Nombreux sont les exploitants de site internet ou de blog qui ont déclaré leurs traitements de données personnelles mais plus rare sont ceux qui se sont penchés sur la question des cookies. Pourtant, souvent utilisés, ils sont soumis à un cadre spécifique

En effet, la loi n° 78-17 du 6 janvier 1978 relative à l’Informatique, aux Fichiers et aux Libertés, prévoit « que toute personne utilisatrice des réseaux de communication électronique doit être informée de manière claire et complète par le responsable du traitement ou son représentant :

de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;

des moyens dont elle dispose pour s’y opposer.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »

Ainsi, il peut s’agir d’ajouter la mention suivante :

« Pour le bon fonctionnement du site, des cookies sont installés sur le disque dur de l’ordinateur de l’Utilisateur. Ces cookies permettent de vous identifier à chacune de vos connections sur le site et de vous fournir des services personnalisés adaptés vos besoins ou de servir à ___ [l’éditeur du site] à des fins statistiques pour étudier l’usage du site par les internautes.
L’Utilisateur peut s’opposer à l’enregistrement de cookies ou être prévenu avant d’accepter les cookies, en configurant son ordinateur de la manière suivante :

a)Pour Microsoft Internet Explorer 6.0 et 7.0 :
Choisir le menu « Outils » (ou « Tools »), puis « Options Internet » (ou « Internet Options »).
Cliquer sur l’onglet « Confidentialité » (ou « Confidentiality »).
Sélectionner le niveau souhaité à l’aide du curseur ou cliquez sur le bouton « avancé » pour personnaliser votre gestion des cookies.
b)Pour Microsoft Internet Explorer 5 :
Choisir le menu « Outils » (ou « Tools »), puis « Options Internet » (ou « Internet Options »).
Cliquer sur l’onglet « Sécurité » (ou « Security »).
Sélectionner « Internet » puis « Personnaliser le niveau » (ou « CustomLevel »).
Repérez la rubrique « cookies » et choisir l’option qui convient.
c)Pour Mozilla Firefox 1.5.X et 2.0.X :
Choisir le menu « Outils », puis « Options… ».
Cliquer sur l’icône « Vie privée » puis sur l’onglet « Cookies » ou « Afficher les cookies… ».
Personnaliser les options qui conviennent.
Toutefois le refus de l’implantation de cookies sur l’ordinateur de l’Internaute est susceptible d’altérer les fonctionnalités du site voire de l’empêcher d’accéder à son espace personnalisé. »

Selon les éditeurs, les noms de personnes impliquées dans des infractions sont ou non cités, on ne reprend parfois que leurs initiales ou l’intégralité de leur nom. Quel est l’état du droit ?

En effet, nombreuses sont les personnes qui découvrent qu’une condamnation dont elles ont fait l’objet est mentionnée sur internet par une simple recherche sous leur nom.

1 – La difficile conciliation de la vie privée et de la liberté d’information

La Commission Nationale Informatique et Liberté (CNIL) a, dans sa délibération N° 01-057 du 29 novembre 2001, rappelé le problème soulevé par la diffusion sur Internet d’articles de presse rendant compte du déroulement d’une instance judiciaire, par rapport aux impératifs de protection de la vie privée et de droit à l’oubli, dans la mesure où, du fait notamment du développement des moteurs de recherche sur Internet, il suffit désormais qu’un justiciable soit cité une fois dans un journal pour que la numérisation et la mise sur Internet de journal, rappelle à jamais les circonstances dans lesquelles la personne concernée a eu à faire avec la justice.

La difficulté réside dans la conciliation entre le droit à la vie privée et les règles régissant la liberté d’expression protégeant les organes de presse.

La CNIL a, en conséquence, appelé l’attention des organismes de presse sur l’intérêt s’attachant à ce que la mise en ligne, sur des sites web en accès libre, de comptes-rendus de procès ou de décisions de justice citant les personnes physiques parties ou témoins au procès, suscite une réflexion d’ordre déontologique en concertation avec la CNIL, lorsque, la liberté d’information ne paraît pas nécessiter la désignation nominative des personnes concernées.

Si certaines dispositions spéciales font interdiction de mentionner, à l’occasion de la diffusion de certaines décisions de justice, le nom des parties (en matière de filiation, divorce, avortement, mineurs, etc.), rien de tel n’existe pour les infractions de droit commun, dont le contentieux est abondant.

