@ccueil / actualité / jurisprudence / chroniques / internautes / professionnels / universitaires

Partie I - Des données exposées


  1. Marché de libre échange informationnel, et plus récemment de libre échange commercial1, Internet est un lieu d’activités qui demeurent soumises à de nombreuses réglementations, malgré l’impression de liberté apparente qui règne sur le Réseau. S’il est vrai qu’Internet n’est pas régulé par une loi spécifique créée pour lui, les lois nationales existantes telles que, en France, les lois relatives à la protection du consommateur2, à la fraude informatique, à la réglementation des télécommunications, ont vocation à s’appliquer aux opérations effectuées par le réseau. A cet égard, les opérations effectuées sur Internet entrent dans le champs de la définition d’un traitement automatisé d’informations nominatives.

  2. En janvier 1996, quelques jours après la mort de François Mitterrand, le docteur Gübler, ancien médecin personnel du président, et M. Gonod, journaliste, publiaient leur livre sur la maladie de François Mitterrand. En référé, la famille Mitterrand obtint que soit ordonné le retrait du livre de la vente pour atteinte à sa vie privée et violation du secret médical. Peu de temps après, le gérant d'un cybercafé à Besançon scannait le livre et la mettait sur son site Web au nom de la liberté d'expression. Quelques jours plus tard, le site était fermé, pour une raison juridiquement étrangère à la question, mais le livre avait déjà été reproduit sur des sites situés à l'étranger. Ni la famille Mitterrand, ni l'éditeur, ni les auteurs du livre ont assigné le gérant du cybercafé. Les médias ont faussement présenté la situation comme relevant du vide juridique : reproduire un livre et le mettre à disposition du public sans autorisation est une contrefaçon, un délit réprimé en France et dans de nombreux pays. En diffusant le livre sur son service, le gérant du cybercafé a également porté atteinte à la vie privée de la famille Mitterrand, et au secret médical.

  3. L’application des différentes réglementations concernant les données personnelles à Internet ne fait plus aucun doute3 . En 1995, la Cnil s’est prononcée sur la diffusion d’annuaires professionnels de chercheurs (Institut Physique du Globe de Paris, Institut de Physique Nucléaire de Paris)4. Elle a posé des conditions strictes à la mise en ligne des données figurant sur les annuaires, alors même qu’il s’agissait de données d’ordre strictement professionnel. Dans une affaire récente5, le tribunal de Privas s’est prononcé sans équivoque sur l'applicabilité de la loi “Informatique, fichiers et libertés” aux images numérisées diffusées sur Internet. Cette décision s'inscrit dans la logique de la loi du 21 janvier 1995 qui avait donné un cadre juridique à la vidéosurveillance. Tout en affirmant que les enregistrements visuels de vidéosurveillance ne sont pas considérés comme des informations nominatives, ce texte avait admis la compétence de la loi du 6 janvier 1978, en cas de constitution d'un fichier nominatif. Rappelons qu'au sens de l'article 4 de la loi de 1978 : “Sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent”. La Cnil s'était par ailleurs prononcée pour l'admission des images dans le champ d'application de la loi dans son rapport “Voix, image et protection des données personnelles”. Dans cette affaire, un étudiant en informatique, qui avait voulu se venger d'une petite amie, avait diffusé sur Internet, depuis son ordinateur installé à son domicile, des photos à caractère pornographique la représentant. Retouchés numériquement, ces clichés avait été accompagnés d'un commentaire sur ses moeurs. Le tribunal de Privas a estimé qu'il avait mis et conservé en mémoire informatique des données nominatives faisant apparaître “directement ou indirectement” les moeurs, sans accord express de l'intéressée, acte sanctionné par l'article 226-19 du code pénal. Alors que les pages avaient été bloquées deux ou trois jours après leur diffusion, les juges ont prononcé une sentence exemplaire à l'encontre de l’étudiant. Celui-ci se voit en effet condamner à huit mois de prison avec sursis, 5 000 F. d'amende et 20 000 F. de dommages-intérêts à verser à la victime, pour préjudice moral.

  4. Par une délibération n° 97-009 du 4 février 19976, la commission a examiné une demande d'avis relative au site Internet du Premier Ministre et du gouvernement7. Cette demande d'avis a été l'occasion pour la Cnil de préciser sa doctrine relative à la mise en ligne de sites Internet. Concernant les forums de discussion (ou newsgroups8), la Cnil a considéré que ces espaces de discussion pouvaient conduire à la collecte et à la diffusion d'informations nominatives relatives aux contributions. Les utilisateurs du site doivent donc être informés de sa finalité, de ses règles de fonctionnement ainsi que des mentions prévues à l'article 27 de la loi du 6 janvier 1978, sur le droit d'accès et de rectification. Concernant les boîtes aux lettres électroniques, les utilisateurs doivent êtres avertis des risques relatifs au secret des correspondances transmises sur Internet, et le cas échéant, un message destiné à dissuader d'utiliser ce médium pour des courriers de nature personnelle doit figurer à titre d'avertissement. Enfin, dans le cadre de la mise en œuvre des procédures de sécurité, reposant en particulier sur l'examen des fichiers des connexions des utilisateurs, la durée de conservation desdites informations doit être limitée à celle nécessaire pour assurer la sécurité du site. Cette doctrine trouve une illustration dans la décision9 du Conseil supérieur de l’audiovisuel (CSA) relative à la création d’un site Internet. Le CSA, dans ses visas, mentionne expressément la loi de 1978, le décret du 17 juillet 1978 pris pour application de la loi, et l’avis de la Cnil en date du 9 mars 1998. L’article premier de la décision du CSA dispose qu’ « il est créé par le Conseil supérieur de l’audiovisuel un site d’information accessible par le réseau Internet comportant des traitements automatisés d’informations nominatives dont les finalités sont : l’information du public sur les membres et les services du Conseil supérieur de l’audiovisuel, la mise à disposition des utilisateurs du site d’un espace de discussion (forum) sur des thèmes liés à la régulation audiovisuelle, la possibilité offerte aux utilisateurs d’adresser du courrier électronique au Conseil supérieur de l’audiovisuel ». Le dispositif de protection fonctionne à l’égard des membres du CSA dont les données (même professionnelles, aux termes des deux avis de la Cnil de 1995 précités) sont qualifiées de nominatives, mais aussi à l’égard des internautes, utilisateurs du site, soit par leur participation au forum de discussion, soit par l’envoi de courriers électroniques au CSA. Il y a là une stricte application des recommandations de la Cnil.

  5. La très grande diversité des données qualifiables, sur Internet, de personnelles accompagne une très grande diversité des utilisations possibles. La constitution de fichiers de données informatiques à caractère personnel est très aisé sur Internet : informations relatives aux clients, contacts occasionnels ou internautes ayant laissé leurs coordonnées dans des “livres d’or”10, sont enregistrées, stockées et analysées. Des profils de consommation sont constitués. Si le droit n’interdit pas la constitution de tels fichiers, il réglemente en revanche strictement les conditions dans lesquelles ils peuvent être constitués. La Cnil soulignait dans son rapport d’activité pour 199611 que « c’est la montée en puissance de l’Internet commercial qui stimule abondamment les pratiques d’identification des internautes, dans le but de meilleure connaissance et de fidélisation de la clientèle des services en ligne. De fait, le chiffre d’affaires de la publicité sur le réseau devrait tripler entre 1996 et 1997 et des estimations indiquent qu’à l’heure actuelle, sur les 7000 sites français du “Web”, de nombreux sont déjà porteurs de messages publicitaires ». Deux ans après, ces chiffres sont déjà largement dépassées, mais le paradigme est toujours le même. Nous avons donc choisi d’opérer une classification, certes artificielle, mais qui a le mérite de mettre en relief trois grandes “familles” d’usages qui représentent des situations à risque. La première regroupe ce que nous avons choisi d’appeller les prospects classiques (Chapitre I), car les hypothèses recensées sont, dans l’esprit, des migrations de cas du commerce non électronique. Les fonctions de messagerie électronique, forums de discussion, et cookies seront, dans ce chapitre, nos préoccupations. La deuxième famille groupe les moyens de paiement (Chapitre II) et la réponse apportée par la cryptologie. La dernière famille identifiée est celle, toujours plus importante, des intermédiaires techniques et financiers (Chapitre III) au nombre desquels se trouvent les fournisseurs d’accès à Internet. Pour chacun de ces cas, nous aborderons l’aspect pratique et juridique afin que le lecteur puisse opérer des rapprochements avec ses propres expériences.

1 Revue de presse : Mercredi 8 juillet 1998 Discussion à l'OMC sur le commerce électronique; Mercredi 20 mai 1998 Accord à Genève sur le commerce électronique : exemption douanière temporaire; Vendredi 24 avril 1998 Nouvelles pressions américaines à l'OMC à propos du commerce électronique

2 V. La protection des consommateurs dans les contrats du commerce électronique, Droit & patrimoine, n°55, décembre 1997, p68.

3 Mole A., Protection des personnes sur Internet : conditions posées par la Cnil, Legicom, n°10, 1995, p62

4 Délibérations du 7 novembre 1995 précitées, Note Ariane Mole., Droit de l’informatique et des télécoms, 1996, n°2, p65.

5 Cette décision devra prochainement être examinée par la cour d'appel de Nîmes, à la demande de l'informaticien et du parquet; commentaire et décision sur le site de Legalis.net : http://www.legalis.net/legalnet/judiciaire/tgi_privas_0997.htm.

6 Disponible sur le site de la Cnil : http://www.cnil.fr.

7 http://www.premier-ministre.gouv.fr.

8 V. Glossaire.

9 Décision n° 98-196 du 24 mars 1998 (NOR : CSAX9801196S).

10 Appelés aussi en anglais “guestbooks”, ils servent au visiteur à laisser ses coordonnées, ainsi que très souvent son appréciation sur le site qu’il visite.

11 17ème rapport d’activité précité. v. aussi Dufour O., 17ème rapport de la Cnil : Internet au cœur des débats, Les Petites Affiches, 11 juillet 1997, n°83.




Chapitre I Les prospects classiques

  1. Le classique a parfois du bon, et très souvent l'avantage d'avoir été éprouvé au cours du temps. Dans le cadre du commerce électronique, certaines utilisations des données personnelles sont largement inspirées des méthodes appliquées au commerce "classique" avec succès. C'est le cas de la messagerie électronique, autrement appelée courrier électronique et des mailings organisés par son biais. Certaines, plus novatrices, sont possibles grâce l'informatique. C'est le cas des fameux cookies, ces petits "gâteaux" laissés sur le disque dur de l'ordinateur consultant par l'ordinateur consulté. Tous ces programmes informatiques constituent des traitements automatisés au sens des articles 5 de loi de 19781, 2c de la convention 1082 et 2b de la directive3 : ce sont des lignes de langage informatique comprises par l'ordinateur ayant pour but de lui faire effectuer certaines tâches automatiquement, à l'exception peut-être de la saisie4. L'intérêt de l'ordinateur réside avant tout dans sa capacité de calcul qui n'a cessé d'être améliorée au cours de ces dernières années5. De ce point de vue, le commerce électronique permet l'étude qualitative (sur échantillon), mais aussi quantitative, le tout conjugué avec la possibilité après cela de garantir "un taux d'impact" très percutant (que l'on pourrait définir comme la pertinence des données recueillies rapportée à la justesse dans le démarchage du produit ou du service proposés par la suite). Ce chapitre premier sera l'occasion de montrer l'ambivalence des situations dans lesquelles les identifiants servent utilement, mais dont l'usage peut être détourné, démontrant en cela que les données personnelles sont des données du commerce (Section I) , et des données dans le commerce (Section II).

    Section I - Des données du commerce

    La Cnil, sur son site Web, consacre un article relativement technique aux adresses IP ainsi qu'aux entrées DNS. Dans les deux cas, il s'agit de techniques visant à identifier les ordinateurs qui dialoguent, et derrière les écrans respectifs, les utilisateurs. Nous avons déjà évoqué l'idée en introduction7 qu'il pourrait s'agir, selon nous8, d'un traitement de données à caractère personnel. Cependant, la discussion porte aujourd'hui majoritairement sur l'identification lors des contrats9, et plus généralement lors de la preuve de la relation électronique10. Le commerce pourrait avoir à l'occasion une acception suffisamment large pour inclure le fonctionnement interne de l'entreprise qui commerce sur Internet. La Cnil a eu l'occasion de rappeler qu'« une informatisation globale de l'entreprise ou du service, dans la mesure où une telle information postule quasi nécessairement la prise en charge d'informations nominatives »11 tombe assurément sous le coup de la loi12. Nous limiterons l'étude, dans cette partie, à la relation directe fournisseur de biens ou de services et utilisateur. L'étude successive des fonctions de messagerie électronique, de forums de discussion et des cookies met en relief les aspects positifs de l'identification du commerce électronique, ce qui n'écarte en rien le caractère personnel des données ainsi traitées.



    A / La messagerie électronique, instrument du commerce

    La fonction de messagerie électronique est la plus populaire des fonctions offertes par l'Internet. Cette messagerie est autrement désignée sous le terme plus courant de courrier électronique (en anglais e-mail pour electronic mail) ou encore, selon les canons de l'Académie Française, sous le terme moins courant de "mel". Celui-ci permet, à l'instar de son homologue papier, la communication entre deux internautes disposant d'une adresse, laquelle est attribuée par le fournisseur du service de courrier. Généralement; il s'agira du FAI, lequel assure alors les fonctions cumulées d'envoi du courrier par serveur SMTP13 et de réception par serveur POP314, mais les fonctions peuvent relever de fournisseurs de services différents (ce qui peut singulièrement compliquer les choses lorsqu'il s'agira de déterminer les responsabilités de chacun).
  2. L'attribution à un internaute d'une adresse électronique est certainement un préalable à tout échange commercial sur Internet. Le nom comme le prénom demandé lors d'une transaction peuvent être falsifiés assez aisément15, mais l'adresse électronique fait, elle, l'objet d'un contrôle lors de la transaction16. De plus, l'ordinateur serveur teste l'ordinateur client17. Tous les formulaires de commande par Internet proposent des champs à remplir (comme dans un bon de commande) parmi lesquels celui de l'adresse qui est obligatoire. A contrario, il conviendra de se méfier des serveurs proposant des biens ou des services sans demander l'adresses e-mail. L'adresse18 est indiscutablement ici une donnée à caractère personnel, dont le traitement automatisé doit faire l'objet d'une déclaration à la Cnil. L'ouverture par le CSA de son site Web19 nous fournit un exemple récent de la qualification des adresses et de l'exigence de la déclaration. En l'éspèce, le CSA étant une autorité administrative, la procédure de l'article 15 de la loi de 1978 imposait la prise d'un acte réglementaire après avis conforme de la Cnil. Néanmoins, les fonctions de courrier sont les mêmes dans le cadre d'un traitement par un opérateur privé, et nécessitent sans aucun doute une déclaration. Une norme simplifiée est en cours d'élaboration à la Cnil pour accueillir plus facilement les demandes faites lors de l'ouverture de sites Web, mais on ne sait pas encore si la seule ouverture du site imposera une déclaration (par le traitement qui sera fait des adresses IP notamment). Quoiqu'il en soit, un site comporte toujours les fonctions de messagerie (pour contacter l'auteur ou le responsable du site, communiquer avec les fournisseurs et les clients, etc), ce qui obligerait à une déclaration. Mais devant les fluctuations importantes d'ouverture et de fermeture de sites, la démarche d'une déclaration administrative, même simplifiée, risque de heurter plus d'un créateur de site (qui passera alors certainement outre). Le pragmatisme voudrait que ne soient pas épargnés au moins les sites dits commerciaux. Malheureusement, l'Internet permet à chacun de devenir facilement fournisseur de contenu, et l'on imagine le site qui partirait de l'anonymat pour recueillir les lauriers d'une forte fréquentation20.

