vie privée

LA SÉCURITÉ DES TÉLÉCOMMUNICATIONS

L’amélioration considérable de la communication est grâce au développement due à l’arrivée d’internet et des nouvelles technologies. Ces nouvelles technologies, toutefois, ne sont pas invulnérables, les failles de sécurité sont fréquentes. La question de la sécurité des télécommunications prend ainsi une place importante dans la société actuelle. 

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de vie privée en passant par le formulaire !

La télécommunication désigne la transmission, l’émission ou la réception d’informations par tout système électromagnétique. Les télécommunications permettent donc des échanges rapides entre personnes. Ces échanges peuvent porter sur des données de la vie privée. Dès lors, il faudra que la sécurité des télécommunications soit assurée. La sécurité des télécommunications permettra d’éviter des intrusions dans le circuit d’échange et permettra de protéger la vie privée des individus.

Il est force de constater que, dans nos sociétés, la sécurité des télécommunications est un objectif pour les différentes autorités gouvernantes, car ces derniers doivent garantir la sécurité des télécommunications de leurs citoyens comme la sécurité des télécommunications étatiques. Un défaut de la sécurité des télécommunications de l’État serait extrêmement problématique.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Ainsi, la science a développé différents moyens d’assurer la sécurité des télécommunications ainsi que doté différents organes des outils nécessaires pour assurer cette sécurité. De plus, plusieurs conditions sont à remplir pour pouvoir assurer la sécurité des télécommunications. Celles-ci sont posées par l’État qui garde un contrôle sur tous les protagonistes de la sécurité des télécommunications.

Cependant, des risques demeurent rattachés au progrès des technologies de l’information et de la communication. Des failles de sécurité se multiplient et engendrent de nouvelles vulnérabilités ; des menaces pernicieuses et inédites se font jour. Les sociétés perdent des sommes considérables, en raison des dysfonctionnements induits par les questions de sécurité.

Le concept de sécurité dans le domaine des télécommunications englobe, dans ce contexte, non seulement la sécurité technique, mais également la sécurité juridique. Le terme de télécommunications désigne tous biens ou services dédiés aux “ émissions, transmissions ou réceptions de signes, de signaux, d’écrits, d’images ou de sons, par câble, par la voie hertzienne, par moyen optique ou par d’autres moyens électromagnétiques” (art. L. 32 du Code des PT).

Les dispositions de l’article L. 32 du Code des postes et communications électroniques (nouvelle dénomination issue de la LCEN), après avoir défini les télécommunications, prévoient au 12º des exigences essentielles : « on entend par exigences essentielles les exigences nécessaires pour garantir la préservation de l’intérêt général s’attachant :

– à la protection de la santé, de la sécurité des personnes et des animaux domestiques ainsi que des biens, dans des conditions fixées par décret en Conseil d’État ;

– au maintien d’un niveau adéquat de compatibilité électromagnétique entre équipements et installations de communications électroniques, dans des conditions fixées par décret en Conseil d’État ;

– à une utilisation efficace des fréquences radioélectriques par les équipements et à une contribution à l’utilisation optimisée de ces dernières en évitant des brouillages préjudiciables pour les tiers.

Les exigences essentielles comportent également, pour les classes et les catégories d’équipements prévues par décret en Conseil d’État, les exigences nécessaires à :

– la protection des réseaux, notamment des échanges d’informations de commande et de gestion qui y sont associés ;

– l’interopérabilité des services et celle des équipements radioélectriques ;

– la protection des données à caractère personnel et de la vie privée des utilisateurs et des abonnés ;

– la compatibilité des équipements radioélectriques avec des accessoires, y compris des chargeurs universels, et avec des dispositifs empêchant la fraude, assurant l’accès aux services d’urgence, facilitant leur utilisation par les personnes handicapées ou garantissant qu’un logiciel ne peut être installé sur un équipement radioélectrique que lorsque la conformité de la combinaison de l’équipement radioélectrique avec le logiciel est avérée.». (1)

Récemment, l’Union européenne s’est dotée d’un Code européen des communications électroniques rassemblant les quatre directives du Paquet Télécoms européen de 2002 par la directive 2018/1972 du parlement européen et du conseil du 11 décembre 2018. Cette directive a été transposée par l’ordonnance n° 2021-650 du 26 mai 2021 puis complétée par le Décret n° 2021-1281 du 30 septembre 2021. (2)

La protection des données personnelles et la sécurité des échanges via les télécommunications constituent sans doute 2 objectifs majeurs que le législateur a explicitement gardés à l’esprit. En matière de télécommunications, l’obligation de sécurité et de confidentialité est une exigence essentielle dont le non-respect peut entraîner des sanctions pénales.

Veiller au strict respect de leurs obligations par les opérateurs télécoms (A) ainsi que promouvoir le développement de la cryptologie (B) se révèlent être 2 moyens efficaces pour assurer la sécurité et le secret des télécommunications.

I. Les obligations des opérateurs

La protection de la vie privée des consommateurs est prévue expressément par le Code des postes et télécommunications.

Des dispositions spécifiques sont prévues dans toutes les autorisations délivrées aux opérateurs au titre de l’article L.34-1 (téléphonie publique) ou des articles L.33-1 (réseau de télécommunications) et L.34-1. Elles figurent dans le cahier des charges annexé à chacune de ces autorisations sous l’intitulé de  » clause type c) « . La clause c), intitulée  » conditions de confidentialité et de neutralité au regard des messages transmis et des informations liées aux communications « , comprend trois séries de dispositions, propres à assurer la protection des utilisateurs :

– une première série d’obligations concerne le respect du secret des correspondances et de la neutralité du transporteur ;
– une deuxième série concerne le traitement des données à caractère personnel ;
– une troisième série porte sur la sécurité des communications.

A) Respect du secret des correspondances et neutralité

L’opérateur a l’obligation de prendre les mesures nécessaires pour garantir la neutralité de ses services vis-à-vis du contenu des messages transmis sur son réseau et le secret des correspondances. A cet effet, l’opérateur assure ses services sans discrimination quelle que soit la nature du message transmis et prend les dispositions utiles pour assurer l’intégrité des messages.

