L’analyse répond à un projet de loi canadienne concernant « l’accès légal » à des informations pour les services de sécurité nationale ou ceux de mise en vigueur de la loi. L’accès légal fait ici référence à l’absence de nécessité d’obtenir une autorisation judiciaire (un « mandat ») afin d’accéder à certaines informations comme le nom de la personne utilisant une adresse IP, par exemple.

Le dernier projet de cette loi concernerait directement les informations suivantes :

• le nom ;
• l’adresse ;
• le numéro de téléphone ;
• l’adresse e-mail ;
• l’adresse IP ;
• l’identifiant du fournisseur de services locaux.

L’argument avancé est que ces renseignements sont « de nature similaire à ceux contenus dans un annuaire téléphonique » et ne devraient donc pas nécessiter une autorisation spécifique pour être obtenus. Le Commissariat dément cette affirmation, après avoir testé quels sont les renseignements que tout un chacun peut obtenir en utilisant simplement un moteur de recherche ou des outils disponibles sur Internet.

Lorsqu’on est en possession d’un numéro de téléphone (fixe ou mobile), il est possible de découvrir entre autres :

• les noms et adresses associés à ce numéro ;
• l’activité publique sur Internet et les documents accessibles où figure ce numéro de téléphone ;
• le ou les noms de domaine associés à ce numéro (pour autant que ce soit public).

Dans le cas d’une adresse e-mail, on peut notamment connaitre :

• le nom réel du détenteur (s’il est contenu dans l’adresse elle-même ou s’il y est associé) ;
• l’inscription à des services sur Internet si l’adresse a été utilisée comme identifiant personnel (username) ;
• si un nom de domaine a été enregistré en utilisant cette adresse (et par ce biais, obtenir d’autres informations encore) ;
• l’activité publique sur Internet et les documents accessibles où figure l’adresse e-mail (y compris des e-mails qui auraient été indexés par les moteurs de recherche et qui contiendraient l’adresse e-mail recherchée) ;
• la liste des contacts sur les réseaux sociaux ;
• les noms d’anciens employeurs (dans le cas où l’adresse e-mail est affichée dans un CV publié sur Internet).

Enfin, grâce à l’adresse IP, on peut notamment recueillir :

• le propriétaire ou l’exploitant d’un réseau (au moyen d’une base de données WHOIS, afin de déterminer à quelle compagnie appartient l’adresse IP, sa localisation géographique approximative ainsi qu’éventuellement celle de la personne, etc.) ;
• la correspondance entre l’adresse IP et un nom de domaine ;
• le chemin logique vers un ordinateur au moyen d’un « traceroute » permettant de savoir par où transitent les paquets de données ;
• l’emplacement géographique (plus ou moins précis en fonction des outils utilisés), par exemple le pays, la province ou l’État, la ville, la latitude/longitude, l’indicatif régional du numéro de téléphone et une carte géographique ;
• les logs d’un serveur web, les révisions des pages Wikipédia, etc. ;
• des informations sur l’adresse e-mail en fonction de l’adresse IP utilisée.

Tous ces renseignements, relativement aisément glanés, permettent de savoir quels services Internet sont utilisés, les intérêts personnels et penchants de l’intéressé, son état de santé, ses affiliations à des organisations, les endroits fréquentés, les fréquentations, etc. Toutes ces informations sont des informations personnelles, parfois sensibles, qui révèlent bien plus d’éléments sur une personne qu’une simple entrée dans un annuaire téléphonique.

Dès lors, au vu de la quantité de données disponibles, l’analogie entre les données d’annuaire et un numéro de téléphone, une adresse e-mail ou une adresse IP n’est pas soutenable.

Cet article Ce qu’une adresse e-mail ou IP peut révéler sur vous est paru sur François Charlet.

La Belgique est un pays divisé, notamment politiquement et linguistiquement. Si ce fait est notoire et conduit à de graves dissensions au sein du pays et des autorités fédérales, il vient d’atteindre un nouveau sommet en terme d’absurdité, à tel point que c’en est presque hallucinant.

Dans le cadre d’une exposition de bandes dessinées – art dont la Belgique se considère comme le berceau – au parlement flamand, une planche du dessinateur belge François Schuiten a été choisie comme image de couverture pour le catalogue de cette exposition ainsi que pour les invitations.

Après l’impression de ces documents, on a constaté que le contenu du phylactère (la « bulle » par laquelle le personnage s’exprime) avait été effacé. Celui-ci contenait un texte… en français. Le président du parlement flamand Jan Peumans (N-VA, Nieuw-Vlaamse Alliantie, un parti de droite, libéral et conservateur) a obtenu de l’organisateur de l’exposition de supprimer le phylactère en français au motif que

nous ne pouvions tout de même pas laisser un texte en français au parlement flamand

et que

nous ne voulions pas (de cette planche), mais c’était trop tard pour changer. Le gouvernement flamand paie les commissaires de l’exposition 10.000 euros pour remplir leur rôle, est-ce trop demander de choisir une planche sans phylactère en français ?

Si l’auteur de la planche avait autorisé l’utilisation et la reproduction de sa planche, il n’avait cependant pas autorisé la modification de son œuvre. Car au-delà de ces problèmes politiques et linguistiques, il ne faut pas oublier que le droit d’auteur en Belgique est régi au niveau fédéral, comme en Suisse. Que cela plaise ou non aux principaux intéressés dans cette affaire, la loi du 30 juin 1994 relative au droit d’auteur et aux droits voisin dispose à son article premier que l’auteur

dispose du droit au respect de son oeuvre lui permettant de s’opposer à toute modification de celle-ci.

Ce droit est un droit moral de l’auteur (en opposition d’un droit patrimonial), au même titre que le droit de divulguer l’œuvre et d’en revendiquer la paternité.

Dès lors, non seulement le président du parlement flamand méprise le droit de l’auteur de la planche en modifiant celle-ci sans son autorisation, mais l’auteur pourrait porter l’affaire devant la justice belge.

Cet article Une mauvaise (mais réelle) blague belge est paru sur François Charlet.

La lettre se réfère à de nombreux articles publiés sur la question de Glass et de la vie privée. L’un d’eux semble avoir particulièrement retenu l’attention du groupe parlementaire : il y a deux mois, le Wall Street Journal estimait que ce n’était qu’une question de temps avant que le simple fait de regarder quelqu’un à travers ces lunettes permette d’obtenir, via la reconnaissance faciale, le lieu de résidence de la personne, son lieu de travail, son statut matrimonial, ses mensurations, ses hobbies.

Source : http://www.google.com/glass

Comme le groupe parlementaire a des doutes sur l’intention de Google d’intégrer des mécanismes de protection pour la vie privée dans ces lunettes, huit questions ont été adressées à Google. Sa réponse doit parvenir avant la mi-juin.

1. Google prévoit-il d’empêcher Glass de collecter des données à propos des utilisateurs et des non-utilisateurs sans leur consentement ?

2. Quelles mesures proactives Google prend-il pour protéger la vie privée des non-utilisateurs quand Glass est utilisé ? Si un utilisateur souhaite disposer de Glass (par exemple en le revendant), comment assurer que ses informations personnelles resteront privées et en sécurité ?

3. Est-il vrai que Glass possédera un système de reconnaissance faciale permettant de révéler à l’utilisateur des informations sur une personne, et aussi sur des objets inanimés ? L’utilisateur pourrait-il demander d’obtenir ces informations ? Un non-utilisateur pourrait-il décider de refuser la collecte de ces informations ?

4. En se basant sur la politique de confidentialité de Google, Google est autorisé à rejeter des demandes d’informations, notamment si cela met en danger la vie privée d’autrui. Dans ce cas, Google placera-t-il des limites dans Glass quant au type d’information qui pourrait être révélé sur une tierce personne ?

5. Au vu des capacités techniques et de traitement de Glass, Google a-t-il prévu de revoir ou d’ajuster sa politique de confidentialité ?

6. La politique de confidentialité expose que Google peut collecter des données relatives au matériel et au logiciel utilisé (ainsi que le numéro de téléphone et d’autres informations relatives au réseau mobile). Si de telles données concernant les utilisateurs de Glass seront collectées (via Glass), quelles seraient exactement ces données ? Google envisage-t-il de collecter des données à propos de l’utilisateur sans son consentement ?

7. La confidentialité et la vie privée sont-elles des composantes dans l’approbation des applications pour Glass ? Google pense-t-il en faire une priorité pour les développeurs de prochaines applications ?

8. Glass aura-t-il la possibilité de stocker des informations sur l’appareil lui-même ? Si oui, y aura-t-il un système d’identification ou autre afin de sécuriser les données stockées ?

Nul doute que les réponse à ces questions seront du plus grand intérêt.

Cet article Google doit donner des réponses au Congrès concernant Glass et la vie privée est paru sur François Charlet.

• Dans le souci de défendre les créateurs, la mission doit produire des conclusions sur les termes d’une lutte efficace contre les pratiques illégales, établie avec nos partenaires européens et qui tienne compte des attentes et des pratiques sociales.
• La régulation des flux financiers associés à la création implique aussi de définir les mécanismes qui garantiront un équilibre meilleur et éviteront la concentration progressive de la valeur créée par les échanges, du côté des opérateurs les plus puissants.
• La prise en compte des attentes des publics et la volonté d’offrir un accès du numérique au plus grand nombre supposent de faire des propositions sur le financement de la numérisation, sur l’adaptation de l’offre à la demande, sur les mécanismes de financement de la création, sur les modalités de gestion des droits…

Son rapport remis hier au gouvernement français a listé une série de recommandations (80 !) après une étude plutôt complète et sans aucun doute très complexe de l’exception culturelle (française), et aussi des enjeux auxquels toute l’industrie de la culture doit faire face, en particulier le numérique. Trois axes ont été définis pour ces huitante propositions : l’offre légale numérique et son accès par le public, la rémunération des créateurs ainsi que le financement de la création en général, et enfin l’adaptation et la défense du droit d’auteur dans l’univers numérique (ainsi que l’habituelle lutte contre le piratage).

Si ce rapport fait du bruit, ce n’est pas parce qu’il contient des propositions révolutionnaires (il n’y en a pas vraiment) mais parce qu’il était attendu. Tout comme la Suisse attend les conclusions de l’AGUR12.

Le rapport faisant presque cinq-cents pages, je me limiterai à vous décrire quelques propositions qui ont particulièrement retenu mon attention. Pour une liste des propositions, cliquez ici.

Les trois axes (très) résumés

Concernant le premier axe, le rapport propose d’aménager (ou plutôt de repenser) la chronologie des médias, la distribution des oeuvres, la façon dont le numérique est financé, et de réfléchir à des systèmes pour faciliter l’accès puis l’utilisation des biens culturels par les internautes.

Quant au financement de la création, le rapport commence par faire le constat que le numérique a considérablement changé les choses, notamment en créant un transfert de valeur important vers les sociétés actives dans la diffusion de contenus. Le partage des revenus doit être fait de telle sorte que les créateurs récupèrent ce qui leur est dû. Le rapport propose de soumettre les fabricants d’appareils connectés à l’obligation de participer au financement de la création au moyen d’une taxe de 1 % sur tous les terminaux permettant d’accéder à Internet.

La lutte contre le piratage doit enfin être tournée en direction des sites proposant des oeuvres contrefaites, et en utilisant notamment les intermédiaires techniques (FAI, hébergeurs, régies publicitaires, systèmes de paiement, etc.). La riposte graduée devrait être réaménagée, la sanction de la coupure d’accès à Internet supprimée, les aspects pédagogiques renforcés et le régime global des sanctions de la riposte graduée dépénalisé. Dans la foulée, le rapport propose de supprimer la HADOPI tout en conservant certaines de ses prérogatives en les confiant (ainsi que les nouvelles) à une autorité administrative existante. Il reviendrait au Conseil supérieur de l’audiovisuel d’hériter des compétences de ces compétences.

Quelques propositions plus en détails

Supprimer la suspension de l’accès à Internet n’est pas opportun et cette sanction est très compliquée à mettre en oeuvre. En effet, selon l’art. L335-7-1 du Code de la propriété intellectuelle, la suspension n’est pas censée avoir un impact sur l’abonnement, mais sur l’accès à un « service de communication au public en ligne ». Si cette peine devait être prononcée, un juge devrait donc suspendre l’accès à certains services d’Internet (comme le web, le FTP, etc.), mais sans toucher aux autres comme Facebook, les e-mails, la téléphonie ou la télévision numérique. Ainsi, le rapport propose de supprimer cette sanction, permettant donc de supprimer la nécessité de passer par un juge.

La proposition de la suppression de la HADOPI n’est pas vraiment surprenante en soi. Comme le souligne le rapport, les procédures seraient longues et couteuses si l’on abandonnait purement et simplement la riposte graduée sans la remplacer (on appelle cela le retour au droit commun).

Les ayants droit seraient contraints, pour faire valoir leurs droits, d’engager des procédures longues et complexes, liées à la nécessité d’imputer les faits de téléchargement ou de mise à disposition à la personne poursuivie. […] Une grande partie de ces procédures risquerait d’aboutir à un classement sans suite ou à une condamnation symbolique, compte tenu des réticences des parquets et des tribunaux à condamner les « pirates ordinaires » aux lourdes peines prévues par le code de la propriété intellectuelle.

D’autant que

les ayants droit disposent désormais d’outils de détection automatisée dont la mise en œuvre a été autorisée par la CNIL, et seraient en mesure d’adresser chaque jour des dizaines de milliers de signalements aux parquets. Les parquets devraient donc procéder à un tri délicat : comment distinguer, parmi des dizaines de milliers de signalements reçus quotidiennement, comprenant simplement le nom de l’oeuvre et l’adresse IP à partir de laquelle elle a été téléchargée, les actes justifiant l’enclenchement de poursuites pénales ? Par ailleurs, les parquets seraient conduits, pour identifier les abonnés à partir des adresses IP, à adresser des réquisitions aux FAI qui génèreraient des frais de justice élevés (8,50 € par identification).

Bref, le retour au droit commun n’est pas envisageable selon le rapport. Il faut donc alléger le système tout en conservant son côté dissuasif. Pour ce faire, le rapport propose d’inscrire dans la loi que la négligence caractérisée sanctionne une obligation de moyen (c’est-à-dire faire ce qu’on peut pour atteindre un objectif) et non pas une obligation de résultat (c’est-à-dire atteindre l’objectif quoi qu’il en coute).

L’autorité compétente devrait tenir compte des diligences mises en oeuvre par l’abonné pour éviter l’utilisation de son accès à Internet à des fins de téléchargement illicite. Ainsi, aucune sanction ne devrait être prononcée en cas d’utilisation frauduleuse par un tiers ou en cas de non-respect des consignes d’utilisation édictées par le titulaire de l’accès.

Un employeur mettant à disposition de ses employés une connexion à Internet après que ces derniers ont lu et accepté les conditions de cette mise à disposition (qui comprennent notamment l’interdiction de télécharger des oeuvres protégées) devrait donc être couvert et ne pas être tenu pour responsable des agissements de ses employés.

Malgré ces propositions de réforme, la mission Lescure ne souhaite pas instaurer un système automatisé d’amendes pour remplacer la riposte graduée, invoquant que l’individualité de la sanction (en fonction du comportement de l’internaute) ne serait plus considérée. Elle rejette aussi l’idée d’instaurer l’équivalent du système américain où la riposte graduée consiste grosso modo dans un accord entre les FAI et les ayants droit.

