On ne peut toutefois pas le décrire comme une unité organique telle que le droit civil ou le droit commercial. À cause de la diffusion de l'informatique dans un grand nombre d'activités aussi bien professionnelles que privées, ce droit consiste plutôt en modifications, parfois substantielles (droit de la communication portant sur les usages de l'information), parfois mineures, d'un grand nombre de domaines existants du droit.
Histoire
Pour bien comprendre le droit de l'informatique, il faut remonter à la préhistoire de l'informatique, c'est-à-dire à la mécanographie.
L'inventeur de la mécanographie était un Américain d'origine allemande, Herman Hollerith. Celui-ci avait été employé pour le recensement américain de 1880. Employé au bureau américain des brevets, il eut l'idée de développer un procédé permettant d'automatiser le recensement, et fit déposer un brevet pour la carte perforée.
L'informatique naquit dans l'immédiat après-guerre aux États-Unis. En Europe, elle n'apparut que vers la fin des années 1950, une fois l'essentiel de la reconstruction effectué.
Lorsque les logiciels apparurent dans les années 1960, l'office américain des brevets (USPTO) ne reconnut pas les brevets logiciels. En Europe, quelques brevets logiciels furent accordés. Voir : brevetabilité du logiciel.
Les problèmes de respect des libertés individuelles furent en France à l'origine de la loi informatique et libertés, en 1978, donnant alors naissance à la Commission nationale de l'informatique et des libertés (CNIL). Cette loi constitue, avec la directive européenne 95/46/CE (rendue caduque par le règlement 2016/679 du ), les sources juridiques du droit dans le domaine informatique dans ce pays. Il n'y a pas en France de code de l'informatique.
L'ordinateur n'est pas un outil de travail comme les autres. Omniprésent dans les tâches quotidiennes pour de nombreux employés, il constitue pour eux un élément essentiel cadre de travail à l'intérieur de l'entreprise. À ce titre se posent des questions relatives à la protection de la « sphère privée » du salarié, du contrôle de ses activités par l'employeur et de la responsabilité de celui-ci par rapport à l'utilisation que son employé peut faire des outils informatiques.
Contrôle par l'employeur de l'utilisation des ressources informatiques
En France, les nouvelles technologies ont conduit le législateur, le juge et la CNIL, autorité de régulation, à redéfinir la séparation entre vie privée et sphère professionnelle afin de préciser jusqu'où va la liberté de l'employé sur son lieu de travail et où doit s'arrêter l'action de contrôle de l'employeur. Toute activité de l'employé effectuée sur son lieu de travail ou avec les outils mis à disposition par son employeur ne relève pas, en effet, de la sphère professionnelle.
Principes généraux
La Cour de cassation a, par son arrêt « Nikon » du [2], étendu la notion de vie privée en l'appliquant à l'environnement professionnel par une décision de principe : « le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée », ce qui implique en particulier le droit au respect du secret des correspondances.
La CNIL, quant à elle[3], suivie par le législateur[4], a déclaré que l'employeur ne peut mettre en place un dispositif de contrôle sans avoir au préalable averti les employés susceptibles d'y être soumis. Ainsi, les enregistrements d'une caméra de vidéo-surveillance ne peuvent être utilisés comme moyen de preuve envers un salarié qui n'a pas été informé au préalable de l'existence de ce dispositif. Ce principe trouve à présent de nouvelles applications dans l'informatique : mise en réseau des machines, numérisation des contenus, stockage des informations sur des disques durs ou des bandes magnétiques de sauvegarde facilitent la mise en place de dispositifs de cyber-surveillance particulièrement puissants.
Un autre principe est celui de la discussion collective. L'employeur doit consulter le comité d'entreprise sur l'introduction de toute technique « permettant un contrôle de l'activité des salariés »[5].
En supplément, l'employeur est soumis à une obligation de proportionnalité[6] : quand bien même il aurait respecté les obligations d'information préalable et de discussion avec le comité d'entreprise, il ne peut mettre en œuvre des dispositifs qui restreindraient de manière abusive le droit des employés au respect de leur vie privée, principe posé par l'article 9 du Code civil.
