Internet – Les atteintes aux libertés

Internet

Libertés individuelles et publiques et atteintes aux biens

Coopération judiciaire pénale : vers un casier judiciaire européen…

Un projet de décision-cadre du 31 janvier 2008 propose d’instaurer un modèle type de demande d’antécédents judiciaires traduit dans les différentes langues de l’Union européenne, en s’inspirant du modèle élaboré dans le cadre des instances Schengen. Il s’agit d’améliorer les échanges d’informations entre les Etats membres sur les casiers judiciaires des personnes physiques. Mais à terme cela pourrait aussi concerner les personnes morales. La proposition n’exclut pas cette possibilité en énonçant en effet que « le fait que la présente décision-cadre ne s’applique qu’à la transmission d’informations extraites du casier judiciaire qui concernent des personnes physiques ne devrait pas préjuger d’une extension future éventuelle du champ d’application du mécanisme mis en place par le présent instrument aux échanges d’informations concernant des personnes juridiques ».

Cette proposition est en attente de décision finale au Conseil ou de signature. Rappelons qu’une décision-cadre est un texte qui a une certaine valeur juridique puisqu’elle lie les Etats membres quant au résultat à atteindre mais les laisse libre quant aux moyens pour y parvenir.

Proposition de décision-cadre CNS/2005/0267

Des précisions sur la mise en œuvre du droit de réponse en ligne

Une ordonnance de référé du 19 novembre 2007 du TGI de Paris, saisi à la suite du refus par l’association UFC-Que-Choisir de publier un droit de réponse sur son site, vient préciser les conditions d’application des dispositions du décret du 24 octobre 2007 relatif au droit de réponse applicable aux services de communication en ligne.

L’article 1 de ce décret dispose que la procédure du droit de réponse « ne peut être engagée lorsque les utilisateurs sont en mesure, du fait de la nature du service de communication au public en ligne, de formuler directement les observations qu’appelle de leur part un message qui les met en cause ». UFC-Que-Choisir estimait en conséquence que son site étant doté d’un forum de discussion, les demandeurs, qui avaient la possibilité de s’exprimer sur ce forum, ne pouvaient exiger un droit de réponse. Mais, au cas d’espèce, ce texte a été jugé inapplicable car les textes litigieux se trouvaient au cœur de la partie rédactionnelle du site et sur sa page d’accueil, et non sur son forum de discussion. Ainsi, l’article 1 du décret doit-il faire l’objet d’une application stricte et seulement dans le cas de propos publiés sur un forum.

Cependant, la demande d’insertion a été rejetée car non conforme aux prescriptions de l’article 2 du décret qui impose notamment que les passages contestés par le titulaire du droit de réponse soient précisément identifiés par la demande d’insertion.

TGI de Paris 19 novembre 2007

Fixation des modalités du droit de réponse sur internet

Le décret du 24 octobre 2007 apporte des précisions indispensables à l’exercice du droit de réponse sur internet. Il est toutefois porteur en lui-même d’un certain nombre d’interrogations voire de difficultés quant à sa mise en oeuvre effective.Rappelons à cette occasion que les principales nouveautés de cette loi visent à consolider la lutte contre la contrefaçon en renforçant les procédures accélérées devant les juridictions civiles, en facilitant l’obtention d’informations sur les réseaux de contrefaçon et en améliorant la réparation du préjudice des victimes de la contrefaçon.

Il précise les modalités du droit de réponse au bénéfice des personnes nommées ou désignées dans un service de communication au public en ligne institué par l’article 6 IV de la loi du 21 juin 2006 dite loi pour la confiance dans l’économie numérique. La demande d’exercice du droit de réponse, le cas échéant de suppression ou de rectification, est à adresser par lettre recommandée avec AR au directeur de publication du service en cause.Ce dernier est tenu d’insérer gratuitement dans les 3 jours suivant sa réception, la réponse, sous peine d’une amende de 3 750 euros. La demande doit indiquer notamment : les références du message, le nom de son auteur s’il est indiqué, sa nature (écrit, son ou images), la mention des passages contestés et la teneur de la réponse sollicitée.