Ce manque de protection est d’autant plus étonnant que le juge lui-même dispose de la faculté, pour certains contentieux déterminés, d’ordonner l’affichage ou la diffusion des décisions qu’il rend, pour une durée limitée dans le temps, étant précisé qu’une telle mesure constitue une peine complémentaire (article 131-10 du code Pénal).

En conclusion, même si du point de vue ethique et déontologique, il est contestable que le nom d’un prévenu soit divulgué dans la presse, aucune disposition juridique ne s’y oppose toutefois.

2 – Le recours à la loi Informatique et Libertés

L’article 26 de la Loi Informatique et Libertés du 6 janvier 1978 permet à toute personne dont les données à caractère personnel sont utilisées, le droit de s’opposer, pour des raisons légitimes, au traitement mis en œuvre.

Ce droit d’opposition pourrait être revendiqué, par exemple, à l’égard des moteurs de recherche, d’autant plus que les données relatives aux infractions, condamnations et mesures de sureté, ne peuvent, en application de l’article 9 de la Loi Informatique et Libertés, être traitées que par les juridictions, autorités publiques, personnes morales gérant un service public, auxiliaires de justice, et personnes privées limitativement désignées par la Loi.

En conséquence, il n’existe pas de fondement explicite justifiant, de façon formelle, une interdiction de publier le nom d’une personne dans un article de presse,

Par ailleurs, la loi Informatique et Libertés du 6 janvier 1978 permet à toute personne dont les données à caractère personnel sont utilisées de s’opposer, pour des raisons légitimes, au traitement ainsi mis en œuvre.

Ce droit trouve ici un écho particulièrement favorable, dans la mesure notamment où, en application de l’article 9 de la loi précitée, les données relatives aux infractions, condamnations et mesures de sureté, ne peuvent être traitées que par les juridictions, autorités publiques, personnes morales gérant un service public, auxiliaires de justice et personnes privées limitativement désignées par la Loi.

Ainsi, une première limite pourrait être trouvée dans ce texte.

Toutefois, il me semble que, de façon générale, l’article 9 du Code Civil pourrait trouver application dans la mesure où la gêne occasionnée cause, dans la durée, une atteinte injustifiée à la personne physique concernée et, alors même, que l’information en tant que telle ne présente plus un fait d’actualités (plusieurs mois ou années ont pu s’écouler).

Lors d’un petit-déjeuner organisé chez Atheos (Rueil-Malmaison), seront évoqués avec plusieurs spécialistes la question de la mise en oeuvre d’un SIEM (Security Information and Event Management) et la gestion des logs, en partenariat avec Loglogic et Atheos. J’y participerai au sujet de l’archivage de ces données et notamment des logs.

Nous profiterons de cette manifestation organisée par l’Ordre des avocats de Lille pour débattre de ces thèmes autour d’Alex Turk, président de la CNIL et sénateur du Nord.

• Dans le cadre du plan de continuité d’activité dont l’adoption est recommandée par le gouvernement pour lutter contre la pandémie grippale, les entreprises sont amenées à collecter auprès de leurs salariés des informations personnelles supplémentaires non comprises dans la norme simplifiée n° 46. Lire la suite de ce billet »

En application de l’article 2 de la loi Informatique et Libertés, constitue une « donnée à caractère personnel » « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification, dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »  

La question de la qualification de l’adresse IP en tant que « donnée à caractère personnel » au sens de la loi Informatique et Libertés du 6 janvier 1978 est déterminante, à l’heure de rechercher et de constater des actes de contrefaçon commis sur Internet par le biais, par exemple, de logiciels permettant la mise à disposition de fichiers musicaux.   Lire la suite de ce billet »

Le transfert de données à caractère personnel à l’étranger, et surtout hors Union Européenne, fait l’objet d’un encadrement strict, destiné à garantir la sauvegarde des droits des personnes physiques concernées.  

Différentes démarches doivent être mises en place par les entreprises.   Lire la suite de ce billet »

Plusieurs démarches sont à respecter lors de l’installation d’un système de vidéosurveillance.  

Celles-ci diffèrent selon l’endroit où se trouvent les caméras de surveillance.  

1.  Compétence de la CNIL  

L’installation d’un système de vidéosurveillance relève, dans un lieu privé, de la compétence de la CNIL.  

En effet, la CNIL est compétente dès qu’il s’agit d’un système de vidéosurveillance numérique, qui tombe alors dans le champ d’application de la loi n°78-17 du 6 janvier 1978, relative à l’Informatique, aux Fichiers et aux Libertés. Selon cette loi, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.  