Toutefois, la mission suggère de remplacer la contravention par l’amende administrative. En effet,

cela éviterait le recours au tribunal de police (selon la procédure contradictoire ordinaire ou selon la procédure simplifiée de l’ordonnance pénale), ainsi que la convocation préalable de la personne poursuivie au commissariat. Cela empêcherait les ayants droit de se constituer partie civile afin de réclamer à la personne poursuivie des dommages-intérêts, en plus de l’amende. Cela permettrait aussi que la sanction prononcée ne soit pas inscrite au casier judiciaire de la personne sanctionnée.

Le rapport va cependant jusqu’à proposer des mesures qui vont à l’encontre de la neutralité des réseaux. Afin d’inciter les fournisseurs de service (plateformes vidéo, etc.) à agir de manière « vertueuse » – prendre des engagements volontaires pour l’exception culturelle, par exemple en participant au financement de la création ou en mettant en avant sur leur plateforme des artistes français  –, ces fournisseurs pourraient bénéficier d’une foule d’avantages, y compris « une priorité dans la gestion des débits ».

A voir maintenant comment l’Etat français va (ou non) traduire concrètement ces propositions.

Cet article Le rapport Lescure qui fait grand bruit en France est paru sur François Charlet.

Six critères sont évalués dans ce tableau :

• la société demande-t-elle un mandat quand on requiert qu’elle communique des informations sur un contenu ?
• la société informe-t-elle les usagers de ses services si le gouvernement a fait des demandes concernant leurs données personnelles ?
• un rapport de transparence est-il publié par la société ?
• des directives concernant l’application de la loi sont-elles publiées ?
• la société va-t-elle devant les tribunaux pour défendre les droits des usagers de ses services ?
• enfin, la société se bat-elle au Congrès des États-Unis pour défendre les droits des usagers de ses services ?

En cas de réponse positive à l’une de ces questions, une étoile a été attribuée. Plus une société récolte d’étoiles, plus sa politique en matière de vie privée et de protection des données est satisfaisante.

Les conclusions montrent que les deux entreprises qui obtiennent le meilleur score (6/6) sont Twitter et Sonic, un FAI californien. En 2012, Sonic obtenait déjà une note maximale (4/4) et Twitter y était presque aussi (3.5/4). En 2011, Sonic n’avait pas été évalué, contrairement à Twitter qui n’obtenait qu’un 2/4 global.

Viennent ensuite Dropbox, Google, LinkedIn, SpiderOak (un service de sauvegarde en ligne) avec une note de 5/6. Dropbox a fait de gros efforts en passant d’un score de 1/4 en 2011 à celui de 5/6 cette année, de même que Google (3/4 en 2011), LinkedIn (3/4 en 2012) et SpiderOak (2.5/4 en 2012). Toutefois, Google a régressé dans une catégorie : la société ne fournit plus d’informations aux usagers concernant les requêtes du gouvernement, alors qu’elle le faisait (plus ou moins) auparavant.

À l’inverse, aucune étoile n’a été décernée à Verizon (un opérateur majeur aux États-Unis), alors qu’Apple, AT&T (un FAI américain) et Yahoo ne font pas mieux avec une étoile. Verizon n’avait pas récolté d’étoile en 2011 et 2012. Apple, AT&T et Yahoo n’ont pas fait mieux : elles n’avaient aussi qu’une seule étoile en 2012 et 2011 (la même qu’en 2013). Leur politique n’a donc pas bougé d’un iota depuis trois ans.

Mention spéciale à Microsoft qui est passé d’une étoile en 2011 à quatre en 2013, publiant également cette année pour la première fois un rapport sur la transparence. Foursquare mérite aussi d’être mentionné, puisqu’il passe de zéro étoile en 2012 à quatre étoiles en 2013. Tumblr et WordPress n’étaient pas inclus dans les précédents rapports, mais font une bonne impression pour leur première intégration (3/6 et 4/6 respectivement).

L’EFF fait cependant remarquer qu’il reste beaucoup à améliorer. Par exemple, Amazon détient une quantité phénoménale d’informations du fait de son service de vente en ligne et son service de stockage cloud, mais n’informe pas ses clients en cas de demande d’accès à leurs données par le gouvernement. Et bien qu’Apple et AT&T soient membre du Digital Due Process, elles ne font pas d’autres efforts.

Cet article Quelles entreprises tentent de protéger vos données du gouvernement US ? est paru sur François Charlet.

The United States continues to have serious concerns regarding the inability of rights holders to secure legal redress in Switzerland in cases involving copyright piracy over the Internet.

L’USTR n’a cependant pas placé la Suisse parmi les pays jugés critiques, contrairement à d’autres services américains. Ce qui ne l’empêche pas d’appuyer sa critique.

Il y a deux mois, l’AGUR12 (Arbeitsgruppe zum Urheberrecht, Groupe de travail sur le droit d’auteur institué en 2012 par le Département fédéral de Justice et Police) n’avait toujours pas réussi à trancher la question de savoir « si la copie à usage privé à partir d’une source manifestement illégale doit demeurer licite ou comment il serait possible de l’éviter sans pour autant criminaliser les internautes ».

En France, les cas de condamnation d’internautes pour infraction au droit d’auteur se comptent encore sur les doigts d’une main plusieurs années après l’instauration de la HADOPI. On peut donc légitimement comprendre les doutes et réticences de l’AGUR12 sur la question de la criminalisation. Les conclusions du groupe de travail devraient être publiées en fin d’année.

Dans l’intervalle, le téléchargement à des fins privées d’oeuvres protégées par le droit d’auteur reste autorisé en Suisse. Leur mise à disposition constitue cependant une infraction pénale.

Cet article Les USA épinglent le « piratage » en Suisse est paru sur François Charlet.

La CNIL, Commission nationale de l’informatique et des libertés en France, entend contribuer à la réalisation et à la mise sur pied de ce droit oubli. Elle va également un peu plus loin en voulant instaurer comme composante du droit à l’oubli un droit au déréférencement (ou désindexation) des moteurs de recherche.

Isabelle Falque Pierrotin, Présidente de la CNIL, a déclaré sur France Info vouloir instaurer

un droit au déréférencement qui permettrait au citoyen que ses données personnelles n’apparaissent plus dans les résultats des moteurs de recherche lorsque le droit à l’effacement a été reconnu pour le citoyen.

Une difficile mise en oeuvre ?

Il est probable que les droits des citoyens se trouveront renforcés avec le droit à l’oubli, en particulier contre les moteurs de recherche. Toutefois, celui-ci devra être mis en balance avec la liberté de l’information et la liberté de la presse. Cela posera certainement quelques problèmes. Il est par ailleurs certain qu’un droit à l’oubli réduira également la transparence et l’accès à l’information.

Actuellement, les sites web des journaux et groupes de presse sont indexés par les moteurs de recherche, voire archivés pour plusieurs mois. Imaginez que vous deveniez célèbre pour une raison ou pour une autre (bonne ou mauvaise) et que vous désiriez exercer votre droit à l’oubli contre les moteurs de recherche. Devez-vous demander à ce que ces derniers procèdent à un nettoyage en profondeur, à ce qu’ils ne suppriment que ce qui répond à certains mots-clé ? Et que dire des sources des résultats des moteurs de recherche ? Les sites de journaux, les blogs, les publications des réseaux sociaux et Wikipedia pourront-ils aussi être sommés de prendre des mesures pour empêcher le référencement ? Et je ne mentionne pas les articles scientifiques ou historiques indexés : devraient-ils être déréférencés eux aussi ?

Source : http://www.iprotego.com

Ce que prévoit actuellement la réforme européenne

Dans un considérant 53 amendé, la réforme prévoirait ceci :

les personnes concernées devraient avoir le droit d’obtenir que leurs données soient effacées et ne soient plus traitées, lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été recueillies ou traitées, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu’elles s’opposent au traitement de données à caractère personnel les concernant ou encore, lorsque le traitement de leurs données à caractère personnel n’est pas conforme au présent règlement. Toutefois, la conservation des données devrait être autorisée lorsqu’elle est nécessaire à des fins statistiques ou de recherche historique ou scientifique, pour des motifs d’intérêt général dans le domaine de la santé publique, ou à l’exercice du droit à la liberté d’expression, si elle est requise par la loi ou s’il existe une raison de limiter le traitement des données au lieu de les effacer.

Le droit suisse actuel

Pour le moment, le droit suisse ne consacre pas de droit à l’oubli. L’art. 15 de la loi fédérale sur la protection des données personnelles (LPD) ne fait qu’imposer la destruction des données dans le cas d’une atteinte à la personnalité.

Le Tribunal fédéral a eu l’occasion, il y a longtemps, de se pencher sur le droit à l’oubli. C’était il y a plus de 15 ans (ATF 122 III 449, JT 1998 I 131 ; ATF 109 II 353, JT 1985 I 98 ; ATF 111 II 209, JT 1986 I 600). Qu’a-t-il dit ?

Dans le cas d’un tollé général et médiatique sur des crimes graves commis par un individu, le TF a déclaré que la place de cet individu dans l’histoire contemporaine justifie l’incursion jusque dans tréfonds de sa personnalité et de l’histoire de sa vie. Mais on ne peut pas en déduire que sa personnalité reste accessible au public dans même mesure pour tous les temps. Purger sa peine est une resocialisation qui exige que l’oubli (faisant partie du cours normal des choses) intervienne. C’est d’autant plus vrai quand la peine a été radiée [du casier judiciaire, ndr]. Le TF rappelle encore que la vérité ne permet pas toujours de diffuser des éléments constituant une atteinte à la personnalité. Il reconnait toutefois qu’il n’y a pas de droit à l’oubli au regard de la liberté de la presse, celle-ci étant toutefois limitée par l’art. 28 du Code civil suisse protégeant la personnalité.

La multiplicité des intérêts et la complexité de la réflexion rendent difficile l’élaboration de nouvelles solutions.

Et vous, qu’en pensez-vous ?

Cet article La CNIL souhaite un droit au déréférencement. Et vous ? est paru sur François Charlet.

En 2011, le service ReDigi a été lancé afin de proposer à des utilisateurs américains de racheter des fichiers musicaux à d’autres utilisateurs américains qui n’écoutaient plus ces morceaux. De la même manière qu’on revend une voiture d’occasion via un service sur Internet, ReDigi servait d’intermédiaire pour la revente de fichiers musicaux. ReDigi s’assurait que le fichier avait été « acquis » légalement (sur iTunes ou ReDigi, par ex. mais pas ceux extraits d’un CD) et que le vendeur n’en conservait pas une copie sur son ordinateur¹.

ReDigi estimait être couvert par la first sale doctrine, une règle juridique qui interdit à l’ayant droit (par ex. l’auteur d’une oeuvre) de percevoir de l’argent pour la revente ultérieure de son oeuvre. En d’autres termes, quand vous revendez votre Mazda, la société Mazda ne perçoit rien du prix de la revente, car il y a eu un transfert de propriété en votre faveur à l’origine : la voiture vous appartient et vous en faites ce que vous voulez. On applique le même concept au droit d’auteur.

Source : http://www.audiostream.com

En 2012, Capitol REcords, une filiale du groupe EMI, demande une injonction contre ReDigi mais essuie un rejet. La deuxième tentative a été la bonne. Le 30 mars 2013, la District Court du Southern District of New York a admis la plainte.

La first sale doctrine n’a pas été retenue. Premièrement parce que la reproduction du fichier (depuis l’ordinateur du vendeur sur l’ordinateur de l’acheteur) est illégale : le vendeur vend une copie du fichier d’origine qui est stockée sur les serveurs de ReDigi puis transférée sur l’ordinateur de l’acheteur ; dans ce cas, la reproduction du fichier est illégale, car non autorisée par l’ayant droit et le fair use serait ici inapplicable. De plus – et c’est l’argument principal –, la first sale doctrine serait inapplicable aux fichiers numériques et ne concernerait que les biens physiques. Ainsi, le seul moyen de revendre des fichiers numériques protégés par le droit d’auteur sans l’accord de l’ayant droit serait de vendre le support sur lequel ils se trouvent (disque dur, clé USB, etc.). Si l’ayant droit donne son accord préalable pour cette reproduction (pour laquelle il peut demander une compensation), la revente n’est pas interdite.

Pour rappel, il y a quelques jours, la Cour Suprême des États-Unis rendait une décision dans laquelle elle reconnaissait l’application de la first sale doctrine pour les livres achetés à l’étranger.

Et en Europe ?

La Cour de Justice de l’Union européenne avait décidé l’année passée que

le transfert par le titulaire du droit d’auteur d’une copie d’un programme d’ordinateur à un client, accompagné de la conclusion, entre ces mêmes parties, d’un contrat de licence d’utilisation, constitue une « première vente d’une copie d’un programme d’ordinateur ».

Ainsi, il n’est pas impossible que, par analogie (après tout, un logiciel apparait comme juridiquement similaire à un fichier musical), le jugement de la Cour soit aussi applicable aux fichiers musicaux en Europe. ReDigi souhaitant faire appel de la décision américaine et dans le même temps ouvrir son service aux Européens, nous devrions être fixés dans quelques mois.

1. Je ne me suis jamais servi de ce service, mais je pense qu’il ne doit pas être très compliqué de conserver une copie du fichier sur un disque externe avant de revendre « l’original ».

Cet article Les USA jugent illégale la revente de fichiers musicaux est paru sur François Charlet.

En résumé, la surveillance d’espaces extérieurs de bâtiments scolaires, même pendant les heures de cours – bien que cela puisse porter atteinte à la liberté personnelle, au droit au respect de la sphère privée, au droit d’être protégé contre l’emploi abusif de données personnelles et à la liberté de réunion – repose sur des bases légales suffisantes, répond à un intérêt public et est proportionnée au but visé puisque les élèves et enseignants ne sont filmés qu’à l’extérieur des bâtiments.

En 2005, le Conseil communal a donné son accord pour l’installation de plusieurs caméras suite à des violences, rackets, agressions et actes de vandalisme répétés à proximité ou sur le site du collège. Ces caméras fonctionnent en permanence et leurs images sont visibles également en permanence sur des écrans installés au poste de police de la commune. Les images ne peuvent être traitées (consultées, effacées, etc.) que par le Commandant de la police, et elles sont effacées après 48 heures.

Source : http://usahitman.com/

Suite à l’entrée en vigueur en 2007 de la loi cantonale sur la protection des données (LPrD), la commune a transmis au Préposé une demande d’autorisation pour les caméras, pour les raisons ci-dessus.

Le Préposé a estimé que le fait de filmer en permanence ne répond pas au principe de proportionnalité. Ne pouvant pas se baser sur une jurisprudence fédérale ou cantonale (Vaud), il s’inspire des décisions de la CNIL, en France, et de recommandations d’autorités allemandes de protection des données.

On constate une opposition fondamentale entre [la] mission [de l'école], qui vise à contribuer au développement de la personnalité des élèves, et l’instauration d’une surveillance permanente par le biais de moyens technologiques. L’utilisation de caméras de vidéo surveillance dans les écoles n’est à cet égard pas anodine et ne doit être admise que de manière restrictive. [L]es personnes concernées, élèves et enseignants principalement, n’ont pas d’autre choix que de se trouver dans le champ des caméras. [...] Le principe de proportionnalité commande par conséquent de ne pas filmer durant les heures de cours.

Un autre argument concerne les mesures de sécurité. Si le Commandant de police est le seul autorisé à traiter les données, les accès aux données ne sont pas journalisés.

Le Préposé a donc accepté d’autoriser ces caméras sous réserve qu’elles ne fonctionnent qu’en dehors des heures de cours et que les accès aux images soient journalisés (au moins manuellement). La commune a recouru contre cette décision, recours qui a été admis par le Tribunal cantonal.