La réponse quant à elle, doit prendre la forme d’un écrit limité à la longueur du message litigieux, être mise à la disposition du public dans des conditions similaires à celles de ce dernier et durant la même période. Le présent décret soulève toutefois des difficultés. En particulier, son application pourrait se heurter au droit à l’anonymat des éditeurs personnes physiques de sites internet.Dans ce cas là il faudra sans doute s’adresser aux hébergeurs qui en application de ce décret ont l’obligation, dans un délai de 24 heures, sous peine d’une contravention de 4e classe, de transmettre la demande de droit de réponse à l’éditeur conformément aux éléments d’identification personnelle qu’ils détiendraient. En outre, le droit de réponse ainsi institué risque de voir son domaine d’application réduit car il ne s’applique pas lorsque le demandeur peut formuler directement des observations sur le service de communication au public en ligne.

Décret n° 2007-1527 du 24 octobre 2007

Le titulaire du nom de domaine d’un site n’est pas nécessairement l’éditeur du site

En l’absence d’indication figurant sur un site internet, il n’existe pas de présomption selon laquelle l’hébergeur qui fournit un service « clé en main » (hébergement du site et enregistrement du nom de domaine) est l’éditeur du site internet qu’il héberge. Dans une ordonnance de référé du 18 septembre 2006, le Tribunal de grande instance de Paris avait jugé qu’un hébergeur invoquait en vain les dispositions de l’article 6 de la loi du 21 juin 2004 sur la confiance dans l’économie numérique, pour échapper à sa responsabilité en matière de contenus illicites, en l’occurrence de diffusion, sans autorisation de la personne, de clichés photographiques sur des sites internet à caractère pornographique. Le juge a considéré qu’en l’absence d’indication sur le site internet permettant aux utilisateurs d’en connaître l’éditeur, l’hébergeur étant propriétaire du nom de domaine utilisé, doit répondre du contenu de ce site en qualité d’éditeur « par défaut ». Cela revient à dire qu’en l’absence d’indication figurant sur un site internet, le titulaire du nom de domaine est nécessairement l’éditeur de ce site. Or, ni le code du commerce, ni le code des postes et des communications électroniques, ni la loi pour la confiance dans l’économie numérique, ni aucun autre texte législatif ou réglementaire n’établit une telle présomption. C’est donc de sa propre initiative que le tribunal a défini une telle présomption. Lors de son appel, l’hébergeur a notamment objecté que le tribunal n’avait pas usé de la latitude qui lui était faite de requérir la communication auprès de l’hébergeur, des données de nature à permettre l’identification de l’auteur des pages illicites et avait manqué à l’obligation de prudence imposée par la loi pour créer une présomption. L’arrêt rendu par la Cour d’appel le 30 mars 2007 tend à confirmer l’analyse développée par l’hébergeur. La Cour a en effet jugé que celui-ci était un prestataire technique et l’a mis hors de cause.

TGI Paris 18 septembre 2006

La Cnil prononce un avertissement public à l’encontre de Free

La Cnil a adresser un avertissement public à la société Free SAS pour avoir manqué à son obligation de sécurité en transmettant par erreur aux éditeurs d’annuaires et aux services de renseignements téléphoniques, le fichier des abonnés inscrit sur la « liste rouge ». En tant qu’opérateur de services de communications électroniques, au sens de l’article L. 33-1 du Code des postes et des communications électroniques (CPCE), le fournisseur d’accès Free a l’obligation de mettre à la disposition des éditeurs d’annuaires des abonnés, et des services de renseignements téléphoniques, les coordonnées de ses abonnés qui ne se sont pas opposés à leur diffusion (art. L. 34 du CPCE), à l’exclusion des abonnés inscrits sur une liste d’opposition. Or à la suite d’une erreur de programmation informatique, elle a transmis aux éditeurs, au cours du mois d’avril 2006, une liste comportant les coordonnées de plus de 120.000 personnes qui avaient demandé à ce que leurs coordonnées ne paraissent pas dans les annuaires.

La Cnil a considéré qu’il s’agissait d’un manquement aux dispositions de l’article 34 de la loi du 6 janvier 1978 modifiée en août 2004, qui dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Elle a, par délibération n° 2006-177 du 28 juin 2006, mis en demeure la société Free SAS d’apporter toute garantie que l’incident ne se reproduira plus. Elle n’a pas infligé de sanctions pécuniaires mais elle a choisi un autre moyen d’action dissuasif, celui de l’ « avertissement public », prévu par l’article 45 de la loi. Les avertissements publics sont publiés dans le rapport annuel de la Cnil.

