L’analyse des flux internet via un serveur proxy permet de vérifier la sécurité de la navigation internet afin d’éviter par exemple une infection virale.

L’analyse porte généralement sur les flux HTTP qui est le protocole standard sur Internet.

Le protocole HTTPS est une variante sécurisée du protocole HTTP. La navigation internet devient chiffrée pour éviter tout piratage. Ce protocole est souvent utilisé sur les sites des banques en ligne, pour le paiement sur les sites de e-commerce et même maintenant sur certains réseaux sociaux comme Facebook.

Les éditeurs en question proposent donc d’analyser les flux https, c’est à dire déchiffrer le flux sécurisé pour en contrôler l’intégrité et ensuite rechiffrer le flux et permettre la navigation.

Une différence importante entre l’analyse d’un flux HTTP et l’analyse d’un flux HTTPS réside dans le fait que le flux HTTPS comprend des données dites «sensibles» ex : données de carte bancaire, données personnelles…

I/ Analyse du flux internet au regard de la LCEN.

Du point de vue juridique, il s’agit d’un moyen de cryptologie tel que définit par la LCEN à l’article 29 : «On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide des convention secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockgae ou de la transmission des données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.»

En vertu de l’article 30 aliéna 1er de la LCEN, l’utilisation de moyens de cryptologie est libre. Donc l’entreprise qui utilise un outil d’analyse de flux https peut le faire librement.

En revanche, le régime est différent s’agissant de la fourniture de moyens de cryptologie.
Si l’objet de l’analyse est d’assurer exclusivement des fonctions d’authentification ou de contrôle d’intégrité, la fourniture de moyens de cryptologie est libre alors que si elle dépasse ces fonctions, elle devra faire l’objet d’une déclaration préalable auprès de la DCSSI.
La déclaration doit être faite par celui qui fournit les moyens de cryptologie, c’est à dire l’éditeur de solutions de proxy internet.

S’agissant de la fourniture de prestations de cryptologie, il faudra en toute hypothèse effectuer une déclaration préalable auprès de la DCSSI qui devra être effectuée par celui qui fournit le service.

Il convient donc de bien préciser l’objet de l’analyse qui ne sera dans la plupart des cas qu’un contrôle d’intégrité des données.

La forme et le contenu de la déclaration est précisé par un arrêté du 25 mai 2007 :

http://www.legifrance.gouv.fr/jopdf/common/jo_pdf.jsp?numJO=0&dateJO=20070603&numTexte=1&pageDebut=10013&pageFin=10017

II/ Analyse du flux internet au regard de la loi informatique et libertés.

Il est possible de considérer que cette analyse correspond à un traitement de données personnelles. En effet, le protocole HTTPS a pour effet en général de protéger des données confidentielles même si tous les flux ne comportent pas forcément des données personnelles.

Pour rappel, constitue des données à caractère personnel : «toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.» selon l’article 2 alinéa 2 de la loi informatique et libertés.

L’article 2 aliéna 3 définit le traitement de donnés à caractère personnel comme étant : « toute opération portant sur des données personnelles, que que soit le procédé utilisé, et notamment (…) l’extraction, la consultation, (…), le verrouillage. »

Au regard de ces deux définitions, la loi informatique s’applique. Toutes les conditions relatives au traitement des données personnelles doivent être respectées. Le traitement doit avoir recueilli le consentement de la personne concernée, doit être établit dans un intérêt légitime ne portant pas atteinte aux droits et libertés fondamentaux des personnes. (Article 7 de la loi informatique et libertés).

Le traitement doit alors faire l’objet d’une déclaration préalable selon l’article 22 de la loi informatique et libertés. La déclaration est effectuée par le responsable du traitement qui est dans le cas d’espèce celui qui effectue l’analyse des flux https.

Il convient en revanche de vérifier qu’il n’y ait pas de stockage de données personnelles en tant que tel.

Une personne a introduit une action en justice pour atteinte portée au droit à son image.
Elle prétendait, en effet, qu’une société exploitant une marque de sucre avait, à l’occasion d’une campagne commerciale dite « Année du Brésil », fait figurer, sans son autorisation, sur l’emballage de morceau de sucre, reproduit par ailleurs sur son site Internet, une photographie de sa personne, réalisée alors qu’elle avait prêté son concours à une troupe de danse lors de spectacles sur le même thème.
La Cour d’appel puis la Cour de cassation l’ont débouté de sa demande, dans un arrêt de la Cour de cassation du 5 avril 2012, considérant, qu’étant donné la très petite taille du visage litigieux, sur une vignette occupant seulement la plus grande face d’un morceau de sucre, et la mauvaise définition générale de l’image, la personne représentée était insusceptible d’identification.
Ainsi, aucune atteinte à l’image n’était donc constituée.

La directive 2011/83/UE du 25 octobre 2011 relative aux droits des consommateurs, modifie les textes préexistants, notamment en termes de contrat à distance.

Elle prévoit des règles d’harmonisation et des règles standards pour les aspects communs des contrats à distance, tout en permettant aux états membres de maintenir ou d’adopter des règles nationales concernant certains aspects comme par exemple, en matière d’informations précontractuelles.

Cette directive s’applique à tout contrat conclu entre un professionnel et un consommateur.

Tout contenu fourni sur un support tel qu’un CD ou un DVD est considéré comme un bien au sens de la directive.
La directive ne s’applique pas aux services sociaux, soins de santé, jeux d’argent, services financiers, biens immobiliers, voyages à forfait, services de transport de passagers, contrat conclu par un officier public, contrat conclu au moyen de distributeurs automatiques ou de site commerciaux automatisés, ainsi que certains contrats conclus par téléphone.

Il ressort de cette directive que les obligations précontractuelles se trouvent renforcées.

En matière de contrat à distance, la directive prévoit des obligations supplémentaires à charge du professionnel.
Le droit de rétractation a fait l’objet d’une harmonisation totale. Il s’exerce sans motif et son délai est porté à 14 jours calendaires.

En cas de faut d’information, il est prorogé à 12 mois au lieu des 3 mois prévus actuellement par l’article L120 du Code de la consommation.

Dans le cadre des contrats de services, le délai de rétractation expire au terme d’une période de 14 jours à compter de la conclusion du contrat.

Dans le cadre des contrats de vente, il expire au terme d’une période de 14 jours à compter du jour où le consommateur ou un tiers autre que le transporteur et désigné par le consommateur, prend physiquement possession des biens.

Le délai de rétractation est étendu aux enchères en ligne. Toutefois, les biens achetés aux enchères ne peuvent être réexpédiés que s’ils ont été acquis auprès d’un vendeur professionnel.

D’autres modifications concernent la livraison, les frais d’utilisation d’un moyen de paiement, l’interdiction d’une case pré cochée sur les sites web et de vente forcée.

Les nouvelles dispositions doivent être transposées au plus tard le 13 décembre 2013 et s’appliqueront aux contrats concernés conclus après le 13 juin 2014.

Cette conférence à laquelle je participerai avec Me Vandevelde, avocat au barreau de Bruxelles, se tiendra le vendredi 11 mai à partir de 18, salle 152 bâtiment Robert Schuman, Université de droit.