Dans un arrêt du 15 décembre 2010, la Cour de Cassation a rappelé que, si la conservation de fichiers à caractère pornographique sur le poste de travail d’un salarié, ne constitue pas en soi un usage abusif affectant le travail et justifiant son licenciement, ce comportement peut, néanmoins, être sanctionné si la Charte Informatique, intégrée dans le règlement intérieur de l’entreprise, le prévoit.

Dans cet arrêt, la Cour de Cassation a approuvé l’arrêt de la Cour d’Appel de METZ qui avait considéré que l’utilisation par un salarié de la messagerie électronique de l’entreprise pour la réception et l’envoi d’un nombre conséquent de documents pornographiques et leur conservation sur son disque dur, constituait un manquement répété à l’interdiction posée par la Charte en question et donc, une faute grave de nature à justifier son licenciement immédiat.

A l’inverse, dans une autre affaire dans laquelle aucune Charte n’avait été signée, la Cour de Cassation a considéré que le licenciement intervenu était abusif.

Recommandation: Il convient de vérifier les usages interdits au titre de la Charte, afin de pouvoir sanctionner ce type de comportement.

Destinées à organiser les conditions d’utilisation par les salariés du système d’information de l’employeur, les chartes informatiques ont d’abord pour objet l’emploi de la messagerie électronique, d’Internet et, plus généralement, des fichiers matériels et logiciels utilisés par les salariés dans le cadre de l’accomplissement de leurs fonctions.

L’adoption d’une charte informatique se justifie par le rappel des droits et obligations des salariés en la matière et vise la recherche d’un équilibre entre vie privée du salarié et protection des intérêts légitimes de son employeur.

La particularité des règles applicables aux traitements de données à caractère personnel, suffit à légitimer l’adoption d’un document distinct de la Charte Informatique, dans lequel seront rappelés les principes essentiels applicables à la collecte, au traitement et à la conservation de données à caractère personnel.

La loi Informatique et Libertés n° 78-17 du 6 janvier 1978, modifiée le 6 août 2004, définit une donnée à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

Qu’il s’agisse de la création d’un fichier destiné à gérer la relation client, d’un traitement mis en place afin d’assurer la paie des salariés ou encore de la collecte d’adresse de courrier électronique à des fins d’envoi d’une newsletter, l’ensemble des traitements de données à caractère personnel mis en œuvre dans l’entreprise, sont assujettis aux règles résultant de la loi Informatique et Libertés et peuvent utilement faire l’objet d’un code de bonne conduite, imposé par l’employeur à ses salariés.

Annexée au règlement intérieur, la Charte Informatique et Libertés se dote, alors, de l’objectif de sensibiliser son personnel sur les sanctions pénales et administratives applicables au non respect des prescriptions légales en la matière et leur rappelle les conditions de conformité des traitements effectués.

Ainsi, des aspects relatifs à la finalité, aux destinataires du traitement, pourront être rappelés, de même que le nécessaire respect de la durée de conservation des données traitées, et l’information des personnes concernées sur leurs droits d’accès de modification et de suppression des données les concernant.

La Charte Informatique et Libertés doit également aborder la problématique du transfert des données à caractère personnel en dehors de l’Union Européenne, notamment envers des états n’assurant pas une protection suffisante de ces données.

La Charte Informatique et Libertés est également le support approprié pour rappeler la politique suivie par l’employeur en matière de traitement de données à caractère personnel.

Ainsi, dans les entreprises dotées d’un correspondant Informatique et Libertés, la Charte sera l’occasion de rappeler son existence et les conditions de son intervention et de son indépendance.

Plus généralement, l’adoption d’une telle Charte, inscrit entreprises et organismes publics, dans une démarche plus professionnelle de traitement des données à caractère personnel.

La multiplication des contrôles effectués par la CNIL, comme le renforcement des pouvoirs de sanction confiés à celle-ci, risquent de donner raison à ceux ayant fait le choix d’une sensibilisation claire de leurs salariés sur le plan des principes essentiels à respecter, des sanctions pénales et administratives applicables comme sur celui du rappel des règles de déontologie et de sécurité à respecter.

Celles-ci diffèrent selon l’endroit où se trouvent les caméras de surveillance.  

1.  Compétence de la CNIL  

L’installation d’un système de vidéosurveillance relève, dans un lieu privé, de la compétence de la CNIL.  

En effet, la CNIL est compétente dès qu’il s’agit d’un système de vidéosurveillance numérique, qui tombe alors dans le champ d’application de la loi n°78-17 du 6 janvier 1978, relative à l’Informatique, aux Fichiers et aux Libertés. Selon cette loi, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.  

De même, constitue un traitement de données à caractère personnel toute opération et tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion ainsi que le verrouillage, l’effacement ou la destruction.  

Ainsi, la mise en place d’enregistrements de vidéos constitue un traitement de données à caractère personnel, et entre dans le champ d’application de l’article 2 de ladite loi.  

