Aspects juridiques

1) L’outil informatique ne doit pas être une source permettant de contrevenir (volontairement ou par erreur) aux lois et règlements,

2) Il ne doit pas être utilisé à mauvais escient.

• Il n’y a pas de vide juridique sur Internet– Plusieurs textes « classiques » pouvent être appliqués

– les principes de la responsabilité civile (art 1382 et 1383) et pénale s’appliquent

• En plus des réglementations spécifiques– informatique et libertés (CNIL)– Logiciels (droit de la propriété intellectuelle)

– audiovisuel– cryptographie (en pleine évolution) voir www.ssi.gouv.fr

– marques (noms de domaines)

– etc

Aspects juridiques Points clés

• Atteintes aux mœurs– libre accès des mineurs à l ’Internet, malgré des solutions

d’autocontrôle responsabilités– le code pénal prévoit des sanctions en cas de diffusion de messages à

caractère violent, pornographique, pédophile, ou de nature à porter gravement atteinte à la dignité humaine

• Correspondances privées (loi télécom du 10/7/91)

– applicable à l ’Internet (messagerie électronique) entre personnes privées uniquement

– si besoin de voir les messages électroniques, prévenir les destinataires auparavant sinon atteinte à la vie privée

– pb similaire au niveau des fichiers de « log »?

• Infractions au droit de la presse (loi du 29/7/81)– Applicable aux blogs entre autre, mais aussi aux listes de diffusion publiques, …

• Protection contre les intrusions (Loi Godfrain, intégrée au Code Civil)

Aspects juridiques Ce que permettent les lois classiques

• Loi du 6 janvier 78 (portant création de la CNIL)

• « L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie

privée, ni aux libertés individuelles ou publiques. »• relative aux traitements automatique de données

nominatives (modifiée par loi du 1/7/94 domaine de la santé)

• « donnée nominative » = toute information permettant, même indirectement, d’identifier une personne physique

Aspects juridiques Informatique et libertés

• Nécessité de déclarer tout traitement automatisé d ’information nominative– fichiers du personnels, annuaires électroniques, …

– fichiers « log » des systèmes Unix, NT; etc

– listes de diffusion électronique

• Délibération du 21 juillet 1981– obligation de sécurisation et de fiabilisation des

matériels et logiciels assurant le traitement automatique des dits fichiers

– « conséquences possibles » pour négligences

Aspects juridiques Informatique et libertés

• La loi confère des droits aux personnes faisant l ’objet du traitement :– droit d’information préalable

– droit d’accès et de vérification de l’information

– droit de rectification (de suppression dans certain cas)

• Les données à caractère « personnel » sont à proscrire– religion

– race

– politique, syndicale, etc

Aspects juridiques Informatique et libertés

Nouvelle loi CNIL

Changements

• Le nouveau cadre législatif s’applique désormais aux "données à caractère personnel" et non plus aux "données nominatives".

• Régime identique pour tous (public ou privé)

• La CNIL dotée de pouvoirs de contrôle

• Les responsabilités accrues des RSSI

• Le niveau de répression de certaines infractions

• Obligation d’information élargie auprès des personnes présentes dans les fichiers

Des conditions de licéité affermies

•Les «conditions de licéité des traitements de données à caractère personnel» (article 6 nouveau) :

être collectées et traitées de manière loyale et licite, être collectées pour des finalités déterminées, être adéquates, pertinentes et non excessives face à leur finalité, être exactes, complètes et mises à jour, être conservées en respectant les délais de conservations.

Le parlement européen vient d’entériner une directive prévoyant une conservation de 6 à 24 mois. Chaque état doit trancher. Seules les données de connexion sont concernées pas les contenus.

L’accent est mis sur le consentement de la personne concernée par la collecte et le traitement de ses données à caractère personnel (article 7 nouveau).

• Toute machine (utilisateur) peut être à la fois fournisseur et consommateur

• Eviter les utilisation illicites « de bonne ou mauvaise foi »

• Différents types de règlementations– textes relatifs aux intrusions informatiques– Propriété intellectuelle :

• le régime du droit d ’auteur,• la protection des logiciels,• bases de données

Aspects juridiques Protection des données

• Loi 88-19 (5 janvier 88) loi Godfrain– relative à la fraude informatique – un an, et 100 000F d ’amende (plus si sabotage)– distingue :

• la simple intrusion (accès frauduleux sans mal)

• l ’entrave et le déni de service

• la corruption des données (virus, cheval de Troie, …)

• Reprise dans le nouveau code pénal de 1994

Aspects juridiques Intrusion

• Code de la propriété intellectuelle (Art L111-x)

– Toute personne créant une œuvre dispose d’un droit sur celle-ci, et toute utilisation faite sans son consentement peut être considérée comme illicite et sanctionnée

– Exception « droit de citation courte en faisant référence à l ’auteur »

• Le même code (Art L112-x) précise– le genre des œuvres (type)– la forme d’expression– la destination

Aspects juridiques Droit d’auteur

• Loi 85-660 (3/7/85)– relative au droit d’auteur et applicable aux logiciels– droits s ’éteignent après 25 ans– sauf pour œuvres musicales (70 ans)– copies illicites sauf à des fins de sauvegarde

• Si faits concrets– Agents de l ’APP peuvent être mandatés pour

constater les faits litigieux– puis assignation au tribunal des référés– puis suite judiciaire

Aspects juridiques Droit d ’auteur et du logiciel

• Prudence donc avant de reproduire sur le réseau un document soumis au droit de propriété intellectuelle

• en demander l ’autorisation

• Des contentieux réels jugés:– affaire R. Queneau et le CNRS– affaire BREL– affaire ASI

Aspects juridiques Droit d ’auteur et du logiciel

• Obligation des administrateurs:– Sécurisation (préventif)

– Surveillance, contrôle, détection pbs, (actif)

– Assurer un usage optimal

• De fait il a accès à des contenus MAIS– Il doit respecter les droits des utilisateurs (vie privée)

– Les objectifs de sécurité ne signifie pas divulgation de contenus!

