structurer vos données, de tracer plus finement l'origine et la date d'acquisition de vos données, ce qui est bien introduit paradoxalement plus de fichage.

Obligation de protection des informations nominatives

Les informations nominatives doivent être à l'abri des regards indiscrets et protégées.
Ainsi, si vous vous faites voler ou si votre site Internet ou votre ordinateur est piraté, non seulement vous êtes la victime de cet acte délictueux mais vous risquez d'être poursuivi pour ne pas avoir pris "toutes les précautions utiles pour préserver la sécurité de ces informations" et les mettre à l'abri !
La peine de prison pour ce délit va jusqu'à 5 ans de prison et 2 000 000 francs d'amende (article 226-17 du code pénal). Ce qui est totalement exorbitant, notons qu'en cas de mort d'une personne pour "mise en danger délibéré de la vie d'autrui", la peine maximale est de 1 an de prison. La peine maximale en cas d'homicide involontaire est de 3 ans de prison.
C'est sûr que la sécurité des données personnelles est plus importante que la vie des personnes.
Déjà qu'à notre sens, les poursuites pour mise ne danger de la vie d'autrui génère des abus, cela sera difficile a quelqu'un de prouver qu'il a pris TOUTES les précautions utiles pour la préservation des données !
De plus, dans certains cas, on veut ouvertement communiquer ces informations tout à fait confidentielles à des fins de journalisme, à des tiers "non autorisés", par exemple en mettant ces informations sur Internet.
Il faut bien comprendre que si des données sensibles vous ont été frauduleusement soustraites, ce sera la preuve pour certains que vous n'avez pas pris assez de précautions.
A noter que cet article 226-17 du code pénal prévoyant des sanctions en cas de protection insuffisante des informations nominatives, même en cas de négligence, semble incompatible avec l'article 23.2 de la directive européenne sur les données personnelles
Quoique la loi soit sévère, le principe de cette responsabilité ne nous semble pas devoir être remis en question.
On peut s'étonner toutefois qu'il n'y ait pas de jurisprudence d'application de cet article alors que les cas de piratage de bases de données contenant des données personnelles sont fréquents.

Recueil de plaintes

La CNIL recueille les plaintes, elle n'a cependant pas de pouvoir de sanctions, elle transmet alors les plaintes au Procureur de la République.
Certains voudraient voir la CNIL avoir un rôle de gendarme mais elle ne souhaite pas avoir ce rôle.
Il nous semble effectivement, que la CNIL ne doit pas être juge et partie, il y a déjà eu suffisamment de problème comme cela avec la COB ou le CSA.
A noter que s'il y a peu de plaintes donnant réellement lieu à des procédures, c'est surtout un problème de justice engorgée faute de moyen, qu'un problème d'organisation ou de formation (qui existe aussi en matière Informatique et Libertés).

Sécurité bases de données

La responsabilité de la sécurité des détenteurs d'informations nominative est très importante : jusqu'à 5 ans de prison si quelqu'un n'a pas pris toutes les précautions utiles pour mettre ces données à l'abri.
A noter que les piratages de sites Internet et de leur bases de données sont courantes.
Les tableaux de chasse des pirates comportent souvent des fichiers de plusieurs centaines de milliers de numéro de cartes bancaires.
Il n'y a cependant pas de jurisprudence mettant en œuvre la responsabilité d'un responsable de traitement de données nominatives pour manque de précaution.

Accès indirect fichiers touchant à la sécurité de l'Etat

Certains fichiers administratifs, tels que les fichieres des renseignement généraux, de sécurité publique ou les fichiers de police (STIC) ne sont accessible que par l'intermédiaire d'un membre de la CNIL
De toutes façons, si des informations sensibles sont contenues dans ces fichiers, elles ne seront pas communiquées au demandeur.
L'Etat s'est auto-protégé et exempté et cela constitue une atteinte grave aux libertés individuelles.

3. La protection de la correspondance privée

Principe

Cette protection est absolue sauf dans le cadre écoutes diligentées par un juge d'instruction ou interceptions de sécurité du gouvernement. Elle ne vient pas vraiment de la loi Informatique et Libertés du 6 janvier 1978 mais du code pénal (articles 226-15 et 432-9 du code pénal)

Respect du secret de la correspondance pour un fournisseur de services de télécommunications

Code pénal Article 432-9
Le fait, par une personne dépositaire de l'autorité publique ou chargée d'une mission de service public, agissant dans l'exercice ou à l'occasion de l'exercice de ses fonctions ou de sa mission, d'ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, le détournement, la suppression ou l'ouverture de correspondances ou la révélation du contenu de ces correspondances, est puni de trois ans d'emprisonnement et de 300 000 F d'amende.
Est puni des même peines le fait, par une personne visée à l'alinéa précédent ou un agent d'un exploitant de réseau de télécommunications autorisé en vertu de l'article L. 33-1 du code des postes et télécommunications ou d'un FOURNISSEUR DE SERVICES DE TELECOMMUNICATIONS , agissant dans l'exercice de ses fonctions, d'ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, l'interception ou le détournement des correspondances émises, transmises ou reçues par la voie des télécommunications, l'utilisation ou la divulgation de leur contenu.
Application de cet article par le
Tribunal Correctionnel de Paris 02/11/2000

Exception

Le secret de la correspondance privée n'engage pas l'expéditeur et le destinataire légitime du message : ils peuvent normalement le divulguer aux tiers qu'ils veulent ou le produire en Justice (sous réserve de respect des autres lois tel que le secret professionnel...).

Avis de la CNIL

La CNIL prépare un avis sur ce thème qui devrait paraître au début 2001.
Elle semble s'orienter à des possibilités pour l'employeur de déroger au secret de la correspondance privée dans le cas d'un contrôle de proportionnalité.
Et elle s'appuie sur la position anglaise alors que les Anglais n'ont jamais respecté la vie privée.
C'est cependant extrêmement surprenant, on ne peut déroger à la loi pénale et la loi pénale ne peut être interprétée par un règlement administratif.
Sur le fond, ce n'est pas vraiment souhaitable, il faut protéger les employés contre les abus de l'employeur car dans tous les cas, l'employé ignore que l'employeur a lu ses messages, même s'il sait qu'il peut le faire et dans d'autres cas, l'employeur l'utilisera comme preuve alors que l'employé n'a aucun moyen d'utiliser de telles preuves.
Une fois de plus, la CNIL risque de compromettre gravement un point essentiel de la vie privée et s'attaquer à des broutilles.
A noter que l'article 8 de la Convention Européenne des Droits de l'Homme prévoit que seule la loi peut restreindre la protection de la vie privée, un avis de la CNIL en la matière serait donc illicite.

Email comme preuve ?

Il faut rappeler que les Emails ne sont pas des preuves. La quasi totalité des enregistrements informatiques est contestable (sauf signature électronique avec utilisation de cryptographie forte, identification des utilisateurs et utilisation procédé permettant de s'assurer de que c'est la personne qui a écrit le message)
Il n'y a pas donc pas de cas où le contrôle du contenu des Email par l'employeur serait proportionné aux buts poursuivis : il reste cependant possible de contrôler le volume (nombre et taille des fichiers) des Email, au pire de regarder les destinataires des messages.

Email

Un message par email est considéré comme de la correspondance privée s'il est envoyé à un faible nombre de personnes nommément désignées

Nullité des clauses de restriction du secret de la correspondance

La loi pénale étant d'ordre public, il n'est pas possible d'y déroger par contrat, que ce soit à des fins professionnelles ou non.

Dans un établissement éducatif

La décision du tribunal correctionnel de Paris du 02/11/2000 a été appliquée dans un établissement éducatif.