De ce fait, l’entreprise devra déclarer son traitement sur la base du formulaire de déclaration normale proposé par la CNIL. Il y sera indiqué les éléments de conservation des données, généralement fixée à un mois maximum, les éléments relatifs à l’accès aux informations, aux moyens de sécurité mis en place, etc.  

La CNIL vérifiera la proportionnalité et la pertinence du système au regard de la finalité indiquée, ainsi que l’adéquation entre les fonctions d’outils et les objectifs poursuivis. Les critères utilisés par la CNIL pour vérifier l’adéquation du moyen de vidéosurveillance par rapport aux finalités proposées reposeront sur l’emplacement des caméras, leur nombre, leur orientation, leur fonctionnalité, la période de fonctionnement, l’enregistrement ou non du son, etc.  

Une procédure d’autorisation devra être mise en place, s’il y a utilisation d’une technique biométrique.  

Toutefois, un système de vidéosurveillance qui serait installé dans le cadre de la surveillance d’un domicile privé n’est pas soumis à déclaration auprès de la CNIL, dans la mesure où il s’agirait d’un traitement mis en œuvre pour une activité exclusivement personnelle, et à condition que seul le domaine privé soit filmé (intérieur d’une cour…), et non la porte d’entrée donnant sur la rue.  

Il en est de même pour les lieux mixtes, c’est-à-dire un lieu à la fois public ou ouvert au public, et privé, comme par exemple un supermarché composé d’une partie ouverte au public et d’une partie privée réservée aux salariés.

On entend par lieu ouvert au public un lieu accessible à tous, sans autorisation spéciale de quiconque, que l’accès soit permanent et inconditionnel ou subordonné à certaines conditions. Il s’agit par exemple de banques, de commerces, d’espaces publics, etc.  

A l’inverse, sont considérés comme des lieux non ouverts au public les entrepôts, les bureaux fermés au public, etc.  

Dans une note de la CNIL d’Avril 2008, adressée au Ministre de l’Intérieur, la CNIL a fait part des difficultés d’articulation entre les deux systèmes. Le rapport déposé au Sénat le 10 décembre 2008 plaide pour un nouvel encadrement juridique de la vidéosurveillance.  

Le Groupe de Travail du Sénat constate qu’il reste des problèmes de compétence entre la CNIL et le Préfet, qui ne sont pas tranchés et qui se multiplient, et des systèmes de vidéosurveillance dont les finalités ne sont pas prévues par la loi. Le Groupe de Travail recommande que toutes les compétences relatives à la vidéosurveillance soient regroupées au sein de la CNIL. Il recommande également d’améliorer l’information du public, notamment sur la mise en ligne de cartes de zones sous surveillance, et sur la signalisation des outils mis en place sur la voie publique, et l’indication de la durée de conservation. Il recommande également de professionnaliser ceux qui visionnent les images, notamment au sein de la police et de la gendarmerie, et d’encadrer strictement la vidéosurveillance intelligente, ou biométrique.  

2.  Consultation des instances représentatives du personnel  

Conformément à l’article L432-2-1 du Code du Travail, l’employeur a le droit de contrôler et de surveiller l’activité de son personnel durant le temps de travail, mais il ne peut mettre en œuvre un dispositif de contrôle qui n’a pas fait l’objet, préalablement à son introduction, d’une information et d’une consultation du comité d’entreprise.  

La Cour de Cassation, dans un arrêt du 7 juin 2006 (Pourvoi n° P04-43.866), a indiqué que les enregistrements du salarié constituaient un moyen de preuve illicite si le système de vidéosurveillance mis en place par l’employeur pour surveiller la clientèle était également utilisé pour contrôler ses salariés, sans information et consultation préalable du comité d’entreprise. En conséquence, les faits de vols ne pouvaient être retenus à l’encontre du salarié.  

Dans un arrêt de la Cour d’Appel de PAU du 14 avril 2008 (N° 07/00352), les magistrats ont indiqué « dès lors qu’il n’est pas démontré que le comité d’entreprise a été informé et consulté, préalablement à la décision de l’employeur de mettre en œuvre dans l’entreprise un système de vidéosurveillance, celui-ci ne saurait être considéré comme la mise en place de moyens ou de techniques permettant un contrôle de l’activité des salariés, de sorte qu’il est interdit à l’employeur d’utiliser des moyens de preuve obtenus à l’aide de ce procédé pour vérifier, contrôler et établir les manquements ou les fautes des salariés ».  