Les restrictions aux droits énoncés ci-dessus doivent reposer sur une base légale, être justifiées par un intérêt public prépondérant (ou pour protéger un droit fondamental d’autrui) et respecter le principe de la proportionnalité (art. 36 Cst). Selon l’art. 22 LPrD, une base légale formelle peut autoriser un système de vidéosurveillance : en l’occurrence, cette ase légale se trouve à l’art. 45 du règlement de police de la commune. Dans un arrêt du Tribunal fédéral (ATF 120 Ia 147), la prévention et la répression d’infractions pénales sont des motifs qui peuvent justifier des restrictions aux libertés et constituent donc des intérêts publics. On en déduit donc que les exigences de la base légale et de l’intérêt public sont remplies.

Quant à la proportionnalité, le Tribunal a jugé qu’elle était respectée. Tout d’abord, les caméras auraient effectivement eu un effet positif en terme de prévention. Ensuite, la présence des élèves et enseignants n’est pas suffisante pour prévenir les infractions pendant la journée. De plus, on ne pourrait pas non plus remplacer les caméras par des agents de sécurité, car ce serait trop coûteux et ne garantirait pas nécessairement mieux la liberté personnelle des enseignants et élèves. Par ailleurs, l’effacement des données vidéo après 48 heures atténue l’atteinte à la liberté personnelle et à la sphère privée. Enfin, comme les élèves et enseignants ne sont filmés qu’à l’extérieur des bâtiments, on ne peut pas soutenir que la mission de l’école s’en trouve compromise.

En conclusion, la décision du Préposé est réformée et le commune est autorisée à filmer l’extérieur des bâtiments pendant les heures régulières de cours.

Cet article La vidéosurveillance dans une école autorisée dans le canton de Vaud est paru sur François Charlet.

Je ferai mon possible pour suivre et commenter l’actualité juridique suisse et internationale depuis la Belgique, comme je l’ai fait jusqu’à maintenant depuis la Suisse, en sélectionnant des sujets précis en relation avec les thèmes que j’ai déjà abordés ici, à savoir la protection des données, les droits de la personnalité, le droit pénal, et le droit d’auteur notamment.

A bientôt et merci pour votre fidélité !

La Grande Place de Bruxelles
Source : http://diplomatie.belgium.be

Cet article Stage à Bruxelles est paru sur François Charlet.

La first sale doctrine

Cette doctrine américaine permet aux propriétaires d’exemplaires d’une oeuvre protégée par le droit d’auteur d’en disposer sans l’autorisation de l’ayant droit (par exemple, en les vendant ou en les donnant).

En Suisse (et dans d’autres pays, notamment européens), ce concept est connu comme l’épuisement des droits. Il figure à l’article 12 de la loi fédérale sur le droit d’auteur et les droits voisins (LDA) qui stipule que

Les exemplaires de l’oeuvre qui ont été aliénés par l’auteur ou avec son consentement peuvent l’être à nouveau ou, de quelque autre manière, être mis en circulation.

Le cas soumis à la Cour Suprême

John Wiley & Sons est un éditeur d’ouvrages académiques. Les auteurs des dits ouvrages lui concèdent des licences nationales et internationales pour leur vente. Les ouvrages en langue anglaise destinés à l’étranger sont confectionnés, publiés et vendus par la société John Wiley & Sons (Asia) qui est la propriété de John Wiley & Sons. Les ouvrages contiennent une notice indiquant qu’ils ne peuvent être vendus que dans certains pays.

Un étudiant thaïlandais de l’Université Cornell a demandé à ses proches de lui acheter en Thaïlande puis de lui envoyer par poste les éditions étrangères des livres, puisqu’ils y sont meilleur marché qu’aux Etats-Unis. Le but de l’opération était de les revendre aux Etats-Unis moins chers que les éditions locales, lui permettant de rembourser ses proches et de réaliser un bénéfice.

John Wiley & Sons assignera l’étudiant en justice, lui reprochant une violation de son droit exclusif à la distribution (17 USC § 106) et une autre relative à l’interdiction des importations (17 USC § 602). L’étudiant a répondu que les ouvrages avaient été légalement confectionnés et acquis, et que la first sale doctrine (17 USC § 109) lui permettait de disposer de ces ouvrages sans autorisation des ayants droit.

Les deux juridictions précédant la Cour Suprême étaient d’avis que l’étudiant ne pouvait pas se prévaloir de la first sale doctrine car elle ne s’appliquerait pas aux biens confectionnés à l’étranger, même avec l’autorisation des ayants droit.

Source : http://wikipedia.org

La décision de la Cour Suprême

La Cour a rappelé que si les ayants droit jouissent d’un certain nombre de droits exclusifs, ceux-ci souffrent de plusieurs limitations, dont la first sale doctrine. Et bien que l’importation aux Etats-Unis d’exemplaires d’oeuvres protégées soit interdite sans l’accord des ayants droit puisque cela viole leur droit de distribution (17 USC § 602), celui-ci est directement concerné par la first sale doctrine (17 USC § 106 auquel fait expressément référence la disposition ci-dessus).

La Cour Suprême se réfère ensuite à une décision de 1998 (Quality King Distributors Inc., v. L’anza Research International Inc., 523 U.S. 135) qui, bien que similaire, se différencie de l’affaire John Wiley & Sons sur un point : les ouvrages étaient confectionnés aux Etats-Unis. Dans Quality King, la Cour Suprême avait considéré que la référence de 17 USC § 602 à 17 USC § 106 incluait aussi les limitations suivant cette disposition, y compris donc 17 USC § 109 qui consacre la first sale doctrine.

La Cour Suprême insiste sur le fait que la différence mentionnée ci-dessus entre les deux affaires est importante, car 17 USC § 109 dit que la first sale doctrine s’applique à l’exemplaire ou à l’enregistrement légalement confectionné selon le titre 17 USC. Il faut donc se demander si cela fait une différence juridique. John Wiley & Sons a argumenté sur l’aspect géographique, insistant sur le fait que la disposition ne s’applique qu’aux oeuvres confectionnées sur sol américain. L’étudiant s’est au contraire défendu d’une telle lecture, suggérant que la first sale doctrine s’applique à tous les biens légalement confectionnés (donc à l’exclusion des produits contrefaits).

La Cour Suprême a décidé que la first sale doctrine s’appliquait à tout propriétaire légitime d’un exemplaire d’une oeuvre légalement confectionnée aux Etats-Unis ou à l’étranger, confirmant que l’autorisation de l’ayant droit n’est pas nécessaire pour importer aux Etats-Unis puis disposer d’un exemplaire acheté à l’étranger.

Commentaire

Cette décision est un soulagement pour les consommateurs. En imaginant que la Cour ait donné raison à John Wiley & Sons, les biens confectionnés hors des Etats-Unis n’auraient plus pu bénéficier de la first sale doctrine. Les librairies et autres (re)vendeurs d’exemplaires d’oeuvres n’auraient plus pu s’approvisionner à l’étranger sans l’autorisation des ayants droit. Les musées et les sociétés actives dans les technologies auraient aussi été touchés. On peut même penser que cela aurait empêché la vente de voitures d’occasion à cause des logiciels utilisés et présents dans les voitures actuelles.

Est-ce que le jugement s’applique aussi aux licences de copies numériques d’oeuvres protégées ? Que faire de nos « vieux » e-books ou fichiers musicaux dont on ne veut plus, mais pour lesquels nous avons une licence ? De manière générale, comme ces exemplaires ne sont pas vendus mais seulement licenciés, la réponse des éditeurs est clairement « non ». Toutefois, cela pourrait changer, Apple (et d’autres sociétés) ayant déjà déposé des brevets sur des systèmes permettant le transfert de fichiers d’occasion.

Le transfert pourrait être réalisé sur la plateforme où le contenu […] a été téléchargé pour la première fois, par exemple une section « occasion » sur l’App Store, ou directement entre les deux personnes. Dans le cas où les deux utilisateurs marchandent directement entre eux, les terminaux de ceux-ci s’occupent de la validité de la vente (l’ayant droit pourrait fixer une échéance pour la revente du contenu) et sa répartition (un pourcentage pourrait revenir au premier possesseur du fichier ainsi qu’à l’ayant droit). Le vendeur n’a ensuite plus accès au fichier cédé et toutes les copies sont effacées. (Source : iGen.fr)

On peut se demander comment les ayants droit réagiront face à de tels systèmes, eux qui, dans le domaine musical, sont déjà farouchement opposés à ReDigi… Néanmoins, le futur ne s’annonce pas forcément si obscur, avec des poids lourds des technologies comme Apple et Amazon qui envisagent de mettre sur pieds ces marchés numériques d’occasion.

D’ailleurs, un premier pas a déjà été franchi dans ce sens en Europe, avec la décision UsedSoft de la Cour de Justice de l’Union européenne, que j’avais évoquée dans l’affaire Bruce Willis.

Wait and see…

Cet article Confirmation de la légalité de la revente d’oeuvres protégées aux USA est paru sur François Charlet.

La méthodologie utilisée est la suivante : les données relatives au trafic Internet de 25’000 européens sont récoltées grâce au programme Nielsen NetView (du service Nielsen Online qui permet de mesurer l’audience). Pendant l’année 2011, les clics de ces internautes ont été analysés. Les internautes étaient répartis à parts égales entre la Grande-Bretagne, l’Allemagne, la France, l’Italie et l’Espagne. Les données récoltées étaient notamment constituées de l’URL visitée, l’heure et la durée de la visite. Après élimination des internautes qui n’allaient pas sur des sites où on trouvait de la musique, restaient environ 19’000 personnes. L’institut a alors dégagé près de 800 sites où l’on peut consommer de la musique (légalement ou non) et qui ont été au moins visités 300 fois. Les autres sites n’ont pas été pris en considération. Puis, il a établi des statistiques entre les visites sur des sites illégaux, les sites de streaming légal et les autres sites commerciaux (légaux également).

Des résultats à relativiser

Le biais qui saute aux yeux à la lecture de cette étude, c’est que les internautes « surveillées » savent que leur trafic est analysé. Ils ont consenti à cette collecte de données à des fins statistiques et cela peut engendrer un certain biais : sachant qu’on est surveillé, même de façon anonyme, il n’est pas impossible que certains internautes fassent attention aux sites qu’ils visitent et utiliseraient un autre ordinateur ou une autre connexion pour leurs activités… inavouables.

De plus, l’effet positif annoncé est minime. En effet, pour 10 % d’augmentation des clics sur les sites de téléchargement illégaux, l’augmentation des clics sur les sites légaux n’est que de 0.2 %. Autrement dit, selon l’institut, les clics sur les sites légaux auraient été 2 % moins élevés sans les sites illégaux. Les données suggèreraient que la majorité de la musique consommée illégalement n’aurait pas été achetée si le téléchargement illégal n’existait pas.

Enfin, on ne peut pas vraiment affirmer que le piratage est bénéfique aux ventes de musique, précisément car les sites de streaming légaux ont un effet positif plus fort que les sites illégaux. En effet, 10 % de clics en plus sur les sites de streaming légaux amèneraient 0.7 % de clics en plus sur les sites où l’on peut acheter de la musique.

Et l’institut de conclure :

[...] Les revenus de la musique en ligne pour les labels sont en constante progression, ce qui reflète l’importance grandissante de la musique digitale dans l’industrie. Vue sous cet angle, l’étude suggère que le piratage ne devrait pas être vu comme un sujet d’inquiétude croissante pour les ayants droit dans l’ère numérique. [...]

J’en connais qui ne seront pas d’accord avec cette conclusion.

Cet article Le piratage n’aurait pas d’effet négatif selon une étude commandée par l’Union européenne est paru sur François Charlet.

Présentation

Et j’ai trouvé une extension pour navigateur web : Ghostery. Il appartient et a été développé par Evidon, une société dont le but est d’améliorer la transparence dans la publicité en ligne en fournissant aux consommateurs dans ce but. Mais Evidon propose aussi des outils aux sociétés pour rendre plus transparentes leur gestion des publicités et leur politique de confidentialité. On pourrait penser que Ghostery envoie des données à Evidon, mais je ne pense pas que cela soit le cas : en deux mois, les seules requêtes vers leurs serveurs sont celles des mises à jour de la base de données de Ghostery.

Ce plug-in fonctionne avec Internet Explorer, Opera, Firefox, Safari, et Google Chrome. Il permet à l’utilisateur de détecter et de bloquer dans les pages web des éléments invisibles qui permettent de collecter puis de transmettre des données sur vos habitudes de navigation. Il permet aussi de bloquer les éléments qui traquent les déplacements des internautes, les widgets des sites sociaux (Facebook, Twitter, AddThis, Google+, etc.) et les systèmes de mesure d’audience (Google Analytics, Piwik, QuantServe, etc.).

Les données collectées comprennent généralement (mais pas toujours) l’historique de recherche, les informations sur votre navigateur, la date et l’heure, des données démographiques, le matériel et les logiciels utilisés, les pages consultées, les données contenues dans les cookies, votre adresse IP, des données de localisation, etc. Ces données sont en général anonymisées, mais l’adresse IP n’est que pseudonymisée ce qui permet de vous identifier très facilement.

Utilisation

Une fois le plug-in installé, il vous proposera de bloquer les différents éléments ci-dessus. Vous pouvez le faire en bloc (par catégorie) ou individuellement. J’ai opté pour la première option, quitte à débloquer des éléments au fur et à mesure, si nécessaire. (Notez que contrairement à l’image ci-dessous, tout est bloqué chez moi. C’est pour cet article que j’ai décoché une case, pour les autres illustrations.)

Il est également important d’activer la mise à jour automatique de la base de données de Ghostery, afin qu’il prenne en compte (et bloque, le cas échéant) les nouveaux éléments.

Si vous le désirez, vous pouvez activer l’option GhostRank qui permet à Evidon de récolter des données statistiques de manière anonyme.

Exemples

L’exemple est le meilleur moyen de se convaincre de l’utilité de ce plug-in. Une fois Ghostery activé et configuré comme sur l’image ci-dessus, il m’affiche un popup violet en haut à droite de mon navigateur pour m’indiquer tous les éléments qu’il a trouvés et bloqués.

Dans le cas d’Eurosport.fr, le constat est sans appel : onze éléments trouvés rien que sur la page d’accueil, dont cinq widgets pour réseaux sociaux.

Les éléments barrés sont bloqués, les autres autorisés. En cliquant sur l’icône de Ghostery dans le navigateur, on peut obtenir le détail des éléments bloqués.

On peut aussi obtenir des informations supplémentaires comme les données collectées, la société qui les collecte, etc. en cliquant sur « more info ».

Essayons d’autres sites : Gizmodo.com, NZZ.ch, Economist.com, 20min.ch, RTS.ch et Meteosuisse.ch.

La conclusion s’impose d’elle-même : où que nous allions, nous sommes suivis. Si ce sentiment vous dérange, Ghostery est fait pour vous. En espérant qu’il fasse bien ce pourquoi il est fait. En tout cas, les pubs Google ou sur Facebook sont devenues assez aléatoires depuis que j’utilise Ghostery. Les pubs Google n’affichent plus des liens vers des sociétés vendant des produits pour lesquels j’aurais fait une recherche sur un site comme eBay (où l’on retrouve le tracker Doubleclick de Google).

Rappel : mon site utilise Piwik, un logiciel libre et opensource de suivi afin de récolter des statistiques. Vos adresses IP complètes ne sont pas enregistrées ; de plus, elles sont anonymisées. Si vous ne voulez pas être suivi(e) quand vous naviguez sur mon site, cliquez dans la case au bas de cette page. Mon site respecte également votre choix de ne pas être suivi si vous avez activé la fonction « Do not track«  dans votre navigateur.

Cet article Ghostery, un plug-in qui empêche d’être suivi à la trace sur le web est paru sur François Charlet.

