Iris - LBI

Date: Sat, 23 Sep 2000 17:39:05 +0200 Subject: Le point sur les modifications relatives a Internet apres la loi du 1er aout 2000 Bonjour à tous, Vous trouverez ci-après une note d'IRIS faisant le point sur les modifications relatives à Internet induites par la loi n°2000-719 du 1er août 2000. Adresse permanente de ce document sur le web : http://www.iris.sgdg.org/actions/loi-comm/note-modifs.html Kaïs Marzouki, pour IRIS. ------------------------- Loi sur la liberté de communication Modifications relatives à Internet induites par la loi n°2000-719 du 1er août 2000 (loi visant à modifier la loi n°86-1067 du 30 septembre 1986) Note d'IRIS - 22 septembre 2000 Cette note ne constitue pas une analyse juridique exhaustive de la loi n°2000-719 du 1er août 2000, visant à modifier la loi n°86-1067 du 30 septembre 1986 sur la liberté de communication. Son objet est de répondre de façon simple aux nombreuses questions que peuvent se poser les utilisateurs d'Internet après l'adoption de la nouvelle loi, tout en y ajoutant, chaque fois que possible, les recommandations d'IRIS. Tous les textes officiels, ainsi que les analyses de l'association tout au long du processus d'adoption de cette loi jusqu'à sa promulgation, sont disponibles dans le dossier que l'association a consacré à cette loi [1]. Ce document a été rédigé pour Iris par Meryem Marzouki (Meryem.Marzouki@iris.sgdg.org). 1. Déclaration de sites Web 1.1. Déclaration au Procureur de la République et au CSA À compter du 1er août 2000, la loi n'impose plus la déclaration de sites Web, ni auprès du Procureur de la République, ni auprès du Conseil supérieur de l'audiovisuel (CSA). En effet, le 1° de l'article 43 de la loi n°86-1067 du 30 septembre 1986, qui imposait une telle déclaration, a été abrogé par l'article 2 de la loi n°2000-719 du 1er août 2000. Toutefois, les services de radiodiffusion sonore ou de télévision diffusés par tous procédés restent soumis à l'obligation de déclaration auprès du CSA. 1.2. Déclaration à la CNIL La loi n°2000-719 du 1er août 2000 n'induit aucun changement à ce sujet. En attendant les modifications de la loi Informatique et Libertés du 6 janvier 1978, dans le cadre du projet de transposition de la directive européenne 95/46/CE du 24 octobre 1995 (directive sur la protection des données personnelles), tout site Internet, s'il comporte ou utilise des informations nominatives, doit faire l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés (CNIL). Une donnée nominative est une donnée permettant l'identification d'une personne, cette notion est donc bien plus étendue que la simple mention d'un nom. Par ailleurs, la diffusion de données nominatives doit toujours s'accompagner d'une information sur le droit des personnes concernées (accès, rectification, opposition, suppression des données) [2]. 2. Information et fourniture de moyens de filtrage des contenus L'obligation faite aux fournisseurs d'accès à Internet de fournir à leurs utilisateurs un moyen de filtrage des contenus avait déjà été introduite dans la loi n°86-1067 du 30 septembre 1986 (article 43-1) par l'article 15 de la loi n°96-659 du 26 juillet 1996 sur la réglementation des télécommunications [3]. Dépourvue de sanction, cette obligation n'a jamais été appliquée, d'autant que les moyens de filtrage (permettant de restreindre l'accès à certains services ou de les sélectionner) sont majoritairement disponibles en Anglais et destinés à un public de culture anglo-saxonne, voire exclusivement américaine. Ils sont surtout tous sujets à forte caution [4]. Cette obligation a été réaffirmée par l'article 1er de la loi n°2000-719 du 1er août 2000, qui remplace, dans la loi n°86-1067 du 30 septembre 1986, l'article 43-1 par un article 43-7. Cet article 43-7 fait obligation aux fournisseurs d'accès à des services de communication publique en ligne d'informer leurs abonnés de l'existence de moyens de filtrage et de leur en proposer au moins un. Cette disposition ne concerne pas les fournisseurs ne proposant pas l'accès (fournisseurs d'hébergement seul, ou plus généralement de services autres que l'accès). Comme précédemment, l'obligation n'est assortie d'aucune sanction. Par ailleurs, l'état de l'art des logiciels de filtrage n'ayant pas vraiment évolué, la plus grande méfiance par rapport à ces logiciels reste recommandée. Une société à l'origine de l'un des rares logiciels disponibles en Français a même été dénoncée par le Réseau Voltaire comme entretenant des liens avec l'Opus Dei [5]. De plus, si des logiciels de filtrage sont proposés par des fournisseurs d'accès, la publicité ainsi faite à des outils commerciaux fera l'objet de toutes les convoitises, et on devra alors s'interroger sur les critères de choix d'un logiciel proposé. Par conséquent, cette obligation restera sans doute non respectée par les fournisseurs, ce qui est la meilleure des solutions dans l'état actuel des choses. 