  3. L'adresse électronique est une donnée - personnelle - du commerce. En droit des contrats, il est nécessaire de s'identifier et d'identifier. A l'évidence, il ne saurait y avoir contrat sans la mise en relation d'aux moins deux personnes disposant chacune d'une personnalité juridique. Dans l'hypothèse de l'assimilation du service électronique à un service de communication audiovisuelle21, il faudrait faire application de l'article 37 de la loi du 30 septembre 1986 relative au régime de la communication audiovisuelle qui pose une obligation d'information du public prévue dans les termes suivants : "Toute entreprise titulaire d'une autorisation relative à un service de communication audiovisuelle tient en permanence à la disposition du public 1) si elle n'est pas dotée de la personnalité morale, les nom et prénom de la ou les personnes physiques propriétaires ou copropriétaires; 2) si elle est dotée de la personnalité morale, sa dénomination ou sa raison sociale, son siège social, le nom de son représentant légal et de ses trois principaux associés; 3) dans tous les cas, le nom du directeur de la publication et celui du responsable de la rédaction". Dans le contexte juridique français, cette hypothèse est parfaitement envisageable22 même si son application, au regard notamment du caractère international du réseau, paraît en pratique difficile à mettre en œuvre. Au vu des us et coutumes du réseau, la plupart des sites sont hébergés aux Etats-Unis pour des raisons de prix (20 dollars par mois le plus souvent) et de ce fait, ne semble pas assujettis à ces obligations légales (sauf à ce qu'il soit la propriété d'une entreprise française).

  4. L'adresse électronique a une utilité évidente dans l'ebusiness. Imagine-t-on se passer d'une boite aux lettres, d'un téléphone ou d'un fax dans un commerce classique ! L'adresse e-mail remplit à tout le moins ces trois fonctions sur l'Internet. Benoît Beylier, directeur administratif et financier d'Airstar23 , une jeune société iséroise spécialisée dans l'éclairage par ballons à l'hélium, voit deux avantages déterminants dans Internet: le prix et la rapidité. "Dans certains pays, comme la Jordanie ou la Colombie, avec qui nous travaillons, les communications téléphoniques sont chères. Internet nous permet de réaliser de belles économies", indique-t-il."Le second intérêt est la rapidité de traitement", poursuit-il racontant qu'il a reçu le matin même un courrier électronique d'une personne intéressée en Colombie et qu'il lui a aussitôt répondu en lui fournissant l'adresse du distributeur dans la région. Si Internet favorise les contacts avec les clients, il est également un excellent moyen de communication entre l'entreprise et ses distributeurs, souligne le directeur financier. "Nous comptons quarante distributeurs à travers le monde. Les dix plus importants sont connectés. Nous échangeons des informations, facilement et toujours à moindre coût", explique-t-il. Le courrier électronique arrive à concurrencer le courrier classique, à tel point que certaines sociétés y voient une opportunité de "business". La Société canadienne des postes a l'intention de délivrer, outre le courrier traditionnel, également le courrier électronique24. Ce nouveau service devrait permettre à tous les Canadiens disposant d'un accès à Internet d'envoyer et de recevoir du courrier aussi bien personnel que commercial par le serveur de la poste canadienne. Dans un même ordre d'idée, France Télécom envisage de créer un service de courrier qui puisse attribuer une adresse universelle à un utilisateur. De manière plus générale, l'intérêt "bien entendu" de l'adresse est illustrer aussi dans le cas de l'administration par la possibilité d'accomplir via Internet un certain nombre de démarches administratives25 dont l'achat de timbres fiscaux ou le règlement des impôts26. L'échange pourra se faire par courrier électronique entre administrés et services administratifs. Un autre aspect de l'adresse électronique est qu'elle autorise la participation à des groupes de discussion ou forums (appelés aussi dans leur acception anglaise, newsgroups) et à des listes de diffusion (ou mailing lists).


  5. Les forums de discussion et les listes de diffusion
    Les forums consistent en des "cafés du commerce virtuels". Ce sont des espaces informatiques (localisés physiquement sur un serveur dédié) de discussion où chacun peut participer en temps réel. Ces forums sont dits modérés lorsqu'ils font l'objet d'un contrôle sur leur contenu et les propos qui y sont rapportés; ils sont dits non-modérés lorsqu'ils ne présentent pas ses qualités. La participation se matérialise par l'envoi d'un courrier à un serveur qui en autorise la consultation partagée par tous les internautes connectés au forum (lesquels sont dits inscrits, même si l'inscription ne dure que quelques minutes). Chacun peut y répondre en temps réel, ou a posteriori suivant les habitudes et les durées des connexions. Si l'internaute est connecté en permanence, des logiciels spécialisés peuvent l'avertir automatiquement de l'arrivée d'un nouveau message , que son sujet ait été trié ou non grâce à des filtres dont l'utilisateur a la maîtrise. Si les forums relatifs à la musique, au cinéma, ou aux jeux vidéo ne paraissent pas d'emblée intéresser notre sujet, il en est moins vrai de forums comme ceux où sont discutés les droits du consommateur ou les questions relatives aux procédés de cryptologie et à leur réglementation. La réglementation y est discutée, les procédés techniques y sont détaillés. L'habitude veut qu'un internaute modifie les paramètres de son logiciel de news pour participer aux forums quand il craint un détournement de son adresse ou qu'il craint que ses propos puissent être mal interprétés. Néanmoins, lorsque cela n'est pas le cas, les forums sont un lieu d'échanges et de contacts propices au commerce.

  6. La liste de diffusion est une sorte d'abonnement pris auprès des propriétaires de ladite liste, et dont l'objet consiste à tenir informé, par voie de courriers électroniques, l'internaute qui y souscrit. L'abonnement peut être gratuit ou payant, et les sujets des listes très variés27. La liste de diffusion peut être être indépendante ou rattachée à un site, et servir alors à alerter les usagers des nouveautés qui y paraissent. Dans les deux cas, elle peut se révéler utile pour l'internaute : on peut penser à ce qui se fait déjà sur des sites marchands telle la librairie électronique Amazon.com, qui compte près de deux millions de références, pour laquelle l'usager peut être averti des nouveautés (qui de surcroît peuvent être ciblées en fonction des ses choix). L'achat de voitures par Internet est un des commerces qui connait un fort succès (car le consommateur peut y faire des comparaisons rapides à l'aide de requêtes croisées), et si la décision n'est pas pressée, il est possible de se tenir informé sur les périodes de promotions ou de lancements de nouvelles gammes. L'autre commerce qui connaît un accueil favorable est le marché de l'immobilier28 : on peut visionner des images de la maison avant de se déplacer physiquement pour la visiter, on peut demander les impressions des (futurs) anciens habitants, et on peut demander à être prévenu si une maison - qui sera la maison de vos rêves - vient à être disponible…L'informatique fait ici gagner du temps (et bien sûr de l'argent). L'adresse électronique laissée par les soins de l'utilisateur constitue sans doute une donnée personnelle, certainement d'ailleurs au même titre que les informations disponibles sur les habitations (et que dire de la confidentialité des correspondances entre futurs occupants et ex-locataires.

  7. B/ Les cookies, ou le rêve du commerce individualisé

    Le cookie est un petit fichier pesant guère plus d'un dizaine d'octets qui est stocké sur le disque dur d'un ordinateur client. Il est utilisé pour identifier l'ordinateur ou les préférences de l'utilisateur vers un poste serveur, et peut servir alors de marqueur pour suivre le cheminement de l'utilisateur sur un site Web. Plus techniquement29, il s'agit d'un enregistrement d'informations par le serveur dans un fichier texte situé sur l'ordinateur client, informations que ce même serveur (et lui seul) peut aller relire et modifier ultérieurement. La technique des cookies repose sur le protocole HTTP, c'est-à-dire le protocole du Web. Il ne faut donc pas voir de cookies partout : seul un serveur Web peut en envoyer. Plus précisément, un cookie se compose d'un ensemble de variables (ou de champs) que le client et le serveur s'échangent lors de transactions HTTP, lesquelles variables sont tout simplement stockées sur la machine cliente dans ledit texte. Un cookie est obligatoirement rattaché à un nom de domaine et un ensemble d'URL30 de telle sorte que seule une requête provenant du même serveur pourra y accéder. Ce fichier est très intéressant, car il permet de garder pour un temps déterminé des préférences ou options que l'internaute a manifestées lors d'une visite initiale. Cela permet par exemple sur CNN.com31 d'avoir une page d'informations personnalisée dès l'accès au site, sans autre manipulation de la part de l'utilisateur que la première par laquelle il aura manifester ses choix : sports, météo, actualités internationales, etc. Un autre exemple d'utilisation pratique du cookie est la conservation d'identifiants requis pour accéder à un site protégé. Plutôt que de devoir saisir à chaque connexion sur ce site les différents identifiants (souvent un login32 et un mot de passe), ils sont conservés dans un cookie dont le contenu est appelé lors de l'accès au site. Un autre intérêt de ce petit fichier se manifeste dans le cas de galeries marchandes sur le Web. Le contenu du caddie virtuel est conservé dans un cookie jusqu'à la phase de paiement. La question s'est posée de savoir si les cookies étaient des données personnelles. Par eux-mêmes, certainement pas. Mais, la réponse est différente si l'on considère qu'ils sont une modalité du traitement de données qui, elles, sont indiscutablement personnelles de façon directe ou indirecte33. Leur intérêt du point de vue du commerce électronique est qu'ils sont la seule façon de mettre en relation deux consultations et d'établir ainsi une notion de contexte. Car, contrairement au minitel pour lequel la connexion est se fait en continu, à chaque document Web ramené , il y a une nouvelle connexion HTTP. Le cookie n'est par conséquent pas mauvais en soi et présente des intérêts techniques évidents pour la gestion d'un site ayant un souci d'interactivité importante avec l'utilisateur. La Cnil, contre toute attente, a plutôt tendance, sur son site Web, à dédramatiser les dangers du cookie en exposant quelles sont ses limites techniques. Néanmoins le dernier rapport de la Cnil traite les cookies comme des fichiers de données nominatives dont le traitement est automatisé, et nécessiterait donc une déclaration auprès de la Cnil (le discours de la Cnil apparaît donc légèrement décalé selon que l'on consulte sa vitrine sur le Web ou sa doctrine officielle dans ses rapports annuels). La messagerie électronique, dans sa forme la plus courante, ou utilisée dans le cadre de forums de discussion ou de listes de diffusion est indispensable au commerce électronique. Le cookie permet l'interactivité qui est une des facettes du succès commercial de l'Internet. Dans les deux cas, on est en présence de données personnelles et de traitements automatisés. Dans ces deux cas, les données du commerce sont détournées de leur usage initial, pour devenir un objet de commerce.


  8. Section II - Des données dans le commerce

    La Cnil soulignait dans son 17ème rapport le changement profond de la nature d'Internet, et son évolution vers un univers grand public et marchand. Mention était faîte également de l'accroissement exponentiel des données sur le réseau, tant en termes de qualité que de quantité. Dans ce contexte, les autorités de protection des données personnelles doivent répondre aux problèmes au fur et à mesure, avec les moyens juridiques dont elles disposent, et sans attendre l'entrée en vigueur des instruments juridiques internationaux. L'intention est louable, voire même courageuse, tant la tâche peut paraître laborieuse, et les issues pour l'instant encore incertaines. Mais, le danger serait encore plus grand si la passivité l'emportait. Présentant à la presse le 18ème rapport d'activité de la commission, M. Fauvet a souligné que "l'exigence de liberté des citoyens", prédominante il y a vingt ans, avait été remplacée par "un impératif économique de libre circulation des données". Aujourd'hui, celles-ci sont "devenues des marchandises qu'on vend, achète, sous-traite ou enrichit". L'esprit dans lequel la commission a fait application de la loi de 1978 l' a conduite à prendre en compte la réalité du commerce de données, et à faire avec. Le résultat de cette attitude a été largement plus bénéfique que ne l'aurait été une position doctrinale arrêtée qui aurait, sans nul doute, provoqué des oppositions frontales avec les acteurs économiques. Le pragmatisme de la Cnil lui a permis de trouver un équilibre, certes fragile, mais qui assure aux données personnelles une protection adéquate.

  9. "Toute information que vous nous fournirez sera considérée comme non-confidentielle. Nous serons libres de la reproduire, l'utiliser, la divulguer et la transmettre à des tiers sans aucune restriction". L'avertissement figure sur le site de GTE, une grande compagnie de téléphone américaine34. Ces quelques lignes illustrent à propos l'ambivalence affichée des identifiants. En reprenant les deux hypothèses développées dans la première section, nous souhaitons mettre en relief la ligne de partage étroite au delà de laquelle les données personnelles deviennent les données d'un commerce.

  10. A / Les adresses électroniques : objet de commerce

    « La collecte et l'exploitation des "e-mail" à des fins commerciales constitue un problème essentiel lié au développement du commerce électronique sur Internet. En effet, les informations communiquées par l'utilisateur sur Internet, dans un cadre souvent non commercial, peuvent être détournée de leur destination initiale »35. Pour l'internaute qui profite des fonctions interactives que peut proposer le réseau, il n'est par rare de recevoir des publicités sans que celles-ci aient été demandées. Nous avons déjà précisé que l'adresse électronique est un des identifiants les plus sûrs du réseau, à l'instar des adresses IP et DNS. Il existe sur Internet des annuaires, comme celui des pages blanches ou des pages jaunes36, mais la rapidité avec laquelle croît le nombre d'internautes rend impossible leur exhaustivité en temps réel, ni même en un temps légèrement différé comme pour l'annuaire sur Minitel. De fait, une adresse perdue a peu de chances d'être retrouvée par ce biais, mais le sera plus certainement par une chaîne de connaissances sur le réseau. L'intérêt de cette donnée est qu'elle amène dans la quasi-majorité des cas à un récipient. et il est rare qu'une adresse soit fausse, justement parce qu'elle constitue le seul identifiant véritable.