Délibération n°2006-208 du 21 septembre 2006

L’atteinte aux systèmes d’information : une menace bien réelle

Un informaticien a été sévèrement condamné pour accès frauduleux et entrave au fonctionnement de systèmes informatiques. Il a pris le contrôle du serveur d’une société à partir duquel il a lancé des attaques systématiques vers des centaines de sites gouvernementaux pour soit disant « explorer leurs failles ». Pour cela, il a introduit dans le serveur divers programmes lui permettant de contrôler le serveur à distance. Il a ensuite introduit la liste des cibles choisies, ainsi que sa revendication, un message d’alerte aux administrateurs sur l’insécurité de leur système. Au total, 394 serveurs gouvernementaux (dont le serveurs du Casier judiciaire national) ont été attaqués et 63 autres serveurs publics ou privés (sites d’entreprises ou de grandes écoles). Le tribunal correctionnel de Paris a fait preuve d’une certaine exemplarité, car les faits n’ont pas eu de conséquences dramatiques. L’auteur des attaques a été condamné, au titre de la loi Godfrain, sur la fraude informatique (notamment accès frauduleux et entrave au fonctionnement d’un STAD), à quatre mois de prison avec sursis avec inscription au casier judiciaire, ainsi qu’à indemniser les parties civiles à hauteur de 1500 € chacune. Cette décision illustre la capacité des tribunaux à apporter une véritable réponse judiciaire à ce type de criminalité et doit inciter les entreprises victimes à porter plainte pour être indemnisées.

TGI Paris, 12e ch., 02 juin 2006

Téléchargement illégal : une relaxe pour non respect de la loi informatique, fichiers et libertés

Un internaute poursuivi par les sociétés d’auteurs et de producteurs (*) pour téléchargement illégal (plus de 12 000 chansons) a été relaxé le 14 décembre 2006 par le tribunal correctionnel de Bobigny. Mais l’originalité tient moins à la relaxe elle même qu’au motif retenu par le tribunal : l’ensemble de la procédure pénale a été annulée car l’agent assermenté de la SACEM a collecté et conservé les données personnelles de connexion et l’adresse IP de l’internaute sans avoir obtenu au préalable l’autorisation de la CNIL. C’est la toute première fois que la justice invoque ce point dans une affaire de téléchargement illégal.

(*) SDRM : Société pour l’administration du droit de reproduction mécanique, créée à l’initiative de la Sacem (société des auteurs et compositeurs)

SCPP/SCPP : Société Civile pour l’exercice des droits des Producteurs Phonographiques

SPPF : Société civile des Producteurs de Phonogrammes en France

Saturer un serveur internet : une attaque sévèrement sanctionnée

Le jugement rendu en mai 2006 par le tribunal de grande instance de Paris en matière de fraude informatique mérite d’être signalé car ils sont assez rares en la matière faute de plainte. En l’espèce, l’exploitant d’un site portail commercial spécialisé dans le divertissement à caractère pornographique avait fait l’objet de plusieurs attaques de type déni de service, destiné à altérer le fonctionnement du site par une saturation de requêtes ; en l’espèce, une fonctionnalité d’un outil de transfert de données avait été utilisée pour démultiplier les appels. Ces attaques avaient fini par entraîner la paralysie totale des services entraînant un préjudice évalué à 89 000 €. Une expertise technique a permis d’analyser et de dater les attaques perpétrées par le gérant d’une société concurrente et son associé. Ces derniers ont reconnu les faits et ont été respectivement condamnés à 5 000 € d’amende pour « entrave au fonctionnement d’un système de traitement automatisé de données » (C. pén. art.323-2). Ils ont également du indemniser la société victime de la fraude informatique pour la mobilisation des ressources humaines (9 600 €), l’atteinte à l’image (3 000 €) et les frais de procédure encourus (1 000 €).

TGI Paris 19 mai 2006

Vol d’identité d’une personne physique et phishing

Un salarié qui avait envoyé un message électronique de nature diffamatoire en utilisant l’identité d’un de ses collègues à plusieurs ingénieurs de son entreprise, a été poursuivi sur le fondement de l’article 434-23 du Code pénal réprimant le fait de prendre le nom d’un tiers pour commettre une infraction pénale. Se faisant, il se livrait à une technique de fraude bien connue de l’internet : le phishing. En septembre 2005, la Cour d’appel de Colmar a considéré que les termes du message électronique avaient un caractère diffamatoire envers celui dont l’identité avait été usurpée et auraient pu déterminer des poursuites pénales contre lui, notamment « l’inscription d’une condamnation au casier judiciaire d’un tiers réellement existant ». Elle a donc déclaré l’employé coupable du chef de prise du nom d’un tiers pour déterminer des poursuites pénales contre lui et a prononcé contre lui une peine d’emprisonnement de trois mois avec sursis.