Dans une entreprise

A notre sens, le secret du contenu des correspondances privées est absolu. Dans tous les cas, les Email ne peuvent être consultés qu'avec l'accord de l'employé.

Par un FAI

Le Fournisseur d'Accès à Internet, ne peut pas accéder au contenu d'un Email, même de bonne foi, les sanctions sont plus sévères contre lui (article 432-9 du code pénal au lieu de l'article 226-15 du code pénal).
De plus la loi de réglementation des télécoms n° 96-659 du 26 juillet 1996 (s'appliquant au FAI, arrêts de la Cour d'Appel de Paris du 28 avril 1998) indique clairement que l'opérateur de télécommunication doit respecter le secret de la correspondance privée. (article L 32-1 II.5 du code des PTT)

Décision Tribunal Correctionnel

Application de cet article par le Tribunal Correctionnel de Paris 02/11/2000

International

Un tribunal américain a admis le droit à l'anonymat d'un émetteur d'Email qui contenait un message illégal.

4. Exceptions nécessaires à des fins privées

Comme il faut tout déclarer, les lourdes formalités correspondantes à la CNIL sont une ingérence dans la vie privée.
En effet, théoriquement, toute personne privée doit déclarer son ordinateur à la CNil puisse qu'il y a de nombreux noms dedans, il doit aussi indiquer qu'elles sont ses sources d'informations, à qui il transmet ces informations et la finalité de ces stockage d'informations.
Par conséquent, la Cnil peut savoir tout ce que vous faites de vos données et connaître votre adresse, vos relations alors qu'elle cela est purement privé . La Cnil dispose dans ces conditions d'une importante base de données, qui pourrait, en étant paranoïaque, être détournée de son objectif.
Il est paradoxal de vouloir éviter les abus de fichage par un système qui prévoit encore plus de fichage.
Par exemple, l'accès aux informations détenues par la CNil. concernant une personne fin 2000 ont fait apparaître des enregistrements suite à une plainte datant de 1991 avec son ancienne adresse, Bien entendu, cette personne ne se souvient plus du tout de cette plainte.
Une exception est ainsi prévue par
la directive européenne de 1995 sur les données personnelles (article 3.2, 2ème alinéa) pour les fichiers destinés à des fins personnelles et purement privées.
Cette exception devrait être transposée en droit français

5. Protection données personnelles à l'international

Directive européenne sur la protection des données personnelles

Le texte de cette directive européenne se trouve ici
Cette directive limite les excès de la loi Informatique et Libertés française, notamment en prévoyant des exceptions pour la liberté d'expression, à des fins de création intellectuelle ou audiovisuelle (article 9, considérant 37).
Les traitements à des fins privées ou domestiques sont également dispensés de déclaration (article 3.2 2ème alinéa).

Convention européenne des droits de l'homme, article 8 et 10

L'article 8 de la convention Européenne des droits de l'homme protège la vie privée et la correspondance, par contre, il n'y a pas de droit sur la protection des données personnelles prévu par ce texte.
L'article 10 de la convention européenne des droits de l'homme protège la liberté d'expression.
Cette convention est très intéressante car elle fixe les limites aussi bien à la protection de la vie privée qu'à la liberté d'expression.
Article 8 – Droit au respect de la vie privée et familiale1
Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui.
Article 10 – Liberté d'expression
Toute personne a droit à la liberté d'expression. Ce droit comprend la liberté d'opinion et la liberté de recevoir ou de communiquer des informations ou des idées sans qu'il puisse y avoir ingérence d'autorités publiques et sans considération de frontière. Le présent article n'empêche pas les Etats de soumettre les entreprises de radiodiffusion, de cinéma ou de télévision à un régime d'autorisations.
L'exercice de ces libertés comportant des devoirs et des responsabilités peut être soumis à certaines formalités, conditions, restrictions ou sanctions prévues par la loi, qui constituent des mesures nécessaires, dans une société démocratique, à la sécurité nationale, à l'intégrité territoriale ou à la sûreté publique, à la défense de l'ordre et à la prévention du crime, à la protection de la santé ou de la morale, à la protection de la réputation ou des droits d'autrui, pour empêcher la divulgation d'informations confidentielles ou pour garantir l'autorité et l'impartialité du pouvoir judiciaire.

Convention 108 du conseil de l'Europe

La CNIL considère qu'une durée d'archivage de 5 ans est particulièrement élevé et doit être justifiée selon le type de traitements ou données stockées.
Cela se fonde sur l'article 5e de la convention n°108 du 28 janvier 1981 du conseil de l'Europe

Charte des droits fondamentaux

Cette charte introduit le droit au respect des données personnelles. Mais ce texte n'est nullement contraignant, il est donc inutile.

Etats-Unis : absence de règles contraignantes : juste des vœux pieux

Les Etats-Unis prônent l'autorégulation des acteurs du commerce électronique.
C'est donc la loi de la jungle au détriment des personnes et des consommateurs.
Les exemples multiples montrent qu'il ne faut rien espérer de cette "autorégulation" des acteurs du E-commerce.

6. Menaces sur la liberté d'expression

Conciliation liberté d'expression et protection de la vie privée

A notre sens, dans le cas d'informations à titre d'actualité ou apportant une information légitime au public, dans le cadre d'un débat des exceptions à la protection des données personnelles est donc possible.
La divulgation publique d'informations nominatives est possible, sauf celles qui concernent la vie privée, familiale d'une personne ou sa correspondance ou encore celles qui sont relatives à sa santé.
Cela peut prendre la forme d'un article de presse commentant ces informations.

Absence de droit privatif absolu sur le nom

La loi informatique et liberté n'introduit pour autant aucun droit privatif d'une personne sur son nom, dans la pratique, une personne qui veut voir son nom supprimé devra faire opposition au moyen d'un motif légitime.

Prescription diffamation et injure passe de 3 mois à 3 ans sur Internet

L'article 226-22 du code pénal puni d'un an de prison et 100 000 F d'amende le fait de divulguer une information nominative portant atteinte à la considération de la personne, ou à l'intimité de sa vie privée.
Ce délit correspond exactement à la diffamation ou injure lorsque l'information provient d'un traitement automatisé.
Or lorsque l'information est diffusée sur Internet, il y a traitement automatisé de données et cet article du code pénal s'applique.
Donc en cas d'injure ou de diffamation sur Internet, la prescription normale de 3 ans des délits s'appliquerait.

De plus, certains jugent considèrent que des propos diffusés sur le web sont imprescriptibles car il considèrent qu'il y a acte de publication continue et que la prescription ne court pas à partir de la première diffusion de l'information. Ce débat de la durée de la prescription sur Internet est donc particulièrement critique depuis plusieurs années. Les acteurs attendent une précision législative à ce niveau. Voir affaire Front National contre le réseau Voltaire

Peine maximale de 1 an de prison

Alors que la loi sur la présomption d'innocence a supprimé les peines de prison dans le cas de diffamation et injure par voie de presse, cet article 226-22 du code pénal laisse une peine d'un an de prison pour ce même délit lorsqu'il a lieu sur Internet, ce n'est pas normal.

Risque de tiers invoquant droits privatifs absolu sur leur nom.

Suivant la loi imposant l'information préalable de la personne concernée lors d'un traitement automatisé disant que l'on ne doit pas publier le nom de quelqu'un sans son autorisation préalable, on instaure un droit privatif absolu des gens à voir leur nom diffusé sur Internet.
Cependant la CNIL considère, à juste titre, que le droit à la liberté d'expression de la presse est supérieur sur la loi Informatique et Liberté (notamment dans une procédure judiciaire devant le tribunal correctionnel engagée en mai 2001 par un ancien préfet se plaignant qu'une décision judiciaire le concernant se trouva sur les sites Internet de journaux)
Il nous semble ainsi que la libre communication des pensées ne doit pas imposer des contraintes préalables, quoiqu'il soit normal qu'un journal déclare un directeur de la publication afin d'identifier les responsables en cas de problème.