  11. Le problème des identifiants sur Internet, et dans le cadre du commerce électronique, est qu'ils sont laissés un peu partout à l'insu de l'internaute. De façon similaire, l'acheteur se préoccupe peu de ce qui se passe une fois le code secret de sa carte bancaire tapé, et l'internaute a tant de soucis avec son logiciel qui ne marche pas comme sur la notice, avec sa connexion qui a des tressautements, avec le temps qui s'écoule et l'argent que cela coûte. Dans le cas de l'acheteur familiarisé avec son moyen de paiement par carte, les questions ne se posent que dans les cas extrêmes, alors pour l'internaute…Le postulat de maîtrise technique est préoccupant pour l'internaute, qui plus est lorsqu'il devient consommateur sur Internet. Les chances de tromperie lui paraissent plus grandes qu'ailleurs, et la méfiance peut naître. A l'inverse, combien sont ceux qui, attirés par le côté ludique de ce jouet grandeur mondiale, s'y promènent et commercent sans la moindre méfiance ? La collecte d'adresses électroniques se fait à l'insu des internautes, mais aussi parfois avec leur assentiment dès lors qu'est promis une compensation. Pour les propriétaires de pages personnelles, c'est leur mention et la constitution de liens sur des pages fréquentées; pour les autres, c'est l'appât de logiciels, d'offres gratuites d'abonnements, ou de temps de connexion. Lors de l'expérience de galerie commerciale e-Christmas37, 250 000 visiteurs ont visité ce site européen de commerce électronique organisé par Microsoft, Hewlett-Packard et UPS38 en association avec quelques 180 autres entreprises originaires de neuf pays différents. 14 000 visiteurs se sont enregistrés, et plus de 500 transactions ont été réalisées. Sur les 14 000 visiteurs, 9000 ont accepté de donner leur sentiment ! L'un des objectifs précis de cette expérience était de dresser le profil du commerce électronique en Europe, de permettre aux industriels et à l'ensemble du marché de mieux appréhender les facteurs de réussite de ce commerce, et de montrer que les technologies des différents fournisseurs pouvaient parfaitement inter-agir, démontrant que les freins au développement du commerce en Europe ne sont pas d'ordre technologique mais tiennent plutôt à la connaissance, compréhension et aux exigences du commerce électronique. Pour atteindre ces résultats, il a fallu que l'on sache notamment que les visiteurs étaient composés à 75% d'hommes et 25% de femmes, qu'environ 250 000 visites ont été faites sur le site, chiffre représentant approximativement 180 000 individus, que ces visiteurs venaient de 112 pays différents, dont 70% environ d'Europe de l'ouest, que sur les 9000 personnes qui se sont portées volontaires pour donner leurs sentiments (l'expression relève indéniablement du politiquement correct) sur l'opération, 400 d'entre eux ont répondu dans les 5 jours suivant leur sollicitation, que le panier d'achat moyen a été de 85 US$, auxquels il faut ajouter en moyenne plus de 20 US$ de taxes et frais de livraison, et qu'enfin, sur la période étudiée, 500 transactions ont été enregistrées39. L'un des enseignements de cette expérience portait sur la protection du consommateur, en indiquant que le droit concernant cette protection au sein de l'Union Européenne présentait des niveaux hétérogènes qu'il conviendrait d'harmoniser car « on ne peut livrer le consommateur à la divergence de quinze droits nationaux et le priver de dispositions impératives d'ordre public en matière de droit de la consommation ».Et l'étude de mentionner qu'en ce qui concerne les relations avec les Etats-tiers (à l'Union européenne), le principe d'application d'une législation doit demeurer celui du pays d'accueil (du site commercial) « afin d'éviter de créer un élément d'insécurité pour l'acheteur, susceptible d'entraver le développement du commerce électronique ». On ne sait trop, de l'insécurité pour l'acheteur ou de l'insécurité pour le commerce, ce qui est susceptible d'entraver le développement. Et la boucle peut être bouclée lorsqu'est abordé le sujet de la protection des données personnelles et de la vie privée. Le raisonnement procède ainsi : des différences significatives en matière de protection des données personnelles entre Etats, qui reflètent plus largement des traditions historiques différentes dans ce domaine, pourraient entraver les échanges électroniques. L'Union européenne a adopté la directive de 1995, dont la transposition est en cours, qui réglemente notamment les transferts de données à destination des Etats tiers. « La prise en compte des effets de cette directive sur les échanges électroniques avec les Etats ne disposant pas de protection des personnes physiques40 aussi élaborées doit être examinée à la lumière des développements récents du commerce électronique. Par ailleurs, afin d'encourager les possibilités de personnalisation de l'offre que permet le commerce électronique, il convient de favoriser les systèmes technologiques permettant de dissocier l'établissement du profil des consommateurs, de leur identification, qui doit demeurer protégée ». En somme, les données personnelles - dont l'adresse - permettant de cerner la zone géographique de provenance de l'internaute seront nécessaires pour savoir ce qui doit être protégé dans l'ensemble des informations que celui-ci sera amener à donner. « Dis-moi qui tu es pour que je sache quelle protection je peux te donner »41.


  12. Les adresses peuvent être capturées de plusieurs façons, qui évoluent rapidement42. La première consiste à relever dans les préférences du logiciel de navigation les données concernant le correspondant. En effet, celles-ci sont transmises au serveur sur lequel se connecte l'internaute au moyen d'un requête en allant relever son adresse contenue dans les préférences (ou options) du navigateur. Si l'internaute utilise l'intégré de Netscape (le Navigator) pour naviguer sur Internet et assurer ses correspondances, il y a de fortes chances que son adresse ait été ainsi relevée. L'internaute croit éviter le piège en utilisant le navigateur concurrent, l'Explorer de Microsoft44 , qui n'a pas de module courrier intégré. Mais l'Explorer est toujours livré avec un logiciel dédié au courrier : Outlook ou Mail Exchange. Or, ceux ci fonctionnent en parallèle avec MIE auquel ils transmettent l'adresse sur requête. La seule véritable solution consiste à séparer les fonctions de navigation et de messagerie avec deux logiciels qui sont étrangers l'un à l'autre. Mais quel parcours l'internaute doit-il réaliser pour parvenir à cette conclusion, que de souci techniques dans les installations, en un mot, que de facilité. Et la Cnil, sur son site, ajoute une conclusion à propos des adresses IP qui peut être transposée aux adresses électroniques : « Un peu d'imagination...Revenons à notre transaction. Nous sommes "sur le Web" (expression imprécise signifiant en réalité : nous disposons d'un logiciel applicatif client HTTP et nous souhaitons entrer en relation avec un serveur HTTP). Vous cliquez sur un lien. Votre navigateur envoie au site Web une requête constituée de paquets, chacun d'entre-eux étant précédé de votre adresse en tant qu'émetteur et de celle du serveur en tant que récepteur, paquets dont le contenu indique "envoie-moi la page située à l'adresse www.toto.com/exemples/toto.html". Certes, le serveur va servir cette requête, mais rien ne l'empêche, dans le même temps, d'enregistrer dans un fichier, la date, l'heure, l'adresse IP de l'ordinateur qui a fait la requête, et quel fichier a été envoyé. Et si personne ne vous l'indique par ailleurs, vous ne saurez jamais qu'un tel enregistrement a été fait. Après cela, traiter et exploiter ces enregistrements n'est plus qu'une question d'organisation et d'objectif. ». Tout est fait à l'insu de l'internaute, et la nécessaire connaissance technique qu'il faut pour être averti du fonctionnement ne facilite pas les choses.

  13. Les deux principales manifestations de la collecte sauvage des adresses électroniques sont le SPAM45 et le "Junk-mail", deux formes de publipostage électronique. Les adresses sont collectées à l'insu des internautes dans les forums de discussion par des automates qui recherchent tout ce qui peut ressembler à une adresse46 sur le modèle "identifiant@domaine". Certains serveurs indexent toutes les informations qui figurent sur les forums de discussion, sur lesquels il est possible d'effectuer des recherches nominatives et d'accéder ensuite à tous les messages qui ont pu être postés par une personne, quelle que soit la nature du message. Certaines listes de diffusion possèdent des archives qui sont mises en ligne sur le Web. La technique de balayage est principalement utilisée par des entreprises, dont l'activité est le mailing, qui vont s'en servir pour réaliser des publipostages électroniques. Les adresses ne sont pas vérifiées, le courrier est un modèle identique quelque soit la destination possible. Le résultat est un encombrement parfois fatal de la boite aux lettres47 . La réponse technique est venue sous forme de nouveaux logiciels (qu'il faut alors acheté !) qui permettent le tri du courrier par des filtres, quand la première réaction aurait dû être de prévenir l'internaute des vertus d'un usage modéré de son adresse. La réponse juridique a emprunté de nombreuses voies aux Etats-unis, le cas n'ayant pas encore été soulevé en Europe à notre connaissance.

  14. Cousin de la version papier, le mailing électronique ou "Junk- mail" est le fléau premier des possesseurs de boîtes aux lettres électroniques (ou BAL). Il s'agit d'un courrier électronique commercial non sollicité qui est envoyé en très grand nombre. Les problèmes soulevés par ce courrier sont de différentes nature parmi lesquelles l'immobilisation de nombreuses ressources du réseau (bande passante, espace disque,etc). Au regard des données personnelles, l'atteinte à la vie privée n'a été que rarement soulevée. Ce qui préoccupe les internautes, dans ce cas, est bien plus l'innondation de leur BAL qui devient impratiquable; la relève du courrier demande des délais interminables, et même une fois vidée, les "Junk-mail" reviennent toujours. Le principe veut qu'une fois l'adresse capturée, elle serve à plusieurs sociétés ou individus pour réaliser ces mailings. Les premières condamnations de sociétés ont lieu aux USA, et les fondements sont liés aux infractions d'intrusion et de maintien dans un système informatique48 ou relatifs à la défense des marques49. Les premières législations apparaissent aussi outre-atlantique (telle celle de l'Etat de Washington50), ainsi que des traductions très imagées51. Compte tenu de la conception très différente aux USA (un peu moins au Canada) de la notion de donnée personnelle, il n'est pas étonnant que les fondements des actions de justice n'y fassent pas référence. Les choses devraient néanmoins évoluer rapidement52. Pour autant, une telle situation en France, ou en Europe, n'est pas à exclure puisque le nombre d'abonnés est en constante augmentation53, ce qui incite l'internaute nouvellement abonné à prendre une adresse aussi explicite que possible (pour reprendre notre exemple de jpdurand : jean.pierre.durand@france.fr). L'invocation de l'article 25 de la loi de 1978, qui pose le principe que « la collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite »54, serait adaptée à la qualification de collecte par les automates, puisqu'elle se fait à l'insu des internautes. La responsabilité des administrateurs de forums de discussion, comme des gérants de listes de diffusion, pourrait aussi être évoquée. En effet, aux termes de l'article 29 qui pose l'obligation de sécurité, « Toute personne ordonnant ou effectuant un traitement d`informations nominatives s`engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes les précautions utiles afin de préserver la sécurité des informations et notamment d`empêcher qu`elles ne soient déformées, endommagées ou communiquées à des tiers non-autorisés ». L'arrivée d'un nouveau membre dans un forum ou une liste de diffusion devra sans aucun doute respecter les conditions dégagées par la Cnil, notamment la notification d'un droit d'accès et de rectification55. Toutes ces dispositions s'appliquent également aux cookies.


  15. B / Cookies, traces et profilages56

    Le cas des cookies est l'exemple typique d'une activité qui laisse des traces. L'argument de sécurité mis en avant est que techniquement, seul le serveur qui a posé un cookie a la possibilité de le récupérer. Raoul Fuentes, participant à la liste Droit-Net, précise :« Mais son utilisation est détournée par des spécialistes de la publicité et du marketing tels que Double Click57, Global Track, Focalink,…Ces sociétés passent effectivement contrat avec des sites, qui leurs permettent d'afficher des bandeaux de publicité sous forme d'images. C'est par l'intermédiaire de ces bandeaux provenant du serveur des sociétés précitées que le cookie est posé. Dès que l'utilisateur se connecte à un site ayant passé un accord avec une de ces sociétés, le contenu de l'ensemble des cookies qu'il a posés par ce procédé leur est renvoyé. Ces cookies contiennent des informations variées (provenant de sites hétérogènes) qui sont traitées de façon à établir un profil de l'utilisateur. L'utilisation apparente de ces fichiers est pour l'internaute, l'affichage de bandeaux publicitaires correspondant à ses sujets de prédilection. D'autres utilisations moins visibles sont bien sûr possibles et certainement mises en oeuvre ». Aux termes de l'article 27 de la loi de 1978, l'internaute fiché doit être prévenu du fichage, du caractère obligatoire ou facultatif de ses réponses, des conséquences d'un défaut de réponse, du maître du traitement et des personnes destinataires des informations, de l'existence d'un droit d'accès et de rectification. Cette disposition est pénale (5 ans d'emprisonnement et 2.000.000 F d'amende). Elle est, de plus, applicable même si les faits se produisent à l'étranger du moment que la victime est de nationalité française. De plus, les cookies transfèrent des données nominatives éventuellement vers un serveur situé à l'étranger. Ce flux "transfrontières" de données nécessite sans aucun doute une autorisation de la Cnil en application de l'article 24 de la loi de 1978 (et non une simple déclaration), et un niveau de protection équivalent à la destination selon l'article 25 de la directive. Raoul Fuentes poursuit : « Pour des raisons pratiques évidentes, la Cnil ou le parquet peuvent difficilement poursuivre le responsable du traitement. Si la société est française ou possède des établissements en France, une déclaration du traitement s'impose. La Cnil dispose en vertu de la loi de pouvoirs d'investigation au travers de ses agents qu'elle peut mettre en oeuvre à la suite d'une plainte ou de sa propre initiative ». Des parades purement techniques existent aussi. La dernière version de Netscape, par exemple, offre l'option de refuser systématiquement tous les cookies (aucun message n'invite l'utilisateur à faire un choix), ou d'être au moins averti lorsqu'un serveur envoie un cookie (l'utilisateur peut faire le choix de l'accepter ou de le refuser). Cependant certains serveurs exigent que le cookie soit posé pour que la page Web s'affiche58. Netscape tente aussi, par une nouvelle option de configuration de son navigateur, de donner à l'utilisateur le moyen de lutter contre le détournement de l'utilisation des cookies, en permettant de n'accepter que les "bons cookies" (c'est à dire ceux pour lesquels le domaine du serveur d'implantation est identique de celui du site de consultation). Il semble néanmoins que des parades techniques aient déjà été trouvées. Des fonctionnalités équivalentes ont été ajoutées à la nouvelle version d'Explorer. La difficulté de ces options est qu'elles sont plus ou moins faciles à repérer pour un utilisateur moyen. Les "browsers" activent par défaut l'option d'acceptation sans conditions du cookie. Il faudrait peut être commencer par renverser l'option d'installation, ce qui pourrait être imposer aux éditeurs de ces logiciels distribués en France. Car, à n'y point faire trop attention, on pourrait arriver à un situation que J-G. Bitoun décrit dans des termes volontairement lourds de sens : « L'atteinte est grave pour les libertés fondamentales. Les Etats répressifs assurent déjà grâce aux cookies ou autres techniques similaires la "surveillance" de leurs éléments "subversifs". Les entreprises ne conserveront que les employés modèles. Vous connaissez le profil de votre fiancée… Elle connaîtra le votre. Automatiquement dirigés vers vos centres d'intérêts habituels par le logiciel de préférences, vous finirez dans la monoculture et le rabâchage. Les nouveautés ne seront pour vous que ce qu'il y a de neuf dans vos hobbies, vos lubies, sans aucun recours à votre imagination, sans aucune chance de vous enrichir alors qu'Internet est un extraordinaire réservoir d'informations »59. La réponse est trop souvent technique. Cela pourrait être la conclusion de ce point. Et malheureusement cette constatation est trop vraie dans le domaine de l'informatique. Un exemple parfait est illustré par les moyens de paiement qui représentent la seconde catégorie de situations impliquant des données personnelles dans le cadre du commerce électronique sur Internet.

1 « Est dénommé traitement automatisé d'information nominatives au sens de la présente loi tout ensemble d'opérations réalisées par des moyens informatiques, relatif à la collecte, l'enregistrement, l'élaboration, la modification, la conservation et la destruction d'informations nominatives ainsi que tout ensemble d'opérations de même nature se rapportant à l'exploitation de fichiers ou bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d'informations nominatives ».

2 « traitement automatisé » s'entend des opérations suivantes effectuées en totalité ou en partie à l'aide de procédés automatisés : enregistrement des données, application à ces données d'opérations logiques et/ou arithmétiques, leur modification, effacement, extraction ou diffusion.