3. Responsabilité civile ou pénale du fait des contenus 3.1. Responsabilité civile ou pénale des fournisseurs d'hébergement À compter du 1er août 2000, les fournisseurs d'hébergement de contenus sur Internet ne peuvent être tenus pour responsables civilement ou pénalement des infractions à la loi résultant de ces contenus que dans le cas où, ayant été saisis par une autorité judiciaire, ils n'ont pas agi promptement pour empêcher l'accès à ce contenu. Les fournisseurs de tels services sont concernés quels que soient leur statut (personne physique ou morale) ou la rémunération du service (service gratuit ou payant). Cette disposition est l'application directe de l'article 43-8 de la loi n°86-1067 du 30 septembre 1986, introduit par l'article 1er de la loi n°2000-719 du 1er août 2000. Cette nouvelle disposition signifie que, sauf obligation contractuelle, un fournisseur d'un tel service ne peut être menacé de poursuite, ni contraint à une action quelconque sur le contenu hébergé, par aucune autre personne ou entité que l'autorité judiciaire. Toutefois, cette disposition ne concerne que le fournisseur d'hébergement qui se cantonne à un rôle d'intermédiation technique. En particulier, toute relation autre que l'intermédiation technique contractuelle entre le fournisseur d'hébergement et l'auteur du contenu hébergé (par exemple un lien de subordination lorsque le fournisseur d'hébergement est l'employeur de l'auteur) peut influer de manière très importante sur l'application de cette disposition. 3.2. Responsabilité civile ou pénale des fournisseurs d'accès et de services de transport Les dispositions de la loi du 1er août 2000 sur la responsabilité du fait des contenus ne concernent que l'activité de stockage direct et permanent de contenus pour leur mise à disposition publique. Le cas des activités de fourniture d'accès, transport ou de stockage non direct ou non permanent (articles de liste ou de forum de discussion non archivés de façon permanente, "cache" pour les pages Web...) de contenus n'est pas encore traité spécifiquement par la loi, et reste soumis au droit commun. Si la jurisprudence actuelle exonère généralement de responsabilité ces activités [6], il faudra néanmoins attendre la transposition complète de la directive européenne 2000/31/CE du 8 juin 2000 (directive sur le commerce électronique) dans la législation française pour régler définitivement ces cas. La directive 2000/31/CE est entrée en vigueur le 17 juillet 2000. 3.3. Responsabilité civile ou pénale des auteurs de contenus La loi n°2000-719 du 1er août 2000 n'induit aucun changement à ce sujet. Les auteurs de contenus restent soumis au droit commun en matière civile et pénale, ainsi qu'aux obligations contractuelles éventuelles. Toutefois, la conséquence majeure de la nouvelle disposition sur la responsabilité des fournisseurs est que les auteurs de contenus subiront sans doute moins de pressions de la part de leurs fournisseurs d'hébergement ou de suppression de leurs contenus de façon abusive par ces fournisseurs. En tout état de cause, les auteurs de contenus n'ont pas à obtempérer à une quelconque demande de leur fournisseur d'hébergement, sauf obligation contractuelle. De même, il n'y a aucune raison d'accepter une quelconque intervention du fournisseur d'hébergement sur les contenus hébergés, lorsque cette intervention n'est pas requise par une décision judiciaire. 