Obligation de déclaration de site Internet à la CNIL

Alors que l'article 11 de la constitution prévoit que quiconque "peut parler, écrire, imprimer librement, sauf à répondre des abus dans les cas fixés par la loi".
Dans le cas d'Internet, il faut déclarer le site au préalable, ce qui est une formalité préalable à l'expression alors que la constitution prévoit le principe d'absence de formalité préalable et la possibilité de seulement des sanctions en cas d'abus.
La loi Informatique et Libertés étant promulguée et le conseil constitutionnel (a t'il été saisi à l'époque) ne l'a pas censuré, cette formalité reste obligatoire mais on peut regretter cette formalité préalable.
Rappelons que la loi du 1er août 2000 a supprimé la déclaration préalable de site Internet au Procureur de la République et au Conseil Supérieur de l'Audiovisuel.

Obligation de révélation des sources

La loi Informatique et Libertés s'intéresse notamment à la collecte d'information, vous devez déclarer à la Cnil vos sources d'informations et les destinataires de vos informations.
Chacun sait que ce qui est le plus précieux pour les journalistes n'est pas de protéger l'information mais de protéger l'identité de ses sources, informateurs et taupes.
Il est donc paradoxal d'imposer à un journaliste la révélation de ses sources d'infomation lors de la déclaration du fichier à la Cnil ou a posteriori en cas de plaintes, alors que l'article 109 du Code de procédure pénale lui permet de ne pas révéler ses sources
Dans certaines affaires où le nom de personnes était diffusé sur Internet, ces personnes ont réclamé de connaître le nom de l'informateur.

Contradiction protection données personnelles et droit moral sur une œuvre

Le droit d'auteur est composé de 2 composantes principales :
- le droit de reproduction (appelé droit patrimonial), souvent cédé à un éditeur, il a une durée limitée à généralement 70 ans après la mort
- le droit moral de l'auteur sur son œuvre, correspondant au droit de l'auteur personne physique de voir son nom apposé sur l'œuvre et au respect de l'œuvre. Ce droit est perpétuel et inaliénable.
On voit donc que le titulaire du droit de reproduction peut reproduire une œuvre sur Internet s'il a les droits pour un tel mode d'exploitation et qu'il doit mettre le nom de l'auteur sous peine de violer son droit moral et de commettre une contrefaçon.
Cependant, la CNIL considère que toute personne a un droit d'opposition à voir son nom diffusé sur Internet et considère que toute personne doit autorisé au préalable lors de la diffusion d'informations nominatives le concernant.
Le titulaire du droit de reproduction est donc privé de son droit de reproduction : s'il reproduit l'œuvre avec le nom de l'auteur, il viole la loi Informatique et Libertés et s'il ne met pas le nom de l'auteur, il viole le droit moral au nom.
C'est le genre d'aberration intenable qui justifie une révision de cette loi dans le cadre de la transposition de la directive européenne de 1995 sur la protection des données personnelles.

Doctrine Cnil sur l'interdiction de mise du nom d'une personne sans son autorisation préalable

Se fondant sur l'article de la loi Informatique et Libertés sur l'information préalable à la collecte d'informations, la CNIL considère que l'on ne doit pas mettre le nom de quelqu'un sur Internet, sans son autorisation préalable. Cette situation devrait être nuancée, tous les journalistes parlent de tierces personnes sans les avoir même consultées ou averties.

La loi de 1978 en contradiction avec la directive de 1995

Comme cela a déjà été évoqué, la loi de 1978 ne prévoit pas les exceptions à des fins de liberté d'expression prévue par l'article 9 de la directive de 1995.. Il faudrait donc transposer la directive pour protéger la liberté d'expression.
En attendant, cette transposition il nous semble que le justiciable peut invoquer l'article 10 de la Convention Européenne des droits de l'homme comme le fait le considérant 37 de cette directive

Autres droits privatifs prétendument absolus

Rappelons qu'invoquer des droits privatifs absolus est le prétexte favori pour pratiquer de la censure :
cela évite des débats de fond sur la véracité des informations publiées, et de permettre une censure par des procédures expéditives telles que le référé.
Le droit privatif le plus souvent invoqué est celui de la marque : certains marchands voudraient empêcher la simple citation d'une marque.
Voir par exemple l'interdiction du nom de l'opérateur de télécommunications, "Onetel" dans un site de Multimania intitulé "Onetel au royaume des kangourous farceurs" ou l'affaire du site à caractère parodique "ratp.org" fait par des bénévoles tournant en dérision les dysfonctionnements de la RATP, ou encore La Poste et Le groupement Carte Bleue sur la reproduction d'une parodie de carte bancaire.
Plus couramment, le droit à l'image que des célébrités invoquent systématiquement pour n'apparaître que sous des jours favorables et idylliques. Celui-ci est d'autant plus choquant que le droit à l'image est une construction de la jurisprudence ne reposant sur aucun texte, alors que la constitution prévoit que seule une loi peut restreindre la liberté d'expression (Article 11, déclaration de 1789). La personne dont l'image est reproduite ne crée rien, c'est à contraster avec les règles très précises prévues par le code de la propriété intellectuelle. De plus les bénéficiaires "du droit à l'image" en font souvent un commerce éhonté, quel est donc leur droit à l'image ?

Le conseil constitutionnel a confirmé le 23 juillet 1996 que seule la loi pouvait fixer les limitations à la liberté d'expression et que cela ne pouvait pas être délégué au pouvoir réglementaire par voie de recommandations.
De son côté, le Groupement Carte Bancaire revendique un droit privatif absolu sur les numéros de carte bancaire sous prétexte qu'ils sont inscrits sur des cartes bancaires ( ?)
La liberté d'expression a pour objectif de permettre le débat et de rétablir la vérité, ces impostures de droit privatif absolu doivent être dénoncées afin que la vérité puisse être connue de tous et empêcher l'oppression des plus forts qui imposent leur propagande mensongère grâce à leur puissance financière ou à leur influence qui leur a permis d'adopter des lois permettant de faire taire définitivement les contradicteurs.

7. Données personnelles et vie professionnelle

Email

L'employeur ne doit pas consulter le contenu des Email envoyés ou reçus par l'employé.
Pour éviter de telles interceptions, il est conseillé à l'employé d'utiliser une adresse électronique différente de l'adresse professionnelle, (genre adresse chez Caramail ou mieux, adresse Email complètement discrète et sécurisée chez
@hushmail.com)

Une surveillance reste possible

Dans le cadre professionnel, l'employeur conserve la possibilité de surveillance du volume de données échangées par type, à condition d'avoir déclaré le traitement à la CNIL, d'avoir prévenu les salarié et les institutions représentatives du personnel.
Cette surveillance doit se faire sans intrusion dans le contenu, surtout dans le cas de la correspondance privée qui ne peut être violé par des tiers.
Le fait que l'employeur puisse accéder à la liste des adresses Email des correspondants d'une personne parait discutable.

Surf

Si l'employeur interdit le surf à des fins personnelles, il faut noter qu'une surveillance doit être strictement encadrée.
A noter une
décision de justice sanctionnant lourdement IBM qui avait licencié un employé qui aurait consulté des sites pornographiques.