3 « traitement de données à caractère personnel » : toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliqués à des données à caractère personnel, telle que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

4 En effet, il n'y a pas de donnée numérique par nature; c'est un artefact de l'homme.

5 Entre 1996 et 1998, la vitesse d'horloge proposée pour un ordinateur grand public a augmenté d'environ 100 fois (on est passé de 33 à 350Mhz avec les derniers processeurs). Ainsi le souligne le rapport Braibant dans son introduction : « Les progrès intervenus dans le domaine informatique depuis vingt ans ont bouleversé les enjeux de la protection des données à caractère personnel. Pour percevoir l'intensité de ces progrès et des qui en découlent, il suffit de réaliser que, pendant cette période, les progrès scientifiques et technologiques ont permis de multiplier par mille la vitesse de traitement de l'information, les capacités de stockage et les capacités de communication ».

7 V. supra Introduction, n°8 Des identifiants dont on ne peut faire l'économie.

8 Théoriquement du moins car pratiquement, cela se révélerait très contraignant pour l'ouverture de sites.

9 Il y a en effet absence physique des parties au moment de l'échange de consentement

10 Etant donné que le support de la relation (Internet) n'est pas durable, et que la relation est dématérialisée.

11 Lamy droit de l'Informatique, n°448, 1997, p280.

12 V. aussi Sédallian V., L'utilisation d'Internet dans l'entreprise, article présenté lors d'un séminaire organisé par Euroforum sur le thème : " Quel cadre juridique pour l'Internet ", à Paris les 28 et 29 janvier 1998, Lettre de l'Internet juridique, http://www.argia.fr/lij/, 28 janvier 1998.

13 "Simple Mail Transfer Protocol" : Protocole de messagerie lié aux protocoles TCP/IP et au réseau Internet, très répandu dans les systèmes Unix.

14 "Post Office Protocol 3" : Protocole de réception du courrier; lien entre Internet et les systèmes de messagerie propriétaires. Impose de télécharger les messages pour les lire.

15 S'entend des non-informaticiens avertis…

16 Le serveur fait une demande d'identification sur le nom de domaine - la partie droite de l'adresse, ex : domaine.fr - , puis une fois le domaine localisé, fait une demande sur l'identifiant ou login - la partie gauche de l'adresse, ex :jpdurant ; l'adresse complète est alors jpdurant@domaine.fr.

17 On qualifie d'ordinateur Client celui qui accède à un service par le biais d'un réseau de communication. Par opposition on qualifie de Serveur la machine qui rend le service au client. L'architecture impliquant les deux notions est qualifiée de client/serveur.

18 Sur les modalités d'attribution de l'adresse électronique, v. Itéanu O., Internet et le droit, Aspects juridiques du commerce électronique, Editions Eyrolles, 1996, p54.

19 V. supra Partie I, n°3.

20 C'est le cas de Nomade notamment, dont le site a été un des premiers a proposé un moteur de recherche en français, http://www.nomade.fr.

21 Hypothèse soulevée notamment par Olivier Itéanu dans son ouvrage Internet et le droit, aspects juridiques du commerce électronique mentionné précédemment.

22 L'ouverture d'un site Web doit faire l'objet d'une déclaration au Procureur de la République.

23 Revue de presse : Vendredi 20 mars 1998 Une société iséroise s'appuie sur Internet pour conquérir le marché mondial.

24 Revue de presse : Vendredi 12 juin 1998 La poste canadienne envisage de distribuer le courrier électronique.

25 Revue de presse : Vendredi 20 mars 1998 Les démarches administratives bientôt accomplies via Internet en Isère, et aussi Lundi 15 juin 1998 Propositions pour l'usage d'internet dans l'administration.

26 Revue de presse : Mercredi 6 mai 1998 Le gouvernement annonce dix mesures pour développer le commerce sur Internet.

27 Telle la liste Droit-Net du CRU (Comité Réseau Universités) qui traite des problèmes juridiques liés à l'utilisation du Réseau.

28 Même Microsoft s'y met ! Revue de presse : Lundi 13 juillet 1998 Microsoft lance un site Web pour acheter une maison en ligne.

29 V. le document sur le site de la Cnil : http://www.Cnil.fr/traces/comment/cooki.htm.

30 Acronyme de Uniform Resource Locator (localisateur uniforme de ressources); c'est l'adresse qui spécifie l'emplacement électronique d'une ressource (un fichier) Internet. Une adresse URL est généralement constituée de quatre parties : le protocole, le serveur (ou domaine), le chemin et le nom de fichier, quoique dans certains cas, le chemin ou le nom de fichier ne figure pas.

31 http://www.cnn.com.

32 Appelé aussi logon, il s'agit d'une commande d'ouverture d'une session de communication qui permet d'identifier l'utilisateur et de lui affecter les ressources auxquelles il a droit.

33 Des codes d'accès personnels, des codes de moyens de paiement, des login, et plus généralement l'ensemble des choix réalisés dès lors qu'ils sont rattachables directement à la personne (les choix pour la page personnalisée d'informations sur CNN, les achats réalisés dans une galerie virtuelle au même titre que dans un supermarché).

34 Revue de presse : Samedi 20 juin 1998 La vie privée à découvert sur Internet.

35 Cnil, 17ème rapport d'activité 1996, La Documentation Française, Paris, 1997.

36 Pour lesquels France Télécom a d'ailleurs dû déclarer auprès de la Cnil un traitement automatisé de données nominatives, puisqu'ils ont été portés sur Internet.

37 Expérience de site de commerce électronique faite du 10 novembre 1997 au 8 janvier 1998.

38 United Parcel Service : entreprise de service d'acheminement des paquets; http://www.ups.com.

39 Le commerce électronique en marche, Point DBF n°88, avril 1998, page 8.

40 Prises dans une acception large, c'est-à-dire personne physique en tant que telle, mais aussi personne physique

41 Pour reprendre en patrie la formule utilisée par J. Frayssinet dans son article "Bases de données comportementales sur les consommateurs et Cnil", commentaire de l'arrêt du Conseil d'Etat du 30 juillet 1997, société Consodata, Expertises des systèmes d'information, janvier 1998, p431.

42 A noter que dans cette course, c'est à nouveau l'industrie informatique qui sort gagnante. Sollicitée pour améliorer les moyens techniques d'envoi du courrier électronique, elle est mise à nouveau à contribution pour trouver des solutions aux encombrements de boîtes aux lettres par ces mailings.

44 Aussi désigné couramment par son acronyme MIE pour Microsoft Internet Explorer.

45 Acronyme qui vient de l'anglais "Spiced Pork and Meat", une sorte de jambon en boite de conserve. Comme le précise Lionel Thoumyre, responsable du site Juriscom, "L'expression s'utilisait à l'origine dans la communauté des MUD (Multi User Dongeon) pour désigner l'interruption d'un programme à la suite d'une surcharge de données. L'"indigestion informatique" qui en découlait expliquerait sans doute la référence à cet aliment peu diététique qu'est le Spam ».

46 Une technique ainsi utilisée par les internautes pour se protéger dans les forums est de poster un message avec une adresse du type "jpdurant@france.fr_AEFFACER". Pour l'automate, qui n'est qu'un robot, l'adresse collectée répond aux critères de recherche, mais un courrier envoyé à cette adresse n'arrivera jamais. Au contraire, un participant du forum qui voudra y répondre prendra le soin d'effacer la dernière partie de l'adresse avant d'envoyer son message.

47 Du coup, devant cet accroissement du flux de données, les acteurs commerciaux décident de réserver un réseau pour l'acheminement de leur courrier commercial. Revue de presse : Mardi 18 août 1998 Lancement début 1999 d'un réseau numérique d'expédition du courrier commercial.

48 Revue de presse : Mardi 5 mai 1998 SPAM : 2 millions de dollars de condamnation.

49 Revue de presse : Lundi 11 mai 1998 SPAM : Hotmail combat le spam - Hotmail, service gratuit d'adresses e-mail, appartenant dorénavant à Microsoft, attaque huit sociétés en justice pour avoir envoyé du courrier non sollicité en masse à travers son service. Hotmail considère que ces sociétés ont, par leur pratique, détérioré l'image de la société et de son service.

50 Le 17 juillet, quatre "anti-spam" activistes ont entamé des procédures judiciaires contre la société WorldTouch Network pour violation de la nouvelle loi de l'État de Washington qui interdit l'envoi de messages non sollicités. Cette loi anti-spam est la première de son genre. Le texte permet à toute victime d'éventuels spammeurs de demander des dommages et intérêts s'élevant à 500$ par message, le fournisseur d'accès pouvant, quant à lui, se voir condamner à 1000$ d'amende.

51 l'Office Québécois de la Langue française a opté pour le terme "pourriel" pour la traduction du terme anglais "junk e-mail" et polluriel ou pub-réseau pour le mot "spam", voir : http://www.olf.gouv.qc.ca/service/pages/internet2.html#NOUVEAUX.

52 Dans un cas très récent, le FAI Geocities a été sanctionné par la Federal Trade Commission pour avoir trompé ses abonnés à propos de leur vie privée. En effet, l'inscription à ce service se fait en ligne et des champs sont à remplir sur les nom, prénom, adresse (obligatoire), mais aussi situation maritale, éducation,etc (optionnel). La FTC a relevés lors de sa sanction, que GeoCities avait transmis ces informations optionnelles à des tiers sans l'accord de ses consommateurs, InformationWeek, 17 août 1998, p112.

53 Revue de presse : Jeudi 27 août 1998 Le cap du million d'abonnés à un service internet prochainement franchi.

54 La convention 108 a une portée plus large en prévoyant que les données doivent être « obtenues et traitées loyalement et licitement ».

55 Comme cela a été notre cas lorsque nous nous sommes inscrits à la liste Droit-Net.

56 Un excellent article (en anglais malheureusement) qui s'intitule "Information Bulletin March 12, 1998 23:00 GMT Number I-034" et qui émane du The U.S. Department of Energy Computer Incident Advisory Capability est disponible à l'adresse suivante : http://ciac.llnl.gov/ciac/bulletins/i-034.shtml.

57 La lecture du site http://www.doubleclick.net explique par A+B comment employer les cookies pour "tracer" une personne physique sur l'Internet.

58 Par exemple le serveur de Microsoft : http://www.msn.com/.

59 Bitoun J-G., De la protection de la vie privée : des cookies indigestes, CyberlexNet, http://www.grolier.fr/cyberlexnet, 23 avril 1997.




Chapitre II - Les moyens de paiement

  1. Le développement du commerce électronique est évidemment subordonné à l'existence de systèmes fiables de paiement électronique. L'émission de monnaie électronique constitue en effet à la fois une des conditions permissives et une des conséquences du développement de l'"ebusiness". La Commission européenne, l'Institut monétaire européen et les Etats-membres réfléchissent actuellement au cadre le plus approprié pour superviser l'émission de monnaie électronique en Europe. Les expérimentations de paiements électroniques sur Internet ont en commun de fournir les outils de sécurité des transactions et d'authentification des parties prenantes à l'opération, nécessaires à l'établissement d' « un climat de sécurité du commerce électronique »1. Leur définition et leur mise en œuvre constituent également une opportunité pour le développement des transactions en euros dès 1999, ce qui peut contribuer, en plus, à une acceptabilité rapide de la monnaie unique. La complexité croissante des ordinateurs et des moyens de communication exige le recours à des solutions de sécurité toujours plus performantes. Or les techniques de chiffrement constituent certainement aujourd'hui le moyen le plus efficace pour assurer la confidentialité d'un message, vérifier l'identité de son émetteur et contrôler son intégrité. Mais il faut compter avec la législation française qui, en cette matière, a toujours été considérée comme l'une des plus répressives au monde. Après avoir exposé la problématique concernant les moyens de paiement au regard des données personnelles (Section I), nous porterons notre attention sur la réponse particulière apporté par la cryptologie (Section II).

  2. Section I - La problématique des moyens de paiement2

    Deux idées viennent à l'esprit lorsque l'on évoque la problématique des moyens de paiement. La première, d'ordre économique, permet de comprendre en quoi les numéros et les codes secrets de cartes bancaires sont des identifiants nécessaires aux transactions commerciales sur le Web; la seconde, d'ordre juridique, met l'accent sur les moyens de paiement, non pas pour eux-mêmes, mais afin d'évaluer quelle peut être leur valeur protectrice à l'égard des données personnelles qu ils incluent

  3. A / L'aspect économique des moyens de paiement

    La dynamique du commerce électronique est lancée, et les entreprises l'ont compris. Mais il nécessite une logistique et une sécurité sans faille. Le commerce entre dans une nouvelle dimension, celle du marketing "one-to-one"3, mais à l'échelle de masse. Cette idée est importante, car elle désorganise les systèmes traditionnels d'approvisionnement, et en partie l'architecture traditionnelle des moyens de paiements. La monnaie métallique ou le billet de banque sont des moyens de paiements rodés et dont l'utilisation présente peu de risques pour le créancier ou le débiteur. Il en va tout autrement de la monnaie scripturale dont le virement, le chèque, la carte de crédit ou le prélèvement par compte sont les principaux systèmes. Le paiement se réalise dans ce cas parfois sans la présence des parties, et en présence d'un intermédiaire, le plus souvent une banque et/ou un groupe de carte bancaire qui assure et garantit la transaction financière. Dans ce cas, les risques relatifs au paiement se multiplient pour diverses raisons tant pour le vendeur que pour l'acheteur. L'architecture classique du réseau bancaire se présente sous la forme de réseaux informatiques fermés ou privés, sécurisés, pour lesquels les problèmes sont facilement résolus. Les transactions financières emprunte ces réseaux fermés pour relier l'acheteur, le vendeur et l'établissement bancaire et ce tripartisme contribue au faible nombre de problèmes (le plus souvent liés à la preuve). Mais comme le rappelle Olivier Itéanu, « contrairement à une idée répandue, le paiement est essentiellement un problème technique. Il n'est un problème juridique que de façon incidente : essentiellement à travers la preuve de l'ordre de paiement et du paiement »4. Le paiement par carte bancaire est le plus naturel dans les transactions dématérialisées, et sa mise en œuvre présente, cependant, un certain nombre de difficultés. Et l'auteur poursuit : « d'une part le client doit avoir une certaine confiance vis-à-vis du marchand à qui il va divulguer des informations bancaires le concernant », d'autre part le marchand doit avoir les garanties que sa transaction sera honorée. Il y a là un double mouvement d'identification qui, pour l'instant, ne profite qu'au commerçant. « A ce jour, tous les mécanismes d'identification sont tournés vers le porteur de la carte et jamais vers le commerçant ».

  4. Deux schémas de relations commerciales apparaissent dans lesquelles les moyens de paiement seront mis en œuvre : Le schéma du "business-to-business"5, et le schéma du "business-to-consumer"6. Dans ces cas, toute une panoplie de logiciels est déployée, qui regroupe deux familles d'outils7 : d'une part les outils de "front-end" destinés à gère les rapports avec les clients (dont la propositions des moyens de paiement, la personnalisation des échanges et la définition d'un profil de client), et d'autre part ceux de "back-office" pour tous les traitements internes à l'entreprise (dont le calcul du montant des factures, la traçabilité de la transaction ou l'échange avec un organisme financier des informations sur les autorisations bancaires du clients). Ce petit panorama montre que le site marchand sur l'Internet nécessite le regroupement d'opérations ayant pour objet principal l'identification du cocontractant et l'assurance de son règlement. Dans le cas du "business-to-business", les grandes entreprises ont implanté des réseaux où circulent des données sécurisées par la technique de l'EDI8. Mais le fort potentiel du commerce électronique est un appât tentant pour les PME/PMI qui peuvent accéder à un marché mondial, faire concurrence à de grosses structures grâce à leur flexibilité, mais qui n'ont pas les moyens de développer l'EDI. Les solutions de moyens de paiement sont surtout attendus par ces entreprises. Il faut donc développer des techniques qui ne soient pas trop onéreuses, de sorte qu'elles puissent se placer sur les équipements terminaux qui vont principalement servir au commerce électronique, à savoir l'ordinateur individuel. Cette priorité répond aussi aux préoccupations de l'internaute dans le schéma "business-to-consumer". Lorsque l'on sait l'usage qui est fait des données collectées à l'occasion des achat par cartes bancaires dans les grandes surfaces, il y a tout lieu de se méfier d'Internet. De plus, les occasions d'escroquerie sont aussi présentes9, comme ailleurs, et les organismes en charge de la protection du consommateur commencent à réagir à des situations excessives dans lesquelles l'internaute, béotien électronique, ne montrait que peu de résistance10.