– Utiliser la métrologie, les logs, … (pour détecter pb)

Aspects juridiques Quadrature du cercle

Ex: article 29 loiinfo. et libertéet directives

95-46 et 2002-58

Les déclarer à la CNIL sinon inutilisables pour bâtir la preuve

• Prévoir charte pour cadrage– Contenu des principaux textes législatifs,– Droits et devoirs des utilisateurs (usages tolérés)– Droits des administrateurs

• Possible de préciser qu’ils surveillent, contrôle, …

Aspects juridiques Charte

Portée à la connaissance du CE,Publiée (contrat de travail)

Déposée à l’inspection du travail

Important pour le droit à la preuve si pb

• Le code du travail précise:– Proportionnalité / au but recherché (L120-2)

– Informer et consulter le CE (L432-2-1)

– Assurer la transparence (l 121-8)

• AVIS CNIL: le contrôle doit être – Loyal

– Impartial

– Limiter à la fonction,

– Ne pas découler d’initiatives personnelles.

Aspects juridiques Cybersurveillance

Voir excellents documents sur le site de la CNIL

Pour ceux qui sont dans le service publicPrendre connaissance de l’article 432 al 9 du code pénal.

En rajouter une couche en lisant l’article 226-15

Pour les exploitants de réseaux de télécom.

article L 33-1 du code des postes et télécom.

Aspects juridiques Cybersurveillance

Les nouvelles Lois• Loi du 21 Juin 2004 pour la confiance dans

l ’économie numérique (LCEN)• Loi du 9 Juillet 2004 relative aux

communications électroniques et aux services de communication audiovisuelle

• Loi du 6 Août 2004 relative à la protection des personnes physiques (modification de la loi informatique et liberté du 6 janvier 1978)

• Modification du code du travail (expression syndicale par voie électronique)Impact sur la responsabilité des différentes personnes physiques ou morales impliquées dans l’utilisation ou le

déploiement des services internet.

La LCEN

• La responsabilité des intermédiaires techniques• Le spam• Le statut du commerce et du contrat électronique• La cryptologie• Aggravation des peines de la cybercriminalité• etc. ...

La LCEN transpose la directive européenne du 8/6/2000relative au commerce électronique

Les intermédiaires techniques

Ceux dont l ’activité est d ’offrir un accès à des services de communications au public en ligne– Opérateurs Télécoms,

FAI

Ceux qui assurent, même à titre gratuit, pour mise à disposition du public le stockage de signaux, d ’écrits, d ’images, de sons ou de messages de toute nature– Hébergeurs

Ceux qui “fabriquent”, élaborent,les contenus.Éditeurs de services en lignes.

Le régime des contenus

Editeur Hébergeur FAI

ResponsableDroit de lapresse

NonResponsableMAIS

NonResponsable

• http://www.cru.fr/securite/ (chapitre « déontologie, lois »)

• http://www.dsi.cnrs.fr/cnil/default.asp (aspects CNIL CNRS)

• http://www.cnrs.fr/Infosecu/accueil.html (gazette CNRS)

• http://www.legifrance.gouv.fr/

• http://www.cnil.fr/ site très bien fait.

• http:/www.nic.fr/

• http://www.educnet.education.fr/ (problématiques du scolaire)

• http://www.droitdunet.fr/

• http://www.legalis.net environ 600 décisions de justice

• http://www.foruminternet.org/ (ex: règles applicables aux blogs)

Aspects juridiques Pointeurs en ligne

Décisions CNIL

1. Bloomberg autorisée à authentifier ses clients par empreintes digitales

2. Des administrations territoriales autorisées à contrôler les accès via « contour de la main »

Décisions de justice

1. Vannes le 13/01/2005, « John the Ripper » pour cracker des mots de passe

2. Nanterre le 5/10.2005. Evoc condamnée pour avoir mis des URLs avec mots clés sous la propriété de Corbs.

3. Nanterre le 17/10/2005. Condamnation pour enregistrement de noms usurpés.

4. Arrêt cour d’appel de Paris 22/2/2005: accès non protégé à un site « érotique »

21/2/2001 TGI Rocherfort sur mer

Le TGI a rejeté la demande d’un abonné Wanadoo qui se plaignait de la résiliation du contrat.

Il s’était donné à du spamming dans les forums

Application article 1135 du code Civil

Les conventions obligent non seulement à ce qui y est exprimé, mais encore à toutes les suites que l'équité, l'usage ou la loi donnent à l'obligation d'après sa nature. 

Prise en compte de la nétiquette qui a été qualifié « d’usage » dans cette affaire!

24/05/2002 TGI Paris

Condamnation sur la base de l’article 323-2 du code pénal pour mail bombing à 4 mois de prison avec sursis et 20 000€ de dommages et intérêts à NOOS! (dont les serveurs de mail avaient flanché pendant 10h)

Article 323-2Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de trois ans d'emprisonnement et de 45 000 € d'amende.