Curriculum Vitae

Les entreprises collectent abondamment des CV lors du recrutement, il n'est pas normal de conserver cette information à l'issu du processus de recrutement, notamment après l'embauche, encore moins de transmettre ce CV à un tiers.
Les abus sont fréquents notamment dans le secteur informatique où il y a pénurie de talents et où il y a de nombreux intermédiaires : SSII, cabinets de recrutement...
Cela provient d'une pratique courante mais totalement illicite de la plupart des sociétés informatiques qui pratiquent la "régie" et constitue une activité de dite de marchandage ou trafic de personnel à but lucratif (interdit par l'article L 125-1 du code du travail) : on achète du personnel pour le revendre plus cher.
La SSII n'apporte aucune valeur ajoutée et se contente d'un simple travail d'intermédiation.
Lorsqu'une personne envoi un CV à une entreprise, il est souvent enregistré à son insu dans une base de données et transmis à des tiers (clients potentiels).
Parfois l'adresse figurant sur le CV est enlevée afin d'éviter que ce tiers ne contacte directement le postulant.
La personne ne sera recrutée que lorsque l'entreprise trouvera une personne sous-employant cette personne
Ces pratiques nous font revenir au siècle dernier.
Cependant, lors de la transmission à des tiers, CV, notamment pratique du marchandage et trafic de personnel dans les SSII
Pour éviter ces abus, Nous vous conseillons par exemple de mettre en bas de page de tous vos CV :
"Copyright 2000 Votre Nom, Diffusion, enregistrement ou exploitation d’informations nominatives interdites"
Pour information, si vous mettez votre CV sur Internet et que vous avez un profil d'ingénieur informaticien expérimenté, vous risquez d'être assailli par les propositions de recrutement et les cabinets de recrutement n'hésiteront pas à vous téléphoner plutôt que de recourir à l'Email.

Consultation de l'activité d'un postulant sur Internet

Quand vous postulez à un poste dans une entreprise, un employeur méfiant peut vérifier à l'aide d'un moteur de recherches que vous n'avez pas eu d'activité "non professionnelles".
Par exemple, si vous avez été condamné pour une infraction et que cela apparaît dans une archive de journal, cela peut être particulièrement préjudiciable.
De même, si vous avez des activités "subversives" (notamment activités syndicales, politiques ou religieuse) cela peut être préjudiciable pour votre embauche.
Bien entendu, l'employeur ne divulguera jamais les vrais raisons de son refus car la discrimination à l'embauche fondée sur les activités syndicales, politique, la religion ou la race est interdite.

Droit à la double identité

L'avocat Maître Ben Soussan a écrit un article pour fonder son droit à la double identité : l'une privée, l'autre professionnelle et suggère de se créer un pseudo pour son activité en dehors du travail car certains employeurs veulent illusoirement que leurs employés leur soient entièrement dévoués 24 h sur 24 et leur esclave.

8. Données personnelles et fournisseurs d'accès

Stockage correspondance adresse IP +heure avec login du connecté

Cela permet de retrouver le nom du connecté
L'abonné doit en avoir connaissance et avoir été informé, ainsi que de la durée de conservation et de l'absence de transmission de ces informations à des tiers.
Cette obligation est prévue dans la version n°24 du projet de convention sur la cybercriminalité.
Par contre, il ne faut stocker plus d'informations que cela : pas de stockage par le FAI du trafic échangé, encore moins le contenu des échanges effectué (sauf commission rogatoire d'un juge d'instruction pour une infraction punie d'une peine maximale supérieure à 2 ans de prison).

Stockage numéro de téléphone appelant

Parfois stockage du numéro de téléphone appelant.
A noter qu'il est possible de transmettre un faux numéro appelant.

9. Données personnelles et hébergeurs

Loi du 1er août : obligation d'identification des hébergés

La loi du 1er août 2000 déresponsabilise les hébergeurs du fait des contenus hébergés.
Cependant, l'hébergeur est tenu de collecter des informations permettant d'identifier l'hébergé et l'hébergé est tenu de donner son nom et adresse.
Cependant, le décret d'application précisant les informations que doit stocker l'hébergeur n'est pas encore publié.

Données transmises à la justice en cas de poursuites

En cas de saisine d'un juge dans le cas poursuites civiles ou pénales, les informations permettant d'identifier l'auteur d'un site seront transmises aux personnes se plaignant.
A noter que les hébergeurs n'hésiteront pas à divulguer ces informations pour s'affranchir de leur responsabilité, ils y sont même tenus en vertu de l'article 10 du code civil qui prévoit que toute personne doit apporter son concours à la Justice.
Voir
décision judiciaire appliquant ce régime

10. Données personnelles et surf sur le web

Le fichier des utilisateurs : le patrimoine des sites vocation commerciale

Alors que la loi Informatique et Libertés prévoit que c'est le citoyen qui est le propriétaire de ses données personnelles et qu'il en a le contrôle.
Les sites à vocation commerciale considèrent que leur patrimoine est leur fichier clientèle avec adresse Email, comportement, etc.
Ces sites n'hésitent donc pas à vendre leur fichier clientèle ou à le louer à des tiers pour des mailings en masse.
Ne nous leurrons pas, derrière une éthique affichée, ces acteurs du commerce électronique font tout pour exploiter ces fichiers et contourner les lois et règlements (s'il y en a).
Ils considèrent donc que les informations personnelles sont leur propriété.

Droit d'accès d'un site à vocation commerciale

Curieusement, alors que l'on ne vous demande jamais de justifier de votre identité quand vous mettez des informations personnelles sur un site, si vous voulez les modifier, les rectifier ou les supprimer, il faudra de justifier de votre identité !

Conseil : mentez !

Faites comme tout le monde, mentez sur votre véritable identité, votre nom, vos goûts, vos revenus, votre catégorie socioprofessionnelle, votre âge, etc.
Sinon, vous serez abreuvé de publicité.
Comme tout le monde, ment, on peut se demander quelle est la valeur des fichiers de ces sites ? Quelle est la fidélité d'un internaute abonné à un service gratuit ?
C'est comme ces fournisseurs d'accès qui revendiquent un million d'"abonnés" gratuit alors que seulement 20 % se connectent une fois dans le mois.

Droit d'opposition

Alors que la loi Informatique et Libertés instaure un droit d'opposition, les marchands refuse ce droit d'opposition
Par exemple pour Ebay France
extrait : "De plus, pour des raisons techniques ou de sauvegarde de nos systèmes, vos données personnelles risquent de demeurer dans nos bases de données pendant quelques années après votre demande de suppression."
Il y a, bien entendu, plein d'autres exceptions, ces sites dérogent à la loi Informatique et Libertés, ils voudraient que l'on adhère à leur "charte de respect de la vie privée".
Ben voyons !
Sur la plupart des sites commerciaux, vous pouvez ainsi toujours protester.

Fichiers de log

Les fichiers de log comportent généralement des adresses IP, il comporte donc des informations nominatives et doit être déclaré même s'il est stocké chez un hébergeur à l'étranger : le responsable du site y a accès.
Le formulaire de la CNIL de déclaration de site Internet permet de déclarer cela facilement.
Il est conseillé de ne conservé les adresses IP que pendant 2 mois maximum, le temps de fabriquer les statistiques mensuelles et de supprimer ensuite toute référence à une adresse IP.
Les statistiques peuvent cependant mentionner des données globales telles que le nombre d'adresse IP différentes par jour.

Cookies

Les cookies sont des informations stockées sur le disque dur lorsque l'on surf sur le Net et permet de conserver le contexte.
C'est parfois dangereux quand ces informations sont envoyées au site et permettent de tracer individuellement un utilisateur d'une connexion à une autre.
Il est ainsi possible de tracer toutes ses activités et de connaître son comportement. Cela sert principalement dans le cadre d'études marketing pour adapter les publicités aux goûts d'une personne mais cela peut avoir des utilisations détournées : par exemple, l'entrée dans un moteur de recherche du nom d'un produit pharmaceutique peut faire croire que la personne est atteinte de cette pathologie.
Cet exemple n'a rien de théorique, il y a déjà eu des abus aux Etats Unis où suite à ces observations des marchands ont transmis ces informations à des laboratoires pharmaceutiques qui ont alors envoyé un Email personnalisé vantant les mérites d'un médicament.
Certains états ont alors adopté des lois interdisant le marketing direct de vente de médicaments, les applications de ces lois ont déjà généré quelques faillites.