Toutefois, ces dispositions ne sont pas obligatoires si les outils de vidéosurveillance sont utilisés pour surveiller des locaux dans lesquels les salariés ne travaillent pas. La Cour de Cassation a statué en ce sens le 31 janvier 2001 (Pourvoi n° R98-44.290), « l’employeur est libre de mettre en place des procédés de surveillance des entrepôts ou autres locaux de rangement dans lesquels les salariés ne travaillent pas (…) le système de vidéosurveillance avait été installé par l’employeur dans un entrepôt de marchandises et il n’enregistrait pas l’activité des salariés affectés à un poste de travail déterminé. A l’inverse, un salarié, faisant obstruction au fonctionnement d’un système de vidéosurveillance mis en place par la société peut être sanctionné »  (CAA, 7 novembre 2007 : « Le refus de se conformer aux consignes de sécurité de l’employeur, propre à perturber le fonctionnement de l’entreprise, constitue une faute grave de nature à justifier le licenciement du salarié concerné »). 

3.  Information des personnes  

L’employeur a également l’obligation d’informer les personnes physiques susceptibles d’être filmées, et l’obligation de mettre en place un panneau d’information situé à l’entrée de son entreprise, destiné au personnel et aux personnes extérieures, tels les visiteurs. La mention peut être par exemple la suivante :  

« Etablissement sous vidéosurveillance.

Nous vous informons que cet établissement est placé sous vidéosurveillance pour des raisons de sécurité. Pour tout renseignement, veuillez vous adresser au service suivant : [A COMPLETER] auprès duquel vous pouvez également exercer votre droit d’accès, conformément à la loi n°78-17 du 6 janvier 1978, relative à l’Informatique, aux Fichiers et aux Libertés, modifiée par la loi du 6 août 2004. »  

La Cour d’Appel de RIOM a eu vocation, à l’inverse, de préciser que « les moyens de preuve produits par l’employeur, dès lors qu’ils ont été utilisés après information du salarié, doivent donc être considérés recevables » (CA RIOM, 24 février 2004, n° 02/02745).  

4.  Compétence du Préfet  

Les systèmes de vidéosurveillance installés sur les voies publiques ont pour objet la protection d’un bâtiment public, la sauvegarde des installations utiles à la Défense Nationale, la régulation du trafic routier, la constatation des infractions aux règles de la circulation, ou encore la prévention des atteintes à la sécurité des biens et des personnes, ou du terrorisme.  

Les données peuvent être conservées un mois maximum.  

Selon une enquête IPSOS de Mars 2008, 71 % des personnes interrogées sont favorables à la vidéosurveillance dans les lieux publics.  

En 2007, la CNIL a reçu 1.400 déclarations de vidéosurveillance contre 300 en 2005.  

Le Gouvernement a pour projet d’installer 38.000 caméras supplémentaires.  

La vidéosurveillance dans les lieux ouverts au public relève de la loi 95-73 du 21 janvier 1995, d’Orientation et de Programmation relative à la Sécurité, du décret 96-926 du 17 octobre 1996, de l’article 226-1 du Code Pénal, et de la loi du 23 janvier 2006, relative au Terrorisme.  

Le système prévoit que toute vidéosurveillance mise en place dans les lieux ouverts au public doit correspondre à une finalité de sécurité des personnes et des biens, contre les agressions, les vols, le terrorisme.  

Une autorisation préalable doit être obtenue de la part du Préfet du Département. Cette autorisation est donnée pour cinq ans, et est renouvelable après avis de la Commission Départementale des Systèmes de Vidéosurveillance.  

Les systèmes de vidéosurveillance font l’objet d’un contrôle par la Commission, composée d’un magistrat du Tribunal administratif, d’un maire, d’un représentant de la Chambre de Commerce et d’une personnalité qualifiée choisie par le Préfet.  

Selon le décret 2009-86 du 22 janvier 2009, la Commission peut se faire communiquer par le titulaire du système de vidéosurveillance l’autorisation de la date de mise en service et de localisation des caméras. La Commission a la possibilité de s’autosaisir pour contrôler les conditions de fonctionnement d’un système de vidéosurveillance, et faire des recommandations ou suspendre le système.  

II ressort du rapport d’activité 2007 de la Cnil que ses missions de contrôle prennent de plus en plus d’importance. Cette évolution est logique depuis la loi de 2004.

La Cnil, gardienne du droit à la vie privée, reste surtout connue en tant qu’organisme recevant les déclarations des traitements de données personnelles; On considère qu’elle serait dépositaire d’environ 1,3 millions de fichiers dont 56 404 pour la seule année 2007.

Son pouvoir de contrôle et de sanctions apparu avec la loi de 2004 s’affirme au fur et à mesure des années.
Cette année 2007 a été l’occasion d’insister particulièrement semble-t-il sur les fichiers de ressources humaines.

Elle a mené 164 missions de contrôle et adressé 101 mises en demeure et 5 avertissements. En matière de sanction, elle a privilégie des sanctions financières, elle a ainsi prononcé 9 sanctions financières correspondant à des amendes allant de 5 000 à 50 000 euros.  

Ses capacités semblent encore réduites et il ressort du montant des condamnations que sa volonté pédagogique des années précédentes n’a pas tout à fait disparue.