De même, constitue un traitement de données à caractère personnel toute opération et tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion ainsi que le verrouillage, l’effacement ou la destruction.  

Ainsi, la mise en place d’enregistrements de vidéos constitue un traitement de données à caractère personnel, et entre dans le champ d’application de l’article 2 de ladite loi.  

De ce fait, l’entreprise devra déclarer son traitement sur la base du formulaire de déclaration normale proposé par la CNIL. Il y sera indiqué les éléments de conservation des données, généralement fixée à un mois maximum, les éléments relatifs à l’accès aux informations, aux moyens de sécurité mis en place, etc.  

La CNIL vérifiera la proportionnalité et la pertinence du système au regard de la finalité indiquée, ainsi que l’adéquation entre les fonctions d’outils et les objectifs poursuivis. Les critères utilisés par la CNIL pour vérifier l’adéquation du moyen de vidéosurveillance par rapport aux finalités proposées reposeront sur l’emplacement des caméras, leur nombre, leur orientation, leur fonctionnalité, la période de fonctionnement, l’enregistrement ou non du son, etc.  

Une procédure d’autorisation devra être mise en place, s’il y a utilisation d’une technique biométrique.  

Toutefois, un système de vidéosurveillance qui serait installé dans le cadre de la surveillance d’un domicile privé n’est pas soumis à déclaration auprès de la CNIL, dans la mesure où il s’agirait d’un traitement mis en œuvre pour une activité exclusivement personnelle, et à condition que seul le domaine privé soit filmé (intérieur d’une cour…), et non la porte d’entrée donnant sur la rue.  

Il en est de même pour les lieux mixtes, c’est-à-dire un lieu à la fois public ou ouvert au public, et privé, comme par exemple un supermarché composé d’une partie ouverte au public et d’une partie privée réservée aux salariés.

On entend par lieu ouvert au public un lieu accessible à tous, sans autorisation spéciale de quiconque, que l’accès soit permanent et inconditionnel ou subordonné à certaines conditions. Il s’agit par exemple de banques, de commerces, d’espaces publics, etc.  

A l’inverse, sont considérés comme des lieux non ouverts au public les entrepôts, les bureaux fermés au public, etc.  

Dans une note de la CNIL d’Avril 2008, adressée au Ministre de l’Intérieur, la CNIL a fait part des difficultés d’articulation entre les deux systèmes. Le rapport déposé au Sénat le 10 décembre 2008 plaide pour un nouvel encadrement juridique de la vidéosurveillance.  

Le Groupe de Travail du Sénat constate qu’il reste des problèmes de compétence entre la CNIL et le Préfet, qui ne sont pas tranchés et qui se multiplient, et des systèmes de vidéosurveillance dont les finalités ne sont pas prévues par la loi. Le Groupe de Travail recommande que toutes les compétences relatives à la vidéosurveillance soient regroupées au sein de la CNIL. Il recommande également d’améliorer l’information du public, notamment sur la mise en ligne de cartes de zones sous surveillance, et sur la signalisation des outils mis en place sur la voie publique, et l’indication de la durée de conservation. Il recommande également de professionnaliser ceux qui visionnent les images, notamment au sein de la police et de la gendarmerie, et d’encadrer strictement la vidéosurveillance intelligente, ou biométrique.  

2.  Consultation des instances représentatives du personnel  

Conformément à l’article L432-2-1 du Code du Travail, l’employeur a le droit de contrôler et de surveiller l’activité de son personnel durant le temps de travail, mais il ne peut mettre en œuvre un dispositif de contrôle qui n’a pas fait l’objet, préalablement à son introduction, d’une information et d’une consultation du comité d’entreprise.  

La Cour de Cassation, dans un arrêt du 7 juin 2006 (Pourvoi n° P04-43.866), a indiqué que les enregistrements du salarié constituaient un moyen de preuve illicite si le système de vidéosurveillance mis en place par l’employeur pour surveiller la clientèle était également utilisé pour contrôler ses salariés, sans information et consultation préalable du comité d’entreprise. En conséquence, les faits de vols ne pouvaient être retenus à l’encontre du salarié.  

Dans un arrêt de la Cour d’Appel de PAU du 14 avril 2008 (N° 07/00352), les magistrats ont indiqué « dès lors qu’il n’est pas démontré que le comité d’entreprise a été informé et consulté, préalablement à la décision de l’employeur de mettre en œuvre dans l’entreprise un système de vidéosurveillance, celui-ci ne saurait être considéré comme la mise en place de moyens ou de techniques permettant un contrôle de l’activité des salariés, de sorte qu’il est interdit à l’employeur d’utiliser des moyens de preuve obtenus à l’aide de ce procédé pour vérifier, contrôler et établir les manquements ou les fautes des salariés ».  