Opt in / Opt-out

Sous ce jargon qu'emploie souvent les dirigeants de sites à vocation commerciale.
L'opt-in est le fait qu'une personne voulant recevoir de la pub manifeste son consentement explicite pour cela.
C'est la position légale en France
L'opt-out est le fait que quelqu'un qui ne veut pas recevoir de pub doivent manifester sa volonté, pour recevoir de la publicité de tiers, soit a priori, soit a posteriori.

Sites marchands

Il est particulièrement désagréable, sous prétexte de devoir renseigner son nom et adresse, numéro de carte bancaire pour un achat en ligne, d'être ensuite abreuvé de publicité, de recevoir de la publicité et des informations commerciales hebdomadaires dont on n'a que faire. Alors que l'on a explicitement exclu de vouloir recevoir cela.
Vous noterez que tous ces sites marchands demandent l'adresse Email alors que cela n'a vraiment aucun intérêt pour une livraison de bien physique !

Moteurs de recherche

Ceux ci comportent des risques pour les données personnelles puisque les noms de personnes figurent sur les pages indexées et que de cette façon, il est possible de faire des recherches dans le passé de la personne.
A noter que pour limiter les risques de référencement par les moteurs de recherche, il est possible d'exclure les pages en cause de ces moteurs de recherche.
Supprimer ces pages des moteurs de recherche reste quasiment la seule possibilité de protéger les droits de certaines personnes car les moteurs de recherche sont souvent aux Etats-Unis.

Usenet, newsgroup

Les serveurs Usenet devraient être déclaré à la CNIL puisqu'il contiennent des informations nominatives notamment adresses email, nom de la personne expéditeur, adresse IP et heure d'envoi.
Les noms de personnes peuvent également apparaître dans le contenu des messages.
Dans ce cas pratique, la conciliation de la liberté d'expression et de la protection des données personnelles est difficile. Cependant, la possibilité d'exercer directement le droit de réponse permet de contrer les éventuels affronts.

Forum

Les forums sur le weu doivent être déclarés par le responsable du site à la CNIL.
Il est conseillé de laisser la possibilité de ne pas divulguer l'adresse Email et le nom de la personne aux tiers.

Spyware

Un "spyware" est un logiciel espionnant l'activité de votre PC et envoie des informations à l'éditeur.
Certains éditeurs de tels logiciels revendiquent des millions d'utilisateurs dans le monde !
Ils se cachent parfois avec d'autres logiciels ou des plug-in du navigateur, cela se fait dans la quasi totalité des cas à l'insu de l'utilisateur (qui lit les licences d'utilisation en ligne de 15 pages). Cela a un peu le comportement de cheval de Troyes ou de virus.
Inutile de dire qu'une telle activité est complètement illicite au regard de la loi sr la protection des données personnelles.
Pour lutter contre cela, il faut installer un Firewall, tel que le logiciel Zone Alarm, très simple d'utilisation.
Il existe aussi des plug-in de navigateur qui permettent une surveillance insidieuse de toute votre activité en contrepartie d'un service, par exemple le logiciel Third Voice permet de poster des commentaires sur des sites web, à chaque fois que vous consultez un site, vous interrogez donc la base de données de Third Voice, ce qui permet à Third Voice de savoir quelle page vous avez visité.
Ce logiciel déplaît également à certains responsables de site qui ne veulent pas que l'on fasse des commentaires et qui invoquent l'atteinte à leur droit de propriété intellectuelle (le code HTML du site est modifié pour faire apparaître la présence de commentaires)

Etude comportement

Certaines sociétés d'études marketing constituent des panels et, moyennant une rémunération, ils étudient votre comportement qui est enregistré à l'aide d'un logiciel spécifique.
Pourquoi pas si les gens sont volontaires, ont conscience des risques et si cela est encadré.
Certains fabricants d'ordinateurs proposent aussi des formules quasi gratuites si vous participez à un tel programme "d'étude du comportement".

11. Données personnelles et le spam

C'est celui qui reçoit le message qui paye !

C'est le principal abus du spam : cela ne coûte pratiquement rien d'envoyer un email non sollicité alors que le destinataire doit payer les communications téléphoniques.
Certaines études chiffrent le coût du spam en milliard d'euros par an.

Le spam en perte de vitesse

Cependant, comme ces messages non sollicités sont assez peu efficace et décrédibilise surtout qui les envoi, des ciblages plus fins ont lieur.

Ne pas se demander la suppression de son inscription

Souvent il ne faut pas demander la suppression de son inscription suite à un message non sollicité.

C'est dangereux car c'est la preuve pour l'émetteur que l'adresse Email est valide et est lu par le destinataire, il pourra faire donc d'autres envois en se dissimulant derrière d'autres identités.

Problème de preuve de la collecte

Le fait de recevoir un message non sollicité ne permet pas de déduire systématiquement qu'il y a une collecte illicite ou frauduleuse.

Opposition sur motif légitime

On peut faire opposition à ne plus figurer sur le fichier pour éviter que cette personne n'envoie d'autres messages à l'avenir.
C'est souvent la seule possibilité mais elle est assez peu efficace car les spammeurs changent quasi systématiquement d'identité, et de plus lorsqu'il y a une opposition, c'est considéré comme une preuve de validité de l'adresse qui aura donc plus de valeur et servira plus de fois !

Problème de preuve de l'opposition faite par voie électronique

Bien souvent, l'opposition se fait en ligne, or si de nouveaux envois ont lieu ultérieurement, comment établir que la personne a bien fait opposition ? Quelle est la validité d'une preuve électronique ?

Problème de lien de causalité entre la collecte illicite et l'envoi non sollicité

Si on reçoit un Email non sollicité, ce qui n'est pas a priori interdit, si l'adresse de la personne est publique, comment établir qu'il y a eu une collecte illicite ?
Surtout qu'il est souvent difficile de montrer l'envoi en nombre et d'établir l'origine des données.

Problème d'absence de préjudice

Il faut bien le dire, si les sanctions pénales sont théoriquement très lourdes, les parties civiles ont généralement peu d'intérêt à poursuivre car les dommages et intérêts sont souvent dérisoires.
Cependant, parfois il y a des dommages importants, imaginez que vous partiez en vacances 2 semaines et qu'à votre retour, vous vous rendez compte que votre boite aux lettres de 4 Mo est pleine de nombreux gros messages non sollicités et que vous avez perdu une semaine de correspondance.
Cela arrive fréquemment, surtout pour ceux qui ont l'habitude de recevoir videos ou des images humoristiques

Loi Godfrain sur l'atteinte des systèmes informatiques

L'article 323-2 du code pénal punit les entraves ou les atteintes au bon fonctionnement d'un système de traitement automatisé de données.
Par exemple, dans le cas d'envoi massif de messages électroniques, un serveur de messagerie peut être engorgé et le fonctionnement perturbé et perdre des messages.
Dans ce cas, le spam est directement punissable (si l'intention de vouloir fausser le fonctionnement d'un système informatique est établie). A noter qu'il y a des projets d'évolution de la loi Godfrain.

Risque poursuites arbitraires

Risque d'arbitraire des poursuites contre le spam sur le fondement de la loi Informatique et Libertés. Cela ne doit pas interdire le message personnalisé envoyé à une seule personne.