Je trouve tout à fait intéressant de noter également que les personnes physiques hésitent de moins en moins à la contacter directement : elle a en effet reçu 4 455 plaintes en 2007 (+ 25 % par rapport à 2006). Nous sommes tous de plus en plus sensibles aux traitements de nos données ou celles de nos enfants.

Certes, le Web 2.0 brouille les cartes. Là où il restait auparavant relativement aisé d’identifier l’éditeur d’un site Internet et les prestataires techniques intervenant dans sa mise en ligne, tels que : hébergeurs, fournisseurs d’accès, l’avènement de ce mode participatif rend désormais plus flou la frontière entre l’internaute passif, se contentant de consulter des pages Internet, et l’internaute actif, postant des contributions sur des sites tiers par le biais, par exemple, de forums de discussions, d’évaluations d’achats sur des sites marchands, etc.

Dans ces conditions, il semble nécessaire de rappeler les critères permettant l’identification des différents acteurs du net (I) en précisant le cadre juridique qui leur est applicable en terme notamment de responsabilité.

Par ailleurs, cette disparition des frontières entre internautes et éditeurs rend nécessaire la prise par ces derniers de précautions quant au respect par lesdits internautes des lois et règlements en vigueur, et des droits des tiers.

A ce titre, une attention particulière doit être portée au droit de la propriété intellectuelle, particulièrement exposé (II), ainsi qu’au droit des données personnelles (III).

Dans ce contexte, la rédaction de chartes, conditions générales d’utilisation ou autres documents de cet ordre peut permettre à l’éditeur d’encadrer les règles de participation à son site et, partant, d’appréhender le régime de responsabilité qui en découle (IV).

Cette tendance à la contractualisation se renforce considérablement avec le Web 2.0.

L’identification des acteurs

Alors que l’on distingue traditionnellement les éditeurs de contenus définis par la loi pour la Confiance dans l’Economie Numérique (LCEN) du 21 juin 2004, article 6.II, comme des « personnes éditant un service de communication au public en ligne », des intermédiaires techniques assurant la mise en ligne de ces contenus, cette typologie semble bouleversée par les récentes jurisprudences rendues en matière de Web 2.0.

Ainsi, dans l’affaire « MySpace », le Président du Tribunal de Grande Instance de PARIS a considéré, dans une ordonnance de référé du 22 juin 2007, que le site « MySpace » :

- ne pouvait être considéré comme un simple prestataire d’hébergement, défini par la LCEN comme « la personne physique ou morale assurant même à titre gratuit pour mise à disposition du public par des signaux de communication au public en ligne le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services » (article 6.I.2),

- mais agissait en tant qu’éditeur, en « imposant une structure de présentation par cadres mis manifestement à la disposition des hébergés, et diffusant à l’occasion de chaque consultation des publicités dont [il tirait] manifestement profit ».

Cette décision vient confirmer le rôle déterminant des activités commerciales des intermédiaires dans l’appréciation de leur qualité, rôle déjà pris en compte dans l’affaire « Hôtel Méridien » (CA PARIS, 7 mars 2007). Dans cette dernière affaire, il s’agissait d’une plate-forme de vente aux enchères de noms de domaine, à laquelle la qualité d’hébergeur a été refusée du fait de l’exploitation commerciale du site par le biais de vente de noms de domaine et de réalisation de liens hypertextes publicitaires.

A l’inverse, la qualité d’hébergeur a été conférée au site de VOD Dailymotion, dans la mesure où celui-ci se contentait d’offrir la possibilité aux utilisateurs de mettre en ligne des vidéos, sans assurer la fixation préalable exigée par la loi de 1986, susceptible de lui conférer la qualité d’éditeur. Il en découlait que Dailymotion n’avait pas d’obligation générale de surveillance des contenus disponibles sur son site, en application de la LCEN (TGI PARIS, 13 juillet 2007).

Toutefois, il convient de préciser que, dans cette affaire, la responsabilité de Dailymotion a tout de même été engagée, dans la mesure où la connaissance que ce site avait de faits et circonstances laissant à penser que des vidéos illicites étaient mises en ligne, sans qu’il ne mette en oeuvre aucun moyen propre à en rendre impossible l’accès pouvait lui être reprochée. Il lui incombait, selon le Tribunal, de procéder à un contrôle a priori.

Enfin, l’action introduite par l’Union Départementale des Associations Familiales (UDAF) de l’Ardèche et la Fédération des Familles de France à l’encontre de la société Linden Research, à l’origine du site « secondlife.com » (Ordonnance de référé du Tribunal de Grande Instance de PARIS, 2 juillet 2007) aurait pu être l’occasion de préciser la qualité d’éditeur ou d’hébergeur de ce site proposant un univers virtuel.

Toutefois, l’absence de force probante des constats, relevée par les magistrats, n’a pas permis de dégager une solution de fond dans ce litige.