Utilisation d'Internet
Internet est devenu un outil de travail courant dans de nombreuses entreprises et organisations, au point que son interdiction pure et simple par l'employeur ne semble guère possible. La CNIL admet ainsi qu'« une interdiction générale et absolue de toute utilisation d'Internet à des fins autres que professionnelles ne paraît pas réaliste dans une société de l'information et de la communication, et semble disproportionnée au regard des textes applicables et de leur interprétation par la jurisprudence »[7]. Or, la nature même d'Internet rend possible son utilisation à des fins personnelles et non professionnelles.
Cependant le [8], la Cour de cassation a rendu une solution selon laquelle toutes les connexions internet effectuées par un salarié depuis son poste et durant ses horaires de travail sont présumées avoir un caractère professionnel.
L'employeur peut fixer dans une charte les conditions et les limites d'une telle utilisation d'Internet. Il peut par exemple filtrer certains sites à condition d'avertir les employés et de consulter le comité d'entreprise. S'il met en place un dispositif permettant de collecter des données de connexion pour chaque poste, il doit déclarer ce traitement auprès de la CNIL, sauf si un correspondant informatique et libertés a été désigné.
L'utilisation d'Internet au bureau est vaste sujet, l'administrateur doit à la fois assurer la sécurité de son système d'information et à la fois respecter la confidentialité des personnes au nom du droit résiduaire de chaque employé.
Comme il l'a été précisé plus haut, le DSI, RSSI ou administrateur doit respecter un certain nombre de lois, au risque de voir porter sa responsabilité pénale devant les tribunaux.
Dès que l'administrateur récolte d'une façon ou d'une autre des données à caractères personnels, il doit le faire dans le respect des 3 règles du code du travail précédemment évoquées :
Principe de proportionnalité : Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage légitime et déterminé
Principe de transparence : Aucune information concernant personnellement un salarié (…) ne peut être collectée par un dispositif qui n’a pas été porté préalablement à la connaissance du salarié
Principe de discussion collective : Tout traitement informatique doit faire l’objet d’une information et consultation auprès du responsable du personnel et du comité d’entreprise.
L'administrateur doit également respecter la loi informatique et liberté[9] : Cette loi prévoit que le traitement des données à caractères personnels doit être "non discriminatoire", "confidentiel" et sous la responsabilité du responsable du traitement qui doit déclarer tous types de données qu'il traite.
La loi sur la conservation des logs: Le décret no 2011-219 du relatif à la conservation et à la communication des données précise que les entreprises fournissant un service d'accès à Internet au public doivent conserver les données de connexion durant 1 an[10]. Les articles 43-7 et 43-9 de la LOI no 2000-719 du précise les devoirs des prestataires de services de communication en ligne autres que de correspondance privée[11]. La BNP Paribas a été jugé en appel sur ce fondement pour ne pas avoir été capable de fournir les données de connexion demandées par réquisition judiciaire[12],[13].
La charte Internet est une autre problématique : Elle est obligatoire lorsque le service informatique collecte des données à caractère personnel. Elle a pour objectif de fixer les règles liées à l'utilisation de l'ensemble des ressources informatiques et elle doit obligatoirement autoriser un usage personnel de ces ressources sous peine d'être caduque.
Selon la CNIL, « l'utilisation de la messagerie électronique pour envoyer ou recevoir, dans des proportions raisonnables, un message à caractère personnel correspond à un usage généralement et socialement admis »[7]. La distinction entre message privé et message professionnel est importante, car l'employeur a la possibilité de prendre connaissance d'un message professionnel reçu par un employé, alors qu'il se rend coupable de violation du secret des correspondances s'il prend connaissance du contenu d'un message privé[2]. Afin de faciliter la détection du caractère privé ou professionnel du message, on considère en général qu'il revêt un caractère professionnel, « sauf indication manifeste dans l'objet du message ou dans le nom du répertoire où il pourrait avoir été archivé par son destinataire »[7].
Les fichiers informatiques
Les fichiers informatiques constitués par un employé sur son lieu de travail sont présumés avoir un caractère professionnel depuis une décision de la Cour de cassation du [14]. L'employeur pourra donc y accéder librement, sauf si le salarié a clairement identifié ces fichiers comme personnels. Une manière simple de caractériser des fichiers comme privés est de les regrouper dans un répertoire dont le nom est « privé ». En ce cas, l'employeur ne pourra avoir accès à ces fichiers, sauf « en cas de risque ou événement particulier », qu'en la présence de l'employé ou après l'avoir convoqué à cette fin. L'accord de l'employé n'est donc pas nécessaire, mais la « fouille » ne peut se faire sans qu'il soit informé.