Les spams pédophiles

Il y a en fait extrêmement peu de vrais messages à caractère pédophile envoyé par courrier électronique, la plupart des fois, il s'agit d'une usurpation d'identité.
Cela procède ainsi : quelqu'un veut nuire à une personne dénommée XYZ@fai.fr, il envoi donc, de façon totalement anonyme (avec des reroutage en Chine ou en Russie par exemple) des messages à plusieurs dizaines de personnes dont il a obtenu l'adresse publiquement et se faisant passer pour XYZ@fai.fr (tout le monde peut mettre l'adresse d'expéditeur qu'il veut)
Ce message contient généralement des allégations comme quoi, l'expéditeur aime beaucoup les petits enfants, qu'il ne comprend pas les poursuites contre les gens comme lui, qu'il dispose d'images et de video de jeunes enfants très intéressants.
Ensuite, non seulement les destinataires envoient de nombreux messages d'insultes au faux émetteur supposé mais ils ont l'obligation (il s'agit de suspicion de mauvais traitements d'enfants) de dénoncer les faits au parquet.
La personne dont l'identité a été usurpée se retrouve donc en plus sur le coup de multiples plaintes au commissariat et éventuellement fiché comme soupçonné de pédophilie sur le fichier des infractions constatées.
Cette pratique est d'autant plus odieuse qu'elle fonctionne de façon quasi systématique.

Lois américaines

Pour lutter contre le spam sous certaines formes, certains états américains ont adopté des lois interdisant par exemple le marketing direct de vente de médicaments à l'aide d'amendes dissuasives. Cela a généré des faillites de certaines officines qui pratiquaient une telle activité à partir d'études de comportement.
Est-ce la bonne méthode ? En tout cas, seule une loi peut restreindre la liberté d'expression et créer de nouvelles incriminations. De plus, il n'est pas possible d'instaurer des amendes automatiques en France : le montant reste à l'appréciation du juge.
Donc avec l'anonymat des messages et la libre circulation des informations par delà les frontières, cela n'a pas beaucoup d'effet.
De façon plus générale, les restrictions nationales à la liberté d'expression sont souvent illusoires.

12. Protection de la vie privée de l'internaute

Anti-virus

Pour éviter les virus, les chevaux de Troyes, les Back-Orifice qui permettent d'avoir le contrôle à distance sur votre ordinateur, n'hésitez pas à vous munir des anti-virus les plus récents.

mise à jour régulière du système d'exploitation et des logiciels

Pour éviter que ne soit exploité les failles connues des logiciels, mettez à jour régulièrement la version de votre système d'exploitation, surtout s'agit de Windows.
Ne manquez pas les mises à jour critiques
Désactivez aussi le partage des fichiers sous Windows

Firewall, Zone Alarm

Installez un firewall, quand vous êtes connecté sur Internet.
Ne croyez pas que cela ne soit pas nécessaire si vous avez simplement une connexion par ligne téléphonique car si quelqu'un se connecte sur votre ordinateur pendant que vous êtes présent, vous ne vous en apercevrez pas.
Nous vous conseillons
le logiciel Zone Alarm qui est extrêmement facile à utiliser et permettra les utilisations sur un ordinateur personnel (sinon pour un réseau d'entreprise, il faut d'autres logiciels plus onéreux et beaucoup plus complexe à installer)
Cela vous permettra d'éviter les piratages à distance et les chevaux de Troyes
Vous pouvez aussi utiliser un logiciel tel que Network Monitor qui verra à quels sites vous êtes connectés et permettra de détecter la présence d'un éventuel Spyware.

Vidage cookies

Pour éviter que votre comportement

Anonimizer, space proxy

anonymizer.com et spaceproxy.com permettent de masquer votre adresse IP réelle aux sites que vous visitez.
Attention, il n'est pas exclu, quoi qu'en disent les promoteurs de ces systèmes qui prétendent protéger de façon absolue votre vie privée, que votre comportement sur Internet et les pages que vous visitez soit archivé et étudié !

Adresse Email reroutée

Vous pouvez utilisez une adresse Email @bigfoot.com par exemple pour ne pas divulguer votre adresse Email de votre fournisseur d'accès et rediriger les messages vers votre adresse Email réelle.
Cela permet également de ne pas être dépendant des fournisseurs d'accès.
Cela ne protège cependant pas contre le spam. Contre le spam, il est conseillé d'utiliser une adresse Email bidon destiné à recevoir ces messages (genre @yahoo.fr ou @caramail.com)

Logiciel de chiffrement PGP, Blowfish, Scramdisk

Ces logiciels permettent de chiffrer des messages, c'est à dire de transformer un texte clair sous forme inintelligible par des tiers.
Pour le chiffrement de messages Email, le logiciel PGP permet cela en s'intégrant directement dans le logiciel de messagerie Outlook Express ou Eudora. Il utilise des techniques de cryptographie à clés publique qui évite d'avoir à partager un secret avec son correspondant, ce qui limite les risques.
BlowFish permet des chiffrements de fichier sous forme symétrique.
Scramdisk permet de chiffrer tout un répertoire d'un disque dur.
Ces outils de chiffrement sont utiles mais généralement ils ne sont pas utilisés systématiquement mais seulement occasionnellement du fait de la lourdeur.

Site web mail sécurisé et discret : hushmail.com

C'est Un système de mail Hushmail.com avec interface sécurisée Java et chiffrement des échanges par l'algorithme réputé incassable IDEA 128 bits (SSL)
Les messages sont lus via une interface web et sont stockés chez hushmail basé aux Antilles dans un paradis fiscal. Ils disent ne pas avoir de fichier de log et qu'il ne leur est même pas possible de lire les messages sur leur serveur car ils sont chiffrés avec une clé dont seul le créateur de la boite aux lettres détient.
Il est donc impossible pour un tiers ne connaissant pas votre mot de passe d'accéder aux messages. Et il n'est même pas possible pour ces tiers de savoir si vous avez reçu des messages.
Cependant, les messages échangés entre Hushmail et d'autres adresses sont transmis en clair.
Ce système est donc particulièrement adapté aux paranoïaques.

Numéros de téléphone cachés, mais pas possibilité téléphone anonyme

Vous pouvez cacher la présentation du numéro de téléphone, mais les autorités pourront toujours, en cas de nécessité, y avoir accès.
De plus certaines personnes arrivent à changer le numéro de téléphone transmis aux tiers.
En France, il n'est pas possible de souscrire un abonnement téléphonique sans révéler son identité.
En Grande Bretagne, il est possible d'acheter un téléphone mobile dans un supermarché sans s'identifier mais il ne sera pas utilisable en France (sauf pour recevoir ou émettre des appels vers la Grande Bretagne).

Paiement à la livraison ou en contre remboursement

Si vous désirez être discret, utilisez le paiement par cash, en l'absence actuellement de système de paiement électronique respectant la vie privée.
Sur Internet, vous pouvez parfois réclamer le paiement à la livraison ou en contre remboursement, ou envoyer un chèque. Cela limite les risques de voir son numéro de carte bancaire réutilisé.

13. Données personnelles et téléphonie mobile

Fadette

La facture détaillée des numéros appelés par une ligne, avec le nom des correspondants, permet d'avoir instantanément connaissance des relations d'une personne.
Cela est possible depuis bien longtemps.

Fadette inversée

La Facture détaillée inversée permet de savoir qui appelle telle ligne téléphonique.

Localisation téléphone mobile

Si vous vous promenez avec votre téléphone mobile allumé, il est possible de suivre tous vos déplacements avec une précision redoutable.
C'est de cette manière que la Justice a pu retrouver les assassins du Préfet Eyrignac en corse.