La chambre criminelle de la Cour de cassation ne l’a toutefois pas suivi dans sa démarche. Dans un arrêt du 29 mars 2006, elle a au contraire considéré que la cour d’appel avait insuffisamment caractérisé et qualifié les éléments, tant matériels qu’intentionnel, du délit de diffamation, notamment le contenu du message diffusé sous une fausse identité. Les poursuites pour diffamation exigent en effet que puisse être identifiée de manière précise la victime de la prétendue diffamation ce qui n’était semble-t-il pas le cas en l’espèce. La cour d’appel s’étant abstenue « de rechercher si le message électronique sous la signature d’André Y… [celui dont l’identité avait été usurpée] était susceptible de conduire à l’identification d’une personne précise, autre que sa propre personne, ont entaché leur décision d’un manque de base légale ». La Cour de cassation a dû partiellement annuler l’arrêt et n’a donc pas eut la possibilité de sanctionner la pratique du phishing sur ce fondement. Pour être sanctionnée, l’usurpation d’identité doit en effet entraîner à l’égard de l’usurpé des conséquences pénales.

Cass. crim. 29 mars 2006, n° de pourvoi : 05-85857

Phishing et vol d’identité, Alain Bensoussan, 01 Informatique du 07 juillet 2006

La prospection commerciale a l’insu des internautes est illicite

Les e-mails figurant dans les espaces publics de l’internet ne peuvent être collectés à des fins de prospection commerciale à l’insu des internautes. C’est ce qui vient d’être confirmé par la Cour de cassation qui estime que la capture des informations en cause a été opérée par un moyen illicite, et en tout cas déloyal, à la fois par détournement des adresses mises en ligne et par l’absence de consentement au traitement des personnes titulaires de ces adersses. Une adresse électronique étant une données consistant notamment à utiliser leur adresse électronique à des fins de prospection commerciale.

Cass.crim. 14 mars 2006, N°de pourvoi 05-83423

Les weblogs d’agents publics

Les weblogs sont des sortes de journaux intimes publiés sur le web. Ils offrent la simplicité, la convivialité, la possibilité de publier et d’échanger sans contrainte technique et sans être un spécialiste des langages du web. Les blogs se développent ainsi à la vitesse grand « B » qu’il s’agisse de blogs personnels ou de blogs professionnels. Les collectivités territoriales et le monde politique n’est pas en reste qui compte nombre de blogs de Maire, Président de Conseil généraux ou régionaux. En cette matière nouvelle, la prudence est de mise car en ce qui concerne les agents publics, la liberté d’expression dans la fonction publique est limitativement encadrée par une obligation générale de neutralité et de réserve interdisant aux agents publics de publier des propos susceptibles de porter atteinte à la dignité des fonctions qu’ils exercent et plus généralement aux pouvoirs publics (par exemple, des critiques visant des supérieurs hiérarchiques ou des administrations).

Cette méfiance s’impose d’autant plus face au problème des « contributeurs », c’est-à-dire de ceux qui « publient » sur le blog d’un tiers leurs propres commentaires, posant ainsi la question du partage ou non de responsabilité entre le bloggeur et son « invité ». Dès lors que les propos peuvent porter atteinte à l’obligation de neutralité ou même à leur devoir de réserve, la participation des agents publics à des listes de discussion, à des forums, à des sites internet est condamnable. Ce qui n’est pas le cas de « critiques d’ordre très général » publiées par un agent public hors de son service, sur le site d’une association et sous un pseudonyme(1). Ces principes s’appliquent aux blogs. Au sens de l’article 6 de la loi pour la confiance dans l’économie numérique, un blogueur est un « éditeur de service de communication publique en ligne ». S’il n’a pas d’obligation générale de surveillance, il doit néanmoins réagir dès qu’il a connaissance d’un contenu litigieux et/ou qu’il reçoit une notification. Il doit aussi prendre une part active à la lutte contre la diffusion de contenus illicites puisqu’il doit rendre public les moyens qu’il consacre à la lutte contres les activités illicites.

(1) TA Dijon,17/11/2003.
Paru dans la JTIT n°39/2005 p.3

L’Europe a adopté une proposition de directive sur la rétention des données de trafic

A la suite du projet de décision cadre sur la rétention des données, la proposition de la Commission européenne vise à une harmonisation au sein des Etats membres des obligations du fournisseur d’accès ainsi que des réseaux de télécommunications publics en conservant les données liées au mobile ou à la téléphonie fixe pour une période de un an et les données de communication internet pour une période de six mois. Cette proposition de directive inclut une disposition assurant que l’ensemble des acteurs sera remboursé du coût induit par la conservation de ces données.