Conformément à l’article 1er de la loi du 10 juillet 1991 relative au secret des correspondances émises par la voie des télécommunications, il ne peut être porté atteinte à ce secret que par l’autorité publique, dans les cas et conditions prévues par la loi. Ainsi, l’interception, le détournement, l’utilisation ou la divulgation des correspondances émises, transmises ou reçues par la voie de télécommunications est puni d’un an d’emprisonnement et de 45000 € d’amende.

B) Traitement des données à caractère personnel

La prise des mesures propres à assurer la protection, l’intégrité et la confidentialité des informations identifiantes qu’il détient et qu’il traite s’impose.

En particulier, l’opérateur garantit le droit pour toute personne :

– de ne pas être mentionnée sur les listes d’abonnés ou d’utilisateurs publiées. L’opérateur assure la gratuité de cette faculté ou, à défaut, subordonne son exercice à un paiement d’une somme raisonnable et non dissuasive ;
– de s’opposer gratuitement à l’inscription sur ces listes de l’adresse complète de son domicile dans la mesure où les données disponibles permettent de distinguer cet abonné de ses homonymes ainsi que, s’il y a lieu, d’une référence à son sexe ;
– de s’opposer gratuitement à l’utilisation de données de facturation la concernant par l’opérateur à des fins commerciales ;
– d’interdire gratuitement que les informations identifiantes la concernant issues des listes d’abonnés soient utilisées dans des opérations commerciales soit par voie postale, soit par voie de télécommunications, à l’exception des opérations concernant les activités autorisées et relevant de la relation contractuelle entre l’opérateur et l’abonné ;
– ainsi que de pouvoir gratuitement obtenir communication des informations identifiantes la concernant et exiger qu’elles soient rectifiées, complétées, clarifiées, mises à jour ou effacées.

L’opérateur est tenu d’exploiter les données à caractère personnel conformément aux finalités déclarées. L’opérateur peut légitimement utiliser, conserver et le cas échéant, transmettre à des tiers les données collectées dans le cadre de son activité, pour les besoins de la transmission des communications, de la facturation et du paiement des services rendus.

L’opérateur doit permettre à tous ses clients de s’opposer gratuitement, appel par appel ou de façon permanente, à l’identification de leur numéro ou de leur nom par le poste appelé. Cette fonction doit être également proposée pour les communications effectuées à partir des cabines téléphoniques publiques. En outre, l’opérateur met en œuvre un dispositif particulier de suppression de cette fonction pour les raisons liées au fonctionnement des services d’urgence ou à la tranquillité de l’appelé, conformément à la réglementation en vigueur.

L’opérateur doit prévoir les modalités permettant, à la demande de l’abonné vers lequel les appels sont transférés, d’interrompre le transfert d’appel.

Si les sociétés de commercialisation de services (SCS) ne sont pas soumises directement aux dispositions du Code des postes et télécommunications puisqu’elles exercent leur activité sans avoir besoin d’obtenir une autorisation, elles sont indirectement soumises à ses obligations puisque la clause c) prévoit que :  » Lorsque l’opérateur fait appel à ses sociétés de commercialisation de services, il veille, dans les relations contractuelles avec celles-ci, au respect de ses obligations relatives aux conditions de confidentialité et de neutralité au regard des messages transmis et des informations liées aux communications « .

En pratique, le contrat conclut entre l’opérateur et le distributeur devra prévoir des clauses imposant au distributeur le respect des obligations auxquelles est tenu l’opérateur.

À titre d’exemple, au titre de la clause c) de l’autorisation de l’opérateur, il apparaît notamment que le distributeur :

– aura l’obligation, dans sa propre activité commerciale, de respecter la volonté des personnes ne souhaitant pas figurer dans les annuaires, ou ne pas recevoir de publicité à domicile ;
– ne pourra utiliser ces coordonnées pour une commercialisation de fichiers qu’autant que l’utilisateur ne s’y est pas opposé auprès de lui ou de l’opérateur ;
– ne pourra communiquer les informations de facturation qu’il détiendra (numéros appelés, date, heure) que dans le respect de la loi régissant le secret des correspondances.

C) La sécurité des communications

L’opérateur est tenu de prendre toutes les dispositions nécessaires pour assurer la sécurité des communications empruntant son réseau. L’opérateur informe ses clients des services existants permettant le cas échéant de renforcer la sécurité des communications.

II. La garantie offerte par la cryptologie

Les années 90 ont été marquées par l’explosion des systèmes de communications, qui ont permis le développement sur une grande échelle des échanges électroniques, tant dans le domaine industriel et bancaire que celui du commerce en ligne et plus récemment celui des relations entre les citoyens et les administrations. Si, dans les premières années, l’ouverture et l’interopérabilité des réseaux et systèmes ainsi que leurs performances ont été logiquement privilégiées, éventuellement aux dépens de la sécurité, on a récemment assisté à une prise de conscience des problèmes par les acteurs des nouvelles technologies, qui ont engagé des réflexions sur la sécurité.

Désormais, la cryptologie constitue pour les entreprises la solution technique incontournable pour protéger leurs échanges sur le réseau contre d’éventuelles violations de correspondance. La cryptologie est un moyen de préservation de l’intimité de la vie privée.

L’article 29 de la loi pour la confiance dans l’économie numérique (LCEN) dispose que:

“ On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.

On entend par prestation de cryptologie toute opération visant à la mise en œuvre, pour le compte d’autrui, de moyens de cryptologie. »

Le gouvernement français a décidé, depuis janvier 1999, de rendre totalement libre l’utilisation des moyens de cryptologie. Néanmoins, cette liberté reste conditionnée, notamment par la conservation des conventions de cryptage par des « tiers de confiance » – organismes placés sous le contrôle des pouvoirs publics – lorsque les clés emploient des algorithmes excédant 128 bits et qu’elles assurent une fonction de confidentialité ; l’utilisateur devant solliciter une autorisation préalable personnelle.

