Christiane Féral-Schuhl (Féral Schuhl - Sainte Marie) "Les conditions d'utilisation de l'intranet ou de la messagerie par les organisations syndicales ont été précisées"

Cybersurveillance sur le lieu de travail, droit d'auteur, noms de domaine... L'actualité et la jurisprudence juridiques ont été riches cette année. Retour sur 12 mois de droit.

Quelles ont été les grandes évolutions du droit lié aux nouvelles technologies en 2008 ?

L'année 2008 a été, tout comme 2007, une année riche en nouvelles dispositions réglementaires et décisions judiciaires. On note de manière intéressante des décisions de hautes juridictions (Cour de cassation, Conseil d'Etat, Conseil constitutionnel...) qui marquent ainsi une évolution significative en matière de droit des nouvelles technologies.  Toutes les matières sont impactées.

Sur le terrain de la cybersurveillance par exemple, on notera que la Cour de cassation a apporté des précisions sur les conditions d'utilisation de l'intranet ou de la messagerie de l'entreprise par les organisations syndicales. Si ces dernières peuvent y accéder, c'est à la condition d'avoir négocié et conclu un accord d'entreprise (ce que rappelle le code du travail art. L. 2142-6), lequel s'interprète strictement.

De même, il a pu être précisé que si un syndicat a le droit de communiquer librement des informations au public sur un site internet, cette liberté ne doit pas autoriser la divulgation d'informations confidentielles de l'entreprise.

Une nouvelle infraction existe en cas d'utilisation à titre de nom de domaine d'un nom patronymique

En matière de droit d'auteur, c'est un arrêt du Conseil d'Etat du 11 juillet 2008 qui marque l'actualité puisque, sans remettre en cause le principe de la redevance de la copie privée, il a annulé les barèmes fixés pour les supports numériques visés par la décision n° 7 de la Commission Copie Privée (baladeurs, enregistreurs de salons et DVD vierges). Cet arrêt est important car il impacte le mode de calcul de la rémunération mis en œuvre pour toutes les autres décisions de la Commission.

Sur le terrain de l'e-commerce, l'innovation est bien sûr liée à la loi Chatel du 3 janvier 2008, entrée en vigueur le 1er juin 2008 qui renforce le dispositif protecteur du consommateur, notamment face aux fournisseurs d'accès à l'internet et aux opérateurs de téléphonie mobile.

Au chapitre des noms de domaine, l'Afnic a mis en place, depuis juillet 2008, une procédure spécifique permettant la résolution des cas de "violations manifestes" des dispositions du décret du 6 février 2007 portant sur la gestion des noms de domaine enregistrés dans les extensions françaises. Il existe également une nouvelle infraction en cas d'utilisation à titre de nom de domaine d'un nom patronymique.

De quel arsenal juridique dispose-t-on désormais pour lutter contre les actes de cybercriminalité ?

L'arsenal dont nous disposons en droit français est très complet. En revanche, la difficulté reste l'identification des auteurs des infractions. Sur cette question, il faut signaler la présentation, en février 2008, par la ministre Michèle Alliot-Marie d'un plan de lutte contre la cybercriminalité qui vise à moderniser les méthodes d'investigation.

Cybercriminalité : l'arsenal français est très complet. L'identification des auteurs des infractions est en revanche plus difficile

Ce plan vise notamment à rendre applicable à l'ensemble des acteurs d'Internet l'obligation de conserver à la disposition des autorités judiciaires les données de connexion pendant un an. Cette mesure devrait faciliter la traçabilité des actes de cyberdélinquance et de cybercriminalité.

Par ailleurs, trois nouvelles infractions ont fait l'objet d'une position commune du Conseil en date du 18 avril 2008. L'objectif serait de faire sanctionner par tous les systèmes juridiques de l'Union européenne (i) la provocation publique à commettre des infractions terroristes, (ii) le recrutement et (iii) l'entraînement à des fins de terrorisme, y compris par internet.