4. Conservation des données par les fournisseurs et obligation de secret 4.1. Obligation de conservation des données Les fournisseurs d'accès et les fournisseurs d'hébergement, respectivement définis par les articles 43-7 et 43-8 introduits par l'article 1er de la loi n°2000-719 du 1er août 2000, seront tenus de conserver toute donnée permettant l'identification des auteurs de contenus hébergés par leurs services. L'application de cette disposition reste toutefois soumise à la publication d'un décret du Conseil d'État, qui devra être pris après avis de la CNIL. Ce décret devra déterminer la nature des données à conserver, ainsi que la durée et les modalités de cette conservation par les fournisseurs d'accès et d'hébergement. Dans l'attente de ce décret et sans préjuger de son contenu, il est utile d'analyser les différentes sortes de données que les fournisseurs peuvent actuellement détenir. 4.1.1. Données de connexion Les données concernées donnent des informations sur les auteurs de contenus hébergés. Il s'agit d'une part des données de connexion à Internet, détenues par les fournisseurs d'accès, et d'autre part des données de connexion au serveur sur lequel résident les contenus, ainsi que le journal des modifications des pages hébergées, ces données étant en possession du fournisseur d'hébergement. L'ensemble de ces données est nécessaire en cas d'enquête judiciaire pour identifier l'auteur d'un contenu litigieux. 4.1.2. Données de consultation En revanche, il n'est ni nécessaire ni souhaitable que les données de consultation de sites Web soient concernées par ce décret. En effet, ces données sont constituées non seulement des traces que nous laissons sur les machines de notre fournisseur d'accès et sur les serveurs de sites que nous consultons, mais aussi des traces que nous gardons lorsque nos sites sont consultés et que des statistiques de consultation sont mises en place. En plus d'être identifiantes, ces données sont fortement signifiantes de nos centres d'intérêt, jusqu'aux plus privés d'entre eux. Toutefois, elles ne signifient aucune activité de communication publique, en particulier de création de contenus. 4.1.3. Données d'identification directement fournies par l'utilisateur Il s'agit là des données fournies par un abonné à un fournisseur d'accès et/ou d'hébergement, lors de la création du contrat d'abonnement. Ces données varient actuellement selon le fournisseur. Lorsque le service est payant, elles comprennent forcément des informations nécessaires à la comptabilité du fournisseur et à sa gestion des comptes, ainsi qu'à la facturation du service à l'abonné. Certains fournisseurs gratuits demandent des coordonnées postales complètes, le contrat d'abonnement prenant effet à la réception par le fournisseur d'une lettre de confirmation de l'abonné. D'autres fournisseurs gratuits proposent des abonnements immédiats par voie électronique : il suffit alors parfois de n'indiquer qu'une adresse de courrier électronique, qui peut être ou non identifiante. Il existe toutefois peu de cas où l'anonymat est total, car on peut en général remonter jusqu'à un fournisseur d'accès détenant des informations plus complètes. Malgré cela, la loi n°2000-719 du 1er août 2000 modifie profondément la teneur des données d'identification (cf. section 5). 4.2. Obligation de secret Si la loi n°2000-719 du 1er août 2000 fait obligation aux fournisseurs d'accès et d'hébergement de détenir des informations concernant leurs abonnés qui seront précisées par décret, elle fixe néanmoins des garde-fou dans l'article 43-9 de la loi n°86-1067 du 30 septembre 1986, qu'elle introduit par son article 1er pour l'utilisation de ces données personnelles. Ainsi, seules les autorités judiciaires peuvent en requérir communication auprès des prestataires techniques concernés et ces derniers peuvent être sévèrement punis pour toute autre utilisation des données : le défaut de préservation de la sécurité des données ou leur communication à des tiers est puni de cinq ans d'emprisonnement et de 2 000 000 F d'amende (article 226-17 du code pénal) ; le fait de détourner ces données de leur finalité est puni des mêmes peines (article 226-21 du code pénal). L'application de l'article 226-22 du code pénal au traitement de ces données vient encore renforcer ces garde-fou. 5. Identification préalable des auteurs de contenus L'article 43-9 de la loi n°86-1067 du 30 septembre 1986, introduit par l'article 1er de la loi n°2000-719 du 1er août 2000, fait obligation aux fournisseurs d'hébergement de fournir à leurs