Rapport du Conseil d'Etat

Le rapport du Conseil d'Etat

sur Internet

Cet article est une synthèse du rapport demandé par le Premier ministre au Conseil d'Etat sur Internet et les problèmes juridiques que celui-ci posait à la législation française. Cette étude a été adopté le 2 juillet 1998 par l'Assemblée générale du Conseil d'Etat. Il permet de se donner une idée de la direction vers laquelle le droit français va s'orienter, tant au niveau des réglementation, que des décisions des tribunaux.

Il s'appuie sur quelques recommandations générales faites au gouvernement :

Tout d'abord, il faut savoir qu'une étude commandée par le gouvernement au Conseil d'Etat n'a aucune valeur juridique obligatoire. Il s'agit d'un point de vue pour éclairer un problème juridique particulier, ou trouver une piste de travail.

Nous insistons sur le fait que ce qui est présenté n'est pas le texte du rapport, mais une synthèse que nous avons réalisé. Nous avons donc sciemment écarté certaines parties qui ne présentaient pas d'intérêt, ou qui étaient caduques du fait d'éléments nouveaux. Si vous voulez consulter ce rapport, vous pouvez le trouver auprès de :

La problématique se situe sur le fait de savoir si les réseaux numériques sont de nature à mettre en péril la vie privée des individus.Tout d'abord, le Conseil d'Etat fait un état des problèmes pouvant surgir sur Internet face à la protection des données personnelles et de la vie privée. Il examine successivement les traitements visibles et invisibles des informations collectées sur Internet.

En effet, l'enjeu est particulièrement important dans le cadre du commerce électronique qui se fonde sur un "marché des données personnelles" qui permettent au commerçant de fidéliser son client en lui proposant un service sur mesure. Un client fidélisé coûte cinq fois moins cher qu'un nouveau client à trouver. Les données sont réunies en bases de données exploitées par des techniques nouvelles d'investigation et sont à la base des technologie "push" (technique qui permet l'envoi d'information régulièrement dans la boite aux lettres d'un utilisateur, sans qu'il n'ait à la rechercher). Le commerce des données personnelles est une activité lucrative, soit en tant que telle en vendant ces données à un tiers, soit en en faisant un élément de différenciation commerciale, attractif pour le client.

Les espaces de discussions sont des lieux où les individus contribuent volontairement à des thèmes déterminés. Différents procédés de captation des informations traitées sont possibles : il peut s'agir de logiciels de recherche d'adresses électroniques destinés à alimenter des bases de données commerciales. Dans le cadre d'une déclaration d'une déclaration ordinaire relative à un site comportant un espace de discussion , la CNIL a recommandé, d'une part, qu'une mention informe les personnes accédant à cet espace de l'interdiction d'utiliser les informations accessibles pour d'autres finalités que celles qui ont justifié la diffusion et notamment pour enrichir des bases de données commerciales, d'autre part, que les utilisateurs de ces espaces soient clairement informés que leurs coordonnées et leurs contributions peuvent être captées à partir de quelque endroit du monde que ce soit.

Cette prise de position est cependant sans effet sur les forums accessibles de France mais localisés à l'étranger qui représentent l'essentiel aujourd'hui de cette nouvelle de communication. La responsabilité des espaces de discussion mis en oeuvre dans le cadre du site Web pèse sur le responsable du site, qu'il s'agisse de l'application des règles de protection des données personnelles, de la conformité des espaces de discussions et des contributions aux règles d'ordre public ou à la ligne éditoriale fixée, le cas échéant, par le responsble du site.

Les transfert de données personnelles personnelles par voie de courrier électronique soulèvent deux questions : le respect du secret des correspondances et la sécurité des traitements.

La loi n°91-646 du 10 juillet 1991 relative au secret des correspondances émises par voie de télécommunications dispose :" Le secret des correspondances émises par voie de télécommunications est garanti par la loi. Il ne peut être porté atteinte à ce secret que par l'autorité publique, dans les seuls cas de nécessité d'intérêt public prévus par la loi et dans les limites fixées par celle-ci." Une télécommunication est elle-même définie comme "toute transmission, émission ou réception de signes, signaux, d'écrits, d'images, de sons ou de renseignements de toute nature par fil optique, radioélectricité ou autres systèmes électromagnétiques". Les incertitudes sur le caractère public ou privé des services Internet n'influent pas sur le principe du secret des correspondances et celui-ci doit être respecté par les fournisseurs d'accès internet. D'ailleurs, le Code de Déontologie de l'association des fournisseurs d'accès à des services en ligne et à Internet (AFA) d'avril 1998 en témoigne :"Les membres de l'AFA respectent le secret de la correspondance privée. Les courriers sont habituellement effacés par les serveurs sur lesquels ils sont enregistrés avant livraison à l'ordinateur de l'ordinateur, dès réception par ce dernier ou après un temps déterminé." De plus, le code ajoute : "Les membres de l'AFA s'interdisent de communiquer les informations nominatives concernant leurs utilisateurs en dehors des cas autorisés par la loi."