La cryptologie, n’étant plus réservée au domaine militaire, est une nécessité pour le bon fonctionnement de la société de l’information.

Pour lire une version de cet article  sur la sécurité des télécommunications plus complète, cliquez

Sources :

  • https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000043545193/
  • Ordonnance n° 2021-650 du 26 mai 2021 portant transposition de la directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 ; Décret n° 2021-1281 du 30 septembre 2021 modifiant les obligations des opérateurs de communications électroniques conformément au code des communications électroniques européen

FACEBOOK : EMPLOYEUR VS. SALARIE, LA GUERRE EST DECLAREE

Comptant environ 2,85 milliards de membres actifs à travers le globe, dont 40 millions en France, Facebook demeure « le réseau social » auquel le monde ne plus échapper. Et employeurs comme salariés confirment la règle.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Facebook avait été constitué en 2004 pour les étudiants de l’université de Harvard, ce site ouvert à tous depuis le 24 mai 2007 fait l’objet de nombreuses controverses concernant notamment le respect de la vie privée des utilisateurs. La charte concernant la vie privée indique en effet que Facebook peut aller récolter des informations sur les membres à partir de sources extérieures comme les journaux, les blogs et d’autres sources sur Internet.

Cette divulgation de la vie privée a pour conséquence que les informations publiées sur Facebook peuvent être lues et utilisées par des personnes à qui elles n’étaient pas initialement destinées. C’est le cas, notamment, des données de salariés accessibles par leurs employeurs.

Il est constatable, aujourd’hui, que certaines entreprises utilisent Facebook pour collecter des informations sur leurs employés tandis que des recruteurs s’en servent pour leur sélection de candidats.

La CNIL, qui fut créée à l’origine pour prévenir toute atteinte à la vie privée des internautes au regard, notamment, du traitement de leurs données prévoit un régime de contrôle strict concernant le traitement de ces données, on peut se demander où se trouve la limite de l’utilisation qui peuvent en être fait par les employeurs à l’égard de leurs salariés.


Besoin de l’aide d’un avocat pour un problème de vie privée?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Que cela soit dans le cadre d’une embauche, ou même dans le cadre d’un « suivi » par l’employeur de l’activité de ses employés via Facebook, dans et hors du cadre de l’entreprise, la limite est fine vis-à-vis d’une éventuelle atteinte à la vie privée.

A cet égard, la façon de récolter les informations sur les internautes et de les utiliser nous amène, à fortiori, à nous poser la question suivante : l’employeur peut-il licencier un salarié en s’appuyant sur des photos ou des textes diffusés sur Facebook ?

Afin d’y répondre, il conviendra dans un premier temps, de confondre Facebook face au licenciement (1), et dans un second temps, Facebook face à la vie privée (2).

I) Facebook et licenciement

La France dénombre de nouveaux cas de salariés licenciés après avoir injurié leurs employeurs sur Facebook (A). Mais cela constitue-t-il une cause réelle et sérieuse de licenciement ? (B)

A) Les insultes sur Facebook

Les propos critiques tenus par les salariés contre leur employeur peuvent se retourner contre eux.

En décembre 2008, trois salariés d’une SSII à Boulogne-Billancourt avaient été licenciés pour avoir critiqué leur hiérarchie et leur responsable RH sur Facebook. En juillet dernier, trois autres salariées d’une association de défense de victimes de violences conjugales à Périgueux ont également été licenciées, pour « faute lourde » après avoir tenus sur ce même réseau social des propos jugés « injurieux, diffamatoires et menaçants » par leur employeur .

L’affaire sera jugée par le tribunal des prud’hommes de Périgueux le 14 mars 2011 suite à l’échec d’une audience de conciliation. L’enjeu est important et la décision pourrait faire date.

Un arrêt important à mentionner est celui de la chambre sociale de la Cour de cassation, datant du 20 décembre 2017.

En l’espèce, il s’agissait d’une salariée qui avait été engagée le 5 janvier 2010 en qualité d’équipière puis d’assistante-manager par une société J qui exploite un établissement de restauration. Le 20 mars 2012, cette dernière avait pris acte de la rupture de son contrat de travail aux torts de l’employeur.

La Cour d’appel d’Aix-en-Provence avait considéré, dans un arrêt rendu le 28 avril 2016, que la prise d’acte de la rupture de la salariée s’analysait en licenciement sans cause.

Durant les débats, l’employeur avait invoqué un procès-verbal d’huissier mentionnant des informations qui ont été extraites du compte Facebook de la salariée et qui avaient été obtenues grâce au téléphone portable d’un autre salarié de la même société ayant la qualité de son « ami Facebook ». L’employeur n’avait pas l’autorisation d’accéder à ces informations.

Il remettait en cause l’état dépressif de la salariée en produisant ce procès-verbal d’huissier.

Cela étant, la cour d’appel avait considéré que « ces informations étaient réservées aux personnes autorisées » et que « l’employeur ne pouvait pas y accéder sans porter une atteinte disproportionnée et déloyale à la vie privée de la salariée ».

La société s’était pourvu en cassation, mais la Cour de cassation avait rejeté son pourvoi et avait confirmé la position de la Cour d’appel . (1)

B) …une cause réelle et sérieuse de licenciement ?

Quels textes de loi s’appliquent en cas de propos injurieux tenus par le salarié sur son profil Facebook ? Le droit de l’information avec la répression civile et pénale habituelle de la diffamation, de l’injure, et de l’atteinte au respect du droit à la vie privée s’appliquera.

Si, compte tenu de la nature des fonctions des salariés et de la finalité propre de l’entreprise, les propos diffusés au sein de l’entreprise sont de nature à créer un trouble objectif caractérisé, le droit du travail s’appliquera également. Le pouvoir de sanction de l’employeur sera alors légitime.