Toutefois, ces dispositions ne sont pas obligatoires si les outils de vidéosurveillance sont utilisés pour surveiller des locaux dans lesquels les salariés ne travaillent pas. La Cour de Cassation a statué en ce sens le 31 janvier 2001 (Pourvoi n° R98-44.290), « l’employeur est libre de mettre en place des procédés de surveillance des entrepôts ou autres locaux de rangement dans lesquels les salariés ne travaillent pas (…) le système de vidéosurveillance avait été installé par l’employeur dans un entrepôt de marchandises et il n’enregistrait pas l’activité des salariés affectés à un poste de travail déterminé. A l’inverse, un salarié, faisant obstruction au fonctionnement d’un système de vidéosurveillance mis en place par la société peut être sanctionné »  (CAA, 7 novembre 2007 : « Le refus de se conformer aux consignes de sécurité de l’employeur, propre à perturber le fonctionnement de l’entreprise, constitue une faute grave de nature à justifier le licenciement du salarié concerné »). 

3.  Information des personnes  

L’employeur a également l’obligation d’informer les personnes physiques susceptibles d’être filmées, et l’obligation de mettre en place un panneau d’information situé à l’entrée de son entreprise, destiné au personnel et aux personnes extérieures, tels les visiteurs. La mention peut être par exemple la suivante :  

« Etablissement sous vidéosurveillance.

Nous vous informons que cet établissement est placé sous vidéosurveillance pour des raisons de sécurité. Pour tout renseignement, veuillez vous adresser au service suivant : [A COMPLETER] auprès duquel vous pouvez également exercer votre droit d’accès, conformément à la loi n°78-17 du 6 janvier 1978, relative à l’Informatique, aux Fichiers et aux Libertés, modifiée par la loi du 6 août 2004. »  

La Cour d’Appel de RIOM a eu vocation, à l’inverse, de préciser que « les moyens de preuve produits par l’employeur, dès lors qu’ils ont été utilisés après information du salarié, doivent donc être considérés recevables » (CA RIOM, 24 février 2004, n° 02/02745).  

4.  Compétence du Préfet  

Les systèmes de vidéosurveillance installés sur les voies publiques ont pour objet la protection d’un bâtiment public, la sauvegarde des installations utiles à la Défense Nationale, la régulation du trafic routier, la constatation des infractions aux règles de la circulation, ou encore la prévention des atteintes à la sécurité des biens et des personnes, ou du terrorisme.  

Les données peuvent être conservées un mois maximum.  

Selon une enquête IPSOS de Mars 2008, 71 % des personnes interrogées sont favorables à la vidéosurveillance dans les lieux publics.  

En 2007, la CNIL a reçu 1.400 déclarations de vidéosurveillance contre 300 en 2005.  

Le Gouvernement a pour projet d’installer 38.000 caméras supplémentaires.  

La vidéosurveillance dans les lieux ouverts au public relève de la loi 95-73 du 21 janvier 1995, d’Orientation et de Programmation relative à la Sécurité, du décret 96-926 du 17 octobre 1996, de l’article 226-1 du Code Pénal, et de la loi du 23 janvier 2006, relative au Terrorisme.  

Le système prévoit que toute vidéosurveillance mise en place dans les lieux ouverts au public doit correspondre à une finalité de sécurité des personnes et des biens, contre les agressions, les vols, le terrorisme.  

Une autorisation préalable doit être obtenue de la part du Préfet du Département. Cette autorisation est donnée pour cinq ans, et est renouvelable après avis de la Commission Départementale des Systèmes de Vidéosurveillance.  

Les systèmes de vidéosurveillance font l’objet d’un contrôle par la Commission, composée d’un magistrat du Tribunal administratif, d’un maire, d’un représentant de la Chambre de Commerce et d’une personnalité qualifiée choisie par le Préfet.  

Selon le décret 2009-86 du 22 janvier 2009, la Commission peut se faire communiquer par le titulaire du système de vidéosurveillance l’autorisation de la date de mise en service et de localisation des caméras. La Commission a la possibilité de s’autosaisir pour contrôler les conditions de fonctionnement d’un système de vidéosurveillance, et faire des recommandations ou suspendre le système.