Fichier commun Préventel des oppositions à la téléphonie mobiles

Il s'agit d'une base de données communes aux trois opérateurs de téléphonie mobile (SFR, Itineris, Bouygues Télécoms).
Les personnes ayant eu un incident de paiement avec l'un des opérateurs sont inscrites sur cette base de données de sorte qu'ils ne peuvent souscrire d'abonnement avec un autre opérateur.
Ce
fichier Préventel est donc une menace et les conditions pour pouvoir être abonné sont de plus en plus rigoureuses.

14. Données personnelles et cartes de paiement

Traçage complet par l'intermédiaire financier

Toutes les transactions par carte bancaire étant connues de l'intermédiaire financier, cela lui sert pour faire des analyses de comportement et cela est transmis fréquemment à la justice ou aux services fiscaux.
C'est également le cas avec les 3
projets de porte-monnaie électronique Moneo, Modeus et Mondex
Alors que le vrai concept de porte-monnaie électronique ne comporte pas d'intermédiaire.

Utilisation de ces données inconnues

Les banques étant totalement opaques, on ne sait pas ce qu'elles font de ces données personnelles.
Elles n'informent même pas du droit d'accès de rectification.
Les refus lors des délivrances de crédit ne donnent lieu à aucun justificatif.
Cependant, des cas d'utilisation discriminatoires ont été recensés.

Numéro de carte bancaire

N'importe qui pouvant payer par correspondance avec le numéro de carte bancaire d'un tiers, ce système de paiement totalement obsolète aurait dû disparaître depuis longtemps.
Cependant, les banques s'enrichissent grâce aux commissions et n'ont aucune garantie financière, ce sont les commerçants qui payent.

Préférer le cash ou d'autres systèmes de paiement

Il est courant, en cas d'enquête judiciaire, d'obtenir la liste des transactions par carte bancaire, ce qui permet de confondre bien souvent des gens coupables de délit ou leur servir d'alibi.

Evasion fiscale

Il ne faut pas oublier non plus que le traçage des transactions est encouragé par les gouvernements à des fins de contrôle fiscal.
Les petits commerçants préfèrent souvent le liquide parce que cela permet de ne pas déclarer une partie importante de leurs revenus.

Scandale de vente aux enchères de numéros de cartes bancaires

Un fichier comportant 3 millions de numéro de carte bancaire a été vendu aux enchères de façon parfaitement légale aux Etats-Unis.
Ce fichier a été constitué par une banque à partir des numéros de cartes bancaires des clients des commerçants affiliés à cette banque.
700 000 personnes avaient été débitées indûment en 1999. Un an de procédure après, l'acquéreur de ce fichier a été condamné à rembourser 43 millions de dollars !
Cet exemple montre bien qu'il est illusoire de compter sur l'"autorégulation" des acteurs américains et l'absence de régulation pour que la protection des individus soit assurée.

15. Données personnelles et lutte contre la contrefaçon

Ce paragraphe traite des problèmes de contrefaçon de droits d'auteur (notamment logiciels et fichiers de musique (MP3), film)
La lutte contre la contrefaçon de droits d'auteur, quoique légitime, ne doit pas être le prétexte d'atteinte illégitime aux libertés individuelles ou à l'intimité de la vie privée en instituant une surveillance.
Si le nom et l'adresse de tous les utilisateurs de Napster était connu et si on connaissait tout de leur activité, il ne pillerait certes pas impunément les oeuvres musicales.
Cependant, faire une telle surveillance ne pourrait se faire qu'avec une information préalable clairement effectuée, dans des cas légitimes.
Ainsi, certaines personnes a accusé Microsoft de récupérer des informations sur le contenu de disque dur à l'aide de son programme "Windows Update", informations qui servirait à Microsoft à lutter contre la contrefaçon en repérant les pirates.
Microsoft a démenti ; Vrai ou faux, de toutes façons, une telle collecte ne pourrait se faire légalement qu'en informant les internautes, or maintenant ce programme indique clairement qu'aucune information n'est envoyée à Microsoft.

Dans un autre cas, on a pu s'apercevoir, qu'un auteur de virus macro sous Microsoft Word, avait été repéré parce que tous les documents Words créé comportent le numéro de série de logiciel.
Or les utilisateurs enregistrés auprès de Microsoft donnent leur nom et adresse à Microsoft
Personne n'avait été averti de cela avant cette affaire.
Donc Microsoft a constitué un fichier (notamment pour la lutte contre la contrefaçon de logiciles) à l'insu des internautes.
Il ne faut pas oublier non plus que certaines personnes mettent des documents Word ou RTF sur le web et Microsoft pourrait, à l'aide d'un moteur de recherche, connaître de façon indirecte les auteurs de ces documents et éventuellement savoir l'origine de la version originale, c'est à dire de connaître comment se diffuse les versions pirates.

Sans faire de la paranoïa, ces exemples montrent les dangers pour la vie privée d'un traçage à des fins de protection de droits d'auteur : les gens n'ont pas conscience que leur activité peut être connue.

Ces craintes sont renforcées par d'autres projets, notamment ceux des producteurs de musique qui veulent imposer leur format propriétaire de compression de musique en remplacement du MP3.
La particularité de ces formats est surtout de ne pas être piratable, on ne pourrait donc s'en servir qu'en se connectant par exemple sur un site web, ce qui permet encore une fois de connaître l'activité de l'internaute.
Cet utilisateur ne pourra pas faire de copie, y compris la copie à usage privée qui est autorisée par la loi et pour lequel il paye une forte taxe en France sur les CD.
Le mélomande devrait également s'acquitter d'une redevance à chaque écoute d'un morceau alors que ce genre de tarification ne semble possible avec le code de la propriété intellectuelle que dans le cas des logiciels (article L 122-5 1 et 2 : copie privée).
Avec cette technique, les producteurs de musiques sauront non seulement combien de fois telle personne écoutera telle musique mais à quelle heure, son adresse IP et lieu de connexion plus les autres informations qu'on lui demandera sûrement (catégorie socio-professionnelles, Email...).
Avec tout cela, le fan d'un groupe sera sûr d'avoir dans sa boite aux lettres un message annonçant la toute nouvelle sortie du dernier tube de ce groupe sans qu'il ait eu besoin de le réclamer.
Bien sûr les personnes tentant de faire de la contrefaçon seront détectables et identifiables, il n'y aura ensuite plus qu'à les poursuivre en justice.
Les garanties face à ces risques semblent faibles, les données seront principalement à destination des Etats Unis qui est un sanctuaire pour les abus de données personnelles.

16. Fichiers sensibles

Liste rouge

Ce fichier comprend les abonnés au téléphone dont le nom n'apparaît et le numéro pas dans les annuaires.

Liste orange

Ce fichier comprend les abonnés au téléphone dont le nom apparaît dans l'annuaire mais dont les coordonnées ne sont pas cédées à des tiers sous forme de fichier numérique par France Télécom.
Cela permet d'éviter de recevoir des publicités non désirées.

Fichiers des infractions constatées

Ce fichier de la police recense toutes les personnes ayant contacté les services de police, que ces personnes soient victimes, témoins, prévenus, personnes soupçonnées ou interpellées.
Bien évidemment, les inscriptions subsistent, même si l'affaire a été classée ou le prévenu a été relaxé.
Ce fichier est particulièrement liberticide : telle personne sera du coup particulièrement soupçonnée car elle figure dans ce fichier.

Fichiers des renseignements généraux

Ce fichier comprend la description des activités de personnes intéressant le gouvernement du fait de leur activité, notamment syndicale, associative, sectaire, militante, que le gouvernement surveille car il considère qu'ils peuvent être une menace ou sont des leaders d'opinion.
Le droit d'accès s'effectue de façon indirecte par l'intermédiaire d'un membre d'un Cnil qui vérifie les inscriptions sur ce fichiers.