Néanmoins, en aucun cas les salariés ne seront condamnés à une sanction disciplinaire pour des faits appartenant à leurs sphères privées. La sanction de l’employeur consistera simplement en une mesure permettant de faire cesser le trouble.

En l’espèce ,dans l’affaire de Périgueux, l’employeur de l’association de défense de femmes victimes de violences conjugales avait licencié ses salariées pour faute lourde. Or, cette faute doit impérativement cumuler le caractère de « gravité exceptionnelle » et l’intention de nuire. A charge pour l’employeur d’en apporter la preuve. En l’espèce, en licenciant ses salariées pour faute lourde, l’employeur semble donc avoir dépassé le cadre d’une mesure permettant de remédier au trouble.

Cette affaire conduit à se poser des questions s’agissant notamment du statut de Facebook et de ces employées. Pour ce qui est du statut de Facebook, il convient de se demander si c’est une messagerie ou un système de publication qui au même titre qu’un blog est soumis à des lois strictes ?

Il est difficile de trancher, car si le système permet de filtrer ses contacts, il faut beaucoup de prudence, surtout lors des mises à jour pour éviter toute « fuite ». Concrètement Facebook n’est ni dans une case ni dans l’autre. Dès lors le mur n’est pas « privé » comme le laisse entendre l’avocat des salariées dans l’affaire de Périgueux. Il s’agit d’un lieu privé ouvert au public, car l’accès aux informations personnelles des participants est en principe restreint.

Deux jugements de départage rendus dans la même affaire par le conseil des prud’hommes de Boulogne-Billancourt le 19 novembre 2010 concluent que l’employeur qui a produit une page de Facebook dont le mur était accessible aux  » amis des amis  » n’a pas violé la vie privée des deux salariés licenciés pour faute grave.

Le conseil a estimé que le mode de preuve du caractère fondé du licenciement était licite (legalis), dans la mesure où ce mode d’accès dépassait la sphère privée. Concernant le statut de ces employées, si ces dernières étaient cadres, comme de nombreuses décisions de justice le montrent (cadre d’une grande surface allant faire ses courses le week-end dans une tenue négligée, licencié et débouté par les prud’hommes par exemple), leur rôle de représentativité dépasserait le cadre de leur temps de travail dans certaines conditions et aurait dans certains cas justifié une procédure de licenciement. Or, en l’espèce, ce n’est pas le cas.

Un autre arrêt de la chambre sociale de la Cour de cassation, rendu le 12 septembre 2018, celle-ci s’est prononcée pour le première fois sur le caractère privé ou public d’une conversation qui était tenue sur un groupe dans le réseau social Facebook.

Les faits portaient sur une salariée qui avait été licenciée pour faute grave en raison de ses propos tenus sur le réseau social Facebook. Ces propos avaient été considérés comme injurieux et menaçants par sa supérieure hiérarchique. Un constat d’huissier avait établi que la salariée été adhérente à un groupe Facebook dont l’intitulé était « Extermination des directrices chieuses ». En outre, la salariée avait diffusé au sein de ce groupe des messages qui ont été qualifiés de fautifs par son employeur. Ce dernier s’était fondé sur ces propos pour licencier la salariée pour faute grave, et ce, sans prendre en compte le caractère public ou privé de ces diffusions.

Le 3 décembre 2015, la Cour d’appel avait écarté la faute grave et qualifié le licenciement comme étant dépourvue de cause réelle et sérieuse.

La Cour de cassation, à son tour, va confirmer la position des juges de fond en rajoutant que : « les propos litigieux avaient été diffusés sur le compte ouvert par la salariée sur le site Facebook et qu’ils n’avaient été accessibles qu’à des personnes agréées par cette dernière et peu nombreuses, à savoir un groupe fermé composé de quatorze personnes, de sorte qu’ils relevaient d’une conversation de nature privée ».

A ce titre, la Cour de cassation distingue selon que les propos diffusés étaient qualifiés de publics ou de privés. Dans la première hypothèse, ces propos peuvent donner lieu à des sanctions disciplinaires. Dans la seconde hypothèse, le salarié ne peut pas être sanctionné. (2)

II) Facebook et vie privée

La question se pose de savoir si les propos tenus sur Facebook (A) peuvent ou non être interceptés par l’employeur ? (B)

A) Les propos tenus sur Facebook…

Pour les salariés, ces paroles diffusées sur Facebook relevaient de la protection de leur vie privée. Dans ces deux affaires, les salariés avaient conversé en ligne sur leur temps libre et par l’intermédiaire de leur ordinateur personnel. De plus, les propos échangés l’ont été de mur-à- mur, et les salariés avaient protégé leur profil Facebook afin qu’il ne puisse être lu que par leurs amis. Dès lors, il convient de se demander si les propos tenus par des salariés sur Facebook relèvent ou non de la vie privée ?

En la matière, il y a deux grands principes persistants. Le premier est que, l’employeur ne peut, sans méconnaître le respect dû à la vie privée du salarié , se fonder sur le contenu d’une correspondance privée pour sanctionner son destinataire . Les écrits diffusés sur Facebook relèvent assurément de la même protection. En effet, si le salarié respecte tous les paramètres de confidentialité, on peut aisément considérer que cela relève du domaine privé.

Le second se résume aux exceptions lorsqu’un échange privé devient public. C’est le cas lorsque les propos ne relèvent plus de la sphère privée, car ils sont diffusés. Le profil est alors ouvert à tous, il s’agit d’un lieu public, puisque n’importe quel internaute, et a fortiori l’employeur, peut accéder au profil du salarié et aux propos qu’il tient. C’est là le danger potentiel de Facebook, et des réseaux sociaux en général. Car toutes les informations personnelles des participants peuvent être utilisées et diffusées à leur insu par leurs contacts et leurs amis d’amis.

La règle qui s’applique est la même que pour un journaliste ou un blogeur : l’auteur du message est responsable des propos qu’il tient en public. Encore faut-il pour que cela devienne un motif de licenciement, que l’information ait – compte tenu des fonctions exercées par le salarié – porté atteinte aux intérêts légitimes de l’entreprise .