L'autre aspect de la vie privée dans les messages électroniques concerne la sécurité de ces données lorsqu'elles circulent sur le réseau et la crainte qu'elles ne soient altérées ou piratées par des tiers. L'article 29 de la loi du 6 janvier 1978, les articles 16 et 17 de la directive 95/46 du 24 octobre 1995 font peser une obligation de confidentialité et de sécurité des traitements de données personnelles sur le responsable du fichier, c'est-à-dire en J'espèce sur l'expéditeur du message.

L'articles 4.1 de la directive du 15 décembre 1997 concernant le traitement des données personnelles et la protection de la vie privée dans le secteur des télécommunications, pour sa part, fait obligation aux prestataires de services de télécommunications et au fournisseur du réseau public de télécommunications, de prendre toutes mesures d'ordre technique et organisationnel appropriées afin de garantir respectivement la sécurité des services et du réseau. L'article 4.2 précise que le prestataire d'un service de télécommunications accessible au public doit informer les abonnés des risques particuliers de violation de la sécurité du réseau qui pourraient exister et des moyens d'y remédier.

En tout état de cause, la garantie de la sécurité des traitements de données personnelles véhiculées par la voie du courrier électronique est essentiellement d'ordre technique : c'est le chiffrement des données qui circulent sur le réseau. À cet égard, la libéralisation du régime français de la cryptologie intervenue dans le cadre de la loi du 26 juillet 1996 sur la réglementation des télécommunications et de ses décrets d'application permet une utilisation plus large de ces techniques et donc un renforcement des garanties offertes à l'utilisateur, notamment l'assurance de l'intégrité du message transmis et de sa confidentialité. Une expertise plus complète du dispositif français est faite dans la deuxième partie du rapport relative au commerce électronique.

Concernant les messages électroniques, il apparaît donc que le dispositif national est de nature à prendre en compte les nouveaux usages au moins sur le territoire national. Cependant, comme pour les forums, ce dispositif ne couvre pas les serveurs de messagerie localisés à J'étranger.

Il s'agit de sites dédiés à la diffusion sur Internet d'annuaires de membres, d' élèves, d'abonnés ou de personnels, qui étaient déjà édités sur d'autres supports, papier ou télématique.La CNIL a, en l' absence de dispositions réglementaires, pris position en faveur d'un droit d'opposition qui peut être exercer à tout moment pour interdire, ou mettre fin, à la diffusion sur un réseau international ouvert de données les concernant.

Il s'agit la plupart du temps de formulaire que l'internaute doit remplir requérant l'adresse électronique, l'identité, les références postales ou téléphoniques ainsi que des informations socio-économiques relatives au visiteur (profession, revenu...) La question est de savoir dans quels but sont collectés ces informations et qu'elles seront leurs utilisations futures.

Il n'existe pas que les données nominatives qui circulent sur les réseaux, il y a aussi les données de connexion et les fichiers stockés sur l'ordinateur de l'utilisateur appelés "cookies" .

L'adresse IP est l'adresse réseau de la machine d'un utilisateur connecté au réseau Internet. Grâce à cette adresse, le fournisseur d'accès internet peut connaître toutes les activités d'un internaute. Ces données sont stockés dans un fichier "log". Les fichiers " logs " détenus par les fournisseurs d'accès constituent, dès lors, un gisement de données indirectement nominatives - association de l'identité d'un client et des autres données personnelles figurant dans le fichier de gestion de clientèle du fournisseur d'accès et détail de ses " navigations " et de ses utilisations d'Intemet - qui soulève d'importants problèmes de protection des données personnelles.

Les fournisseurs d'accès recherchent en effet la rentabilité économique qu résulte non seulement des revenus qu'ils tirent des abonnements souscrits mais également des revenus provenant de la publicité. Or, Internet permet de passer de la prospection de masse à la prospection ciblée dite " one to one ", c'est-à-dire directement adaptée au profil comportemental d'une personne. L'analyse des services, des sites et informations consultés par tel intemaute permet de connaître, beaucoup mieux que par le biais d'une enquête directe, les habitudes, goûts et centre d'intérêts de celui-ci : la technique offre là de nouveaux moyens d'établissement de bases de données comportementales.