  5. B / L'aspect juridique des moyens de paiements

    Il s'agit de faire du commerce mais aussi de préserver le commerce. C'est ce que l'on désigne généralement par le terme "sécurisation". Le commerce propre a tout à y gagner ! De manière générale, le paiement peut s'effectuer soit en débitant directement le compte bancaire du consommateur, soit en ayant préalablement transféré et éventuellement converti des valeurs hors de ce compte. Plusieurs techniques de paiement sont présentes. On peut opposer la monnaie électronique aux transactions sécurisées. La monnaie électronique, aussi appelée "ecash" pour electronic cash, sert principalement lors des micro-paiements de ce que l'on appelle de plus en plus les nanoservices11. Dans ce cas, l'opérateur propose au consommateur de créditer un porte monnaie électronique, préalablement à ses achats, supprimant ainsi les relations a posteriori avec la banque. Cette monnaie dématérialisée peut être détenue directement sur un logiciel présent dans l'ordinateur du consommateur ou dans une carte à puce, supprimant alors la présence d'un tiers détenteur12 . Mais il s'agit de systèmes de comptages de transaction pour des biens et des services dont la valeur marchande est infinitésimale, c'est-à-dire quelques centimes ou dixièmes de centimes. Parfaitement intégrés aux logiciels de consultation, de tels échanges d'argent pourraient ainsi rémunérer des services indispensables du réseau (comme les annuaires) ou simplement les infrastructures d'Internet. Mais la difficulté majeure de ces systèmes d'ecash est actuellement la minimisation des coûts de traitement de ces micro-paiements, bien sûr supérieurs aux cinq dixièmes de centimes perçus lors de la transaction. Quant aux transactions sécurisées, elles regroupent deux types de moyens de paiement. Le premier fait appel à des protocoles de sécurisation des transactions (SSL13, SET14, S-HTTP15), alors que le second fait appel au procédé de cartes à puces16 . La différence mérite d'être soulignée car les données personnelles n'ont pas le même sort dans les deux cas. Dans le cas des transactions sécurisées par protocoles, la saisie des données personnelles dans l'ordinateur se fait à distance, sur le serveur marchand. Le serveur peut proposer un environnement déjà en partie17 sécurisé, mais la saisie de données identifiantes telles que les coordonnées bancaires et autres renseignements sur le moyen de paiement supposent que le responsable du serveur traite les informations données (ne serait-ce que pour les transmettre à un organisme bancaire qui va se charger de la transaction à proprement parler). Ce traitement nécessite à coup sûr une déclaration auprès de la Cnil. On retrouvera, en plus, rattachée aux paiements, toute la gestion des comptes clients telle qu'elle est décrite dans la norme simplifiée n°12. Le système de la carte de paiement est déjà utilisé dans les transactions électroniques, mais sans réelle sécurité puisque ne sont utilisés que le numéro de la carte et la durée de validité18. Afin de pouvoir utiliser le code confidentiel de celle-ci, il faut soit bénéficier de moyens de confidentialité parfaitement sûrs, ce qui ne supprime pas le doute quant à la solvabilité du consommateur, soit disposer d'un lecteur de carte. Dans ce dernier cas, les données personnelles ne sont pas stockées sur le serveur. La puce contient les informations confidentielles qui sont transmises cryptées sur le réseau, de façon équivalente à celle lors d'un achat chez un commerçant non électronique. Cette solution peut paraître à priori plus satisfaisante, mais elle a l'inconvénient d'être plus onéreuse pour l'internaute car elle nécessite l'adjonction de lecteurs spécifiques sur les ordinateurs19.

  6. Plusieurs opérateurs développent des systèmes mettant en place des relations transactionnelles tripartites où un intermédiaire intervient entre les contractants afin de les identifier et de les authentifier, et afin de sécuriser par cryptage les échanges d'informations (First Virtual, Cybercash, Kleline20 , Netbill...). Il s'agit donc de tiers certificateurs qui peuvent également gérer les relations avec les organismes bancaires et devenir ainsi des centres de paiement sécurisé. Reste à savoir à quelles formalités seront soumis les responsables de sites marchands offrant la possibilité de transactions en ligne. Il est raisonnable de penser que tout site marchand aura une déclaration à faire, même en écartant la fonction de messagerie, dans la mesure où les transactions sécurisées par protocole conservent les données sur le serveur. Or, si dans le cas de paiement par carte avec lecteurs spéciaux, la déclaration n'est plus à faire21, il est fort probable que dans la pratique, les sites marchands proposent les deux types de moyens de paiement. Aussi bien dans le cas de relations entre entreprises, qu'entre entreprises et consommateurs, des données personnelles seront, non seulement collectées, mais aussi transmises par réseau. Avec la multitude d'acteurs qui vont intervenir dans une transaction électronique, le souci peut être grand de voir la collecte sauvage d'informations se généraliser. La sécurisation du paiement est, on le répète, un élément indispensable au développement du commerce électronique. Pour le consommateur, il s'agit de garantir le montant prélevé et la confidentialité des informations bancaires transmises. Pour le distributeur, il s'agit de garantir l'effectivité du paiement. La meilleure garantie de protection des données personnelles pour l'internaute, comme pour le marchand, reste la définition de standards22 , lesquels sont ensuite implantés facilement et permettent l'interopérabilité des systèmes de protection. Il n'y a donc pas lieu de s'étonner, par exemple, de voir le groupement des cartes bancaires Carte Bleue, Europay France et le consortium e-COMM adopter une solution technique commune de sécurisation des paiements sur Internet23.


  7. Section II - La réponse particulière apportée par la cryptologie24

    « L'utilisation de la cryptologie permet d'assurer des fonctions juridiques fondamentales : authentification (identification par une tierce personne), intégrité, non répudiation et confidentialité des messages électroniques »25. La cryptographie ou chiffrement est le processus de transcription d'une information intelligible en une information inintelligible par l'application de conventions secrètes dont l'effet est réversible. La loi française définit les prestations de cryptologie comme : "toutes prestations visant à transformer à l'aide de conventions secrètes des informations ou signaux clairs en information ou signaux inintelligibles pour des tiers, ou à réaliser l'opération inverse, grâce à des moyens, matériels ou logiciels conçus à cet effet"26. Dans le cadre d'un réseau ouvert comme l'Internet, il n'existe aucune garantie que les messages envoyés à des correspondants ne soient pas interceptés, détournés, modifiés. Rien ne permet de certifier l'identité de l'expéditeur ou la bonne réception par le destinataire. Dans le contexte d'une société où les échanges d'informations numériques peuvent à long terme concurrencer l'utilisation de l'écrit, il est indispensable de pouvoir bénéficier de systèmes sécurisés pour protéger les données à caractère personnel ou confidentiel, assurer la sécurité des transactions financières et commerciales, passer des contrats en l'absence de support papier. La cryptographie se révèle un outil puissant qui peut être utilisé au service des données personnelles, mais qui engendrent de nouvelles données, détenues par des tiers de confiance, qui pourront très certainement être qualifiées de personnelles. De manière générale, les procédés de cryptographie serviront dans le cadre du commerce électronique, mais seront appréciés par les internautes pour la protection de leur vie privée. L'interrogation subsiste de savoir quels rôles respectifs, de ce point de vue, doivent avoir le droit et la technique dans la garantie de la confidentialilté. Comme l'écrit Herbert Maisl27, « le droit a progressé dans la définition du régime du secret de la correspondance privée. En France, la loi du 10 juillet 1991 relative au secret des correspondances émises par la voie des télécommunications et le nouveau Code pénal ont clarifié la situation et nous ont mis en accord avec la jurisprudence de la Cour européenne des droits de l'homme. Aux Etats-Unis, l'interception d'un courrier électronique en cas de délit est possible; on cite cette autorisation donnée par un juge de New York28 à un service de police pour suivre des messages envoyés dans des boites électroniques; Compuserve29 , de son côté, admet de communiquer, dans le cadre d'enquêtes, les noms et adresses de ses abonnés Les meilleures protections sont encore techniques : sécurisation des accès, identification correcte des utilisateurs, cryptologie; encore faut-il qu'elles aient une base légale. on sait le conflit d'intérêts qui est apparu, à propos du cryptage, entre les intérêts des particuliers et des entreprises d'un côté, et ceux de l'Etat, de l'autre ».

  8. A / Les procédés de cryptage au service des données personnelles

    Pour réaliser les objectifs mentionnés ci-dessus, la cryptographie s'avère être un outil indispensable30. Il existe deux grands types de cryptographie : la cryptographie symétrique - la même clé (le code secret) est utilisée pour encrypter et décrypter l'information (le problème de cette méthode est qu' il faut trouver le moyen de transmettre de manière sécurisée la clé à son correspondant) - et la cryptographie asymétrique - ce n'est pas la même clé qui crypte et qui décrypte les messages. L'utilisateur possède une clé privée et une clé publique. Il distribue sa clé publique et garde secrète sa clé privée . Dans ce type d'application, tout le monde peut lui écrire en utilisant la clé publique, mais seul l'utilisateur destinataire pourra décrypter, et donc lire, le message avec sa clé privée. La cryptographie permet ici d'assurer la confidentialité des données transitant sur un réseau : les données sont uniquement portées à la connaissance des personnes autorisées. Une autre paire de clés sera utilisée pour s'assurer de l'identité de l'émetteur d'un message : c'est la question de l'authentification. L'utilisateur "crypte" avec sa clé privée son message. Tout le monde peut "décrypter" le message avec la clé publique correspondant à l'expéditeur ainsi identifié. Les applications de la cryptographie dans le cadre des réseaux informatiques sont variées, mais pour le commerce électronique , la cryptographie permet de sécuriser les transactions financières et la plupart des systèmes de paiement électronique actuellement envisagés, on l'a vu précédemment, utilisent les techniques de chiffrement. Toujours à propos du commerce électronique, elle permet la protection de la vie privée, la protection des traitements d'informations nominatives, la transmission sécurisée des données sensibles à travers les réseaux internationaux ainsi que la protection contre les divulgations à des tiers non autorisés31. Valérie Sédallian précise32 : « Avec les méthodes de codage actuelles, la sûreté d'une clé dépend de sa longueur : les méthodes de cryptage reposent sur l'utilisation des nombres premiers (nombres qui ne sont divisibles que par un et par eux-mêmes) générés par des algorithmes (suite d'opérations nécessaires à l'accomplissement d'une opération). Pour décrypter un document sans posséder la clé, il est nécessaire de disposer d'ordinateurs capables d'effectuer un très grand nombre d'opérations par seconde. La fiabilité d'un système dépend de la puissance de calcul nécessaire à mettre en oeuvre pour casser le code. La dépense nécessaire pour casser le code doit être disproportionnée à la valeur de l'information protégée ».

  9. Le régime de la cryptographie, en France, est organisé par la loi du 29 décembre 1990 de réglementation des télécommunications profondément modifiée par la loi du 26 juillet. L'attention se portait, ces derniers mois, sur deux décrets d'application très attendus et publiés au Journal Officiel du 25 février33 dernier. Ceux-ci viennent préciser le régime de la cryptologie en posant les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie (décret n° 98-101), ainsi que les principes de fonctionnement des organismes agréés à gérer des conventions secrètes de cryptologie pour le compte d'autrui (décret n° 98-102). Si la longueur autorisée des clés sera sujet à évolution dans les mois à venir, les mécanismes du système sont aujourd'hui en place. L'innovation réside tout d'abord dans l'instauration d'un régime de dispense de toute formalité préalable dans un certain nombre de cas. Le décret n°98-101 opère également une libéralisation totale des techniques qui ont pour seule fonction l'authentification des parties ou le contrôle du contenu du message. Il est aussi prévu une libre utilisation des algorithmes de chiffrement à clé secrète pour chiffrer les messages, mais à la condition expresse de remettre les clés à un tiers de confiance. En dehors des hypothèses ci-dessus, les techniques de chiffrement restent soumises à un régime de contrôle du Service central de la sécurité des systèmes d'information (SCSSI)34 . Le dispositif se décline, comme auparavant, en un régime de déclaration et un régime d'autorisation. Un décret à paraître prochainement établira la distinction entre les clés "faibles" (soumises au régime de déclaration), et les clés "fortes" (soumises au régime d'autorisation). Le seuil, initialement fixé à 40 bits, devrait être porté à 56 bits et suscite déjà de vives réactions dans les milieux concernés35 . Les entreprises le considèrent insuffisant pour être compétitives sur les réseaux, les associations de défense des internautes le considère trop faible au regard des enjeux de la protection de vie privée36, et les services spécialisés de l'Etat le considère déjà trop fort en considération de leurs missions. Le paradoxe de ses procédés de sécurisation, dont fait partie la cryptologie, est qu'ils demandent de plus en plus d'identification au sens général du terme. L'accès sécurisé demande login et mot de passe, l'utilisation de cartes bancaires requiert un code personnel, la cryptologie aura ses clés strictement individuelles…conservées au besoin par des tiers de confiance.