En France, les salariés bénéficient d’un droit de s’exprimer « sur le contenu, les conditions d’exercice et l’organisation de leur travail » . Cette liberté individuelle d’expression qui relève des libertés fondamentales impose, en principe, à l’employeur de ne prendre aucune sanction contre un salarié pour une cause tirée de sa vie privée. La Cour de cassation a d’ailleurs consacré cette liberté dans et en dehors de l’entreprise , sur Facebook par exemple. Le tout étant de ne pas tomber dans la caricature, la diffamation ou l’exagération. Or la frontière est parfois ténue.

B) …interceptés par l’employeur

L’interception des informations par l’employeur sur Facebook est-elle licite ?

Dans l’affaire jugée à Boulogne-Billancourt, l’employeur n’a pas pris connaissance des propos des salariés de façon frauduleuse, ces derniers lui avaient été transmis par l’un de leurs amis sur Facebook. Dans ce cas, le moyen de preuve de l’employeur est parfaitement recevable et les propos peuvent être invoqués aux prud’hommes.

Dans l’affaire de Périgueux citée précédemment, l’employeur n’avait pas indiqué de quelle manière il a eu connaissance de la conversation des salariées. C’est pourquoi l’avocat des salariées licenciées a porté plainte pour interception illicite de communication. Mais il y a-t-il réellement interception de communication ? Selon la loi, ce mécanisme consiste à l’écoute et à l’enregistrement de communications privées et de télécommunications, or ce n’est pas le cas sur Facebook. Le moyen de preuve utilisé par l’employeur peut en revanche être illicite si ce dernier a « cassé » des codes d’accès ou mots de passe pour accéder à la conversation.

Quelle est l’étendue de la marge de manœuvre de l’employeur ? La surveillance des salariés n’est pas encadrée par un texte spécifique en droit du travail. C’est la jurisprudence qui fixe les règles à respecter, en rappelant que l’employeur n’a pas le droit d’accéder aux correspondances privées des salariés sans leur autorisation.

Ceci étant, l’employeur de l’association SOS-Femmes aurait dû essayer de calmer le jeu. Et compte tenu du contexte, il ne semble pas être dans son droit. Affaire à suivre donc, car ce genre de jurisprudence peut être décisif pour de nombreux cas, y compris les nôtres.

La Cour de cassation dans un arrêt, rendu le 20 septembre 2020, avait considéré que, en vertu des dispositions des articles 6 et 8 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales et de l’article 9 du Code civil et de l’article 9 du code de procédure civile, que le droit à la preuve justifie la production en justice d’éléments extraits du compte privé Facebook d’un salarié portant atteinte à sa vie privée.  La seule condition étant que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi. Dans cette affaire, il s’agissait de la défense de l’intérêt légitime de l’employeur à la confidentialité de ses affaires. (3)

Pour lire une version plus complète de cet article sur Facebook et les salariés, cliquez ici

Sources :

La collecte automatisée de données : Crawling & Scraping

Aujourd’hui, il est indéniable que les nouvelles technologies prennent une place de plus en plus importante dans notre quotidien. Au regard de la production massive de données qui en découle, la question se pose de savoir comment encadrer leur collecte, notamment lorsqu’elle est automatisée.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Il est important de comprendre qu’internet est un outil qui fonctionne sur les données fournies par ses utilisateurs. L’émergence du « Big data » devait, nécessairement, s’accompagner d’outils de collecte automatisée de ces données. C’est notamment le cas des pratiques de « crawling » et de « scraping ».

Ces logiciels permettent en effet, dans un laps de temps très court, d’obtenir une quantité importante d’informations utiles pour une entreprise ou un particulier, à partir d’une liste de sites constituant le « champ d’action » du robot.

Néanmoins, ces pratiques demeurent encadrées. Elles doivent répondre à certains principes, et notamment à ceux liés à la protection des données collectées automatiquement.


 

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


Dès lors la propriété, la nécessité d’une autorisation préalable pour la collecte, ou encore les questions liées à la réutilisation de ces données sont des enjeux de taille qui dictent les limites de la légalité de ces outils de collecte automatisée.

Pour en saisir toute l’importance il convient donc de comprendre, dans un premier temps, les différents usages qui peuvent être faits de ces outils (I), pour ensuite envisager le cadre protecteur des données collectées automatiquement (II).

I. Les différents usages des crawlers et scrapers

La récolte des données à des fins d’information (A), tout comme l’indexation et la réutilisation de celles-ci (B), sont les objectifs visés par l’usage de ces outils numériques.

A) La récolte des données

En effet, le crawling est une pratique qui consiste à « collecter [automatiquement] le contenu d’une page pour ensuite la traiter, la classer et fournir des informations» ) au propriétaire du logiciel .

Le logiciel de scraping, lui, va « extraire du contenu d’un site Web dans le but de le transformer pour permettre son utilisation dans un autre contexte ».

Néanmoins, la récolte de ces données ne va pas fonctionner sur le même principe, que l’on soit dans le cas des crawlers ou dans celui des scrapers.

En effet, les crawlers vont fonctionner sur un principe de redirection : à partir d’une liste (« seed ») de sites prédéfinis par l’utilisateur du robot, le crawler va dans un premier temps se rendre sur ces pages et en récupérer l’intégralité du contenu. Par la suite, le logiciel va extraire l’ensemble des liens URLs présents sur les pages analysées, et suivre ces liens pour également analyser le contenu des pages référencées sous ces liens.

Le scraper, lui, va plutôt se baser sur un « patron » configuré au préalable, qui prend en compte la structure HTML de la base de donnée  analysée, afin de pouvoir extraire de manière pertinente les données et leur mise à disposition sur les pages consultées.

Les agences « 1 min 30 s » et « Centraledesmarchés.com » constituent des exemples illustrant : quand la première fait usage de crawlers pour analyser les « forces et faiblesses » de sites de marketing en ligne à travers l’analyse de leurs outils et pratiques, la seconde référence quotidiennement, depuis 2013, les appels d’offres publics d’une centaine de sites par le biais de scrapers.