La protection de la propriété intellectuelle

La multiplication des interactions entre internautes et éditeurs de sites Internet accroît les risques de mise en ligne de contenus protégés par le droit d’auteur, ou le droit des marques, notamment.

Ainsi, outre les traditionnels échanges de fichiers peer to peer, la multiplication des possibilités de mettre en ligne des vidéos protégées sur des sites de VOD ou de contenus susceptibles de reproduire des photographies, écrits, images, dessins protégés par le droit d’auteur ou le droit des marques, fait courir un risque juridique accru aux éditeurs et hébergeurs de sites Internet.

Différents moyens sont susceptibles d’être mis en oeuvre en amont afin de limiter ces risques.

Ainsi, le recours aux licences « creative commons », permet d’assortir un contenu de conditions d’utilisation indiquées aux internautes. Sur le plan technique, l’utilisation de plus en plus fréquentes de technologies telles que « Signature de l’INA », à l’instar du site Dailymotion, afin de permettre un marquage des vidéos protégées, doit être soulignée. Ce système repose sur l’enregistrement dans une banque de données mise à disposition de Dailymotion des différentes empreintes vidéo protégées, afin de permettre à ce site de détecter automatiquement avant sa mise en ligne tout contenu qui aurait été préalablement signé, afin de pouvoir le rejeter.

De manière générale, les mesures techniques de protection et autres technologies telles que « Finger printing » ou « Water printing », sont en constante progression.

La protection des données personnelles

Le développement du Web 2.0, et notamment des réseaux sociaux, conduit les internautes à présenter spontanément, par le biais des profils qu’ils éditent, un certain nombre de données à caractère personnel : nom, prénom, mais également parcours professionnel, centre d’intérêt, etc.

Certains sites, tels que « Facebook », ne cachent pas leur volonté d’exploiter ces données personnelles à des fins commerciales.

Ainsi, les outils « Social Ads » et « Beacon », mis au point par ce site, ont notamment pour objectif de cibler avec davantage de pertinence et de finesse les publicités adressées à ses membres, au moyen notamment des renseignements collectés lors de la visite par les membres de sites Internet marchands partenaires.

Ces outils soulèvent l’application de la législation Française Informatique et Libertés à ces agissements, pouvant s’analyser en un traitement de données à caractère personnel, soumis à l’application de la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004.

Ainsi, le Président de la CNIL, Alex TÜRK, confirme que cette législation a vocation à s’appliquer « dès lors qu’un recueil d’informations est réalisé auprès d’internautes Français, ou encore si les traitements sont réalisés sur des serveurs en Europe, ou si des cookies sont implantés sur les ordinateurs des internautes Européens ».

L’attention des membres de tels réseaux sociaux doit néanmoins être particulièrement attirée sur les risques d’exploitation non souhaitée de données personnelles qu’ils fournissent spontanément et sur la nécessité de leur part à pratiquer une forme d’autocensure propre à garantir le respect de l’intimité de leur vie privée.

Etablissement d’un cadre contractuel

Face aux risques encourus, les éditeurs se tournent de plus en plus vers la rédaction de chartes ou conditions générales d’utilisation de leurs sites, par le biais desquelles ils indiquent à leurs visiteurs souhaitant interagir les conditions de leurs participations.

Ainsi, ces documents sont destinés à rappeler aux internautes les règles à respecter en matière de contenu : respect de la vie privée d’autrui, propriété intellectuelle, infractions pénales, etc.

Les éditeurs peuvent également prévoir une identification des visiteurs sur le site avant toute mise à disposition de contributions, et envisagent parfois le recours à une modération permettant de limiter les risques de diffusion de contenus illicites ou contraires aux principes édictés.

En conclusion, le Web 2.0 n’évolue pas dans un cadre juridique inexistant ou nouveau. Il nécessite simplement la transposition des règles désormais connues, applicables sur Internet, à ses particularités, marquées par une interactivité accrue et la rapidité de circulation des informations.

La mise en œuvre d’opérations de maintenance est susceptible de permettre aux administrateurs ou prestataires qui les assurent à avoir accès à la messagerie, à l’historique de connexions Internet, aux fichiers, etc., disponibles sur les postes de travail des salariés visés par l’opération.

Ces opérations peuvent notamment être réalisées par le biais de logiciels de télémaintenance, permettant de prendre le contrôle à distance de l’outil informatique.

Certaines précautions doivent être prises lors de telles interventions.

Ainsi, il y a lieu d’informer préalablement et de recueillir l’accord du salarié visé, pour permettre un accès et une intervention à distance de l’administrateur ou prestataire informatique, celui-ci pouvant être sollicité par simple validation d’un message d’information apparaissant sur son écran.

Certaines solutions se contentent d’un message d’avertissement. Il est peu probable qu’un message d’avertissement suffise à considérer que l’accord a été donné par l’intéressé.