Cette nouvelle législation a vocation à favoriser la coopération avec les fournisseurs de services internet pour obtenir le retrait des contenus illicites et identifier les criminels, tout en veillant à la protection des données à caractère personnel et à sauvegarder les droits fondamentaux.

Coté cybersurveillance, où placer la frontière entre pouvoir de contrôle de l'employeur, devoir de loyauté de l'employé et protection de ses libertés fondamentales ?

La règle est simple à exprimer. L'employeur a un pouvoir de contrôle sur les outils mis à la disposition de ses employés et, plus généralement, sur leur activité. Pour autant, il est tenu de respecter deux règles. La première, la transparence le contraint à déclarer les dispositifs de contrôle à la Commission Nationale Informatique et Libertés (Cnil), au Comité d'entreprise et à ses employés.

La seconde, la règle de proportionnalité, le contraint à mettre en œuvre des dispositifs "proportionnés". Ces deux notions conduisent à une analyse au cas par cas. Le non-respect de l'une de ces deux règles expose l'employeur à ne pas pouvoir se prévaloir de la preuve qu'il a pu obtenir au moyen d'un dispositif non déclaré ou non proportionné. En effet, celle-ci pourrait être rejetée par une juridiction comme étant illicite.

Cybersurveillance : s'il existe une zone de tolérance, elle est de plus en plus circonscrite

La jurisprudence a précisé les contours de ces deux règles au fil des décisions rendues et il faut observer que si dans un premier temps, elle était favorable à l'employé, elle retient que l'employé est tenu à une obligation de loyauté et que la continuité du service peut justifier l'accès par l'employeur à la messagerie et aux fichiers de l'employé.

En 2008, la Cour de cassation a ainsi admis que l'employeur peut rechercher sur le disque dur de l'ordinateur du salarié, en son absence, des traces de ses connexions internet afin de les identifier sans que cela porte atteinte au respect de la vie privée de ce dernier. Elle a également considéré que les connexions internet effectuées par un salarié depuis son poste et durant ses horaires de travail sont présumées avoir un caractère professionnel.

Elle a même retenu à titre de preuve les relevés d'appels téléphoniques produits par l'employeur pour justifier le licenciement de l'employé pour utilisation abusive de son téléphone professionnel. Dans le cas d'espèce, les relevés établissaient que l'employé avait téléphoné, depuis son poste de travail, à des messageries de rencontre entre adultes, totalisant 63 heures.

En d'autres termes, la jurisprudence rappelle que l'employé doit, au titre de son devoir de loyauté, utiliser les outils de travail mis à sa disposition et son temps de travail, à exécuter la mission qui lui est confiée. S'il existe une zone de tolérance, elle est de plus en plus circonscrite.

La collecte et le transfert de données à caractère personnel ont également été sous les feux des projecteurs cette année. Quelles en ont été les principales évolutions ?

Tout d'abord, la publication au journal officiel du 1er juillet 2008 du décret n°2008-632 du 27 juin 2008 portant création du traitement automatisé de données à caractère personnel dénommé "EDVIGE" a provoqué comme vous le savez de nombreuses protestations. Présenté au départ comme la régularisation du fichier des Renseignements Généraux créé en 1991, le fichier EDVIGE présentait d'importantes différences avec son prédécesseur.

Le fichier EDVIGE présentait d'importantes différences avec le fichier précédent

Ainsi, EDVIGE avait pour finalité de "centraliser et d'analyser les informations relatives aux personnes physiques ou morales ayant sollicité, exercé ou exerçant un mandat politique, syndical ou économique ou qui jouent un rôle institutionnel, économique, social ou religieux significatif (...) ainsi que les informations relatives aux individus, groupes, organisations et personnes morales qui, en raison de leur activité individuelle ou collective, sont susceptibles de porter atteinte à l'ordre public", alors que le fichier de 1991 ne mentionnait que les personnes ayant eu recours à la violence ou lui apportant un soutien actif.