B) L’indexation et la réutilisation des données

La traduction française du terme « crawler » s’intitule «Robot d’indexation ». Comme on l’a dit, tout l’intérêt de ce genre d’outil consiste en la récolte et l’analyse de données contenues sur des pages Web.

Ceci étant, des questions peuvent se poser au regard de l’exploitation des données récoltées par ce biais.

L’objectif principal de ces outils demeure celui de tirer des informations pratiques et concrètes de ces données : une fois récoltées, puis triées et structurées en fonction de leur pertinence et de ce que recherche l’auteur, elles permettront d’avoir une vision précise du contenu et des pratiques, pour l’usager, des pages analysées.

Mais, comme on l’a vu, ces données peuvent également être réexploitées dans un but bien précis : c’est l’exemple de la plateforme américaine Common Crawl, ayant pour objectif d’archiver le plus de pages Web possible, et de rendre disponible leur accès via le site de la fondation. On estime qu’aujourd’hui, la plateforme centralise environ 15 % du web mondial, grâce à l’usage de crawlers .

De plus, certains pourraient être tentés de réutiliser les données collectées, afin par exemple d’augmenter le trafic de leur propre site internet.

Ces pratiques posent plusieurs questions, au regard du droit rattaché à ces différentes utilisations du jeu de données récolté : des questions de droit de la concurrence, mais aussi et plus largement des questions liées au droit de la propriété intellectuelle et à la protection accordée à ces données et bases de données.

 

II. Les atteintes à la protection de ces données

La propriété intellectuelle et le droit d’auteur offrent un cadre légal protection aux données récoltées automatiquement (A). Ceci étant, le propriétaire de ces données pourra également chercher à se prémunir lui-même d’une telle collecte (B).

A) Le cadre imposé par le droit de la propriété intellectuelle et le droit d’auteur

Il faut savoir que ces pratiques sont encadrées par le droit, et notamment par la propriété intellectuelle, pour éviter tout type d’abus et notamment la contrefaçon.

Dans le cadre d’une indexation des données, en réalité, la contrefaçon ne sera généralement pas admise. En effet, même si l’indexation de données récoltées par l’usage de crawlers va permettre au réexploitant d’augmenter le nombre de visites de son site, l’indexation fait normalement référence aux sources citées et, de ce fait, n’entre pas en contradiction ni avec le droit d’auteur , ni avec le droit des bases de données.

C’est notamment ce qu’a pu retenir le Tribunal de grande instance de Paris, dans son arrêt « Adenclassified » du 1er février 2011 ayant débouté de sa demande une société dont les données ont été indexées, les faits ne constituant pas une violation du « droit sui generis du producteur de bases de données» .

À la lecture de cette décision, on comprend également que l’extraction de données par le biais de ces outils numériques dans la poursuite d’un objectif de réutilisation « de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données » est constitutive d’un acte de contrefaçon, comme le prévoient expressément les articles 342-1 et 342-2 du Code de la propriété intellectuelle.
La Cour d’appel vient condamner une société d’édition dans un arrêt du 31 juillet 2019 pour avoir mis en place un système informatique permettant l’exploration et le crawling sur des sites d’éditeurs concurrent. Ainsi, le service offert par la société consistant en la fourniture de recherches jurisprudentielles et d’indexation de commentaires juridiques était basé sur un système de crawling permettant à la société de proposer, à leurs abonnés, des contenus normalement destinés uniquement aux abonnés des sites concurrents.

La jurisprudence de 2011 fut également confirmée dans un arrêt récent rendu par la Cour d’appel de Paris,, le 2 février 2021. L’arrêt dispose que l’extraction et la réutilisation des données en l’espèce les annonces proposées par la société leboncoin.fr, constituait une violation du « droit sui generis du producteur de base de données », violant ainsi les articles 342-1 et 342-2 du Code de la Propriété intellectuelle.

Au demeurant, il n’existe pas de règles précises concernant l’établissement du caractère substantiel du contenu. Ainsi, la reconnaissance d’un tel critère se fera au cas par cas par le juge du litige en question, et il convient donc aux utilisateurs des extracteurs de mesurer l’exploitation qu’ils feront de ces données.

B) Les moyens de lutte contre ces outils

Il est souvent recommandé aux utilisateurs d’outils comme les crawlers et scrapers d’agir avec mesure et parcimonie : par exemple, ceux-ci ne devront pas surcharger les serveurs des sites visités par un nombre de requêtes trop important, au risque de causer un déni de service qui pourra facilement s’apparenter à un acte de concurrence déloyale.

En outre, certains propriétaires de sites peuvent vouloir se prémunir face à ces outils, refusant de voir leurs données récoltées « pillées » .

Quoi qu’il en soi, si la pratique n’est pas formellement bannie, les propriétaires de sites peuvent réagir. La Cour d’appel de Paris, dans son arrêt « SAIF c/Google » du 26 janvier 2011, soutenait effectivement que « chaque webmaster peut, via son fichier robot.txt, contrôler la manière dont les données de son site sont visitées par les crawlers, notamment en interdisant l’accès à certaines d’entre elles » .

L’action en contrefaçon, ouverte à la suite de la violation d’un droit privatif conféré par la protection du droit d’auteur, ainsi que l’action en concurrence déloyale, fondée sur la responsabilité délictuelle, sont deux procédures judiciaires de règlement des conflits liés à de telles pratiques. Mais, comme on l’a vu, le propriétaire de bases de données peut également se prémunir de ces pratiques que d’aucuns considèrent comme attentatoires. La légalité, tout comme la légitimité, du crawling et du scraping restent donc encore aujourd’hui discutables.
>Aux États-Unis, la problématique du crawling et du scraping existe également et des entreprises veulent lutter contre ces pratiques. La société Linkedin a notamment voulu lutter contre le scraping, elle s’opposait à la collecte massive et automatisée de données. Cependant, la juridiction américaine a refusé l’action de la société, dans sa décision du 9 septembre 2019. En effet, la juridiction considère que la société n’avait pas de droit à agir, vu qu’elle n’est pas propriétaire des données publiées par ses membres, de plus, les membres avaient déjà connaissance que leurs données allaient être accessibles à des tiers, vu qu’il s’agissait de l’objectif principal du site.