Qu’on aime ou pas, ce système va donc permettre d’envoyer des SMS, de prendre des photos, vidéos, enregistrements audio, de consulter des informations sur l’objet qu’on regarde, de partager les données enregistrées, etc. Un système déjà imaginé depuis longtemps par le cinéma de science-fiction est en train d’être réalisé et sera prochainement commercialisé. Mais il pose des problèmes quant à la vie privée.

Source : http://www.google.com/glass

Aujourd’hui, quand une personne entre dans un lieu « public » (par exemple un restaurant, un magasin) avec une caméra au poing, on la remarque et on comprend instantanément son intention de filmer. On peut s’opposer à la prise d’images, on peut aussi (essayer de) se cacher pour ne pas apparaitre sur l’enregistrement.

Avec Google Glass, l’appareil est tellement discret – puisqu’il s’apparente à des lunettes – qu’il passe très facilement inaperçu. Et comment distinguer l’appareil qui enregistre de celui qui est inactif ? Comment savoir si l’on est filmé ou pris en photo, et ensuite comment savoir si la vidéo ou photo en question n’est pas instantanément partagée avec un tiers, voire publiée sur Internet à la vue de tous, violant nos droits de la personnalité ? Et que dire de la possibilité d’identifier nos connaissances alors qu’elles sont de dos, et non pas de face ? En fin de compte, il risque d’y avoir un certain malaise à discuter avec une personne qui porte ce dispositif, sans savoir si vous êtes enregistré ou non.

D’autant plus (mais est-il nécessaire de le rappeler) que cet appareil sera commercialisé par Google, la société américaine qui, comme Facebook par exemple, repousse le plus les limites de la sphère privée, quand elle ne les pulvérise pas littéralement (on se souvient notamment de l’épisode Google Buzz où un contact d’une personne sur ce réseau pouvait consulter toute sa liste d’amis ainsi que leurs adresses e-mail, mais aussi de celui concernant Streetview et la collecte de données relatives aux réseaux WiFi et aux données qui y transitaient). Cela dit, nous vivons déjà dans un monde où la frontière entre ce qui est public et ce qui est privé est de plus en plus trouble.

Évidemment, nos smartphones sont de véritables mines d’or d’informations à notre sujet. Mais Google sait déjà où nous sommes (Google Maps), avec qui nous correspondons (GMail), ce que nous voulons (Google Search), ou plus simplement, qui nous sommes. Ce n’est pas assez, apparemment. Maintenant Google veut savoir ce que nous regardons. Il reste à espérer que Google Glass ne soit pas activé et ne filme pas en permanence, ou ne puisse pas être activé à distance par Google. Quoi qu’il en soit, l’intérêt n’est pas difficile à imaginer : vous allez au supermarché ou faire du shopping l’après-midi, et le soir toutes les publicités de Google qui s’afficheront sur Internet seront adaptées en fonction des paquets de biscuits que vous avez regardés plus longtemps ou des habits que vous avez essayés.

Bien que j’admire l’avance technologique que Google Glass représente, ce système sera un véritable chalenge pour la protection de la sphère privée qui est très malmenée depuis quelques années.

Pour conclure, je citerai les propos de David Yee au quotidien britannique The Guardian, en réponse à l’affirmation sur le fait que nous avons l’habitude d’être filmés ou pris en photo :

Il n’y aura pas 5000 caméras en ville, mais 5 millions [de porteurs de Google Glass, ndr], et il n’y aura pas 5000 observateurs, mais un seul [Google, ndr].

Cet article Google Glass, une menace sérieuse pour notre vie privée est paru sur François Charlet.

L’affaire oppose TCCatchup Ltd, une société britannique qui offre un service de diffusion en direct sur Internet d’émissions télévisées, à plusieurs radiodiffuseurs britanniques qui se plaignent d’une violation de leurs droits d’auteur. TVCatchup Ltd s’assure que ses utilisateurs sont titulaires d’une licence de télévision au Royaume-Uni (l’équivalent britannique de la redevance de réception perçue par Billag en Suisse) et restreint son service au Royaume-Uni. La High Court of Justice a été chargée de l’affaire et a demandé à la CJUE de définir le sens du terme « communication au public » de l’art. 3 du paragraphe 1 de la Directive 2001/29/CE.

Source : http://www.apkieffer-omnitec.lu

Voici des extraits de sa réponse :

[...] Il découle, en particulier, du considérant 23 de la directive 2001/29 que le droit d’auteur de communication au public couvre toute transmission ou retransmission d’une œuvre au public non présent au lieu d’origine de la communication, par fil ou sans fil, y compris la radiodiffusion.

Il s’ensuit que le législateur de l’Union, en régissant les situations dans lesquelles une œuvre donnée fait l’objet d’utilisations multiples, a entendu que chaque transmission ou retransmission d’une œuvre qui utilise un mode technique spécifique doit être, en principe, individuellement autorisée par l’auteur de l’œuvre en cause.

Étant donné qu’une mise à disposition des œuvres par le biais de la retransmission sur Internet d’une radiodiffusion télévisuelle terrestre se fait suivant un mode technique spécifique qui est différent de celui de la communication d’origine, elle doit être considérée comme une «communication» au sens de l’article 3, paragraphe 1, de la directive 2001/29.

[...] La notion de public (…) vise un nombre indéterminé de destinataires potentiels et implique, par ailleurs, un nombre de personnes assez important. [...]

En ce qui concerne plus particulièrement ce dernier critère, il convient de tenir compte de l’effet cumulatif qui résulte de la mise à disposition des œuvres auprès des destinataires potentiels. À cet égard, il est notamment pertinent de savoir combien de personnes ont accès à la même œuvre parallèlement et successivement.

[...] Il convient de constater que, par la retransmission en question, les œuvres protégées sont effectivement communiquées à un « public » au sens de l’article 3, paragraphe 1, de la directive 2001/29.

Dès lors, un radiodiffuseur a le droit d’interdire la retransmission sur Internet de ses émissions par un tiers.

Cet article Un radiodiffuseur peut interdire la retransmission de son émission par une autre société via Internet est paru sur François Charlet.

Selon le Message du Conseil fédéral pour la révision de la LSCPT, le but premier est de « surveiller non pas plus, mais mieux ».

Il s’agit en premier lieu de permettre la surveillance de personnes fortement soupçonnées d’avoir commis une infraction grave. Par contre, il n’y a aucun motif de permettre la surveillance de citoyens en l’absence d’un soupçon ou des surveillances préventives. En dehors de procédures pénales, la surveillance n’est autorisée que dans les cas de recherche de personnes disparues ou condamnées.

La révision propose d’étendre le champ d’application personnel (à savoir, qui a des obligations issues de la LSCPT), précisément parce que la LSCPT actuelle ne ratisse pas assez large. Ainsi, les Ministères publics pourront obtenir les données détenues par les exploitants de réseaux de télécommunication internes (intranet) et les personnes qui laissent leur accès à un réseau public de télécommunication à la disposition de tiers (p.ex. hôtels ou cybercafés). Les obligations de ces catégories de personnes sont détaillées aux articles 26 et suivants du projet de LSCPT révisée. En sus de cette augmentation du champ d’application personnel, le Conseil fédéral a maintenu le financement des équipements par les personnes soumises à la LSCPT, mais elles recevront une indemnité équitable en contrepartie.

D’ailleurs, le Conseil fédéral rappelle que le principe de la territorialité des lois limite l’application du droit suisse. Par exemple, dans le cas où une personne qu’un Ministère public souhaite surveiller utilise la messagerie de Google (dont le siège est en Californie, ainsi que les données informatiques), seule la voie de l’entraide judiciaire est ouverte. Le Ministère public ne pourra pas contraindre Google à procéder à une surveillance d’un compte e-mail.

Les art. 31 à 34 du projet de LSCPT révisée contiennent des règles visant à garantir le bon fonctionnement de la surveillance, imposant notamment aux fournisseurs de services de télécommunication d’être en tout temps en mesure, selon le droit applicable, de fournir des renseignements.

Source : http://usahitman.com/

La LSCPT révisée contiendrait également, aux art. 35 et suivants, des dispositions pour la surveillance en dehors d’une procédure pénale, uniquement dans le cas où une personne disparue ou condamnée est recherchée. La surveillance doit cependant être  »subsidiaire aux autres mesures qui peuvent être entreprises pour trouver la personne recherchée ». Il faudrait donc s’attendre à ce que les télécommunications de tiers soient surveillées dans ce but, en plus de celles de la personne recherchée.

Le projet prévoit aussi le recours à des GovWares ou Governement Softwares. Ce sont des logiciels espions utilisés pour surveiller des communications cryptées. Ils avaient été utilisés sur la base de l’actuel CPP, ce qui avait conduit à de vives critiques, certains estimant que le CPP ne permettait pas un tel procédé. Afin de s’assurer de sa légalité, le Conseil fédéral propose d’édicter une base légale spécifique à aux GovWares. Le GovWare est introduit dans un système informatique dans le but d’intercepter les communications à l’insu du détenteur du système informatique visé. Évidemment, dans un tel cas, la collaboration d’un fournisseur de services de télécommunication n’est pas requise. Le ministère public aurait donc la possibilité « d’ordonner, dans une procédure pénale – et non à titre préventif –, à des conditions strictes (dont l’autorisation par le tribunal des mesures de contrainte) », l’utilisation des GovWares. De plus,

La perquisition en ligne au moyen d’un GovWare d’un système informatique, laquelle permet d’accéder à toutes les données personnelles (p.ex. documents, photos), est interdite. Il est également exclu de recourir à un GovWare pour utiliser la caméra ou le micro d’un ordinateur dans un autre but que la surveillance de la correspondance par télécommunication, par exemple pour surveiller une pièce.

Et le gouvernement de rassurer : la liste des infractions pénales permettant de recourir à ces logiciels sera plus restreinte que celle autorisant la mise en œuvre des autres mesures de surveillance. En outre, le communiqué de presse contient le paragraphe suivant :

Différentes dispositions garantiront, à l’avenir également, le respect des droits fondamentaux des personnes concernées : les autorités ne pourront pas effectuer des surveillances à titre préventif, mais uniquement dans le cadre d’une procédure pénale ; la mesure devra être ordonnée par le ministère public et autorisée par le tribunal des mesures de contrainte compétent. Les informations récoltées de manière illicite ne pourront pas être utilisées comme preuves. Enfin, la personne concernée pourra faire recours contre la surveillance.

Cet article Procédure pénale : la Suisse veut se doter de GovWares pour la surveillance des télécommunications est paru sur François Charlet.

Au Canada

L’affaire se déroule dans la ville de Calgary, durant l’été 2011. Une nuit, un homme se fait arrêter au volant de sa voiture par la police. Celle-ci, soupçonnant que le taux d’alcoolémie dépassait la limite légale, a procédé à un test qui a démontré que le taux d’alcool était trop élevé. L’homme, désormais prévenu, a lu ses droits, attesté les avoir compris, et a ensuite été amené au poste de police. On lui a ensuite donné la possibilité d’utiliser un téléphone, sans surveillance, et après avoir fourni les numéros d’usage ainsi qu’un bottin (Pages blanches et Pages jaunes). Estimant ne pas avoir été satisfait par l’appel téléphonique (son correspondant était désagréable, n’a pas fourni plus d’informations que le policier, etc.), il a fait recours au motif qu’il n’a pas pu exercer son droit à bénéficier de l’assistance d’un avocat, et qu’on ne lui a pas donné assez d’information ou de ressources pour contacter un avocat. En particulier, on ne lui a pas fourni un accès à Internet.

Le juge s’est donc demandé si l’accès à Internet devrait faire partie intégrante des ressources mises à disposition par la police aux prévenus de façon à faciliter l’exercice de leur droit constitutionnel à bénéficier de l’assistance d’un avocat. Le prévenu a d’ailleurs déclaré que lorsqu’il avait besoin d’informations en général, il utilisait Google, et que Google était le principal moyen afin d’obtenir des informations sur tout et rien.

Le magistrat a estimé, sans doute avec raison, que les individus nés dans les années 1980 commencent par utiliser Internet pour obtenir des informations ou accéder à des services, avant d’envisager d’utiliser un bottin de téléphone, par exemple. Il reconnait que Google est un élément important dans la vie informationnelle de tous les jours. Dès lors, que se passe-t-il quand un jeune de 20 ans, arrêté pour la première fois, doit contacter un avocat pour sauvegarder ses droits constitutionnels ? Le juge répond : il utilisera d’abord Internet, puis les Pages blanches ou les Pages jaunes, le cas échéant.

En testant les mots-clés « Calgary criminal defence lawyers » sur Google, le juge a pu constater qu’un détenu peut obtenir, en cinq secondes, une liste des (meilleurs) avocats pouvant certainement assurer efficacement sa défense. Il a de plus estimé que ces informations étaient plus précises et plus actuelles que celles qu’on peut obtenir dans un bottin ou via un service de renseignement téléphonique. Donc, comme les policiers se servent quotidiennement d’Internet pour les affaires courantes et pour les investigations, il n’y a pas de raison, en 2013, pour refuser un accès à Internet à un prévenu afin de contacter un avocat alors qu’on lui propose un téléphone et un service de renseignement téléphonique ainsi qu’un bottin.

Source : http://www.rtn.ch

Qu’en est-il en Suisse ?

Selon l’art. 29 de la Constitution fédérale (Cst), les parties ont le droit d’être entendues. Ce droit implique notamment le droit d’être informé du contenu de l’accusation et le droit d’être informé sur ses droits (se taire, etc.). L’art. 32 Cst impose à l’État l’obligation de mettre le prévenu en état de faire valoir les droits de la défense.

Selon le Code de procédure pénale suisse (CPP), la police ou le Ministère public doit, entre autres, informer le prévenu qu’il a droit d’être assisté d’un défenseur (art. 158 CPP). L’avocat de la première heure (art. 159 CPP) permet au prévenu d’être assisté dès son premier interrogatoire (même par la police). L’art. 127 CPP consacre expressément le droit pour le prévenu d’être assisté par un avocat à n’importe quel stade de la procédure (sauf pour l’appréhension, art. 215 CPP).

Toutefois, il n’existe pas, à ma connaissance, de disposition légale définissant les modalités de l’exercice de ce droit. Le Tribunal fédéral n’a apparemment pas encore été saisi sur la question.

En Suisse, un prévenu a-t-il le droit, une fois arrêté, d’exiger un accès à Internet pour rechercher puis contacter un avocat ? Bien que je me demande si l’on peut exiger de chaque poste de police de fournir, en plus des moyens actuels, un ordinateur avec un accès à Internet (par exemple limité à la consultation du site de la Fédération Suisse des Avocats et des différents ordres cantonaux), je trouve que le raisonnement du juge canadien va dans le bon sens. Il ne faudrait évidemment pas limiter ce droit aux seuls individus nés dans les années 1980.

Internet a pris beaucoup d’importance et rend d’innombrables services, on pourrait sans doute concevoir que le refus d’accéder à Internet pour contacter un avocat constitue une violation des droits constitutionnels et procéduraux du prévenu.

Cet article Au Canada, un prévenu peut chercher son avocat sur Internet. Et en Suisse ? est paru sur François Charlet.

De l’adoption à l’abrogation

L’initiative (populaire) générale est un instrument démocratique qui a été pensé à la fin des années 1990. Selon le Rapport de la Commission des institutions politiques du Conseil des États (CIP-E) du 2 avril 2001,

L’initiative populaire générale permet à 100 000 citoyens ayant le droit de vote de proposer un projet conçu en termes généraux et visant une modification constitutionnelle ou législative. Cet instrument vient donc combler une lacune, à savoir l’impossibilité de déposer une initiative populaire visant la révision d’un texte normatif autre que la Constitution. [...] Si l’Assemblée fédérale approuve l’initiative, elle élabore un projet d’acte. Si elle la rejette, elle n’élabore un projet d’acte que si le peuple, lui, accepte l’initiative [en votation populaire].