Autre différence, EDVIGE autorisait la collecte des données des mineurs à partir de l'âge de 13 ans alors que ne pouvaient jusque-là être fichés que les majeurs. Suite à l'émotion suscitée par ce décret (près de 150 000 signataires d'une pétition en ligne) et les treize recours déposés en quelques semaines devant le Conseil d'Etat, le gouvernement a décidé d'exclure du fichier la collecte de données relatives à la santé et à la vie sexuelle, se conformant ainsi à l'avis rendu sur le sujet par la Cnil, le 16 juin 2008 (dél. n° 2008-174).

Quid des moteurs de recherche ?

Les moteurs de recherche collectent et traitent une masse considérable de données à caractère personnel. Ce constat a conduit les autorités européennes de protection des données à adopter à l'unanimité et en concertation avec les principaux acteurs du marché (Google, Yahoo !, Microsoft, et les moteurs nationaux) un avis en date du 4 avril 2008 précisant les règles applicables aux moteurs de recherche.

Conformément à cet avis, les moteurs de recherche sont des "services de la société de l'information" et, à ce titre, ne sont pas concernés par la directive 2006/24/CE relative à la conservation des données, contrairement aux fournisseurs d'accès internet et aux opérateurs de télécommunications.

Les moteurs de recherche ne doivent pas conserver trop longtemps l'historique des requêtes

Ils ne sont donc pas tenus par l'obligation de conservation des données de connexion. Cependant, les moteurs de recherche ne doivent pas non plus conserver trop longtemps l'historique des requêtes effectuées et des sites consultés par les internautes, sauf à créer un risque de porter atteinte à la vie privée en permettant de tracer des habitudes de comportement des internautes.

C'est dans ce contexte que le G 29 a recommandé d'effacer ces données à l'expiration d'une période de six mois. Dans une lettre du 8 septembre 2008 adressée au G 29, Google, pour tenir compte de cette recommandation, a indiqué réduire à 9 mois la durée de conservation des données personnelles (soit la moitié de la durée initiale de conservation).

Il y a eu également l'affaire note2be.com...

Effectivement, une ordonnance de référé du 3 mars 2008 - confirmée en appel le 25 juin 2008 - a ordonné la suppression des pages contenant des données nominatives du site http://www.note2be.com/ qui avait mis en ligne, le 30 janvier 2008, la notation d'enseignants et de leur établissement d'activité. Compte tenu de cette décision, la Cnil, réunie en formation contentieuse, n'a pas jugé nécessaire d'user de ses pouvoirs de sanctions à l'égard du site litigieux.

Elle s'est néanmoins exprimée sur cette question, le 6 mars 2008, en indiquant que la publication des informations contestées était de nature à porter atteinte à la vie privée des enseignants en raison de la diffusion d'une affectation qu'ils ont pu souhaiter conserver confidentielle pour protéger leur vie privée, leur famille ou leur intégrité physique.

Quant au système de notation, elle observe qu'il est de nature à créer une confusion dans l'esprit du public avec un système officiel de notation. Elle retient également que la notation a été faite de façon subjective par un tiers dont il n'était pas possible de vérifier la qualité. Enfin, elle constate que les enseignants n'ont pas été mis en mesure d'exprimer leur consentement préalable. Le site <Note2bib>, site français de notation de médecins, conçu dans le même esprit, a quant à lui, été fermé dix jours à peine après avoir été ouvert.

L'usurpation d'un nom patronymique comme nom de domaine est désormais interdite. Qu'est-ce que cela signifie au juste ?

Il s'agit d'une nouvelle infraction qui prévoit qu' "un nom identique à un nom patronymique ne peut être choisi pour nom de domaine, sauf si le demandeur a un droit ou un intérêt légitime à faire valoir sur ce nom et agit de bonne foi".

C'est sur le fondement de ce texte qu'un juge des référés a sanctionné un candidat à la mairie de Cancale à raison de l'enregistrement par deux membres de sa liste de deux noms de domaine usurpant le nom de son adversaire, tête d'une liste concurrente. Cette infraction devrait pouvoir mettre fin avec la pratique de la réservation des noms de domaine de personnalités politiques, par exemple avec l'enregistrement du nom de domaine <delanoe2008.com> par une personne sans lien avec le Maire de Paris.