Fichier des impôts

Les services fiscaux compilent des informations très précises sur les revenus des contribuables et recoupent cela avec de nombreuses sources.
Le recoupement est facilité par l'utilisation du numéro INSEE national d'identification.
Avec cela, le fisc peut tout savoir sur vous pratiquement.

Il est même possible de prendre connaissance du montant des impôts déclarés par une personne habitant la même ville que vous.

Cela s'appelle la publicité fiscale, mais vous ne devez pas révéler ces informations publiquement.

Fichier du casier judiciaire

Ce fichier recense toutes les condamnations d'une personne. Le droit d'accès est restreint pour les justiciables. Les magistrats du siège et du parquet disposent de l'extrait intégral du casier judiciaire.

Fichier FICP des incidents de paiements et des interdits bancaires

Un établissement de crédit peut inscrire quelqu'un sur ce fichier pour n'importe quel prétexte et vous ne disposerez plus de possibilité de prêts auprès de tous les établissements de crédit !
Pour être retiré de ce fichier, une seule solution : payer l'intégralité des sommes réclamées par un établissement financier.
Les inscriptions sur ce fichier ne font l'objet d'aucun contrôle et c'est un moyen très simple pour que les banques se fassent justice soi mêmes et écrase les gens de tout le poids de leur corporation.

Fichier des banques

Bien souvent les banques classent leurs clients suivant leur comportement obtenu à partir de leur relevé de comptes et prennent cela en compte pour leur attribuer des crédits ou non.
Elles consultent également systématiquement le FICP avant l'octroi d'un prêt et cette information est conservée même lorsque le FICP est régularisé.
De même si une personne fait une demande de surendettement, cette information est conservée par les banques même si la personne abandonne la procédure ou si la demande est rejetée.
Donc même s'il n'y a jamais eu de mesure de redressement ni d'incident de paiement, cette personne sera marquée pendant une durée indéfinie par les banques.

Fichiers de l'état civil

Ces fichiers sont modifiés lors de la naissance, du décès, du mariage, du divorce.
Il existe aussi des fichiers utilisés lors de la délivrance de cartes d'identité et de passeport.
A noter que certains pays comme la Grande Bretagne ne disposent pas de carte d'identité.
Le fichier des pièces d'identité n'est pas du tout accessible pour un tiers, il est donc impossible pour un tiers de vérifier une pièce d'identité. Cela pose notamment un problème avec la
signature électronique, pour lequel les identifications seront faites par des personnes privées.

Fichiers médicaux

La loi instaure le fait que le patient puisse accéder à son dossier médical.
Cependant, les médecins sont souvent réticents à transmettre ces informations.
Pourtant le secret médical a été instauré pour les patients et non pour les médecins.
Les obstacles sont d'ordre corporatiste car les médecins n'hésitent pas à se transmettre les informations médicales des patients entre médecins.
La carte Vitale ne prévoit pas, même en version 2, que les informations médicales sont stockées directement sur la carte (la capacité mémoire est trop faible)
La connaissance de données médicale est très sensible car elle peut engendrer des comportements discriminatoires de la part d'employeurs, d'assureurs sur la vie ou de banquiers.

17. Affaires discutables

Réseau Echelon

Le réseau Echelon est un système anglo-saxon (Etats Unis, Canada, Grande Bretagne, Nouvelle-Zélande, Australie), permettant d'espionner toutes les communications téléphoniques ou sur Internet.
Ces espionnages se feraient non seulement à des fins de défense nationale de ces pays mais aussi pour des raisons d'intelligence économique et transmission de données confidentielles aux grandes entreprises anglo-saxonnes.
C'est bien évidemment un avantage totalement déloyal

Une enquête parlementaire a lieu sur ce sujet :
Rapport d'information de M. Arthur Paecht, déposé en application de l'article 145 du Règlement par la commission de la défense, sur les systèmes de surveillance et d'interception électronique pouvant mettre en cause la sécurité nationale (11 octobre 2000)

Autres liens sur Echelon :
Demande commune de plusieurs organisations afin que soit analysées les effets sur la vie privée des états-uniens (07/06/1999)
Système neuronal Berger-Liaw de reconnaissance de la parole plus rapide qu'une oreille humaine fine en environnement bruyant (30/09/1999)
Article dans ZDnews (29/06/2000)
Analyse de la FAS (Federation of American Scientists) (24/02/2000)

Eglise de scientologie

Dans cette affaire, un ancien membre de l'Eglise de scientologie recevait toujours des prospectus de cette secte et avait fait valoir son droit d'opposition à ne plus figurer dans les fichiers de cette secte, souvent accusé de harceler ses anciens adeptes et de transmettre toutes les informations nominatives dans un gros fichier central aux Etats-Unis.
La secte avait déclaré avoir supprimé le nom de cette personne de ses fichiers.
Cependant, cette personne avait continué à recevoir des prospectus émanant de cette secte. La secte a été perquisitionnée avait alors dit qu'elle avait omis de supprimer le nom de cette personne de tous les ordinateurs, ce qui serait une négligence.
La perquisition dans les locaux de l'Eglise de Scientologie d'ordinateurs parce que cette association n'a pas respecté le droit d'opposition d'un ancien membre à ne pas y figurer semble être un cas pathologique de procédure abusive.
En effet, il est difficile de respecter le droit d'opposition, du fait de la multiplicité d'archives, d'ordinateurs et de fichiers qui peuvent exister.
Cette procédure semble arbitraire car elle vise surtout à remettre en cause une congrégation qui représente des intérêts minoritaires dénoncés par de nombreuses personnes.
Même si les méthodes des sectes sont tout à fait critiquables, on ne peut que remarquer le caractère arbitraire de poursuites effectuées sur ce fondement.

Abus en Suède contre des militants de la lutte contre les fourreurs d'animaux

Un abus de ces lois de protection des données personnelles s'est déjà fait jour en Suède dans une affaire où ont été condamnés des militants ayant mis le nom de producteurs de fourrure sur Internet.

Abus en France

Nous avons déjà vu des cas similaires en France où des sites ont dû retirer des noms de personnes apparaissant dans le cadre d'une enquête sur les relations entre dirigeants d'entreprise.

18. Conclusion

Comme on l'a vu la loi Informatique et Libertés est un rouleau compresseur. Alors que les principaux risques proviennent de l'utilisation commerciale des fichiers, cela se fait généralement à l'insu complet des personnes et ces dernières sont souvent complètement démunies.
La faible jurisprudence semble provenir de la méconnaissance de leurs droits par les usagers, du caractère occulte de certaines collectes et traitements, du sanctuaire que constitue les pays anglo-saxons pour les abus dans le traitements des informations nominatives.
Il est vrai que la complexité du droit et des technologies et le manque de caractère probant des données informatiques ne facilitent pas les procédures.
Cela rend bien souvent l'application de cette loi particulièrement arbitraire, notamment quand cela bafoue la liberté d'expression et est dirigé contre des militants pour combattre leurs actions.
Il faut donc recentrer cette loi contre les atteintes véritables à la vie privée et les exploitations commerciales détournées de ces informations nominatives.
Il faut espérer que la loi qui sera débattue en 2001 pour transposer la directive européenne de 1995 adopte ces adaptations nécessaires.

19. Liens

Cnil

Site de la Commission Nationale Informatique et Libertés

Directive européenne

Directive 95/46/CE qui devait être transposée en 1998 en droit français

Conseil de l'Europe

Convention à propos de la protection des personnes à l'égard des traitements de données à caractère personnel

Professeur Palme

Etude suédoise sur la directive européenne sur la protection des données personnelles. Met en évidence les risques pour la liberté d'expression.

Big Brother Awards

Récompense chaque année les fichiers les moins respectueux de la vie privée.

Retour page d'accueil parodie.com