Responsabilité de l'employeur du fait des activités de ses salariés sur Internet
Dans certains cas, l'employeur peut être responsable du fait des activités de ses employés sur Internet. D'après un arrêt de la cour d'appel d'Aix-en-Provence du [15], l'employeur est responsable de la faute commise par un salarié ayant créé un site personnel illicite en utilisant l'accès à Internet fourni par son entreprise. En l'occurrence, un salarié, que sa société avait autorisé dans une certaine mesure à utiliser Internet depuis son poste de travail, avait créé un site Internet dénigrant une autre entreprise. La responsabilité de l'employeur n'exclut pas la responsabilité du salarié lui-même (condamné en l'occurrence pour contrefaçon). L'employeur peut limiter sa responsabilité s'il a mis en œuvre les moyens nécessaires pour éviter qu'une infraction se passe à l'intérieur de sa société.
Le premier rempart est bien entendu la charte Internet mais avec le cas de jurisprudence de Lucent Technologie où la société avait établi une Charte Internet dans les règles en autorisant une consultation "raisonnable" (recommandation de la CNIL) des sites Internet non professionnels. Pourtant Lucent s’est vu condamnée comme complice du salarié car elle n’avait pas mis en œuvre des moyens suffisants pour éviter les pratiques de son salarié, notamment à cause de cette « fenêtre » d’utilisation personnelle pourtant obligatoire.
Les moyens nécessaires pour éviter de telle infraction résiderait-elle dans la mise en place d'un outil de filtrage d'URL ? En tout cas la CNIL, le recommande.
Enregistrement et traitement des données personnelles
Internet pose de nouveaux problèmes au droit, qui doit prendre en compte son caractère fondamentalement transnational. Par ailleurs, la facilité avec laquelle des particuliers comme des organisations peuvent diffuser des informations sur Internet induit une nouvelle articulation entre le principe de la liberté d'expression et la nécessité de la protection de la vie privée et des droits de propriété intellectuelle. Un hébergeur de site web, un auteur de blog, un administrateur de forum sont-ils responsables du contenu qui apparaît sur leur site de la même façon qu'un éditeur de presse ? La loi et la jurisprudence défrichent actuellement ce terrain.
D'autre part, l'émergence du web 2.0 offre des possibilités accrues d'utilisation de mots-clés (balises ou « tags ») dans le commerce électronique, démultipliant ainsi les possibilités de recherche d'information et d'échanges de services web par des processus de "découverte". La question de la maîtrise de l'information se pose donc dans la gestion des services d'annuaires qui peuvent être proposés.
Quelques aspects juridiques sont évoqués ci-dessous.
Les fournisseurs d'accès à Internet
Enregistrement des données de connexion
Les différents textes applicables, et plus précisément la loi pour la confiance dans l'économie numérique (LCEN) du , conduisent à distinguer, en ce qui concerne l'enregistrement des données de connexion, les obligations des fournisseurs d'accès (et autres acteurs assimilés sous le vocable d' « opérateurs de communication électronique ») de celles des hébergeurs de contenu.
Les FAI sont, aux termes de l'article 43-7 de la loi de 1986 sur la liberté de communication, telle que modifiée par la loi du 1/08/2000 (reprise à l'article 6-I 1° de la LCEN): « les personnes physiques ou morales dont l'activité est d'offrir un accès à des services de communication en ligne autres que de correspondance privée ».
L'article L34-1 I se réfère quant à lui à la notion « d'opérateur de communication électronique », laquelle comprend « notamment » les FAI. Une définition de ces « opérateurs de communication électronique » peut être trouvée dans la directive « Réseaux » du : « une entreprise qui fournit ou qui est autorisée à fournir un réseau de communication public ou une ressource associée ». Au terme de cette définition sont principalement visés les opérateurs de téléphonie mobiles.
a- le fondement de l'article L 34-1:
C'est ici que se retrouve le régime original de conservation des données de connexion, issu de la loi du 1/08/2000 et remanié à de nombreuses reprises, jusqu'au décret tant attendu du 24/03/2006.
Ce décret était nécessaire dans la mesure où la loi du 1/08/2000 ne déterminait pas avec précision les catégories de données devant être stockées, la durée de conservation, ainsi que la compensation des opérateurs quand des réquisitions sont effectuées.