Pour lire une version plus complète de cet article, cliquer sur le mot crawling

SOURCES :

(1) http://firstmonday.org/article/view/1394/1312_2
(2) https://fr.oncrawl.com/seo-technique/introduction-crawler-web/
(3) https://www.c-radar.com/blog/2017/04/24/developper-votre-intelligence-commerciale-avec-le-crawling-et-le-scraping/
(4) https://fr.wikipedia.org/wiki/Robot_d%27indexation
(5) https://www.c-radar.com/blog/2017/04/24/developper-votre-intelligence-commerciale-avec-le-crawling-et-le-scraping/
(6) https://www.legalis.net/jurisprudences/tribunal-de-grande-instance-de-paris-3eme-chambre-1ere-section-jugement-du-01-fevrier-2011/
(7) https://fr.wikipedia.org/wiki/Web_scraping
(8) http://curia.europa.eu/juris/document/document.jsf?docid=145914&doclang=FR
(9) https://www.islean-consulting.fr/fr/transformation-digitale/scraping-pages-web-legal/
(10) https://www.legavox.fr/blog/maitre-matthieu-pacaud/extraction-indexation-donnees-crawlers-internet-22421.ht
Cour d’appel de Paris, 31 juillet 2019, n° 19/02352
Cour d’appel de Paris, 2 février 2021, n° 17/17688.
https://cdn.ca9.uscourts.gov/datastore/opinions/2019/09/09/17-16783.pdf

Quelle responsabilité pour l’administrateur d’un page Facebook quant aux données personnelles ?

Comme le rappelait le journal Le Monde dans un article du 11 septembre 2017, « un utilisateur de Facebook avec une connaissance moyenne des nouvelles technologies ne sait pas que ses données sont collectées, stockées et exploitées » . Mais quid de la responsabilité des administrateurs de pages Facebook ?

NOUVEAU : Utilisez nos services pour un problèmed de données personelles ou de contrefaçon en passant par le formulaire !

Face à la production croissante des données, il convient donc de réguler le plus strictement possible la collecte, l’exploitation, la réutilisation de celles-ci, d’autant plus quand la pratique se fait à l’insu de l’usager, et notamment au profit de l’administrateur d’une page Facebook.

C’est sur ce dernier point que porte l’affaire Wirtschaftsakademie, du nom de la société au cœur du litige, disposant d’une page Facebook par le biais de laquelle elle propose ses services et démarche de la clientèle sur la base d’outils statistiques mis à disposition par le réseau social.

L’enjeu, ici, est de savoir si le statut de responsable de traitement s’applique dans un tel cas de figure, c’est à dire au regard des données personnelles des « fans » de la page.

La Cour de justice de l’Union européenne (« CJUE »), qui n’a pas encore arrêté sa décision, devra prochainement assumer son rôle de « juge européen de la protection des données ».


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


Il convient donc de se pencher sur la définition du responsable de traitement tel qu’il est débattu ici (I), pour comprendre toute l’importance d’une telle décision au regard de la responsabilité des administrateurs de pages en matière de traitement de données à caractère personnel (II).

I. La définition du responsable de traitement au cœur de l’arrêt Wirtschaftsakademie

Les conclusions dégagées par l’avocat général sont d’autant plus importantes qu’elles réagissent au déroulement de l’affaire (A) en dégageant un principe de coresponsabilité des acteurs en présence (B).

A) Le fond de l’affaire

En l’espèce, il fut reproché au réseau social de collecter certaines données personnelles de ses utilisateurs à l’aide d’un tracker installé sur leur disque dur, sans leur consentement, et de transmettre ces informations à l’administrateur de la page Facebook d’une entreprise professionnelle.

Facebook Insight constitue en effet l’un de ces outils mis à disposition des responsables de pages Facebook, leur permettant d’obtenir certaines statistiques liées aux « fans » consultant leur page.

Ce sont ces motifs qui, de fait, poussèrent les autorités allemandes à ordonner la fermeture de la page en question.

Par suite, la société Wirtschaftsakademie forme alors une première réclamation, contestant de cette fermeture et de son statut de « responsable » du traitement et de la réutilisation de ces données  ; mais l’ULD rejette celle-ci par décision du 16 décembre 2011.

Après plusieurs renvois, la Cour administrative fédérale décide alors de surseoir à statuer et de poser à la Cour de justice de l’Union européenne des questions quant au partage de responsabilité litigieux.

À l’heure actuelle, seul l’avocat général s’est prononcé sur la question, le 24 octobre dernier, soutenant effectivement que « L’administrateur d’une page fan d’un réseau social tel que Facebook doit être considéré comme étant responsable » .

B) La reconnaissance d’une coresponsabilité

Sans lier les juges pour autant, l’avocat général souligne que l’affaire fait état d’un régime de coresponsabilité.

À cet égard, il rappelle notamment que l’entreprise est libre du choix d’utiliser ou non les outils statistiques que constituent Facebook insights et autres cookies. Dès lors, en bénéficiant délibérément du tracker, l’entreprise aurait « pris part à la détermination des finalités et des modalités du traitement des données à caractère personnel des visiteurs de sa page ».

De plus, l’avocat général soutient que l’entreprise dispose d’une certaine autonomie dans la gestion du tracker, pouvant filtrer les données à collecter ainsi que les personnes visées par la collecte collecte.

Autrement dit, le régime de coresponsabilité soulevé ici découle de cette volonté d’exploiter le logiciel litigieux : quand « l’une veut aiguiser son audience et son modèle d’affaires, l’autre veut gonfler ses publicités ciblées » .