  10. B / Les tiers de confiance

    Ils seront, dès demain, nos notaires électroniques. Ils sont chargés par un ou plusieurs utilisateurs de créer et d'attribuer leur clé publique et leur clé privée, et se doivent donc d'être indépendants des intérêts des utilisateurs. Comme le précise Valérie Sédallian37, « le notariat électronique est le procédé qui consiste à confier les clés privées de cryptage à une entité indépendante, dit tiers de confiance ou notaire électronique. Le tiers de confiance remettrait les clés privées à l'autorité judiciaire en cas d'enquête pénale. Ce système, s'il paraît satisfaisant au premier abord, laisse en suspens de nombreuses questions. Quel sera le statut juridique de ces tiers de confiance ? Sur quels critères seront-ils désignés ? Quelles seront leurs fonctions ? Comment s'effectuera la collecte des clés ? Comment s'assurera-t-on que les clés privées ne seront utilisées qu'en cas d'enquête judiciaire ? Comment sera assurée la sécurité du système regroupant les clés contre les intrusions extérieures et les faiblesses humaines puisque le contrôle de la sécurité du système, et donc de la confidentialité, ne repose pas sur les utilisateurs de l'information, mais sur des tiers ».
  11. Le décret n°98-102 répond en partie à ces questions, mais la sécurité des clés n'est envisagée que d'un point de vue…sécuritaire. Aucune mention n'est expressément faite à la réglementation relative à la protection des données personnelles. Pourtant l'article. 11 pose que l'organisme agréé constitue et tient à jour une liste de ses clients. De plus, "il [l'organisme] tient à jour un registre mentionnant toutes les demandes présentées par l'autorité judiciaire concernant la mise en oeuvre ou la remise des conventions secrètes. Sur ce registre sont notamment consignées les informations suivantes :
    1. La date et l'heure de la demande ;
    2. Les références de la commission rogatoire ou de la réquisition judiciaire ;
    3. La durée de l'autorisation ;
    4. Les références des conventions secrètes délivrées ou mises en oeuvre."
    Ce registre est signé par l'agent qui procède à la demande et par l'employé de l'organisme agréé qui effectue la mise en oeuvre ou la remise des conventions secrètes. Après cela, l'accès au registre est limité aux autorités judiciaires dans les conditions prévues par le code de procédure pénale". L'aspect sécurité est certes présent, comme en témoigne les garanties accompagnant les demandes de mise en oeuvre ou de remise des conventions secrètes effectuées dans le cadre du titre II de la loi du 10 juillet 1991. Celles-ci "sont consignées dans un registre séparé, sur lequel ne figurent que la date, l'heure de la demande, la durée de l'autorisation ainsi que la référence de l'ordre de communication des conventions secrètes. Ce registre est classifié au niveau secret défense et son accès est limité au Premier ministre, à la Commission nationale de contrôle des interceptions de sécurité ainsi qu'aux agents spécialement désignés par l'une ou l'autre de ces autorités". La Cnil ne semble pas avoir été associée à cette procédure. Pourtant, on peut imaginer l'intérêt que pourrait porter une autorité de l'Etat aux clés d'une grande compagnie internationale de nationalité différente. Le décret laisse cependant entr'apercevoir un mécanisme qui pourrait être assimilé à la mise en place d'une protection des données personnelles, mais celui-ci serait alors d'ordre contractuel. L'article 10 précise : "Il est passé contrat écrit entre l'organisme agréé et l'utilisateur pour la gestion de ses conventions secrètes. Ce contrat comprend obligatoirement :
    1. La référence de l'agrément, la durée et la date d'expiration prévues par cet agrément, ainsi que tout élément d'information que le cahier des charges imposerait de communiquer aux utilisateurs ;2. Un engagement de l'organisme agréé relatif à la sécurité des conventions secrètes qu'il gère pour le compte de l'utilisateur ;
    3. Les modalités selon lesquelles l'utilisateur, ou toute autre personne éventuellement mandatée par celui-ci, pourra, à sa demande, se faire délivrer copie de ses conventions secrètes durant son contrat avec l'organisme agréé ou après son terme". Enfin, mais toujours entre les lignes, peut-être peut-on dégager un principe de sécurité à rapprocher des articles 28 (conservation des informations) et 29 (Obligation de sécurité) de la loi de 1978. L'article 12 du décret pose que :" L'organisme agréé prend les mesures nécessaires pour préserver la sécurité des conventions secrètes qu'il gère au profit de ses clients, afin d'empêcher qu'elles ne puissent être altérées, endommagées, détruites ou communiquées à des tiers non autorisés. Il prend toutes dispositions, notamment contractuelles, vis-à-vis de son personnel, de ses partenaires, clients et fournisseurs, afin que soit respectée en permanence la confidentialité des informations de toute nature dont il a connaissance relativement à l'utilisation de ces conventions secrètes et à leur remise aux autorités mentionnées au quatrième alinéa du II de l'article 28 de la loi du 29 décembre 1990 susvisée ou à leur mise en oeuvre au profit de ces autorités".

  12. L'essor du commerce électronique ne pourra faire l'économie de la création d'une véritable culture des échanges virtuels. A la fois chez les vendeurs et chez les consommateurs. Et cela prendra sans doute du temps. D'autant que la plupart des internautes débutent. Ils doivent à la fois maîtriser l'outil et découvrir le cyberespace. Cette inexpérience explique sans doute pour une bonne part leurs inquiétudes en matière de sécurité des paiements. Si les analyses prévoient un décollage plus rapide des échanges interentreprises, c'est justement parce que les sociétés se trouvent dans une situation profondément différente de celle des familles. Les ordinateurs, d'abord, y sont beaucoup plus nombreux. Leurs utilisateurs sont encadrés par des services de maintenance et d'assistance qui leur viennent en aide au moindre problème. De plus, la gestion des entreprises est déjà entièrement informatisée. Réseaux locaux et messageries internes se sont banalisés. L'ouverture sur l'extérieur, la communication avec les partenaires, les fournisseurs et les clients constitue l'étape suivante. La chaîne des acteurs du commerce électronique impliqués par une même opération va s'allonger, et les données personnelles seront transmises de l'un à l'autre, à mesure que les intermédiaires techniques et financiers apparaissent.

1 Commission Européenne, Assurer la sécurité et la confiance dans la communication électronique, Communication du 08.10.1997, COM(97) 503 final.

2 Pour une approche historique du commerce et des moyens de paiement sur Internet, v. Huitema C., Et Dieu créa l'Internet, Eyrolles,1995, p143.

3 Revue de presse : Mardi 3 mars 1998 Le multimédia favorise un nouveau modèle de publicité: le "one to one".

4 Iteanu O., Les contrats du commerce électronique, Droit & patrimoine, décembre 1997, n°55, p52.

5 C'est-à-dire la situation de commerce dans laquelle sont parties deux entreprises (ou deux marchands par opposition au consommateur internaute).

6 C'est-à-dire celui qui met en relation directe un marchand avec un consommateur.

7 V. Ferret B., Toute une panoplie de logiciels, Le monde informatique, 1er mai 1998, p22.

8 De plus, la plupart des solutions existantes sur le marché à l'heure actuelle prévoit l'exploitation de protocoles EDI par Internet et la liaison avec des systèmes EDI "classiques". Sur l'EDI, v. Introduction n°7.

9 Revue de presse : Samedi 29 août 1998 Escroquerie à la carte bancaire via Internet.

10 En France, le Conseil national de la consommation a rendu un rapport détaillé sur les offres de connexion à Internet, et aux USA, la FTC vient de rendre public un rapport relatif à la «Lutte contre la fraude envers les consommateurs : les nouveaux outils du commerce» disponible sur http://www.ftc.gov/reports/fraud97/; v. Revue de presse : Mercredi 20 mai 1998 Fraude : rapport de la FTC.

11 « La vraie révolution, c'est celle des nanoservices », Le monde informatique, 1er mai 1998, p25.

12 En juin 1998, France Telecom et le consortium E-Comm ont lancé un nouveau système de micropaiement. Développé par Cap Gemini sur le standard international SET, le nouveau dispositif distribuera au client (et au commerçant) une fois pour toutes un certificat d'authentification à installer, sous forme logicielle, dans l'ordinateur utilisé pour commercer sur Internet, en faisant de tout petits achats.

13 Secure Socket Layer : algorithme de codage développé et commercialisé par Netscape. Indépendant des applications, il fonctionne entre n'importe quel protocole réseau et permet de sécuriser aussi bien des transactions Web, FTP (File transfert protocol - v. Glossaire) ou Telnet. Basé sur une technologie RSA pour le cryptage des données, il garantit une confidentialité totale.

14 Secure Electronic Transaction : protocole de référence, développé par VISA et MasterCard dans lequel VISA est l'autorité authentifiant les transactions. Un réseau propriétaire achemine les opérations. Cette technologie utilise indifféremment n'importe quel réseau : MSN (Microsoft Network), Internet, AOL (America On Line)…

15 Secure HyperText Transfert Protocol : développé et distribué gratuitement par le NCSA (National Center of Super computer Application), il s'interface avec HTTP qu'il sécurise alors. Il utilise l'algorithme RSA.

16 L'utilisation du langage Java (v. Glossaire) pour les cartes à puces fait l'unanimité. Il permet de télécharger de nouvelles applications, d'envisager des cartes multifonctions, interopérables... Jusqu'ici, les fabricants de cartes un logiciel d'application spécifique pour chaque client. Avec Java, il devient non seulement possible de faire le programme de la carte à n'importe quel moment, mais aussi d'ajouter ou d'ôter à la demande de nouveaux logiciels d'applications. Les cartes à puce de tous les constructeurs vont, en outre, devenir compatibles. Ainsi, la carte à puce de demain ne se contentera plus de manipuler des données. Elle deviendra une véritable machine à traiter de l'information, grâce aux instructions écrites en langage Java, téléchargées dans des mémoires flash, réinscriptibles, aux capacités de plus en plus fortes (bientôt 64 kilooctets) et exécutées par des microprocesseurs de plus en plus puissants (32 bits).

17 Ce qui est souvent le cas lors de l'inscription en ligne à un fournisseur d'accès comme Club Internet par exemple.

18 Or, dans ce cas, le client a, en France, quatre-vingt dix jours pour révoquer son paiement. Les risques de fraude de la part de clients de mauvaise foi sont donc sérieux et le paiement n'apparaît pas dans ce cas sécurisé.

19 A l'instar des Minitel "nouvelle génération" qui possèdent des dispositifs équivalents.

20 La Cnil précise dans son 17ème rapport précité que : « Une société française dénommée Kleline, filiale de la Compagnie bancaire et du groupe LVMH, a déposé un dossier de déclaration ordinaire auprès de la Commission concernant la mise en oeuvre d'un système de paiement sécurisé à l'attention des utilisateurs d'Internet. En effet, ce système a pour principal avantage de permettre aux internautes qui souhaitent acheter des biens et services proposés sur des sites Internet, de ne pas faire transiter sur le réseau leur numéro de carte bancaire ».

21 Le site marchand est, dans cette hypothèse, identique à n'importe quel commerçant chez lequel le règlement se fait par carte de crédit.

22 Revue de presse : Mercredi 29 juillet 1998 Commerce électronique : création d'une nouvelle société pour l'élaboration de normes internationales.

23 Revue de presse : Lundi 15 juin 1998 Les banques s'entendent sur un standard de sécurisation des paiements.

24 On utilisera indifféremment les termes cryptologie ou cryptographie puisque ceux-ci ont la même signification en langue française.

25 Caprioli E., Preuve et signature dans le commerce électronique, Droit & patrimoine, décembre 1997, n°55, p56.

26 Article 28 de la loi 90-1170 du 29/12/90 (JO du 30/12/90), modifié par la loi 91-648 du 11 juillet 1991 (JO du 13/7/91).

27 Maisl H., Les données confidentielles et les données nominatives sur Internet, in Internet saisi par le droit, sous la direction de Xavier Linant de Bellefonds, Editions des Parques, 1997.

28 Une nouvelle technologie présentée par treize grands groupes informatiques américains permettra aux autorités de police, munies d'un mandat délivré par un juge, un accès restreint aux messages cryptés. V. Revue de presse : Lundi 13 juillet 1998 Etats-Unis : accès de la police aux messages cryptés.

29 FAI américain ayant une couverture mondial; racheté par AOL, il représente son activité "entreprises".

30 Au demeurant, on pourrait parler, selon N. Ros de Lochounoff, de cryptotechnologies car de multiples usages sont obtenus avec l'usage de clés informatiques : "la confidentialité c'est le sens de vrai de chiffrement, qui consiste à rendre illisibles des informations pour des personnes non autorisées; l'authentification permet d'attribuer une clé à une personne et vice-versa; le scellement permet de garantir l'intégrité d'un document".

31 A propos de ses différentes utilisations et d'un point de vue plus technique, v. Les messages sécurisés sur le Web, J-M. Font, Informatiques Magazine, 15 mars 1998, p72.

32 Sédallian V., Cryptographie : les enjeux et l'état de la législation française, Lettre de l'Internet juridique, http://www.argia.fr/lij/ArticleAvril1.html, avril 1996.

33 Décret no 98-101 du 24 février 1998 définissant les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie, et Décret no 98-102 du 24 février 1998 définissant les conditions dans lesquelles sont agréés les organismes gérant pour le compte d'autrui des conventions secrètes de cryptologie en application de l'article 28 de la loi no 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications, JO n°47 du 25 février 1998, p2911 et 2915.

34 Concernant le commerce électronique, le SCSSI avait autorisé la fourniture et l'exportation vers des pays n'appartenant pas à la Communauté européenne du logiciel C-SET (Chip-Secure Electronic Transaction), v. Le scssi autorise l'architecture du GIE Cartes Bancaires, Expertises des systèmes d'information, avril 1997, p131.

35 Alors que la discussion en porte encore, en France, sur le régime de la cryptologie, les USA autorisent déjà l'exportation de certains produits. Le marché les réclame, et nous allons les acheter aux américains ! v. Revue de presse : Mardi 7 juillet 1998 Washington : l'exportation des logiciels de cryptage autorisée par le gouvernement américain.

36 Ce débat est à l'image de ce qui se passe aux Etats-Unis, où l'administration Clinton rêve de mettre en place un législation identique à celle de la France. Mais les lobbies y sont plus forts que chez nous, et il y a fort à parier que l'administration cédera sous les pressions conjuguées des utilisateurs et des entreprises. v. Revue de presse : Jeudi 5 mars 1998 Alliance contre le gouvernement Clinton pour un cryptage non contrôlé.

37 art.précit.




Chapitre III - Les intermédiaires techniques et financiers

  1. Lors d'une interview réalisée par le Monde de l'Economie dans le cadre d'un dossier sur Internet et le commerce électronique1, la question était posée à Philippe Lemoine, vice-président directeur général du groupe Galeries Lafayette et ancien commissaire du gouvernement auprès de la Cnil, de savoir si ces nouveaux services personnalisés et ces logiciels qui permettent de mieux suivre les comportements des clients sur le réseau ne risquaient-ils pas d'attenter à la vie privée ? Sa réponse est optimiste : « Non Dans la VPC2, on a utilisé des technologies massives pour suivre et ficher des comportements. Type Big Brother. Mais le modèle aujourd'hui, ce n'est pas la base de données, c'est le navigateur, c'est l'outil qui permet à une personne elle-même d'aller sur le réseau pour comparer des sites. Dans la VPC, le rendement du marketing direct est crucial. Chaque catalogue représente un investissement de plusieurs centaines de millions de francs, le coût d'un très, très grand magasin ! Pour rentabiliser ces coûts, il faut avoir toujours plus d'information sur les clients. Dans le monde Internet, ces coûts-là vont disparaître, les coûts de reproduction sont très faibles. La société marchande ne peut se développer sans mobilité, sans liberté ; il faut que les gens puissent protéger leurs secrets ».

  2. Pour autant, le 17ème rapport de la Cnil n'est pas d'un avis aussi marqué : « En tout état de cause, il convient de retenir que deux catégories d'acteurs du réseau ont toujours la possibilité de suivre le comportement d'un internaute à la trace :- chaque serveur peut mémoriser les échanges de données entre lui et les internautes qui y sont connectés ; ces données étant identifiées par une adresse IP ; la fonctionnalité de maintenance des serveurs (fichiers "log") permet de mémoriser la totalité des flux de données, par le biais des adresses IP, mais parfois aussi, le contenu des requêtes effectuées par les utilisateurs (quelle page de quel site a été lue) ; - chaque fournisseur d'accès par lequel toutes les données de son client internaute transitent. En outre, le fournisseur d'accès étant habituellement le seul gardien des messages "e-mail" de ses clients, techniquement des manipulations ou consultations sont possibles ; le plus souvent, c'est aussi chez le fournisseur d'accès que sont consultés les forums de discussion ».