La traçabilité des opérations de maintenance, par exemple par la tenue d’un registre des interventions, doit également être assurée.

Cette traçabilité fera l’objet d’une déclaration à la CNIL, si les éléments conservés dépassent le cadre de la déclaration simplifiée n° 46.

Enfin, il est nécessaire de rappeler aux intervenants, par le biais de leur contrat de travail, de la charte informatique de l’entreprise, ou encore du contrat conclu avec le prestataire, leur obligation de discrétion professionnelle, consistant notamment en l’espèce à ne pas divulguer les informations dont ils prennent connaissance dans le cadre de leurs fonctions, en particulier lorsque celles-ci relèvent de la vie privée des salariés ou sont couvertes par le secret des correspondances. Une définition précise de leur rôle sera bienvenue.

En tout état de cause, ce type d’interventions doit être limité aux hypothèses où le bon fonctionnement du système informatique de l’entreprise ne peut être assuré par d’autres moyens moins intrusifs.

Ce type d’opérations ne peut en aucun cas être utilisé à des fins de contrôle par l’employeur de l’activité de ses employés sur leur poste informatique, et il doit en outre respecter le principe de proportionnalité posé par la loi Informatique et Libertés du 6 janvier 1978.

L’utilisation des logiciels de prises en main à distance, à des fins strictes de maintenance informatique, n’est pas soumise à déclaration auprès de la CNIL. A priori, ce type d’information ne constituant pas un traitement de données à caractère personnel au sens de la loi précitée, aucune consultation des instances représentatives du personnel n’est requise.

La CNIL avait été saisie par différentes sociétés de gestion collective de droits d’auteur.

En effet, la loi du 6 août 2004 (loi n°2004-801, JO du 7 août 2004), dans son article 9, prévoit que les personnes morales mentionnées aux articles L321-1 et L331-1 du Code de la Propriété Intellectuelle, peuvent, si elles agissent au titre des droits dont elles assurent la gestion ou pour le compte des victimes d’atteinte aux droits prévus aux niveaux 1er, 2 et 3 du Code de la Propriété Intellectuelle, afin d’assurer la défense de ces droits, mettre en œuvre des traitements de données à caractère personnel relatifs aux infractions, condamnations et mesures de sûreté.

Toutefois, au titre de l’article 25-1 3) et 4), les traitements, automatisés ou non, portant sur ces données, ou encore les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leur finalité, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat, en l’absence de toute disposition législative ou réglementaire, ne peuvent être mis en œuvre qu’après autorisation de la CNIL.

Dans le cadre de cette procédure d’autorisation, la CNIL se prononce dans un délai de deux mois à compter de la réception de la demande, délai qui peut être renouvelé une fois sur décision motivée. A défaut de réponse dans ce délai, la demande est réputée rejetée.

C’est dans le cadre de cette saisine que la CNIL avait refusé la mise en œuvre par ces sociétés (SACEM, STPF, SCPP) d’un traitement qui avait pour objet de surveiller les réseaux peer to peer. Il s’agissait de rechercher et de constater la mise à disposition illégale d’œuvres musicales sur les réseaux d’échange de fichiers dénommés peer to peer et d’envoyer des messages de prévention aux internautes mettant à disposition des œuvres musicales sur ces réseaux.

Le Conseil d’Etat a annulé le refus de la CNIL, et a considéré que la CNIL avait commis une erreur manifeste d’appréciation.

La CNIL avait justifié son refus sur le caractère disproportionné de ces surveillances.

La décision du Conseil d’Etat concerne à la fois la mise en place d’outils de recherches et de constatations et l’envoi des messages de prévention.

Le Conseil d’Etat, sur ce dernier point, a confirmé l’analyse de la CNIL relative à l’envoi de messages pédagogiques. Il considère également que ces envois de messages de prévention sont illégaux dans la mesure où ils ne relèvent pas des hypothèses dans lesquelles les fournisseurs d’accès sont autorisés à conserver les données de connexion des internautes.

En conséquence, les sociétés de gestion de droits d’auteur se voient reconnaître la possibilité de mettre en place des dispositifs de recherches de téléchargements illicites.

Cette décision du Conseil d’Etat est concomitante à l’ordonnance rendue le 2 mai 2007 par le Tribunal de Grande Instance de NANTERRE, qui, par une procédure non contradictoire, sur requête, a admis les demandes de la SCPP (Société Civile des Producteurs Phonographiques).

La SCPP avait saisi le Tribunal de Grande Instance de NANTERRE sur le fondement de l’article 6-1-8 de la loi du 21 juin 2004, qui dispose que l’autorité judiciaire peut prescrire en référé ou sur requête à toute personne, tout hébergeur, ou, à défaut, tout fournisseur d’accès, toute mesure propre à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne.