Toujours selon le même rapport,

[...] Certains sujets sont traités à l’échelon constitutionnel alors qu’il reviendrait sans nul doute à la loi de les régir. Notons à cet égard que si de telles initiatives populaires devaient être (ou avaient été) acceptées, la Constitution serait complétée par des dispositions prévoyant par exemple un dimanche sans voiture par saison et une vitesse de 30 km/h à l’intérieur des localités.

Les avantages suivants étaient mentionnés :

1. Il permet au peuple d’agir à un niveau autre que constitutionnel. [...]
2. Il permet au peuple de demander, par voie d’initiative, la modification ou la suppression de certaines dispositions législatives existantes, ce qui revient en quelque sorte à saisir le référendum consécutivement à l’entrée en vigueur d’un acte législatif. [...]
3. Il est possible d’inscrire des dispositions plus précises dans une loi que dans la Constitution, de sorte que les requêtes des initiants peuvent être mises en œuvre de manière plus détaillée. [...]
4. Il permet aux auteurs d’initiatives de formuler leurs requêtes en termes généraux, c’est-à-dire sans devoir élaborer eux-mêmes des projets d’actes. [...]
5. L’Assemblée fédérale dispose d’une certaine marge de manœuvre, qui lui permet de choisir le niveau normatif adéquat, selon l’importance politique et la nature de la question. [...]

Le Conseil fédéral a ensuite donné son avis sur la question. Le peuple a enfin accepté la modification de la Constitution telle que proposée, introduisant donc un nouvel art. 139a.

Art. 139a Initiative populaire générale

1. 100 000 citoyens et citoyennes ayant le droit de vote peuvent, dans un délai de 18 mois à compter de la publication officielle de leur initiative, et sous la forme d’une proposition conçue en termes généraux, demander l’adoption, la modification ou l’abrogation de dispositions constitutionnelles ou législatives.
2. Lorsqu’une initiative ne respecte pas le principe de l’unité de la forme, celui de l’unité de la matière, ou les règles impératives du droit international, l’Assemblée fédérale la déclare totalement ou partiellement nulle.
3. Si l’Assemblée fédérale approuve l’initiative, elle prépare les modifications constitutionnelles ou législatives visées.
4. L’Assemblée fédérale peut opposer un contre-projet aux modifications qu’elle a préparées. Les modifications de nature constitutionnelle (projet et contre-projet) sont soumises au vote du peuple et des cantons, tandis que les modifications de nature législative (projet et contre-projet) sont soumises au vote du peuple uniquement.
5. Si l’Assemblée fédérale rejette l’initiative, elle la soumet au vote du peuple. Si l’initiative est approuvée par le peuple, l’Assemblée fédérale prépare les modifications constitutionnelles ou législatives visées.

Toutefois, malgré que le peuple ait accepté ce nouvel article, l’Assemblée fédérale ne l’a pas fait rentrer en vigueur en même temps que les autres dispositions sur lesquelles le peuple a voté (soit, au 1er août 2003).

En 2009, l’Assemblée fédérale propose en votation populaire l’abrogation de cet art. 139a. Le Rapport de la Commission des institutions politiques du Conseil national (CIP) du 21 février 2008 résume la raison :

Le dispositif proposé [est] trop complexe pour que les droits populaires y gagnent.

Selon la CIP, le bicamérisme, la possibilité pour l’Assemblée fédérale d’opposer un contre-projet, les majorités requises et la possibilité d’un recours au Tribunal fédéral sont autant de problèmes de procédures qui rendent l’initiative populaire générale ingérable.

Afin d’anticiper tous les cas de figure possibles, il a fallu apporter d’innombrables modifications et précisions à la loi fédérale sur les droits politiques, à la loi sur le Parlement et à la loi sur le Tribunal fédéral. [...] Après avoir examiné le projet, la CIP du Conseil national juge à son tour qu’il est beaucoup trop complexe et, par 13 voix contre 11 et 1 abstention, elle propose au conseil de ne pas entrer en matière. Celui-ci se rallie à cette proposition le 19 décembre 2006, par 136 voix contre 13.

Le Conseil fédéral s’est rallié à l’avis sur l’impraticabilité de la solution.

La complexité de la procédure présentée résulte de plusieurs facteurs: premièrement, à la différence des parlements cantonaux, le parlement fédéral est composé de deux chambres ; deuxièmement, l’Assemblée fédérale a la possibilité de présenter un contre-projet ; troisièmement, les majorités requises diffèrent selon le degré normatif ; et, quatrièmement, la possibilité de saisir le Tribunal fédéral pour vérifier l’opportunité de la réglementation visée exige de préciser la procédure. Le Parlement a estimé que la mise en œuvre du projet générerait des problèmes qui dépasseraient largement les inconvénients – connus – de l’actuelle procédure législative.

Le peuple a accepté de supprimer l’initiative populaire générale le 27 septembre 2009.

Source : http://www.remunerationsabusives.ch

Commentaire

Pour tout dire, même si je comprends les raisons qui ont poussé le Parlement fédéral à demander au peuple d’abroger l’initiative populaire générale, je trouve cela vraiment regrettable. J’aurais préféré une simplification du système, comme cela a été proposé par la CIP. Il y a deux raisons à ce regret.

La première est simple : j’estime que le peuple doit avoir le droit d’agir directement à un niveau autre que constitutionnel. Ce pouvoir ne doit pas appartenir uniquement à nos élus (qui ne pensent parfois pas toujours comme leurs électeurs).

La seconde est peut-être moins aisée à comprendre. La Constitution est un texte fondamental qui est censé fixer la forme de l’Etat, son fonctionnement, son organisation, l’exercice du pouvoir, les droits fondamentaux. Elle règle les rapports entre l’État et la population et protège cette dernière contre le premier. Dans un Etat fédéral comme la Suisse, la Constitution fédérale règle aussi la répartition des compétences entre les cantons et l’Etat fédéral.

Dès lors, qu’on y ajoute des dispositions sur la formation musicale (art. 67a, adopté en votation populaire le 23 septembre 2012) passe encore. Mais je me demande si l’interdiction de la construction de minarets (art. 72 al. 3, adopté en votation populaire le 29 novembre 2009) ou la limitation des résidences secondaires (art. 75b, adopté en votation populaire le 11 mars 2012) ont vraiment leur place dans la Constitution. Sans revenir sur le bienfondé de ces dispositions, sont-elles à ce point fondamentales pour figurer dans la Constitution (alors qu’il existe une loi fédérale sur l’aménagement du territoire) ? Et si la réponse à cette question vous semble être non, que dire de l’initiative Minder ? Qu’on soit d’accord ou non avec les arguments des initiants, est-ce à la Constitution de définir des règles précises sur les pouvoirs de l’assemblée générale d’une société anonyme cotée en bourse ? À mon avis, clairement pas. Le Code des obligations le fait déjà, c’est donc ce texte qu’il faut modifier.

Mais je ne jette pas la pierre à Minder, ou aux autres personnes qui ont porté des initiatives fédérales devant le peuple. Je suis conscient que c’est le seul moyen qu’a le peuple de demander un changement, voire même de contraindre des élus qui rechignent à aller dans le sens du peuple. Et il faut reconnaitre que c’est un moyen très fort car le Parlement ne peut pas modifier la Constitution sans votation populaire, alors qu’une loi fédérale peut passer la rampe sans référendum.

Bien que ce soit souvent un jeu politique (on dépose une initiative afin que le Parlement élabore un contre-projet, puis on retire l’initiative si le contre-projet est satisfaisant), je regrette vraiment que les Suisses ne disposent pas d’un outil leur permettant de mieux faire valoir leurs droits par des requêtes générales qui peuvent être transcrites dans une loi, au lieu d’être contraints de rédiger une révision constitutionnelle.

Cet article Votations : l’initiative populaire générale me manque est paru sur François Charlet.

Le Conseil fédéral aurait abandonné l’idée de signer et de ratifier ACTA. De son côté, CISPA revient devant le Congrès américain. Et Facebook gagne en Allemagne concernant les comptes anonymes.

ACTA

Dans une interpellation déposée en décembre 2012, le Conseiller national Balthasar Glättli (ZH) a demandé au Conseil fédéral s’il avait renoncé définitivement à signer ACTA. Le gouvernement a répondu ceci :

En Suisse, aucune procédure d’adhésion à l’ACAC n’est ouverte, ni même planifiée. Le 9 mai 2012, le Conseil fédéral a décidé de ne pas signer l’ACAC, du moins tant qu’il ne dispose pas de nouveaux éléments parlant en faveur d’une signature de l’accord par la Suisse, et pour l’heure, ils font défaut. Le Conseil fédéral continuera de suivre l’évolution du dossier jusqu’à l’expiration du délai de signature, soit le 1er mai 2013. Il estime par ailleurs qu’il n’existe pour l’instant aucune nécessité d’agir. [...]

À la question de savoir si la Suisse participe à d’autres négociations « concernant d’autres accords internationaux similaires dans le cadre de la mise en oeuvre ou de l’extension de l’Accord sur les ADPIC, ou à des négociations portant sur d’autres accords susceptibles de concerner la liberté d’information et la liberté d’opinion, en particulier sur Internet », le Conseil fédéral déclare ceci :

La Suisse participe actuellement à certaines négociations susceptibles de concerner la liberté d’information et la liberté d’expression, en particulier sur Internet. [...] La Suisse a participé, début décembre 2012, à la Conférence mondiale des télécommunications internationales [...] qui s’est tenue à Dubaï. [...] Certaines dispositions négociées à Dubaï soulèvent toutefois des questions, notamment s’agissant de l’éventuel risque qu’elles compromettent le caractère ouvert et libre de l’Internet. 55 États, avant tout des pays industrialisés dont la Suisse, n’ont dès lors pas signé le nouveau RTI à Dubaï. Avant de décider de la suite à donner à ce dossier, le Conseil fédéral étudiera attentivement le texte sous l’angle des répercussions pour la Suisse.

Le Japon étant pour l’heure le seul pays à avoir ratifié ACTA, et comme le Parlement européen a refusé de le signer, on peut légitimement penser que la Suisse ne le signera et ne le ratifiera pas non plus. Toutefois, comme le délai de signature n’est pas encore échu, la question reste en suspens. Quant aux autres traités internationaux, la prudence reste de mise.

CISPA

CISPA (ou H.R. 3523) est l’abréviation de Cyber Intelligence Sharing and Protection Act. C’est un projet de loi qui aura de sévères répercussions sur la vie privée et la protection des données des utilisateurs. En effet, CISPA offre de conséquentes immunités aux sociétés qui décident de surveiller leurs utilisateurs puis de partager leurs données (y compris leurs données privées et personnelles) avec le Gouvernement pour des raisons de cybersécurité.

En outre, des agences fédérales comme la National Security Agency (NSA) pourront utiliser ces données à des fins n’ayant aucun lien avec la cybersécurité, ce qui augmente le risque de créer une brèche ouvrant ensuite la voie à un système de surveillance contrôlé pour des agences fédérales et/ou militaires qui, comme on le sait, ne rendent de compte pratiquement qu’à elles-mêmes.

En résumé, CISPA autorisera les sociétés à surveiller ce que font leurs utilisateurs et à partager ces informations avec le gouvernement, sans mandat délivré par un tribunal. Elles bénéficieront d’une exemption de responsabilité si elles peuvent prouver avoir agi de bonne foi. Les informations transmises au Gouvernement ne seront pas soumises au Freedom of Information Act (FOIA) qui permettrait ici aux utilisateurs d’obliger les agences fédérales à leur transmettre les documents en leur possession.

L’année passée, après que la Chambre basse du Congrès l’avait adopté, le Président avait menacé d’opposer son veto à cette loi si elle n’était pas amendée pour être plus précise et pour voir ses lacunes comblées. En effet, la définition de la cybermenace était tellement large qu’elle constituait la porte ouverte à toutes sortes d’abus.

Facebook

L’année passée, en Allemagne, Facebook se trouvait sous la menace d’une amende de 20’000 €. Celle-ci aurait été infligée par le Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), une commission du Land allemand de Schleswig-Holstein, qui reprochait à Facebook de ne pas autoriser dans ses conditions générales d’utilisation (section 4, chiffre 1) le recours à un compte anonyme. L’ULD estimait que Facebook était en violation de la loi allemande sur la protection des données.

Le Tribunal administratif du Schlewig-Holstein a contredit l’ULD et a donné raison à Facebook sans vraiment trancher la question au fond : il a estimé que la loi allemande ne peut s’appliquer à Facebook car son siège social européen se trouve en Irlande. En effet, selon la Directive européenne sur la protection des données et la loi allemande sur la protection des données (§1, al. 5), le droit allemand ne s’applique pas si la collecte et le traitement des données personnelles est réalisé par une succursale – ou une filiale – dans un autre État membre de l’Union européenne. (En Suisse, tout traitement ayant lieu sur sol suisse fonde l’application de la loi fédérale sur la protection des données.)

L’ULD a déclaré vouloir faire appel de cette décision.

Cet article ACTA, CISPA et Facebook est paru sur François Charlet.

La décision

L’hébergeur s’est plaint d’une violation des art. 28 al. 1 et 28a al. 1 et 2 CC dont voici la teneur :

Celui qui subit une atteinte illicite à sa personnalité peut agir en justice pour sa protection contre toute personne qui y participe.

Le demandeur peut requérir le juge:

1. d’interdire une atteinte illicite, si elle est imminente;
2. de la faire cesser, si elle dure encore ;
3. d’en constater le caractère illicite, si le trouble qu’elle a créé subsiste.

Il peut en particulier demander qu’une rectification ou que le jugement soit communiqué à des tiers ou publié.

Selon le Code civil, donc, la victime de l’atteinte peut agir contre toute personne qui participe à l’atteinte. Selon le Message du 5 mai 1982 concernant la révision du Code civil suisse (cf. p. 681),

cette formulation vise non seulement l’auteur originaire de l’atteinte, mais aussi toute personne dont la collaboration cause, permet ou favorise celle-ci, sans qu’il soit nécessaire qu’elle ait commis une faute.

Le Tribunal fédéral explique que (considérant 6.2)

peut ainsi être concerné celui qui, sans être l’auteur des propos litigieux ou même en connaître le contenu ou l’auteur, contribue à leur transmission. Le lésé peut agir contre quiconque a objectivement joué, que ce soit de près ou de loin, un rôle – fût-il secondaire – dans la création ou le développement de l’atteinte.

Il ajoute même que (considérant 6.2)

si le lésé [a], en règle générale, avantage à s’en prendre à la personne dont l’influence est la plus grande, il reste juge de l’opportunité de son choix et peut même choisir de ne rechercher que celui qui joue un rôle secondaire.

Il conclut son argumentaire comme suit :

En l’espèce, l’atteinte à la personnalité résulte de la publication d’un texte rédigé par B. sur internet, soit plus précisément sur le blog de ce dernier, hébergé par X. sur son propre site internet. Si le prénommé est l’auteur originaire de la lésion aux intérêts personnels, la recourante, en lui fournissant l’espace internet sur lequel il a pu créer son blog, a permis la diffusion du billet incriminé auprès du public et d’un large cercle de lecteurs. Elle ne dit d’ailleurs pas autre chose lorsqu’elle déclare se borner à « mettre à disposition des internautes une structure de communication » et n’être « qu’un intermédiaire qui participe [...] à la propagation » de l’information et la rend « accessible sans en être l’auteur ». En définitive, si elle n’est pas l’auteur de l’atteinte, elle a contribué à son développement et, partant, y a participé conformément à l’art. 28 al. 1 CC.