Proposition de directive sur la rétention des données de trafic: fiche de procédure

La diffusion de sondages d’opinion en période préélectorale

Ayant autorisé sur le site de Libération un lien hypertexte permettant d’accéder à un site étranger sur lequel étaient diffusés des sondages interdits à la publication en France en période préélectorale, le directeur de publication s’était vu accusé d’infraction aux dispositions de la loi du 19 juillet 1977. Pourtant, le tribunal de grande instance n’a pas confirmé cette position en soulignant la différence existante entre la publication ou la diffusion de sondage strictement encadrées par le Code électoral et l’aide à la prise de connaissance de ces mêmes sondages qui n’est pas réprimée par la loi pénale. Marquant une délimitation nette de l’élément matériel retenu pour qualifier l’infraction en question, les juges ont permis de clarifier le comportement que peuvent adopter les médias en période préélectorale.

TGI Paris 17e ch., 15 décembre 1998

Loi n°77-708 du 19 juillet 1977

Article L90-1 du Code électoral

Article L52-1 du Code électoral

La diffusion de photographies strictement privées sans l’accord de la personne concernée

L’affaire mettait en scène un prestataire qui hébergeait anonymement, sur le site qu’il avait créé et qu’il gérait, la diffusion de photographies strictement privées représentant le célèbre mannequin Estelle H. dénudé. Constatant l’urgence de la situation, le tribunal de grande instance a ordonné que toute diffusion des photos soit rendue impossible et ce, en attendant une décision au fond du juge statuant sur la responsabilité de l’hébergeur. Les photographies n’étant plus accessibles et les mesures du juge des référés étant de fait difficiles d’exécution, la cour d’appel n’a pas reconnu la validité de ces dernières.

En outre, l’hébergeur qui dépasse manifestement le rôle d’un simple transmetteur d’informations et de surcroît exerce une activité rémunératrice d’une certaine ampleur se doit d’assumer à l’égard des tiers les conséquences de l’activité portant préjudice à ces derniers. Cette orientation qu’ont pris les juges dans cette affaire permet d’alerter les hébergeurs qui auraient, dans certaines circonstances, une obligation de contrôle. Cependant, le droit communautaire, ainsi que la loi pour la confiance dans l’économie numérique, sont venus réformer le statut de ce type de prestataire et indiquer plus clairement les droits et obligations de ceux-ci.

CA Paris, 10 février 1999

Loi n°86-1067 du 30 septembre 1986

Article 9 du Code civil

L’introduction frauduleuse de données pirates dans un système

Après avoir introduit un programme « sniffer » dans un serveur en vue d’obtenir un accès gratuit à internet, un délinquant informatique fut poursuivi devant le Tribunal de grande instance de Paris. Ne pouvant retenir le délit de vol à l’égard de l’utilisation sans autorisation des codes d’accès, ces derniers n’étant pas des choses matérielles, le tribunal a cependant relevé la constitution d’un délit d’escroquerie, d’un accès et d’une introduction frauduleuse de données dans un système de traitement automatisé.

TGI Paris 1e ch., 16 décembre 1997

Article 313-1 du Code pénal

Article 313-3 du Code pénal

Article 323-1 du Code pénal

Article 323-3 du Code pénal

La prescription des infractions de presse commises sur internet

La fameuse prescription de trois mois concernant les délits de presse prévue par l’article 65 de la loi du 29 juillet 1881 pose nombre de problèmes, à différents degrés, en ce qui concerne les sites internet qui diffusent des textes à caractère raciste. Le point de départ de l’action doit être fixé à la date du premier acte de publication puis, en cas de nouvelle publication, la prescription doit être fixée au jour de chacune des publications nouvelles. En décidant de rendre son site accessible par une nouvelle adresse, plus courte, le prévenu avait créé un nouveau mode d’accès et qui plus est permettant d’accroître le nombre d’internautes. Les textes sont alors considérés comme réédités, la prescription de l’action publique n’est donc pas acquise. Adoptant une attitude aussi sévère à l’égard des « délinquants du monde de la presse», la loi Perben II a rallongé le délai de prescription à un an à compter de la première publication pour les auteurs de propos racistes ou négationnistes.

CA Paris, 11e ch. sect. B., 29 janvier 2004

Retour en haut