Il s’agissait en l’espèce d’une requête visant l’utilisateur du programme de peer to peer dénommé « linewire », mettant à la disposition du public des phonogrammes faisant partie du répertoire de la SCPP. L’adresse IP de l’utilisateur ainsi que son fournisseur d’accès étaient identifiés, mais l’identité de l’utilisateur n’était pas connue de la SCPP.

La SCPP justifiait la procédure sur requête en vertu de l’article 8 paragraphe 3 de la directive n°2001/29 du 22 mai 2001, au terme duquel « les Etats membres veillent à ce que les titulaires de droit puissent demander qu’une ordonnance sur requête soit rendue à l’encontre des intermédiaires dont les services sont utilisés par un tiers pour porter atteinte à un droit d’auteur ou à un droit voisin« .

Par voie d’ordonnance, le Président du Tribunal de Grande Instance de NANTERRE a ordonné à WANADOO, en sa qualité de fournisseur d’accès, de cesser de permettre l’accès Internet de cet abonné, afin de faire cesser le dommage résultant de la violation des droits des producteurs de phonogramme, commise par celui-ci et, d’autre part, de justifier auprès de la SCPP de ses diligences à cet égard dans un délai d’une semaine à compter de la signification de l’ordonnance.

L’ensemble de ces décisions démontrent les différentes tentatives des ayant droits de lutter contre les réseaux de peer to peer.

On peut s’interroger sur le volume des litiges de la sorte pouvant intervenir dans l’avenir, connaissant la large interprétation de la notion de « fournisseur d’accès » faite par les Tribunaux.

Cet article 25 a vocation à s’appliquer de manière large. Ainsi, des traitements qui seraient simplement susceptibles d’exclure une personne d’un droit sont visés par ce texte, tout comme ceux dont l’exclusion ne serait pas la finalité mais la conséquence, ou encore, ceux impliquant l’exclusion d’une prestation ou d’un simple contrat. Il peut s’agir des fichiers d’incident de paiement, relativement répandus en matière de vente en ligne, l’acheteur ayant connu un incident de paiement se voyant refuser un achat ultérieur.

Ainsi, en vertu de cet article, de tels traitements doivent faire l’objet d’une autorisation préalable de la part de la CNIL.

Lorsque différents traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant les mêmes destinataires sont soumis à autorisation, la Commission peut les autoriser par une décision unique. Dans ce cas, le responsable de chaque traitement adresse à la Commission un engagement de conformité dudit traitement à la description figurant dans l’autorisation.

A titre d’exemple, la CNIL s’est prononcée le 21 septembre 2004 sur une demande émanant du GIE PREVENTEL, sollicitant une autorisation, en vertu de l’article 25-I-4 de la loi du 6 août 2004, pour l’abaissement du seuil d’inscription des personnes au fichier des impayés, en matière de téléphonie fixe ou mobile. Cette demande était motivée par la volonté de lutter contre les impayés constatés lors de la souscription d’abonnement post-payés de faible montant. La CNIL a autorisé le traitement projeté, en limitant à 30 euros minimum le seuil d’inscription.

Une demande d’autorisation émanant de la Banque de France a également été soumise à la CNIL le 2 décembre 2004, dans le cadre des dispositions de l’article 25 de la loi du 6 août 2004, visant le phénomène des « chèques flambants » (chèques émis massivement et en quelques jours à partir d’un même compte).

La personne sollicitant une telle autorisation doit ainsi communiquer à la Commission :

• l’identité et l’adresse du responsable du traitement,

• la ou les finalités du traitement, ainsi que la description générale de ses fonctions,

• le cas échéant, les interconnexions, rapprochements ou toute autre forme de mise en relation avec d’autres traitements,

• les données à caractère personnel traitées, leur origine et les catégories de personne concernées par le traitement,

• la durée de conservation des informations traitées (ce point précis faisant l’objet d’un examen très attentif de la part de la CNIL),

• le ou les services chargés de mettre en œuvre le traitement ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées,

• les destinataires ou catégories de destinataires habilités à recevoir communication des données,

• la fonction de la personne ou le service auprès duquel s’exerce le droit d’accès, ainsi que les modalités relatives à l’exercice de ce droit,

• les dispositions prises pour assurer la sécurité des traitements et des données, et, le cas échéant, l’indication du recours à un sous-traitant,

• le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté Européenne.

Devront également être jointes les pièces justifiant des mentions d’informations apportées aux personnes physiques concernées.

L’autorisation délivrée, le cas échéant, par la CNIL pour la mise en œuvre d’un tel traitement, reprend la dénomination et la finalité du traitement, le service auprès duquel s’exerce le droit d’accès, les catégories de données à caractère personnel enregistrées et les destinataires habilités à recevoir communication de ces données.

La CNIL se prononce dans un délai de deux mois à compter de la réception de la demande d’autorisation.

En cas d’absence de réponse dans ce délai, la demande d’autorisation est réputée rejetée.