Lorsqu’elle prétend que l’on ne saurait comparer la position de l’hébergeur de blogs à celle d’un journal qui publie des lettres de lecteur, elle semble méconnaître que la légitimation passive n’est pas liée à la maîtrise ou non du contenu des propos rapportés.

De même, elle tombe à faux lorsqu’elle se prévaut du fait qu’il lui serait impossible de contrôler constamment le contenu de tous les blogs hébergés. Ces éléments, en particulier le devoir d’attention et de contrôle requis de chacun, ressortissent à la question de la faute qui n’est pas pertinente dans le cadre des actions défensives du droit de la personnalité [...].

La recourante se méprend aussi lorsqu’elle prétend que reconnaître la légitimation passive de l’hébergeur de blogs met en péril les fournisseurs d’accès qui se verront désormais actionnés en dommages-intérêts ou en réparation du tort moral. [...]

Pour le surplus, il n’appartient pas à la justice, mais au législateur, de réparer les « graves conséquences » pour internet et pour les hébergeurs de blogs auxquelles pourrait conduire l’application du droit actuel. [...] Dans le cadre des actions défensives du droit de la personnalité, la recourante ne saurait se délier de sa responsabilité en accusant un tiers d’être aussi responsable.

Commentaire

La décision est effectivement problématique, mais elle est justifiée juridiquement. Tout d’abord, le texte de l’art. 28 al. 1 CC n’est pas ambigu et ne laisse que peu de place à l’interprétation. Comme le Tribunal fédéral l’a relevé, il n’est pas de sa responsabilité, mais de celle du Parlement fédéral de réparer les conséquences de la législation actuelle.

Ensuite, il ne fait pas de doute qu’on ne peut pas tolérer qu’un hébergeur reste passif une fois que son attention a été attirée sur un contenu illicite (portant atteinte à la personnalité, à un droit d’auteur, etc.). Mais là où la protection du droit de la personnalité va actuellement trop loin, c’est dans le cas où l’hébergeur n’est pas au courant du contenu illicite. Dans une telle situation, il resterait (secondairement) responsable alors même qu’il n’a pas commis de faute. En effet, on ne peut pas demander à un hébergeur ou à un fournisseur d’accès de respectivement surveiller les contenus des utilisateurs et filtrer les communications. Afin de se dédouaner, un moyen qu’aurait un hébergeur de blogs serait de contrôler a priori tous les contenus des auteurs de blog avant leur publication – mais dans ce cas, on pourra le considérer comme auteur de la publication ou, plus généralement, comme éditeur, et non plus comme un simple hébergeur.

Il serait opportun que la Suisse se dote de normes instaurant une limitation de responsabilité de principe, à l’instar des États-Unis et de l’Union européenne, en réservant les cas où le fournisseur de service était au courant (initialement ou postérieurement) de l’atteinte et n’a pas pris les mesures qu’on pouvait attendre de lui. Ainsi, la protection ne serait pas inconditionnelle, mais subordonnée au respect de certaines obligations, notamment à un devoir de diligence.

Cet article Selon le TF, les hébergeurs de plateformes de blogs sont responsables de leur contenu est paru sur François Charlet.

Ces données étant utilisées par des sociétés privées pour réaliser des gains substantiels (citons au hasard Facebook, Google, Apple, Microsoft et Amazon), l’intérêt suscité par cette réforme est donc énorme. Et il pousse les groupes de lobbying (des entreprises américaines, mais aussi de représentants du gouvernement américain) à déployer des efforts considérables afin d’influencer au maximum la réforme dans un sens qui leur soit favorable.

Source : europa.eu

La réforme en (très) bref

Parmi les changements proposés touchant directement les citoyens, on trouve notamment :

1. – L’accès des personnes concernées à leurs propres données sera facilité, de même que le transfert de données à caractère personnel d’un prestataire de services à un autre (droit à la portabilité des données). La concurrence entre prestataires de services s’en trouvera renforcée.

2. – Un «droit à l’oubli numérique» aidera les citoyens à mieux gérer les risques liés à la protection des données en ligne : ils pourront obtenir la suppression de données les concernant si aucun motif légitime ne justifie leur conservation¹.

3. – Les règles de l’Union devront s’appliquer si des données à caractère personnel font l’objet d’un traitement à l’étranger par des entreprises implantées sur le marché européen et proposant leurs services aux citoyens de l’Union.

Dans un projet de rapport sur la proposition de règlement sur la protection des données, un passage permet de mieux saisir le but de la réforme.

Le droit à la protection des données à caractère personnel est basé sur le droit de la personne concernée d’exercer un contrôle sur les données à caractère personnel qui sont traitées. À cette fin, la personne concernée devrait se voir accorder des droits clairs et sans ambiguïté concernant la fourniture d’informations transparentes, claires et aisément compréhensibles quant au traitement de ses données à caractère personnel, ainsi qu’un droit d’accès, de rectification et d’effacement de ses données à caractère personnel, un droit de portabilité des données et le droit de s’opposer au profilage. En outre, la personne concernée devrait également avoir le droit de déposer une réclamation contre le traitement de données à caractère personnel par un responsable du traitement ou un sous-traitant auprès de l’autorité de contrôle compétente et d’engager une action en justice pour faire valoir ses droits, ainsi que le droit d’obtenir réparation et de percevoir une indemnisation en cas d’opération de traitement illégale ou d’actions contraires au présent règlement. Les dispositions du présent règlement devraient renforcer, clarifier, garantir et, le cas échéant, codifier ces droits.

N.B. : Jan Philip Albrecht, un rapporteur du Parlement européen, a mis sur pied un site « Déclaration de Bruxelles » demandant expressément au Parlement européen de prendre des mesures pour protéger la vie privée.

Les craintes des États-Unis (et des autres)…

La Mission américaine auprès de l’Union européenne a dressé une longue liste d’inquiétudes, bien qu’elle reconnaisse que les États-Unis et l’Union européenne poursuivent les mêmes buts en matière de protection des données et de vie privée, tout en garantissant la croissance économique et le libre commerce.

Un Conseiller d’Ambassade américain, John Rodgers, a récemment déclaré à Berlin qu’un droit à l’oubli numérique ne serait pas faisable techniquement et qu’il mettrait en péril les sociétés à travers le monde. Il estime aussi que le projet de réglementation européenne, en l’état, pourrait constituer une déclaration de guerre économique.

D’autres estiment, peut-être avec raison au vu de l’état actuel du projet de réglementation européenne, que les sociétés auront beaucoup de difficulté à prouver qu’elles ont les bases suffisantes pour traiter les données personnelles des utilisateurs. Cela pourrait même remettre en cause les conditions générales d’utilisation car leur approbation ne démontrerait pas nécessairement le consentement de l’utilisateur pour le traitement de ses données personnelles².

Eduardo Ustaran, avocat, va même plus loin en affirmant que le projet de règlement mettrait fin aux modèles économiques de Facebook et Google. Selon lui, ils ne pourraient plus utiliser les données personnelles de façon profitable, ce qui aurait pour conséquence de l’abandon de la gratuité de leurs services pour les Européens.

… poussent au lobbyisme massif !

La presse et le web s’en font l’écho depuis lundi. Viviane Reding, Vice-Présidente de la Commission européenne et Commissaire européenne à la justice, aux droits fondamentaux et à la citoyenneté, a affirmé n’avoir jamais vu un tel déploiement de moyens pour influencer la réforme de la protection des données. Joe McNamee, de European Digital Rights (EDRI), a déclaré à Ars Technica que « rien, pas même ACTA, n’avait engendré un tel lobbyisme à Bruxelles de la part des États-Unis ».

Ce lobbyisme n’aurait pas comme unique but d’empêcher ou d’affaiblir la réforme de la protection des données, mais il viserait aussi à affaiblir les dispositions existantes.

LobbyPlag, un site listant les changements proposés par les lobbies et adoptés comme amendements par les Commissions du Parlement européen, a révélé un phénomène troublant : certains changements proposés par les lobbies sont repris mot pour mot comme amendements !

Ainsi, un grand nombre d’amendements proposés par la Chambre Américaine du Commerce, Amazon ou eBay ont été littéralement copiés-collés. Probablement sans même qu’un membre des commissions du Parlement européen ne se pose la moindre question.

Mais le problème n’est pas vraiment là. Il réside dans le fait que toutes ces propositions sapent l’efficacité des dispositions européennes ainsi que le droit fondamental des Européens à la vie privée et à la protection des données.

Parmi les amendements proposés par les lobbies, on en trouve qui sont parfois totalement à l’opposé des souhaits de la Commission européenne. Par exemple :

• Ne pas imposer aux entreprises d’instaurer un responsable à la protection des données ;
• Autoriser les sociétés à partager des données personnelles avec d’autres entités qui auraient un « intérêt légitime » à traiter ces données ;
• Supprimer les dispositions relatives au consentement explicite de l’utilisateur pour le traitement des données personnelles ;
• Empêcher les utilisateurs d’accéder de manière électronique à leurs données personnelles traitées par un tiers.

Le vote final de la Commission (du Parlement européen) Libertés civiles, justice et affaires intérieures est attendu pour avril 2013. D’autres Commissions (notamment Marché intérieur et protection des consommateurs, et Industrie, recherche et énergie) ont déjà soumis à la première leurs avis, ou vont le faire sous peu. Celle-ci présentera ensuite ses recommandations au Parlement, qui votera sur le projet. S’il l’approuve, il restera encore au Conseil de l’Union européenne de l’accepter afin qu’il entre en vigueur.

Bref, le Parlement se prononcera bientôt sur cette réforme dont l’efficacité est minée jour après jour par de puissants et malhonnêtes lobbies. Il faudra encore beaucoup d’efforts pour que la réforme passe la rampe et protège mieux les Européens.

1. Ce droit ne serait pas considéré comme un droit fondamental, mais seulement une prérogative du citoyen contre le détenteur des données.
2. Le projet prévoit en effet que pour être licite, « le traitement devrait être fondé sur le consentement spécifique, informé et explicite de la personne concernée ou sur tout autre fondement légitime prévu par la législation«  (Amendement 17 du Projet). De plus, « le consentement ne devrait pas constituer un fondement juridique valable pour le traitement de données à caractère personnel lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement » (Amendement 20 du Projet).

Cet article Quand les lobbies influencent la réforme européenne de la protection des données est paru sur François Charlet.

Source : Wikimedia

L’affaire a eu lieu au Tessin. Un suppléant du commandant d’une organisation régionale de la protection civile a été licencié avec effet immédiat. Cet employé était soupçonné d’utiliser exagérément l’installation informatique de l’employeur à des fins non professionnelles. Afin de confirmer ces soupçons, l’employeur a installé un logiciel espion (spyware) qui a fonctionné plus de trois mois et a révélé ce que faisait l’employé (notamment, les sites visités et les e-mails, mais aussi des captures d’écran d’opérations confidentielles comme l’e-banking, ou privées). L’employeur s’est rendu compte que le temps consacré à ces activités non professionnelles était important, ce qui a conduit au licenciement immédiat de l’employé.

La Première Cour de droit social du Tribunal fédéral a confirmé le jugement du Tribunal administratif tessinois, estimant que l’utilisation du logiciel espion était illicite dans ces circonstances. En effet, l’art. 26 de l’Ordonnance 3 du 18 août 1993 relative à la loi sur le travail (OLT 3) interdit d’utiliser des systèmes de surveillance dans le but de surveiller le comportement des travailleurs à leur poste de travail. Le Tribunal fédéral a jugé que la mesure était disproportionnée. Il a confirmé que l’employeur a un intérêt légitime à s’assurer des performances de ses employés et à lutter contre les abus. Cependant, il a rappelé qu’il existe des moyens moins intrusifs pour atteindre ces buts : le blocage de certains sites, l’analyse du trafic Internet et des e-mails. La protection des données doit toutefois être respectée.

Complément d’information

Le Préposé fédéral à la protection des données et à la transparence a émis les recommandations suivantes.

Concernant la vidéosurveillance, l’employeur est tenu de protéger et de respecter la santé et la personnalité du travailleur (art. 328 du Code des obligations, CO). L’art. 26 OLT 3 doit en outre être respecté. Par exemple, la vidéosurveillance est autorisée pour des motifs d’organisation, de sécurité ou de contrôle de la production. (Il faut noter que l’art. 26 OLT 3 n’est pas applicable si la surveillance est exercée sans système de surveillance.)

Plus d’informations ici.

Concernant la surveillance des télécommunications (navigation Internet, e-mails), il revient à l’employeur de décider d’autoriser ou non les employés à utiliser ces moyens à des fins privées (art. 321 CO). Il est recommandé pour l’employeur d’établir un règlement sur cette surveillance et de le faire lire, comprendre et signer par chaque employé. La surveillance continue d’un employé réalisée par l’analyse des journaux (logs) est interdite ; quant aux programmes permettant de scanner le contenu des e-mails, le risque d’atteinte à la personnalité est évident. Les messages privés annoncés comme tels ne peuvent pas être scannés.

Par contre, une analyse globale et anonyme des journaux (logs), dans le but de contrôler que le règlement est respecté, est autorisée. Cependant, une surveillance personnelle est possible si le règlement la prévoit quand un abus a été constaté ou qu’on soupçonne qu’il y en a un (tenter d’accéder à un site bloqué n’est pas considéré comme un abus).

Il faut encore se rendre compte qu’en cas d’absence de règlement, l’employé peut quand même commettre un abus et violer son devoir de loyauté envers son employeur.

Plus d’informations ici.

(Sources : Neue Zürcher Zeitung, Tribunal fédéral, Préposé fédéral à la protection des données et à la transparence)

Cet article Un employeur ne peut pas installer un logiciel espion destiné à surveiller l’activité de l’employé à son insu est paru sur François Charlet.

L’enquête a débuté en janvier 2012 pour se terminer en janvier 2013. Je vous propose d’en faire un résumé. Il sera surtout question de principes et directives issus du droit européen. Il n’est cependant pas exclu que les conclusions (des Pays-Bas) soient transposables en droit suisse, les bases de ce dernier en matière de protection des données relevant du droit européen.

L’enquête s’est concentrée sur plusieurs points, en particulier :

• WhatsApp Inc. a-t-il le droit de traiter les messages de statut des utilisateurs ?
• WhatsApp Inc. a-t-il le droit de traiter les numéros de téléphone de personnes n’utilisant pas WhatsApp ?
• Est-il nécessaire pour WhatsApp Inc. de collecter puis traiter tous les numéros de téléphone du carnet d’adresses de ses utilisateurs ?
• Les données collectées et traitées sont-elles stockées plus longtemps que nécessaire pour la réalisation du but de la collecte et du traitement ?
• WhatsApp Inc. a-t-il pris les mesures techniques et organisationnelles suffisantes pour protéger les données personnelles des utilisateurs ?

(Les conditions générales d’utilisation du service et la politique de confidentialité sont disponibles respectivement ici et là.)

Les réponses apportées sont les suivantes.

WhatsApp Inc. a-t-il le droit de traiter les messages de statut des utilisateurs ?

Le message de statut standard sur WhatsApp consiste en « Hey there ! I am using WhatsApp« . L’utilisateur peut changer ce message. S’il le fait, on peut supposer que l’utilisateur donne son consentement au traitement des données que constitue le statut.

L’autorité canadienne a cependant demandé à WhatsApp Inc. de diminuer le risque de diffusion de ces statuts (qui peuvent contenir des informations potentiellement sensibles) à des inconnus ou des personnes ne figurant pas dans le carnet d’adresses de l’utilisateur. En effet, un utilisateur de WhatsApp peut consulter le statut de n’importe quel autre utilisateur.