Or ce décret du 24/03/2006 a fait l'objet d'un recours en excès de pouvoir introduit par l'Association des Fournisseurs d'Accès devant le Conseil d'État et tendant:
à l'annulation du décret
à l'annulation de l'arrêté pris en application de ce décret et établissant les tableaux de compensation des frais supportés par les opérateurs.
Ce recours a donné lieu à un arrêt du Conseil d'État [réf. nécessaire][16] en date du 7/08/2007 qui :
rejette le recours en annulation formulée contre le décret du 24/03/2006
valide la majeure partie du dispositif d'indemnisation des prestataires soumis à l'obligation de conservation (à l'exception d'une disposition qui prévoyait l'indemnisation « sur devis », le Conseil d'État considérant que le tarif devait être fixé préalablement).
Les données devant être conservées
Il convient au préalable de rappeler que la règle de principe demeure l'effacement des données générées automatiquement lors d'une communication. La conservation des données postérieurement à la fin de la communication qui les a engendrées demeure donc l'exception, ce que souligne l'art.34-1 II en rappelant la finalité de cette conservation: « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l'autorité judiciaire d'informations, il peut être différé pour une durée maximale d'un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques ».
S'agissant donc d'une exception au principe de l'effacement on peut s'étonner du manque de précision de cet article, qui ne fait référence qu'à « certaines données techniques ». La liste en a finalement été donnée par le décret du 24/03/2006 précité. Il s'agit des informations permettant d’identifier l’utilisateur, et plus précisément :
les informations permettant d'identifier l'utilisateur ;
les données relatives aux équipements terminaux de communication utilisés ;
les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ;
les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
les données permettant d'identifier le ou les destinataires de la communication.
Sont évidemment exclues de cette liste les données relatives au contenu des correspondances échangées, ou des informations consultées, au cours de la communication.
La durée de conservation
Elle est fixée à un an à compter de leur enregistrement. Cette disposition est conforme à celles de l'article 6 de la directive 2006/24/CE du qui prévoit une durée allant de six mois à deux ans.
La compensation des surcoûts engendrés par l’obligation de conservation
La loi du a prévu de couvrir « les surcoûts identifiables et spécifiques » nés des demandes de communication des données et du différé des opérations d’anonymisation et éventuellement exposés par les opérateurs et personnes soumises aux obligations de conservation des données de connexion des articles L. 34-1 du CPCE et 6-II bis de la LCEN. Le décret du , fixe les modalités de cette compensation, en instaurant un article R213-1 au sein du code de procédure pénale, renvoyant à un arrêté du ministre de l'économie, des finances et de l'industrie et du garde des sceaux. Cet arrêté est intervenu le 22/08/2006 et à la suite du recours formé par l'AFA, il a été validé par le Conseil d'État dans son arrêt du 7/08/2007 précité.
La sanction du manquement à cette obligation de conservation
Un an d’emprisonnement et 75 000 € d’amende. Ces peines sont quintuplées si le prestataire est une personne morale.
b- le fondement de l'article L34-1-1
Cet article a été inséré par la loi « anti-terrorisme » de 2006, son champ d'action est donc moins étendu. Cette nouvelle procédure de réquisition a par ailleurs fait l'objet du décret du 22/12/2006.
i- la finalité de la conservation : La loi a été sur ce point en partie censurée par le Conseil constitutionnel. À l'origine elle prévoyait que la conservation avait pour but la prévention et la répression des infractions terroristes.
Toutefois s'agissant d'une procédure de réquisitions administratives, comme il sera détaillé par la suite, le Conseil Constitutionnel a jugé que cette formulation était contraire au principe de séparation des pouvoirs exécutif et judiciaire.
ii- les données devant être conservées, la durée de conservation et les modalités de compensation des surcoûts : Les données devant être conservées sont, à peu de chose près, les mêmes que celles devant être conservées sur le fondement de l'article L34-1 (ce qui est logique dans la mesure où les débiteurs de l'obligation de conservation sont les mêmes).
De même, la durée de conservation, par les opérateurs de communication électronique de ces données est d'un an à compter de leur enregistrement.