La CNIL avait dégagé dans son rapport, antérieur à la loi du 6 août 2004, relatif aux listes noires, différents principes applicables à de tels fichiers centraux. Elle préconisait ainsi l’information des personnes visées, non seulement au stade de la collecte des données, mais également lors de la réalisation de l’incident susceptible de donner lieu à une inscription, avec un délai au cours duquel une régularisation était possible, et une nouvelle fois lors de l’inscription effective de cet incident.

Elle recommandait par ailleurs une sectorisation accrue de ces fichiers, avec une limitation d’accès aux seuls professionnels du secteur concerné, afin de respecter le principe de proportionnalité. En outre, la CNIL encourage le responsable du traitement à s’assurer du caractère certain du manquement imputé à la personne concernée, et de limiter l’inscription à des éléments susceptibles d’une appréciation objective.

Ce principe de sectorisation a été confirmé par un arrêt du Conseil d’Etat en date du 28 juillet 2004, « eu égard au risque de discrimination et d’atteinte à la vie privée que comporte la diffusion par l’intermédiaire du réseau Internet de fichiers automatisés recensant des personnes à risque« .

Enfin, la CNIL considère que les durées de conservation des données enregistrées doivent être proportionnées au motif d’inscription, et que des procédures de mises à jour régulières et de suppression des informations doivent être mises en œuvre.

Par ailleurs, si le transfert de données au profit d’un autre Etat de l’Union Européenne ou d’un Pays de l’Espace Economique Européen est désormais libre de toute formalité, dès lors qu’il obéit à l’ensemble des dispositions de la loi du 6 janvier 1978, le transfert en dehors de l’Union Européenne est, lui, en principe interdit, même si certaines exceptions ont été ménagées par la loi du 6 août 2004.

Un tel transfert peut ainsi être autorisé lorsque le Pays destinataire assure, selon la Commission Européenne, un niveau de protection suffisant à l’égard du traitement dont ces données font l’objet. Dans le cas contraire, il peut néanmoins être autorisé, avec le consentement exprès de la personne concernée, par décision de la CNIL, lorsque le traitement garantit un niveau suffisant de protection, ou, notamment, lorsque le transfert est nécessaire à l’exécution d’un contrat entre le responsable du traitement et la personne concernée.

Dans tous les cas, la CNIL examinera de manière très attentive, dans la demande d’autorisation qui lui est soumise, les modalités d’un tel transfert, qui peut faire l’objet d’une demande de conseil préalable auprès de la CNIL.

Dans ce cadre, la CNIL a récemment examiné plusieurs traitements de « credit scoring », présentés, notamment, par des établissements bancaires. La CNIL définit le « credit scoring » comme un logiciel « de scores de crédit associant à des informations personnelles relatives au demandeur de crédit (niveau de ressources financières, nombre de personnes à charge, stabilité de résidence ou dans l’emploi) des pondérations particulières issues de données statistiques, se traduisant par des probabilités de défaut« .

Ces traitements de « credit scoring » étant susceptibles d’exclure des personnes du bénéfice d’un contrat de crédit, ils sont soumis aux dispositions de l’article 25-I-4 de la loi du 6 août 2004.

La CNIL a adopté, le 2 février 2006, une autorisation unique pour « l’évaluation et la sélection des risques en matière d’octroi de crédit (score)« . Cette autorisation porte notamment sur les traitements mettant en œuvre ces outils pour l’octroi de crédit aux personnes physiques, par le biais des agences commerciales des établissements financiers concernés, par le biais d’Internet, ou par celui de magasins permettant l’achat à crédit d’un bien visé.

Cette autorisation prévoit que le refus de crédit intervenant dans le cadre d’un tel traitement sera impérativement accompagné d’une information de la personne physique sur les droits dont elle dispose en vertu de la loi Informatique et Liberté (nouvelle étude de la demande, information sur les principales difficultés du dossier, etc.).

La CNIL prend en outre le soin de préciser qu’aucune des informations utilisées pour établir le score ne doit, à elle seule, avoir « un effet d’exclusion absolu disqualifiant« . Il est à noter que les scores d’alerte ou d’appétence destinés à l’envoi de propositions commerciales ne sont pas couverts par cette autorisation.

Enfin, la CNIL a, pour la première fois, mis en œuvre le pouvoir de sanction pécuniaire issu de la loi du 6 août 2004 à l’encontre du CREDIT LYONNAIS, en lui infligeant une amende de 45.000 euros pour entrave à son action et inscription abusive de clients sur le fichier des « retraits CB », tenu par la Banque de France. Le CREDIT LYONNAIS n’avait pas respecté des conditions d’inscription dans ce fichier liées au seul usage de la carte bancaire, et qui ne sauraient être étendues, notamment, aux utilisations de chèques sans provision.

Blandine POIDEVIN

Avocat

Chargée d’enseignement à l’Université de Lille 2

Viviane GELLES

Avocat