Pour sa part, l’autorité néerlandaise a demandé à WhatsApp Inc. d’afficher un message d’avertissement sur ce risque lorsque l’utilisateur change de statut.

WhatsApp Inc. a-t-il le droit de traiter les numéros de téléphone de personnes n’utilisant pas WhatsApp ?

Selon le droit néerlandais, une légitimation est nécessaire pour traiter des données personnelles. En droit européen, cette obligation provient également de l’art. 7 de la Directive 95/46/CE. En droit suisse, elle ressort notamment des art. 4, 12 à 15, et 16 et suivants de la loi fédérale sur la protection des données (LPD).

Le stockage de données sur les terminaux mobiles et l’accès à ces données n’est permis, selon le droit européen,  » [...] qu’à condition que l’abonné ou l’utilisateur, soit muni, dans le respect de la directive 95/46/CE, d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données [...] » (art. 5 al. 3 de la Directive 2002/58/CE). Le consentement de l’utilisateur doit donc être libre, éclairé et se rapporter au traitement en question. (Pour plus de détails sur le consentement, voir cet avis du Groupe de travail « Article 29″ sur la protection des données.)

WhatsApp demande un accès en écriture et en lecture au carnet d’adresses de l’utilisateur afin de déterminer si d’autres personnes qu’il connait utilisent aussi ce service. Une fois que l’utilisateur a consenti à cette demande, WhatsApp transfère et conserve les numéros de téléphone du carnet d’adresses, y compris les numéros des personnes n’utilisant pas WhatsApp. WhatsApp Inc. s’est défendu en affirmant qu’il dépersonnalise les numéros en utilisant une technique cryptographique (hachage) ; les enquêteurs n’ont pas jugé ce système efficace.

Il ne fait en principe aucun doute que les personnes utilisant déjà le service ont consenti à l’utilisation de leurs données personnelles par WhatsApp Inc. Toutefois, celles qui ne l’utilisent pas (bien que ça puisse potentiellement être le cas ultérieurement) n’ont pas consenti à cette utilisation de leurs données personnelles. Selon les enquêteurs, il n’existe pas un motif justificatif permettant à WhatsApp Inc. de se passer du consentement de ces « non-utilisateurs ». Dès lors, par la conservation des numéros de téléphone des « non-utilisateurs », WhatsApp Inc. agit de façon contraire au droit et viole la vie privée de ces personnes.

Il serait cependant acceptable, selon l’autorité néerlandaise, que WhatsApp Inc. ne se borne qu’à une opération de comparaison de données des « non-utilisateurs » dans l’unique but de vérifier s’ils ont donné ou non leur consentement pour le traitement, puis supprime les données.

Est-il nécessaire pour WhatsApp Inc. de collecter puis traiter tous les numéros de téléphone du carnet d’adresses de ses utilisateurs ?

L’enquête a démontré qu’il n’était pas possible pour les utilisateurs de terminer l’installation de l’application sans accorder à WhatsApp le droit d’accéder au carnet d’adresses. Seuls ceux utilisant un iPhone sous iOS 6 peuvent refuser ce droit d’accès complet et entrer manuellement les numéros de quelques contacts.

Les autorités ont estimé que WhatsApp Inc. n’a pas besoin de collecter la totalité du carnet d’adresses, de l’utiliser, de l’enregistrer et de le stocker. L’utilisateur doit avoir la possibilité de choisir s’il veut rendre disponible à WhatsApp Inc. les numéros de ses contacts. Ainsi, la méthode utilisée par WhatsApp Inc. est disproportionnée et excessive, et viole le droit (sauf dans le cas où l’utilisateur d’un iPhone sous iOS 6 refuse l’accès et rentre un à un les numéros).

Les données collectées et traitées sont-elles stockées plus longtemps que nécessaire pour la réalisation du but de la collecte et du traitement ?

WhatsApp Inc. conserve les données des utilisateurs une année après qu’ils ont utilisé leur compte pour la dernière fois ou un an après l’expiration d’abonnement. La période peut s’étendre à deux ans si l’utilisateur a installé l’application mais n’a pas fermé son compte.

Les autorités estiment qu’une période de rétention aussi longue pour des utilisateurs inactifs est excessive. Elles rappellent qu’il existe un moyen pour WhatsApp Inc. de communiquer avec les utilisateurs (inactifs) et de leur faire parvenir un ou plusieurs rappels avertissant la suppression prochaine du compte si l’inactivité se prolonge.

WhatsApp Inc. s’est défendu en affirmant avoir besoin d’un accès aux données pendant la durée de l’abonnement ; les autorités n’ont pas changé d’avis. Tant que ce point n’aura pas changé, l’activité de WhatsApp Inc. viole le droit.

WhatsApp Inc. a-t-il pris les mesures techniques et organisationnelles suffisantes pour protéger les données personnelles des utilisateurs ?

La base légale se trouve à l’art. 17 de la Directive 95/46/CE (en Suisse, à l’art. 7 LPD). Plus les informations sont sensibles, ou plus la menace à la vie privée est grande, et plus l’exigence de sécurité sera analysée sévèrement. Celle-ci doit être adéquate.

WhatsApp Inc. générait des mots de passe en utilisant l’adresse MAC de l’antenne Wifi de l’iPhone et le numéro IMEI pour les autres smartphones. L’utilisation de l’adresse MAC implique des risques majeurs en terme de sécurité, notamment car le smartphone diffuse constamment cette adresse en clair, même quand la connexion est sécurisée. Ainsi, toute personne à proximité d’un utilisateur peut déterminer l’adresse MAC de son smartphone et pirater le mot de passe. L’utilisation de l’IMEI n’est pas vraiment moins risquée. Dès lors, comme les messages (combinés à d’autres informations) constituent des données personnelles, la méthode employée par WhatsApp Inc. n’était pas acceptable du point de vue de la protection de la vie privée.

Durant l’enquête, WhatsApp Inc. a adapté sa méthode de génération de mots de passe et n’utilise plus l’adresse MAC ou l’IMEI depuis décembre 2012. (Les informations sur la nouvelle méthode sont classées confidentielles dans le rapport d’enquête.) WhatsApp Inc. ne viole plus le droit, bien qu’il existe un risque avec les utilisateurs inactifs qui n’auraient pas mis à jour leur application.

Il convient de noter que WhatsApp ne chiffrait pas les messages jusqu’en mai 2012, ce qui signifie qu’ils pouvaient être facilement lus après interception. Depuis, tous les messages sont envoyés et réceptionnés de façon chiffrée.

Conclusion

WhatsApp s’est engagé à changer ses pratiques critiquées, mais n’a pas fourni d’agenda à ce sujet. Dans l’intervalle, son service continue de violer la vie privée.

Cet article WhatsApp viole la vie privée de ses utilisateurs est paru sur François Charlet.

La publicité non sollicitée, qu’elle soit sous forme papier, téléphonique ou autre, ça m’agace. Quant au spam, lorsqu’il vient d’une société ou d’une personne suisse, on peut plus facilement agir.

Alan : Denny, you’re an American. What does any true red-white-and-blue American do when he’s been wronged, or even slightly put out, for that matter ?

Denny : We sue¹.

Hier, j’ai reçu cet e-mail.

Cet e-mail publicitaire provient du service SB.ch et promeut un site de vente en ligne. N’ayant jamais entendu parler de ce service et n’ayant donc jamais été en contact (personnel ou commercial) avec eux, on peut donc qualifier ce message comme « non sollicité ».

Note : Comme je n’ai pas envie de leur faire de publicité, je nommerai le service web SB, la société CA et son responsable OL tout au long de cet article. Si vous souhaitez connaitre leurs coordonnées complètes (issues de registres publics), consultez les images et documents de cet article.

Le problème du spam habituel est qu’il provient souvent d’entreprises ou de personnes étrangères qui utilisent des services informatiques mis à disposition par des tiers (comme Gmail, Yahoo, etc.) en général eux aussi à l’étranger ; les personnes, contrairement aux entreprises, sont très souvent non identifiables. Ce qui rend une éventuelle action en justice impossible, très difficile ou demandant d’investir beaucoup de moyens.

Heureusement, ce n’est pas le cas ici. En effet, selon les deux documents ci-dessous, SB.ch est un nom de domaine enregistré en Suisse. Je m’en plaignais récemment, mais cette fois ça m’a rendu service : la base de données whois pour les noms de domaine .ch ne peut pas être caviardée ce qui m’a permis de connaitre le nom du détenteur du nom de domaine.

Une fois le nom du détenteur connu, une recherche de la raison de commerce de la société CA Sàrl dans la base de données nationale Zefix me donne des informations supplémentaires sur l’heureux gagnant.

Ces informations en main, il ne me reste plus qu’à signifier à ces personnes mon profond agacement… et mes menaces de poursuites pénales. En effet, toute personne qui

envoie ou fait envoyer, par voie de télécommunication, de la publicité de masse n’ayant aucun lien direct avec une information demandée et omet de requérir préalablement le consentement des clients, de mentionner correctement l’émetteur ou de les informer de leur droit à s’y opposer gratuitement et facilement ; celui qui a obtenu les coordonnées de ses clients lors de la vente de marchandises, d’oeuvres ou de prestations et leur a indiqué qu’ils pouvaient s’opposer à l’envoi de publicité de masse par voie de télécommunication n’agit pas de façon déloyale s’il leur adresse une telle publicité sans leur consentement, pour autant que cette publicité concerne des marchandises, oeuvres et prestations propres analogues ;

agit de façon déloyale selon l’article 3 alinéa 1 lettre o de la loi fédérale sur la concurrence déloyale (LCD). Selon l’article 23 de cette même loi,

quiconque, intentionnellement, se rend coupable de concurrence déloyale au sens des art. 3, 4, 4a, 5 ou 6 est, sur plainte, puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire.

Toutefois, tout le monde ne peut pas porter plainte contre ces comportements. En effet, selon ce même article 23,

peut porter plainte celui qui a qualité pour intenter une action civile selon les art. 9 et 10.

Pour avoir la qualité pour agir au civil (art. 9 LCD), il faut subir une atteinte dans sa clientèle, son crédit ou sa réputation professionnelle, ses affaires ou ses intérêts économiques en général ou en être menacé. Cette disposition concerne donc essentiellement les concurrents, voire des tiers.

Toutefois, l’art. 10 LCD prévoit que les clients dont les intérêts économiques sont menacés ou lésés par un acte de concurrence déloyale peuvent aussi agir, tout comme les associations professionnelles ou de consommateurs. (Le terme « clients » englobe celui de « consommateurs » au sens large.) Il est évident que la preuve du dommage sera difficile à apporter pour le client, spécialement dans un cas de publicité déloyale comme celui-ci, mais cela n’empêche pas le dépôt d’une plainte pénale (ou d’une action civile).

Il faut relever encore que des sociétés telles que Ricardo.ch pourraient dénoncer civilement et pénalement cette pratique en invoquant une atteinte ou une menace à leurs intérêts économiques. (D’ailleurs, les sociétés n’ont pas à être en rapport de concurrence.) Par contre, je rappelle que la « class action » n’existe pas en Suisse.

Il est donc temps d’agir… puisque c’est réellement possible.

1. Boston Legal, série télévisée américaine, saison 3, épisode 12

Cet article Je n’aime pas le spam, sauf quand il vient de Suisse est paru sur François Charlet.

Megaupload est mort, voici Mega. Et les deux n’ont rien à voir.

Le point sur la sécurité

Mega est décrit comme un service de stockage chiffré de données permettant notamment le partage de ces données. Tous les fichiers stockés sont chiffrés par défaut au moyen d’un chiffrement utilisant un système de clés publique/privée chiffrées en RSA 2048 bits, ce qui signifie que « personne » à part l’utilisateur ne peut voir ce que contient le fichier à moins de partager la clé publique permettant le déchiffrement.

Les données de connexion et celles fournies pour la création du compte ne sont pas chiffrées par Mega car le service a besoin de les utiliser pour que Mega remplisse sa part du contrat.

Concernant la sécurité, il semblerait que des experts dans le domaine aient mis le doigt sur au moins un problème : Mega peut apparemment désactiver le chiffrement pour certains utilisateurs et sans qu’ils soient au courant. De plus, il semblerait que de grosses failles de sécurité existent, permettant notamment d’accéder à l’espace privé d’un utilisateur.

Certes, le service vient d’ouvrir ses portes, il est jeune, en bêta et nécessite une période de rodage et de débogage. Mais pour le moment, je doute qu’il soit judicieux de stocker des données sur Mega, surtout si ces données ont un caractère personnel, voire sensible.

Conditions générales d’utilisation

Le chiffre 5 des CGU dispose que chaque utilisateur autorisant l’accès (via un lien et la clé publique de déchiffrement) aux données qu’il stocke chez Mega est responsable des actions et omissions des tiers utilisant Mega pour télécharger ces données. L’utilisateur s’engage à indemniser Mega pour toute réclamation, tout dommage ou autre chef de responsabilité au cas où les CGU seraient violées.

Mega n’assure pas qu’il n’y aura pas de perte de données ou de bug, c’est pourquoi il convient de toujours en garder des copies (chiffre 7 des CGU).

Mega peut supprimer automatiquement vos données s’il trouve une copie exacte de ces données chez un autre utilisateur ; dans ce cas, vous aurez accès aux données correspondantes chez l’autre utilisateur. Et vice versa (8).

Les CGU disposent aussi que lorsque votre compte est fermé, Mega peut supprimer vos données. Pour autant qu’ils en aient envie (9).

En stockant, téléchargeant ou en transmettant de toute autre manière des données chez Mega, l’utilisateur garantit être au bénéfice d’un droit de propriété intellectuelle (titularité ou licence). À ce sujet, l’utilisateur accepte de donner à Mega une licence mondiale et gratuite pour utiliser, stocker, sauvegarder, copier, transmettre, distribuer, communiquer ou rendre accessible ses données dans le but de permettre à l’utilisateur – et aux personnes qu’il autorise – d’utiliser Mega (16).

Mega vous interdit notamment de violer la propriété intellectuelle d’autrui (17.3) et d’utiliser Mega pour stocker ou transmettre de toute autre manière des données en violation du droit (17.5.1).

Mega affirme respecter le droit d’auteur et requiert de ses utilisateurs d’en faire de même, en leur interdisant notamment d’enfreindre le droit d’auteur. Mega s’engage à répondre aux demandes de suppression de contenu des ayants droit et se réserve aussi le droit de supprimer sans préavis les données violant le droit d’auteur, voire de supprimer le compte de l’utilisateur en question (19).

En cas de litige, l’utilisateur s’engage à le régler par une procédure d’arbitrage conforme au droit néozélandais (41 et suivants).

Politique de confidentialité

Mega déclare conserver les informations suivantes : les données relatives à la création du compte, des journaux (communication, trafic, utilisation du service, etc.), des informations personnelles incluses dans les données stockées par le service. Les adresses IP sont également enregistrées. Des données non personnelles (notamment à des fins statistiques et publicitaires) sont aussi récoltées et conservées, peuvent être incorporées à d’autres informations et données à des publicitaires, mais de façon à ce que l’utilisateur ne puisse pas être identifié.

Les données sont conservées aussi longtemps que l’utilisateur est inscrit à Mega, sous réserve des conditions générales relatives à la suspension et à la fermeture d’un compte par Mega.

Les données étant chiffrées avant leur envoi sur les serveurs, Mega déclare ne pas pouvoir y accéder sans la clé publique qui vous est remise. Mega s’engage à fournir les données d’utilisateurs aux autorités de n’importe quel pays et de leur prêter assistance.