  3. Ce que relève la Cnil avant tout, c'est la fragmentation du marché. L'Internet a d'abord eu la conséquence de transformer n'importe qui en fournisseur de contenu3. De ce fait, « la multiplication de sites indépendants a conduit à une révision des stratégies des grands fournisseurs de services en ligne, en raison également de la mobilisation massive des opérateurs de télécommunications, qui provoque une fragmentation de ces marchés ». L'Internet est un espace de niches, favorables aux grandes entreprises qui y déploient une puissance quasi-industrielle, comme aux PME/PMI qui y trouvent un moyen de faire valoir leurs produits et services. La clé du commerce sur Internet est certainement de loin la personnalisation du rapport marchand. Plus le marchand connait sa clientèle, plus il peut répondre à cette attente d'individualisation du service. La complexité des différents outils mis en place pour faire du commerce sur le Web est telle qu'aucun acteur ne peut se prévaloir d'un expertise sur l'ensemble du secteur. L'opérateur de télécommunication fournit des solutions physiques et logiques à la gestion des infrastructures de télécoms, le fournisseur d'accès offre la passerelle qui raccordera le poste distant de l'internaute à la nébuleuse du réseau, des groupes spécialisés dans les procédés de paiement sont requis pour assurer l'interface avec l'internaute, des compétences techniques et artistiques deviennent nécessaires pour la mise en forme du projet, un fournisseur d'hébergement est requis, et ainsi de suite. La liste peut être très longue, et ces différents acteurs ont tous à connaître de données relatives à vous comme à nous. La préoccupation est certaine, à l'égard des données personnelles et des traitements possibles, dans deux situations en particulier. La première est celle où des groupes de compétences s'associent pour présenter des offres globales de services, afin de réaliser une chaîne homogène depuis l'administration au jour le jour du site jusqu'à la fourniture d'infrastructures de réseau, en passant par la force de vente et la prise en charge des moyens de paiement et des transactions4. L'autre situation est celle d'un acteur privilégié de l'Internet marchand : il s'agit du fournisseur d'accès à Internet (FAI) qui possède le rôle unique de passerelle vers l'Internet. Nous aborderons donc successivement les offres globales de services (Section I), puis le cas particulier des fournisseurs d'accès (Section II).

  4. Section I - Les offres globales de services

    Les offres globales apparaissent essentiellement dans le domaine du commerce interentreprises pour lequelles elles deviennent une réalité quotidienne5, soulevant à ce propos des incertitudes quant au sort réservé aux données collectées.

  5. A / Une réalité qui se dessine

    Les offres globales de services font référence à la capacité de certains acteurs du marché du commerce électronique de fédérer des compétences, de sorte qu'ils sont en mesure de proposer à leurs clients un produit complet, pour lequel il ne reste plus qu'à signer. Ses offres globales ne sont pas encore courantes, mais elles commencent à faire jour. Elles ont nécessité, au préalable, le regroupement de sociétés, des restructurations internes et des alliances. Cette situation est flagrante dans le domaine des télécoms. On peut se rendre compte en France de la compétition féroce qui a eu lieu autours de l'attribution des numéros d'opérateurs de télécommunications6. La tension est toute aussi importante avec les câblo-opérateurs7. En France, l'exemple commence à être montré par France Télécom. Entre 1990 et 1997, France Télécom s'est doté d'un nouveau système d'information clients8. Dans le contexte actuel de dérèglementation, ce système est considéré comme stratégique car il apporte à l'opérateur une meilleure connaissance de sa clientèle et améliore sa réactivité par rapport aux concurrents. Chaque jour, 180 millions de télécommunications sont facturées. De cette façon, la plupart des offres tarifaires sont "inventées" à partir des informations concernant les clients. Au lancement du projet, en 1990, le premier objectif de France Télécom était de mettre en place une base de données structurée, détaillant le profil des 30 millions de clients. Or, on a précisé9 qu'un site marchand nécessitait à la fois des outils de "front-end" et des outils de "back-office". France Télécom semble vouloir s'engager dans cette dernière voie pour constituer un pôle de compétences permettant d'attirer de petites structures pour lesquelles elle se chargerait de la gestion des transactions financières. Après avoir ajouté la fonction de FAI à sa gamme de services10, l'opérateur a lancé en avril dernier un accès aux services Internet selon la formule Kiosque-Micro, à tarification proportionnelle au temps passé, comme sur le minitel11. Sur ce service, France Télécom compte attirer un parc très large d'entreprises utilisatrices, et table sur la création de 2.000 services dans les douze prochains mois. Parmi les premières entreprises à ouvrir ce nouveau mode d'accès à leurs services d'information figurent La Redoute, la BNP, Ubi-Soft ou France Télévision. Le minitel, lui, offre actuellement 25.000 services, dont 8.000 services proposés par des grandes marques, et rapporte 2,8 milliards francs par an à France Télécom. Dans le même temps, un accord est passé avec Microsoft pour associer MSN (Microsoft Network) à Wanadoo, lui permettant au passage de récupérer près de 130 000 abonnés. Un accord similaire a eu lieu entre Cegetel et AOL (America On Line)12. Pour finir, France Télécom a passé plusieurs accords stratégiques : le premier du genre avec le groupe la Dépêche13, pour créer un nouveau site Internet, portant le nom de code "ECO"qui est un site Internet, mais également une offre globale de services à l'attention des PME-PMI et collectivités locales de Midi-Pyrénées. Le second accord associe France Télécom à l'Education Nationale pour la fourniture d'un accès Internet aux écoles, ce qui ne va pas sans péripéties légales14. Il ne s'agit pas jeter la suspicion sur France Télécom, mais simplement de mettre l'accent sur la constitution de ces grands alliances de commerçants électroniques sur le Web. Ces suites d'acteurs, intermédiaires au sein d'une même structure, présentent des risques de transmission des données personnelles sans que l'internaute en soit informé, et interpelle le juriste quant aux garde-fous à déployer. Les occasions sont déjà nombreuses pour les entreprises du commerce électronique sur Internet, qu'elles fassent ou non partie d'une offre globale, de contourner la législation en place. Cela est, avant tout, facilité par les incertitudes politiques, et non juridiques. Les instruments juridiques existent, et les pays les plus impliqués dans le commerce électronique sont en majorité des démocraties où le pouvoir des juges est une réalité bien établie. Par contre, chaque pays souhaite voir appliquer ses lois, et cette concurrence (qui est juridiquement autorisée, et réglée par le droit international public et privé) provoque des attentismes, des hésitations qui sont profitables aux commerçants pour lesquels le commerce est en marche et va déjà vite.

  6. B / Les enjeux juridiques au regard des données personnelles

    En conséquence de cette réalité, on ne peut que se féliciter de l'adoption de la directive communautaire de 1995. Elle n'est peut-être, aux yeux de certains, qu'un "moindre mal" à défaut d'être un véritable "bien". Cette réglementation illustre, à tout le moins, la difficulté d'agir juridiquement lorsque les enjeux économiques sont à ce point intenses15. Il convient aussi de souligner le rôle de la Cnil dans l'élaboration16 de ce texte qui, en étant communautaire, offre un avantage sérieux à l'internaute : celui de couvrir le territoire de l'Union européenne. La dimension géographique prend une tournure particulière dans le cas de réseaux internationaux ouverts, et l'issue du problème n'est assurément plus dans la recherche de solutions nationales. Même si elles restent théoriquement réalisables, elles ne seraient qu'une utopie dans leur application à la pratique. Force est de constater aussi que la loi de 1978 est ce que la Cnil en a fait. Il est à espérer que la directive de 1995, qui pose en son article 28 (intitulé "Autorité de contrôle") que " Chaque Etat membre prévoit qu`une ou plusieurs autorités publiques sont chargées de surveiller l`application, sur son territoire, des dispositions adoptées par les Etats membres en application de la présente directive", connaisse un suite semblable, et que les autorités de contrôle fassent preuve d'un pragmatisme affirmé (ce que pourrait favoriser leur indépendance17).

  7. Les exigences de l'article 11 de la directive de 1995, relatif aux données qui n`ont pas été collectées auprès de la personne concernée, méritent particulièrement d'être mentionnées. L'article pose notamment que "lorsque les données n`ont pas été collectées auprès de la personne concernée, les États membres prévoient que le responsable du traitement ou son représentant doit, dès l`enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard lors de la première communication de données fournir à la personne concernée au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée:
    a) L`identité du responsable du traitement et, le cas échéant, de son représentant:
    b) les finalités du traitement;
    c) toute information supplémentaire telle que: les catégories de données concernées, les destinataires ou les catégories de destinataires des données,
    L`existence d`un droit d`accès aux données la concernant et de rectification de ces données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l`égard de la personne concernée un traitement loyal des données". Car, avec la constitution de groupes, les accords contractuels peuvent prévoir l'échange de bases de données comportementales aux fins de marketing. Or, les obligations du maître du traitement sont tournées vers la protection des droits de la personne, et la Cnil a posé l'exigence d'une nouvelle déclaration si le traitement venait à changer de finalité. La cession des informations à un tiers non prévue lors de la déclaration initiale faîte à la Commission, et qui devient l'un des objets du traitement par la suite, doit donc être notifiée à la Cnil, ainsi qu'aux personnes fichées.

  8. Il peut être intéressant de soulever ici l'importance du commerce électronique qualifié de "Business-to-Business", c'est-à-dire celui qui met en relation les entreprises entre elles. Au contraire du commerce "Business-to-consumer" qui mettra certainement du temps à se développer, le commerce inter-entreprises est le véritable moteur du commerce électronique aujourd'hui. Or, l'environnement en entreprise peut amener la collecte et le traitement de données personnelles. Cela est vrai des badges magnétiques requis pour pouvoir accéder à certains parties d'un bâtiment, cela est vrai des annuaires professionnels placés sur Internet18, mais cela est aussi vrai des données relatives aux interlocuteurs du commerce, dans le monde "réel"19 comme dans le monde "virtuel"20. Parmi les maillons de la chaîne d'acteurs qui s'unissent pour faire du commerce électronique, il en est un qui occupe une place à part, due à son statut unique de fournisseur d'accès à Internet.

  9. Section II - Le cas particulier des fournisseurs d'accès à Internet

    «     Le marché des services offerts sur Internet, comme tout marché en expansion, fait l'objet d'une concurrence accrue, qui a eu d'importantes incidences sur le développement des fournisseurs d'accès, lequel s'est opéré en deux temps. Dans un premier temps, le marché a été partagé, dans les plus grands Etats européens, entre quelques grands acteurs, à même d'organiser un certain contrôle sur celui-ci. Ainsi, étaient offerts des plate-formes de services qui regroupaient les grandes catégories de services présents sur le réseau, les fournisseurs d'accès proposant à leurs abonnés leur propre formule du réseau Internet. Cette configuration pouvait présenter l'avantage d'offrir aux autorités en charge de la protection des données des interlocuteurs aisément identifiables, élément de nature à faciliter une application homogène des règles de protection des données, qu'elles soient impératives ou qu'elles relèvent de codes de déontologie auxquels les partenaires seraient liés par contrats. Mais de plus en plus, la concurrence entre les fournisseurs de logiciels et de services de connexion à Internet offre la possibilité de disposer d'un site pour un coût faible. Ce facteur favorise la multiplication des sites des administrations et, majoritairement, des sociétés commerciales. Ainsi, l'utilisation du Web, limitée à son origine à la consultation d'informations, devient plus interactive, par le recours croissant aux questionnaires, boites aux lettres, bourses d'échanges, etc...Cette multiplicité des sites favorise le développement des accès directs à Internet au détriment des plate-formes de services en ligne »21. Deux années après cette analyse, on constate effectivement la multiplication de ces fournisseurs d'accès, et l'importance grandissante de leur statut. Ils sont le passage obligé de l'internaute qui veut acheter, vendre, louer ou échanger sur Internet, et conservent pour des raisons techniques et juridiques les traces des déplacements de leurs abonnés.

  10. A / Un passage obligé

    Un fournisseur d'accès est une personne - généralement morale - qui s'est engagé à fournir à ses clients/usagers un service "d'accès à l'Internet". Ce service inclut notamment la fourniture d'un accès, c'est-à-dire la capacité pour le client d'exploiter, à des fins personnelles, certains appareils opérés par le fournisseur et destinés à permettre le bénéfice des services mis en oeuvre par d'autres personnes conformément à certaines normes définies par les organismes de normalisation de l'Internet. Sa place d'intermédiaire obligé en fait un des acteurs incontournables du commerce électronique. Non pas qu'il soit indispensable pour réaliser les achats en eux-mêmes, mais sans lui, l'internaute ne pourrait se connecter aux sites marchands. Cette fonction d'intermédiaire l'expose particulièrement aux questions de responsabilités : responsabilité du contenu auquel il donne accès ou qui transite par ses "tuyaux", responsabilité de et envers ses abonnés, etc. Ni les affaires judiciaires22, ni les décisions de justice23 ne manquent de rappeler leur importance dans le processus de consultation. Pourtant leur tâche n'est pas aisée. Comme on l'a précisé24, tout sur Internet fonctionne à base d'adressage.

  11. L'internaute souscrit un abonnement (mensuel ou annuel) dont la facturation s'effectue en fonction d'un forfait d'heures de connexion (lequel autorise alors une consultation limitée ou illimitée dans le temps). Pour opérer le paiement de ce forfait, le FAI enregistre les coordonnées postales et bancaires de son abonné. A noter d'ailleurs que si la procédure classique d'ouverture du compte Internet se fait par téléphone, il est possible de réaliser cet abonnement en ligne depuis un poste déjà connecté. Le futur abonné délivre alors ses coordonnées en ligne. La transmission ne comprend pas le règlement immédiat de l'abonnement qui se fera par les procédés bancaires ordinaires. Dès lors qu'il est enregistré, l'abonné peut (dans la limite de son forfait) utiliser son accès Internet. Depuis son ordinateur personnel, l'internaute utilise les ressources physiques d'un opérateur de télécommunications pour rejoindre le serveur de son fournisseur d'accès, lequel acheminera la communication de l'internaute par ses propres ressources au réseau Internet. Lorsque l'internaute, depuis son navigateur, son logiciel de courrier électronique ou son son logiciel de news fait une requête, celle-ci revient d'abord jusque chez son FAI qui la lui transmet ensuite. L'instantanéité est telle que l'internaute ne se rend compte de rien, sauf lorsque le trafic sur les lignes est dense (quelques secondes d'attente sont alors nécessaires au chargement des pages Web par exemple). L'étude de KPMG relative à l'expérience de galerie marchande e-Christmas (citée dans l'article de Point DBF25) met l'accent sur le partenariat nécessaire, entre FAI et fournisseurs de solutions, à l'émergence et au développement du commerce électronique en Europe, parce que celui-ci permet de partager les fruits de l'expérience, mais aussi les risques.

  12. La position des FAI, il est vrai, n'est pas évidente. Le débat s'est engagé sur leur responsabilité pénale (propos tenus dans les forums de discussion hébergés par le FAI, propos qui peuvent à l'occasion être diffamatoires, accès à des sites à contenu interdit) ou civile (SPAM et Junk-mail), mais les mécanismes de responsabilité n'ont encore jamais été mis en œuvre par référence expresse aux dispositions de la loi de 1978 ou de la convention 10826. Pourtant, la qualification de maître de traitement posée par la loi de 1978, ou de responsable du traitement posé par la directive, s'appliquerait sans difficulté aux situations de FAI. La directive définit le responsable du traitement comme "la personne physique ou morale, l`autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d`autres, détermine les finalités et les moyens du traitement de données à caractère personnel". La Cnil avait posé l'exigence d'une déclaration de traitement lors de sa délibération relative à l'ouverture du site du Premier ministre. Il s'agissait alors d'un site, mais qui n'est qu'un serveur parmi tant d'autres, dont ceux du FAI qui ont en charge le système de messagerie électronique, l'hébergement de forums de discussion et la tenue des adresses IP durant une session. La responsabilité des FAI peut se trouver engagée en cas d'infractions à la loi de 1978. Pourtant, comme nous le précisions, la position du FAI n'est pas aisée. Que penser du manque de coordination et de volonté politique à l'échelle internationale quant à la réglementation relative aux sites à caractère raciste ou pédophile, pour ne citer que ceux-là. La parade vient encore, à l'heure actuelle, de la technique. Des logiciels spécifiques, mais aussi les FAI, autorisent la mise en place de filtre qui interdisent l'accès à certains sites. Or, même si cela passe par la délivrance à un FAI de ses opinions en matière politique, religieuse, ou de ses pratiques sexuelles, c'est aujourd'hui une des seules solutions pour permettre la navigation sur Internet à des enfants, et pour leur éviter d'avoir accès à des sites marchands, ou non marchands, au contenu délicat à première vue. Nous ne discutons pas ici des vertus ou des inconvénients d'un filtrage par les FAI au regard de l'éducation des enfants, qui relève bien entendu de la conscience de chacun, mais nous relevons que la position de FAI au regard des données personnelles est ambivalente, et qu'à ce titre, leur position mériterait d'être rapidement éclairée aux risques de les prendre pour des boucs-émissaires. Rendre responsable le FAI du filtrage peut revenir à l'inciter fortement à censurer le comportement de son abonné, sous peine d'être lui-même poursuivi. Sur quels critères le FAI se fonderait-il pour assurer cette censure, quand c'est le rôle de l'Etat et du politique d'assurer l'ordre public…Et la question prend une ampleur nouvelle lorsque l'on sait que le FAI conserve dans des journaux de connexion, appelés couramment "logs", les traces des allers et venues de ses abonnés.