abonnés des moyens techniques de fournir les nouvelles données d'identification requises par l'article 43-10 de cette même loi. Toutefois, cette obligation est dépourvue de sanction spécifique, ce qui ne signifie pas que les risques liés à la violation de cette obligation sont inexistants. Les fournisseurs d'hébergement n'ont en revanche aucune obligation de vérifier l'exactitude ou la complétude des données ainsi fournies. L'article 43-10 de la loi n°86-1067 du 30 septembre 1986, introduit par l'article 1er de la loi n°2000-719 du 1er août 2000, fait obligation aux éditeurs de contenus mis à disposition publique de fournir des données permettant leur identification. Ces données, et leurs destinataires, varient selon le statut de l'éditeur. Les personnes physiques doivent tenir à disposition du public leurs nom, prénom et adresse de domicile, accompagné des coordonnées de leur fournisseur d'hébergement (nom et dénomination ou raison sociale). Toutefois, si elles éditent les contenus à titre non professionnel et qu'elles ne souhaitent pas cette publicité, elles peuvent ne tenir à la disposition du public qu'un pseudonyme en lieu et place de leurs nom, prénom et domicile. C'est le fournisseur d'hébergement qui devra alors détenir ces dernières données d'identification. Les personnes morales doivent tenir à disposition du public leur dénomination ou raison sociale ainsi que l'adresse de leur siège social. Elles doivent aussi indiquer publiquement le nom du directeur ou du codirecteur de la publication et celui du responsable de la rédaction du service s'il y a lieu. Ces informations doivent être accompagnées des coordonnées de leur fournisseur d'hébergement (nom et dénomination ou raison sociale). Ici encore, cette obligation faite aux éditeurs de contenus, professionnels ou non, personnes physiques ou morales, est dépourvue de sanction, ce qui ne signifie pas que les risques liés à la violation de cette obligation sont inexistants. Iris s'est clairement exprimée [1] sur ces obligations d'identification préalable des auteurs de contenus, en expliquant qu'elles étaient hypocrites et inutiles puisque les données détenues par les fournisseurs d'accès et d'hébergement avant cette nouvelle loi (sections 4.1.1 et 4.1.3) sont amplement suffisantes à la détermination des responsabilités du fait des contenus disponibles sur Internet. C'est pourquoi Iris recommande : - d'une part aux fournisseurs d'hébergement de ne pas vérifier les données d'identification à indiquer en application de l'article 43-10 de la loi n°86-1067 du 30 septembre 1986, introduit par l'article 1er de la loi n°2000-719 du 1er août 2000, à l'aide des moyens techniques précisés à l'article 43-9 de cette loi, puisque cette obligation de vérification n'est pas prévue. - d'autre part aux éditeurs de contenus, lorsqu'il s'agit de personnes physiques n'éditant pas à titre professionnel ces contenus, d'user de la possibilité d'anonymat qui leur est garantie par l'article 43-10 de la loi n°86-1067 du 30 septembre 1986, introduit par l'article 1er de la loi n°2000-719 du 1er août 2000, sauf dans le cas où ces personnes souhaitent de leur plein gré se faire connaître du public pour des raisons qui leur appartiennent, par exemple pour la facilité d'être contacté par une personne intéressée par le contenu publié. Références : - [1] Dossier complet d'IRIS, loi sur la liberté de communication, avec textes officiels, sélection des débats parlementaires et diverses réactions : http://www.iris.sgdg.org/actions/loi-comm - [2] Site de la CNIL : http://www.cnil.fr - [3] Loi n°96-659 du 26 juillet 1996 sur la réglementation des télécommunications (article 15) : http://www.telecom.gouv.fr/francais/activ/telecom/nloi12a16.htm - [4] Rapport IRIS 1997, annexe 6, intitulée « Étiquetage et filtrage : possibilités, dangers, et perspectives » : http://www.iris.sgdg.org/documents/rapport-ce/annexe6.html - [5] Article de la revue en ligne Transfert, intitulé « L'Opus Dei s'infiltre sur la Toile » : http://www.transfert.net/fr/cyber_societe/article.cfm?idx_rub=87&idx_art=1173 - [6] Analyse d'IRIS, intitulée « Arrêtons le ping-pong jurisprudentiel et législatif ! » : http://www.iris.sgdg.org/actions/loi-comm/ping-pong.html

(dernière mise à jour le 03/10/2000) - webmestre@iris.sgdg.org