C’est précisément sur ce point que les conclusions insistent, en indiquant que la responsabilité quant au traitement des données et l’usage qui peut en être fait tiens les deux parties en cause, qui « poursuivent chacune des finalités étroitement liées » .

D’ailleurs, l’avocat général soutient expressément qu’un contrôle total des données par le responsable du traitement n’est pas un critère nécessairement pertinent, car « susceptible d’entraîner de sérieuses lacunes en matière de protection des données à caractère personnel ».

 

II. Une décision importante au regard des textes applicables

Les conclusions apportées ici font état d’un régime de responsabilité « élargie » (A), en attendant l’établissement d’un cadre précis et définitif (B)

A) L’établissement d’une responsabilité large

Tant le contexte de cette affaire, son déroulement, mais aussi les conclusions de l’avocat général questionnent la définition propre au responsable de traitement.

La directive de 95/46, texte sur lequel s’appuient les différentes instances, affirme en son article 2 qu’un responsable de traitement est la « personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles » .

De cet article découle également le régime de coresponsabilité, tel qu’évoqué un peu plus tôt.

Ceci étant, l’avocat général effectue un parallèle avec la mise en place de « modules sociaux » (comprendre les boutons like, share, tweet, etc.) sur un site qui, de fait, engagerait aussi l’administrateur de la page en tant que responsable de traitement.

Pour rappel, cette tendance fait écho à la sanction infligée à Facebook par le régulateur espagnol des données personnelles, le 11 septembre dernier, pour la collecte de données sensibles des internautes visitant les pages dotées d’un tel module, sans leur consentement et à des fins de ciblage publicitaire.

Dans notre cas, l’avocat ne fait pas expressément référence à cette affaire, mais plutôt à celle encore pendante devant la CJUE dite « Fashion ID » (C-40/17) , qui relate cependant des mêmes faits.

Au regard de ces conclusions, la question qui se pose demeure celle de savoir si, par le biais d’une telle interprétation, la définition du responsable de traitement s’en trouve élargie, voire dénaturée.

B) Un compromis en l’attente d’un cadre définitif

L’intérêt d’une telle interprétation, de l’aveu même de l’avocat général, est d’éviter que l’entreprise puisse s’octroyer les services d’un tiers « pour se soustraire à ses obligations en matière de protection des données à caractère personnel ».

Néanmoins, ce dernier soutient que de l’exigence d’une coresponsabilité ne découle pas un régime de responsabilité égal.

À l’aube de l’entrée en vigueur du Règlement général sur la protection des données (« RGPD »), le 25 mai prochain, ce débat est plus que jamais pertinent. Il impose en effet de redéfinir les contours du responsable de traitement.

Ici, l’avocat général compare la situation à des faits qu’il juge lui-même similaires, se plaçant ainsi en « garde-fou » d’éventuelles dérives, tout en prônant une certaine « lucidité » quand il s’agit de quantifier la responsabilité de chacun des acteurs.

D’aucuns diront qu’une telle manœuvre est bénéfique, somme toute, à l’établissement d’une protection plus efficace des données personnelles  de l’internaute. C’est d’ailleurs, in fine, la volonté du texte à paraître.

D’autres argumenteront, assez ironiquement, « [qu’à force] de repousser les limites, on risque peut-être de voir un jour un arrêt de la Cour déclarant que les utilisateurs d’un réseau social sont eux-mêmes responsables de traitement ».

Quoi qu’il en soi, l’importance d’un tel arrêt est capitale, et la CJUE devrait en ce sens peser ses mots et faire apparaître une tendance claire, afin de clarifier une situation au cœur des enjeux du prochain grand texte européen en la matière.
Cet arrêt va permettre le développement d’une jurisprudence, en effet, dans un arrêt de la CJUE du 29 juillet 2019, portant sur une collecte de données personnelles, la Cour va confirmer le principe de responsabilité conjointe entre le réseau social et le gestionnaire d’un site internet.

En l’espèce, le site du gestionnaire disposait d’un bouton « J’aime » de Facebook, qui transférait les données personnelles de l’utilisateur du site au réseau social, ce traitement des données personnelles n’ayant pas été consenti préalablement par les utilisateurs. Cette pratique assez fréquente permet au gestionnaire du site de percevoir un bénéfice, vu que son site sera valorisé sur le réseau social, créant de la publicité pour ses produits ou services.

Dans sa décision, la CJUE retient comme dans l’arrêt Wirtschaftsakademie, une responsabilité conjointe du gestionnaire du site internet, malgré l’absence d’influence de ce dernier dans le traitement des données transmises au réseau social. Pour la CJUE toute personne qui perçoit un bénéfice de ce traitement des données personnelles peut être qualifiée de responsable de traitement des données personnelles et donc engager sa responsabilité.

Or, le gestionnaire du site était bien un bénéficiaire de ce traitement des données personnelles, de par la publicité obtenue en retour du transfert des données personnelles, il y a un avantage économique. Ainsi, comme le prévoit l’article 26 du RGPD, le gestionnaire du site engage sa responsabilité in solidum avec le réseau social.

Pour lire un article plus complet, cliquez sur responsable des bases de données sur Facebook

SOURCES :

(1)    http://www.lemonde.fr/pixels/article/2017/09/11/donnees-personnelles-facebook-condamne-en-espagne_5184060_4408996.html
(2)    http://curia.europa.eu/juris/document/document.jsf?docid=195902&doclang=FR
(3)    https://www.gesetze-im-internet.de/bdsg_1990/__11.html
(4)    https://www.nextinpact.com/news/105475-donnees-personnelles-responsabilite-dune-societe-face-a-sa-page-fan-sur-facebook.htm
(5)    https://www.lexology.com/library/detail.aspx?g=81f153ba-073b-48b5-9ba7-63588c0d5497
(6)    http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A31995L0046
(7)    https://www.doctrine.fr/d/CJUE/2017/CJUE62017CN0040
(8)    https://francoischarlet.ch/2017/administrateur-page-facebook-coresponsable-traitement/