  13. B / Les journaux de connexion

    Les journaux de connexion sont au FAI ce qu'est l'autocommutateur au réseau téléphonique. Le PABX enregistre les numéros de postes appelants de l'entreprise, conservation du numéro appelé, la longueur de l'appel,etc. Le log contient l'heure de connexion, la durée de la session, les adresses des pages visitées, le courrier envoyé et reçu, la taille des messages…Pierre Mondie, participant à la liste de diffusion Droit-Net précise :« La plupart des fournisseurs d'accès ou opérateurs de réseaux tâchent de maintenir une liste aussi précise que possibles des dates, heures, origines et destinations de toutes les transactions réalisées dans lesquelles leurs équipements ont participé. Cette liste inclut souvent une identification de l'opérateur réalisant la transaction, ou au minimum de la machine à partir de laquelle la transaction a été réalisée. De plus, de nombreux serveurs Web tiennent des statistiques extrêmement précises des dates, heures, et numéros identificateurs uniques (adresses IP) des machines qui se connectent à eux. Certains vont même jusqu'à refuser les connections émanant de machines qu'ils n'arrivent pas à identifier suffisamment bien (cas des machines non-inscrites dans un DNS, ou machines DHCP, ou machines passant à travers des proxies ou translateurs d'adresses "courtois") ». Malgré leur besoin d'identifiants, ces logs ont avant tout un but utilitaire : assister les opérateurs dans l'application des règlements intérieurs relatifs à l'emploi de leurs équipements, analyse à priori ou à posteriori sur les incidents impliquant ou non des responsabilités de personnes, ou encore le filtrage de certaines transactions en fonction de l'identité de la personne la demandant, etc. Pour autant, ces pratiques rentrent dans la définition donnée par la loi "Fichiers, informatique et libertés" de traitement automatisé de fichiers de données nominatives. Bien qu'indirectement nominatives, cela n'empèche pas leur qualification par la Cnil, qui semble « considérer que tout procédé d'identification tombe sous son contrôle dans la mesure où il permet d'aboutir à un traitement nominatif »27. Malgré quelques difficultés techniques (notamment la présence de serveur proxy28), il est possible de savoir quel client IP consulte quoi.

  14. Lorsqu'ils sont utilisés à des fins statistiques (pour pouvoir par exemple calculer le trafic sur un site, et le négocier auprès d'annonceurs publicitaires), ou strictement techniques, conservés peu de temps, ces traitements représentent en réalité peu de dangers. Néanmoins, comme le rajoute Raoul Fuentes, « ils partagent avec le cookie le fait que la personne fichée n'est pas informée du fichage. Utilisés pour bâtir le profil d'un utilisateur, les effets pervers sont alors identiques au cookie ». Mais les logs sont conservés aussi à des fins utiles pour la répression de la criminalité informatique29. Les tentatives de prise de contrôle à distance d'une machine y sont enregistrées30, et servir à un magistrat instructeur pour réunir les éléments de l'infraction31. Il est certain que la pratique du log nécessiterait une déclaration à la Cnil32. Il faudrait alors faire application de l'article 17 de la directive de 1995 relatif à la sécurité des traitements qui indique que "les États membres prévoient que le responsable du traitement doit mettre en œuvre les mesures techniques et d`organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l`altération, la diffusion ou l`accès non autorisés,notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer, compte tenu de l`état de l`art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger". Cependant, la qualification de données nominatives et de traitement pourrait avoir un effet pervers, qui serait de livrer un peu plus aux "pirates" la clé du système. En effet, comme le précise Yves Sendra, autre participant à la liste de diffusion Droit-Net, « Pour avoir rencontré les gens de la Cnil dans le cadre E.S.R, je puis rapporter le point de vue que nous avons défendu et qui a été compris par la Cnil. Un fichier log est un fichier que nous qualifierons de " fichier sensible au niveau sécurité ". En effet, c'est dans ce type de fichier que l'on retrouve les traces de dysfonctionnement ou d'intrusion. Déclarer ce fichier implique donner droit de regard et de rectification à toute personne; ainsi un " pirate" pourrait savoir quelles traces on a de son passage et peaufiner son attaque suivante pour ne pas laisser de traces". Une autre question se pose, à laquelle la Cnil a partiellement répondu dans sa délibération à propos du site du Premier ministre. L'utilité des logs peut les amener à servir de pièces lors d'instructions. Compte tenue de la célérité montrée dans de telles hypothèses, il n'est pas rare de voir les entreprises conserver ces journaux plusieurs mois. Comment concilier cette sécurité avec le principe avancé par la Cnil que la durée de conservation des informations contenues dans les journaux doit être limitée à celle nécessaire pour assurer la sécurité du site ? D'autant que la preuve des attaques de pirates n'est pas une information que les FAI, comme toutes les entreprises disposant de réseaux, s'empressent de révéler. La publicité qui en résulterait serait alors du plus mauvais goût pour l'intéressé. La sécurité du site, selon la Cnil, irait-elle jusqu'à ce point ? La sécurité irait-elle jusqu'à autoriser, comme le prévoit un projet de loi en Belgique33 qui vise à criminaliser le piratage informatique, la surveillance d'un suspect sur Internet en faisant participer les fournisseurs d'accès au "traçage" du pirate.

  15. Cette dernière réflexion sur les intermédiaires nous amène à nous poser très sérieusement la question de la maîtrise d'Internet. Que penser par exemple de l' "ultra-présence" de Microsoft sur Internet34 ? Editeur d'un logiciel système présent sur 95% des ordinateurs personnels dans le monde, de logiciels spécialisés dans la création de sites, de logiciels d'administrations de serveurs, de création et d'utilisation de bases de données, possesseur de services de messagerie gratuite sur Internet35 et propriétaire d'un réseau36, détenteur de technologies (elles aussi rachetées) de transmission d'émissions de télévision par Internet, de brevets sur des techniques de paiements sécurisés, et initiateur d'un projet de mise en orbite basse d'une centaine de satellites de transmission ? Nous choisirons d'adopter une attitude à l'image de la pratique de la Cnil : pragmatique et efficace. La réalité des faits pousse de toute façon vers une conciliation des libertés individuelles et des règles de la libre concurrence37. Nous avons certainement une préférence pour une prééminence de la protection de la vie privée de l'internaute en particulier, et de l'homme en général, mais ce n'est là qu'une contribution au débat. En même temps qu'elles sont des objets de commerce, les données personnelles bénéficient heureusement d'une protection (Partie II).

1 Dossier Internet et le commerce électronique : Philippe Lemoine, vice-président directeur général du groupe Galeries Lafayette, "Il faut que l'on retrouve dans les magasins l'univers mental de la Toile", Le Monde de l'Economie, mardi 16 septembre 1997, http://www.lemonde.fr/dossiers/commerce.

2 Vente par correspondance.

3 "[la fragmentation] favorise, par ailleurs, le développement de services spécialisés dans une opération précise, indépendants des serveurs de contenu, tels que le paiement (standard SET stabilisé durant l'été 1996), les mesures de fréquentation, les services de publicité, etc", 17ème rapport précité.

4 Un bon exemple est fourni en France avec le groupe Galeries Lafayettes qui a créé en quelques mois l'Echangeur, lieu de démonstration et de formation à Internet, Laser, une société sur les opportunités du commerce électronique, et Mag Info, société de services informatiques pour les commerçants.

5 Revue de presse : Lundi 6 juillet 1998 France Télécom/maires d'Ile-de-France: convention "Internet clés en main".

6 Revue de presse : Jeudi 2 avril 1998 Premiers accrocs dans la libéralisation du téléphone en France (AFP) - La France, "bon élève" de la libéralisation du téléphone en Europe selon plusieurs études, connaît les premiers ratés de la concurrence avec une série de recours déposés par de nouveaux opérateurs devant le Conseil d'Etat sur les préfixes, ces codes qui permettent de choisir un opérateur concurrent de France Télécom.

7 Revue de presse : 5 août 1998 Internet sur le câble à Paris : au plus tard fin janvier 1999, et aussi 10 juillet 1997 - ART (Autorité de Régulation des Télécommunications) - Paris TV Câble c/ France Télécom, JO du 7/09/97 p.13097, et aussi en ligne sur http://www.rabenou.org/art/97/209.html.

8 Parisot T., France Télécom s'arme d'une nouvelle facturation, Le monde informatique, 1er mai 1998, p26.

9 Supra, Chapitre II, aspect économique des moyens de paiement.

10 Ouverture de Wanadoo, l'accès internet de France Télécom.

11 Revue de presse : Mercredi 22 avril 1998 France Télécom lance le Kiosque Micro sur Internet.

12 Principal FAI aux Etats-Unis, et premier FAI mondial avec 12 millions d'abonnés. C'est un réseau propriétaire qui fonctionne avec une passerelle Internet pour ses abonnés. AOL comprend aussi Compuserve, qui est son activité FAI destinée au monde de l'entreprise.

13 Revue de presse : Jeudi 5 mars 1998 Création d'un site Internet par France Télécom/groupe de presse La Dépêche.

14 Mercredi 29 avril 1998 Les concurrents de France Télécom saisissent le Conseil d'Etat.

15 Pour ne prendre qu'un exemple, on peut constater la détermination des Etats-Unis, comme de l'Union européenne, sur la question des droits de douanes et des taxes sur Internet. Revue de presse : Mercredi 18 février 1998 Les Etats-Unis ne veulent pas de droits de douane sur le commerce électronique, Jeudi 26 février 1998 La France présente un mémorandum sur le commerce électronique, puis Vendredi 24 avril 1998 Nouvelles pressions américaines à l'OMC à propos du commerce électronique, Mercredi 20 mai 1998 Accord à Genève sur le commerce électronique : exemption douanière temporaire, Lundi 29 juin 1998 Bruxelles : l'Union Européenne pousse à la création d'une "charte" internationale et enfin, Mercredi 8 juillet 1998 Discussion à l'OMC sur le commerce électronique.

16 Lamy Droit de l'informatique, 1997, n°453, p282.

17 Article 28 : " Ces autorités exercent en toute indépendance les missions dont elles sont investies".

18 Délibérations du 7 novembre 1995 précitées, Note Ariane Mole., Droit de l'informatique et des télécoms, 1996, n°2, p65. Mais aussi plus récemment, une délibération du 8 juillet 1997 portant recommandation relative aux annuaires en matière de télécommunications, concernant notamment la diffusion d'annuaires sur un réseau international ouvert. Après avoir rappelé que "la diffusion sur un réseau international ouvert tel Internet de listes d'abonnés ou d'utilisateurs des réseaux ou services de télécommunications, doit être soumise à la Cnil" la Cnil recommande : "que les abonnés soient clairement et préalablement informés par les éditeurs d'annuaires sur Internet des risques inhérents à la diffusion sur un réseau international ouvert des données les concernant".

19 Revue de presse : Jeudi 9 avril 1998 Avertissement CNIL : le Crédit Mutuel de Bretagne condamne le "dérapage" d'un de ses collaborateurs.

20 Par exemple, la diffusion sur un site Web marchand d'informations relatives aux membres de la direction (identité, photographie, fonction, vie professionnelle).

21 17ème rapport précité.

22 Le 7 mai 1996, les dirigeants de deux fournisseurs d'accès à l'Internet français, Worldnet et Francenet, ont été mis en examen pour diffusion d'images à caractère pédophile (article 227-23 du Code pénal). Il est reproché aux deux fournisseurs d'accès d'avoir relayé sur leurs serveurs de news des messages contenant des images à caractère pédophiles, et de les avoir ainsi mis à disposition de leurs abonnés. On ignore dans quels newsgroups les images litigieuses ont été trouvées. A la fin de l'année 1996, l'instruction était toujours en cours. Elle n'a pas encore abouti à ce jour.

23 Tribunal de grande instance de Paris, ordonnance de référé 12 juin 1996. Affaire Union des Etudiants Juifs de France, Droit de l'informatique et des télécoms, 1997, n°2, p36, disponible aussi à l'adresse suivante : http://www.aui.fr/Groupes/GT-RPS/UEJF/uejf.html.

24 V. Chapitre Introductif, n°9.

25 art.précité (Le commerce électronique en marche, Point DBF n°88, avril 1998, page 8).

26 Sur les difficultés d'invocation de la convention, Lamy Droit de l'informatique, 1997, n°449, p281.

27 Lamy Droit de l'informatique, 1997, n°447, p278.

28 Serveur "mandataire" qui s'interpose entre l'intérieur et l'extérieur, relaie les requêtes et joue éventuellement le rôle de cache de données.

29 Encore que sa validité et son invocation devant les tribunaux dépendent d'éléments tels que la présence d'une procédure préalablement documentée et de la désignation nominatives des personnes chargées du respect de ces procédures.

30 Ce qui en soit pourrait déjà permettre de faire application à l'encontre du FAI de l'article 226-17 du Code pénal Introduit par la loi n°92-1336 du 16 Décembre 1992 modifiant la loi de 1978, il pose que : "le fait de procéder ou de faire procéder à un traitement automatisé d`informations nominatives sans prendre les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu`elles ne soient déformées, endommagées ou communiquées à des tiers non autorisées est puni de 5 ans d`emprisonnement et de 2.000.000 F d`amende".

31 Dans le cas d'une intrusion dans un système automatique de traitement des données, les logs de la machine attaquée peuvent être recoupés avec ceux de la/les machine(s) ayant servi à la réalisation de l'attaque, ou y ayant contribué.

32 De ce point de vue, ces traitements étant très habituels, il serait utile que la CNIL adopte une norme simplifiée, permettant de faire une déclaration simplifiée de ce type de traitements.

33 Revue de presse : Samedi 4 juillet 1998 Belgique : nouvelle loi contre le crime informatique

34 Gould J., L'Internet, nouveau monopole naturel ?, Informatiques Magazine, janvier 1998, p5.

35 Le service en question est Hotmail (http://www.hotmail.com) qui a été racheté par Microsoft.

36 MSN - Microsoft Network.

37 Trouille I., La protection de la vie privée : un motif légitime d'opposition, Expertises des systèmes d'information, janvier 1998, p436.

 

Juriscom.net est une revue juridique créée et éditée par Lionel Thoumyre
Copyright © 1997-2001 Juriscom.net / Copyright © 2000 LexUM