Les personnes doivent être informées de la finalité du traitement de ces données et de leur droit de s'opposer à l'enregistrement de certaines catégories de services consultés (en particulier ceux qui sont susceptibles de faire apparaître, outre leur profil de consommateur potentiel, leurs moeurs, leurs opinions politiques ou religieuses). Cette approche n'épuise cependant pas le sujet dans la mesure notamment où certains fournisseurs d'accès offrent un accès gratuit à Internet ou un service de messagerie électronique en contrepartie de l'autorisation donnée par l'internaute d'analyser à des fins de prospection personnelle les données de connexion qui se rapportent à sa " navigation " sur Intemet ; cette pratique manifeste aisément les limites des solutions qui reposent sur le choix individuel de la personne.

L'un des enjeux est de savoir si il faut interdire ce type de convention comme contraire à l'ordre public, de la même façon que ce qu'il a été fait dans le domaine des dons d'organes.

Une autre forme d'exploitation commerciale de ces données consiste à céder à des tiers des informations résultant du rapprochement du fichier de clientèle (nom, adresse, téléphone, etc) et des données de connexion qualifiant les habitudes et le comportement de la personne concernée.

Sur ce point, il convient de relever que l'accès à tel ou tel service de communication audiovisuelle, catégorie dans laquelle peuvent être classés les services diffusés à partir d'un site Internet, est couvert par le secret. En effet, l'article 3 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication dispose que " le secret des choix faits par les personnes parmi les services de télécommunications et parmi les programmes offerts par ceux-ci ne peut être levé sans leur accord ". Les choix du consommateur au cours de sa navigation sur les sites Web, notamment synthétisés par les fichiers logs, relèvent donc de l'article 3 de la loi de 1986 et ne peuvent dès lors être divulgués sans l'accord de l'intéressé.

En outre, la directive européenne du 24 octobre 1995 consacre explicitement un élément de doctrine depuis longtemps dégagé par la CNIL : le droit de s'opposer sans motif, sauf dérogations en nombre limité, à la cession de ses données à des tiers. Le droit actuel permet donc de garantir en Europe du moins, pour cette dernière forme d'exploitation commerciale des données de connexion, le respect des données personnelles.

Le cookie est un fichier enregistré sur l'ordinateur de l'utilisateur qui contient des informations de tous types. Il permet au responsable du site de mémoriser les précédentes consultations de l'internaute afin de faciliter l'ergonomie de la visite ou d'adapter les pages du site au "profil" du visiteur tel que cela peut être déduit des traces conservées et enregistrées lors des précédentes visites.

Le maintien de l'utilisation des cookies posent des problèmes au regard de la collecte loyale des informations. En effet, les internautes ne sont pas forcément au courant de la mise en place d'un cookie, et de toutes façons ne sont pas à même de comprendre la nature des informations enregistrées dans ce fichier.

Il ressort de ces analyses que les réponses nationales sont insuffisantes, que la CNIL a très tôt analysés ces nouvelles pratiques et a formulé des avis, et, enfin, que face à l'extrême diversité des pratiques des utilisateurs d'Internet, ceux-ci devrait être sensibilisé à la protection des données personnelles, sous peines de voir le dispositif réglementaire "dépassé" par la réalité.

La mise en place d'un accord international semble être la seule possibilité de faire efficacement respecter certaines normes auprès des différents acteurs. Les principes communs, sur lesquels les Etats devraient s'entendre, qui pourraient être proposer sont :

- caractère pertinent et non excessif des données collectées au regard des finalités du traitement

- exactitude des données collectées et droit d'accès et de rectification de celles-ci

- information claire de l'utilisateur sur les données collectées et leurs finalités

- devoir de garantir la sécurité et la confidentialité des données collectées

- droit d'opposition, gratuit et sans justification de toute personne à ce que des données relatives à sa vie privée soient mises en circulation sur les réseaux.

Ces principes très généraux devraient fixer le cadre international contraignant au sein duquel se développeraient les mécanismes d'autorégulation.

Nous avons mis en ligne les points forts de la première partie le lundi 04/10. Nous insistons sur le fait que ce qui est présenté n'est pas le texte du rapport, mais une synthèse que nous avons réalisé. Nous avons donc sciemment écarté certaines parties qui ne présentaient pas d'intérêt, ou qui étaient caduques du fait d'éléments nouveaux. Si vous voulez consulter ce rapport, vous pouvez le trouver auprès de :

Tous les quinze jours, une nouvelle partie sera mise en ligne et expliquée (pour plus de précisions, voir les news à l'accueil).