Enfin l'indemnisation des opérateurs de communications électroniques se fait sur la base du tableau figurant en annexe de l'arrêté du 22/08/2006.
iii- la procédure de réquisition : Cette procédure de réquisition est une mesure de police administrative, et, à ce titre, elle échappe au contrôle du juge judiciaire.
Les personnes compétentes pour demander la communication des données : L'article L34-1-1 prévoit que seuls « les agents individuellement désignés et dûment habilités des services de police et de gendarmerie nationales spécialement chargés de ces missions (lutte contre le terrorisme) » pourront demander la communication de ces données. Ceux-ci sont nommés par les chefs des services de police et de gendarmerie chargés des missions de prévention des actes terroristes (art R. 10-15 CPCE).
L'encadrement des demandes communication : Elles doivent contenir (Art R.10-17 CPCE) :
le nom et la qualité du demandeur, ainsi que son service d'affectation et l'adresse de celui-ci ;
la nature des données dont la communication est demandée et, le cas échéant, la période concernée ;
la motivation de la demande (cette motivation n'étant pas transmise à l'agent habilité aux opérateurs qui réalise la communication) ;
elles sont soumises à la décision d'une personnalité qualifiée, placée auprès du Ministère de l'Intérieur. Cette « personnalité qualifiée » est nommée pour trois ans renouvelables par la Commission Nationale de Contrôle des Interceptions de Sécurité sur proposition du Ministre de l'Intérieur et doit établir un rapport annuel d'activité à destination de la CNCIS). M. François Jaspart a été nommé en cette qualité par la décision no 1/2006 du 26/12/2006 de la CNCIS ;
elles font l'objet d'un enregistrement auprès de la CNCIS ;
la CNCIS peut opérer des contrôles à tout moment ;
la durée de conservation des données par les agents compétents :
elle est de trois ans à compter de la communication de ces données, ce qui n'a pas été sans provoquer de nombreuses critiques, certains y voyant un moyen de contourner la durée maximale de deux ans posée par la directive 2006/24/CE du .
Que ce soit dans le cadre de l’article L34-1 ou dans celui de l’article L34-1-1, aucune décision jurisprudentielle n’est encore intervenue pour sanctionner ce nouveau régime et ce d’autant plus que les FAI, par l’intermédiaire de l’AFA avaient entrepris un recours en annulation du décret du 24/03/2006. Ce recours a été rejeté, comme il a été dit plus haut. Il n’en demeure pas moins qu’entre l’entrée en application du décret en et la décision du Conseil d’État le dernier, certains FAI ont tiré argument de ce recours pour refuser de répondre aux réquisitions des services d’enquête.
Responsabilité par rapport au contenu des sites hébergés
Si un usager d'Internet publie sur son site personnel un texte diffamatoire envers une autre personne, sa responsabilité peut être engagée au même titre que s'il avait utilisé un autre moyen de communication. Mais qu'en est-il de la société qui lui a fourni les moyens techniques pour publier ce texte ? L'hébergeur peut-il voir sa responsabilité (civile ou pénale) engagée pour des écrits publiés sur les sites dont il a la charge ?
« Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible. »
— Loi no 2004-575 du 21 juin 2004, article 6 al.2 (voir al.3 pour la responsabilité pénale)[17]
L'enjeu essentiel est ici la qualification juridique du prestataire qui permet techniquement la publication du contenu sur Internet. Selon son degré d'intervention dans ce contenu, il sera qualifié de simple hébergeur, dégagé de responsabilité par rapport au contenu, ou d'éditeur de presse, responsable du contenu publié en application de la loi sur la liberté de la presse du . Cette question soulève un contentieux juridique abondant.
Régime juridique selon la nature du site (site personnel, blog, forum modéré a priori, forum modéré a posteriori, site commercial, média en ligne, site public...)
Dans le cas d'échanges d'informations avec des partenaires ou des parties prenantes, on a besoin d'utiliser des techniques de diffusion des mises à jour des sites web (voir syndication, RSS) : quelles sont les règles juridiques à appliquer pour les différents types de personnes morales (institutions publiques, entreprises privées,...).
Le Droit du Multimédia et de l’Informatique a une place importante dans le M2 Droit des Activités Spatiales et des Télécommunications. Il permet une compréhension exhaustive des enjeux juridiques liés aux différents acteurs de la société de l’information[19].
Aspects de l'informatisation posant question par rapport au champ traditionnel du droit