L’utilisateur dispose d’un droit d’accès aux données personnelles stockées par Mega, selon le droit néozélandais. Ce droit d’accès peut être facturé. La question qui se pose, dès lors qu’une collecte d’information a lieu en Suisse (pour les utilisateurs suisses) ce qui implique que la loi fédérale sur la protection des données est applicable, est celle du conflit entre ces deux droits. Le droit suisse prévoit un droit d’accès en principe gratuit (art. 8 LPD, art. 1 et 2 OLPD) sauf exception, ce qui n’est pas le cas du droit néozélandais qui prévoit qu’une contribution financière raisonnable peut être exigée (Privacy Act 1993, Section 35, Clauses 2 et suivantes).

Mega, vraiment une « Privacy Company » ?

Une entreprise qui se prétend être une « société de confidentialité » et qui collecte néanmoins des données personnelles sur ses utilisateurs, en particulier les adresses IP, avouez que c’est cocasse. De fait, les éventuels whistleblowers, les personnes en infraction au droit d’auteur et autres « réfractaires » au droit de leur pays seront livrés aux autorités si leur pays vient toquer à la porte de Mega. Les informations personnelles ne seront donc pas divulguées à d’autres personnes à part les autorités. Du moins selon les CGU applicables pour le moment.

Certains sites avaient remarqué que les CGU ou la politique de confidentialité contenaient des dispositions relatives à la solvabilité des utilisateurs, et que ces données pouvaient être partagées avec n’importe qui. Ces dispositions semblent avoir disparu à l’heure où j’écris cet article, et c’est tant mieux.

Mega est donc un service offrant de la sécurité (relative pour le moment) pour vos données. Mais n’espérez pas qu’il garantira votre anonymat. Bien au contraire. Mega n’a rien à voir avec Megaupload et est prêt à collaborer avec les autorités. Même si le chiffrement des fichiers est un sérieux bâton dans leurs roues.

Cet article Mega, vraiment une « Privacy Company » ? est paru sur François Charlet.

A l’origine, cette fonction permettait aux utilisateurs de ne pas permettre aux personnes avec lesquelles ils n’étaient pas « amis » de trouver leur profil Facebook au moyen du champ de recherche. Afin que Graph soit performant, il faut que les profils et leur contenu lui soient totalement accessibles afin d’en rassembler les informations (les pages que vous aimez, les endroits où vous avez été, les langues que vous parlez, votre âge, etc.). Facebook justifie la suppression de cette fonction notamment par le fait qu’un faible pourcentage d’utilisateurs l’ont activée. Pourtant, 1% sur le milliard d’utilisateurs représente 10 millions de personnes, ce qui constitue un chiffre tout de même important.

Il faut donc se faire à l’idée que même les informations datant de plusieurs mois ou années vont ressurgir de votre profil grâce à ce moteur de recherche et qu’il sera impossible d’utiliser Facebook en étant « caché ». Il est temps de faire le ménage. Le plus simple, mais aussi le plus radical – ce que j’ai fait – est de supprimer totalement votre compte Facebook pour quelques semaines, puis d’en créer un nouveau en utilisant une autre adresse e-mail que celle du profil précédent. Un bon moyen de faire table rase du passé (pour autant qu’on admette que cela puisse se faire sur Internet).

Quelques changements à faire dans vos paramètres avant d’utiliser Graph¹

Tout d’abord, vous voulez peut-être éviter que votre profil apparaisse dans les résultats de recherche quand un(e) amie(e) de vos amis tape « homme/femme célibataire habitant Lausanne et aimant la numismatique ». Pour cela, limitez les personnes pouvant faire des recherches sur vous en n’autorisant que vos amis à le faire. Cliquez sur ce lien et sélectionnez « Amis » dans la liste déroulante, comme sur l’image.

Ensuite, consultez votre « historique personnel » et vérifiez les lieux dans lesquels vous êtes allés, les photos dans lesquelles vous êtes identifié(e), les pages et statuts que vous aimez, etc. À côté de vos publications, limitez la visibilité à vos amis (comme sur l’image ci-dessous) voire retirez votre identification des photos de vos amis qui sont publiques ou en accès à un cercle trop étendu de personnes. Vous pouvez aussi signaler une photo indésirable et demander son retrait.

Enfin, si vous avez bien réglé la visibilité de vos futures publications sur « amis », il est probable que vos anciennes publications soient encore publiques ou accessibles plus largement. Pour ce faire, cliquez sur ce lien et ensuite sur « Limiter l’audience des anciennes publications ».

Quelques comportements à adopter pour garder un semblant de vie privée²

Premièrement, n’aimez pas tout et n’importe quoi. Imaginons que vous aimiez la page de Nestlé. Dès le moment où vous cliquez sur « J’aime », Nestlé a votre autorisation pour afficher sur les pages Facebook de vos amis sa publicité avec la mention que vous aimez cette société. Si cela ne vous plait pas, cliquez sur ce lien puis « associez vos actions sociales avec les publicités pour personne ».

Deuxièmement, afin d’éviter que vos amis publient des photos ou statuts où vous êtes identifiés, il faut savoir que les options sont limitées. Le mieux étant de demander à vos amis de ne pas vous identifier. Il existe cependant deux choses pour passer outre un refus. Tout d’abord, retirez l’identification. Ensuite, configurez Facebook pour qu’il ne fasse pas apparaitre automatiquement ces identifications sur votre profil, mais pour qu’il vous demande d’approuver la mention sur votre profil. Pour ce faire, allez sur cette page et activez les options « Examiner les publications dans lesquelles vos amis vous identifient avant qu’elles n’apparaissent sur votre journal » et « Examiner les identifications que d’autres ajoutent à vos propres publications avant qu’elles n’apparaissent sur Facebook ». Aussi, désactivez la possibilité pour Facebook de suggérer votre identification dans une photo (oui, Facebook a depuis quelques mois un système de reconnaissance faciale).

Pour résumer, paramétrer Facebook comme sur l’image ci-dessous est un bon moyen pour conserver le peu de vie privée qu’il vous reste sur Facebook, et peut-être vous éviter des ennuis.

1. Source : Gizmodo
2. Source : DailyFinance

Cet article De l’impossibilité de masquer son profil Facebook de son moteur de recherche, et bonus pour le week-end est paru sur François Charlet.

Alors que cette pratique a été critiquée par des associations de défense de la liberté d’expression et de la vie privée notamment, l’étudiante avait invoqué la violation de la liberté religieuse., estimant que ce bracelet symbolisait la marque de Satan.

L’école a enjoint l’étudiante à changer d’établissement si cela lui posait problème. Elle a même proposé de retirer la puce RFID de la carte d’étudiant de l’étudiante si elle mettait un terme à sa campagne de lutte contre l’utilisation de ces puces RFID. L’étudiante a refusé. Le juge a estimé que l’école avait suffisamment proposé d’alternative et fait de proposition pour un arrangement, raison pour laquelle l’appel a été rejeté.

Il faut savoir que le but de l’école n’était pas à proprement parler d’espionner ses étudiants ; il était essentiellement financier. En effet, les revenus de cette école publique sont liés à sa fréquentation : si elle arrive à prouver que les étudiants sont bel et bien en cours pendant les heures d’enseignement, l’État augmente le budget de l’école.

La Suisse pourrait-elle faire la même chose ?

À n’en pas douter, cela pourrait poser des problèmes.

Tout d’abord, les écoles suisses ne reçoivent pas une enveloppe budgétaire dont le montant dépend, entre autres, du taux de fréquentation des cours par les élèves. Une motivation financière serait donc exclue pour justifier un tel système.

Ensuite, on se trouverait face à une collecte de données personnelles, selon la loi fédérale sur la protection des données (LPD). Cette loi trouverait application dans le cas d’une école privée. Si c’est une école publique qui est concernée, ce sera la loi vaudoise sur la protection des données (LPrD) qui s’appliquera, au vu de la lettre e de l’alinéa 2 de son article 3.

S’il ne fait pas de doute que des données personnelles sont collectées – nom, prénom, données sur le mouvement, etc. –, il n’est pas certain qu’on soit face à des données sensibles (art. 3 LPD, art. 4 LPrD).

Une école privée pourrait proposer aux élèves de porter de tels bracelets si elle respecte les principes généraux de la LPD et que les élèves (ou leurs parents si les élèves ne sont pas capables de discernement) consentent à porter ce bracelet. Il faudrait encore vérifier que la proportionnalité de cette mesure est respectée, la vie privée des élèves étant atteinte. Un motif sécuritaire pourrait suffire par exemple si l’école fait face à de nombreux cas d’élèves sortant du périmètre de l’école sans autorisation, ce qui engage la responsabilité de l’école. Dans un tel cas, le port du bracelet devrait se limiter qu’aux élèves posant des problèmes de ce genre. L’intérêt privé des élèves (art. 13 LPD) pourrait aussi justifier l’atteinte à leur personnalité que constitue le port d’un bracelet avec puce RFID. Dans tous les cas, une pesée des intérêts doit être effectuée.

Une école publique ne pourrait pas instaurer de telles mesures sans qu’une base légale ne l’y autorise ; il faudrait encore que la mesure serve à l’accomplissement d’une tâche publique (art. 5 al. 1 LPrD).

Pour l’heure, je doute que la Suisse soit candidate à l’instauration de bracelets électroniques dans les écoles. Non seulement car il est peu probable que la population accepte ce type de mesure, mais aussi car le cadre légal en limiterait la portée (à moins d’un changement, évidemment).

Cet article Quand une école impose à ses élèves de porter un bracelet de géolocalisation est paru sur François Charlet.

L’affaire qui a amené certains à disserter sur la question n’autre que celle de Twitter qui, en octobre 2012, avait supprimé des tweets racistes après que des associations de lutte contre le racisme et l’antisémitisme s’en étaient ému. Par contre, Twitter refuse de divulguer l’identité des personnes qui ont publié ces propos racistes. Certes, Twitter ne dévoilerait pas l’identité exacte des personnes (car ils ne l’ont pas sauf si les utilisateurs l’ont fournie), mais les adresses IP. Celles-ci peuvent être considérées comme des données personnelles, raison pour laquelle Twitter ne les communiquera pas sans une décision d’un juge américain.

S’il est possible, dans la vie réelle, de dire ce qu’on pense sous couvert de l’anonymat (écrire une lettre anonyme à un journal pour le courrier des lecteurs, scander un message sur une place publique en étant masqué, etc.), cette possibilité est devenue la norme sur Internet, à tel point que beaucoup s’insurgent quand on attaque ce qu’ils considèrent désormais comme un acquis, voire un droit. Anonymat et liberté d’expression sont très liés, c’est pourquoi il est difficile de les dissocier totalement.

Les notions

L’anonymat est l’état d’une chose ou d’une personne dont on ne connait pas le nom, l’auteur, le responsable voire qui est inconnu. L’anonymat a des avantages indéniables. Il permet notamment à des personnes de divulguer des informations ou opinions dans des pays où la liberté d’expression n’existe pas ; il permet aussi à des personnes de dire des choses – non répréhensibles légalement –, mais qui pourraient mettre en péril leur situation professionnelle (critiques sur l’entreprise où elles travaillent) ; plus simplement, il permet de ne pas se dévoiler sur des forums, réseaux sociaux et autres plateformes, autrement dit, de garantir une protection effective de la vie privée.

La liberté d’expression consiste, légalement, en la manifestation de la pensée à autrui. La liberté d’expression est en principe illimitée : on peut penser et dire des choses vraies ou fausses, douces ou brutales, partielles ou complètes, vérifiées ou mensongères, justifiées ou non, etc. Néanmoins, certaines limites existent, car si l’on peut penser tout ce que l’on veut, on ne peut pas toujours le dire : par exemple, la provocation publique au crime ou à la violence ainsi que l’atteinte à la liberté de croyance et la discrimination raciale sont interdites par le Code pénal suisse. En soi, ces infractions sont des limitations de notre liberté d’expression.

L’anonymat est-il un droit ?

Du point de vue de la garantie de la vie privée, l’anonymat est extrêmement important. Si nous devions agir tous les jours et en n’importe quelle circonstance comme des personnes identifiées, nous ne ferions pas les mêmes choses, les mêmes choix : notre comportement serait différent. L’anonymat garantit ici une certaine liberté, alors que l’identification rend possible le vol d’identité ou accentue le risque d’atteinte à la personnalité. L’anonymat empêche la surveillance généralisée des individus, ou du moins lui met de sérieux bâtons dans les roues.

La Déclaration du Conseil de l’Europe du 28 mai 2003 sur la liberté de la communication sur Internet consacre l’anonymat à son principe 7.

Afin d’assurer une protection contre les surveillances en ligne et de favoriser l’expression libre d’informations et d’idées, les États membres devraient respecter la volonté des usagers de l’Internet de ne pas révéler leur identité. Cela n’empêche pas les États membres de prendre des mesures et de coopérer pour retrouver la trace de ceux qui sont responsables d’actes délictueux, conformément à la législation nationale, à la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales et aux autres traités internationaux dans le domaine de la justice et de la police.

La liberté d’expression est un droit fondamental, mais il est limité par quelques règles légales (cf. ci-dessus) que personne n’oserait remettre en cause. La garantie constitutionnelle permettrait de consacrer l’anonymat comme un « droit dérivé » de la liberté d’expression afin que toute personne puisse librement diffuser ses opinions, même sous couvert de l’anonymat si cela s’avère nécessaire. Comme le relèvent les notes explicatives de la Déclaration,

[...] les utilisateurs peuvent avoir une raison valable de ne pas révéler leur identité lorsqu’ils font des déclarations sur l’Internet. Leur imposer cela pourrait restreindre de manière excessive leur liberté d’expression. Ceci priverait également la société d’idées ou d’informations potentiellement de qualité. [...] les utilisateurs doivent être protégés contre toute surveillance en ligne non autorisée par des entités publiques ou privées.

L’anonymat permet-il d’aller trop loin ?

Oui, c’est évident. On dira plus facilement ce qu’on pense, même si c’est illégal ou seulement politiquement incorrect, quand on sait qu’on ne peut pas nous identifier. Cela se remarque particulièrement sur Internet, où la critique virulente et gratuite est très facile, alors que si l’on devait dire la même chose en étant identifié, on mettrait des gants et prendrait des pincettes.

Quand des privés ne veulent pas de l’anonymat…

Sur Internet, une plateforme comme Twitter ou Facebook aurait le droit d’exiger que vous vous serviez de votre véritable identité si vous voulez utiliser cette plateforme. De la même manière, si des personnes veulent entrer chez moi, j’ai le droit de leur demander une carte d’identité afin de vérifier qu’elles sont bien celles qu’elles prétendent être ; si elles refusent, elles n’entrent pas. (Cette opinion n’est pas partagée par tous, l’Allemagne estimant même que cela viole son droit. Toutefois, comme rien ne vous oblige à utiliser Facebook ou Twitter, ces plateformes pourraient théoriquement interdire l’usage d’un pseudonyme.)

De même, certains journaux suisses l’ont fait pour leur site web en refusant les commentaires publiés sous pseudonyme. D’autres filtrent les commentaires avant leur publication (on parle de modération a priori). Ces deux méthodes permettent de viser le même but : abolir les insultes, les calomnies, les incitations à la haine et le racisme sur leurs sites. Les journaux refusant les pseudonymes considèrent les commentaires en ligne comme un « courrier des lecteurs » ; dans ce dernier, seules les lettres signées sont publiées. Par analogie, seuls les commentaires signés seront publiés sauf « dans des cas rares où l’auteur d’un commentaire a des raisons légitimes de craindre pour sa vie privée, son intégrité et celle de ses sources ». Cette décision provient du Conseil suisse de la presse et règle d’autres points comme l’anonymat sur les forums de discussion. En matière de vol d’identité, ce même conseil avait pris une autre position.

… l’État doit-il légiférer ?

L’anonymat est un facilitateur de comportement illégal. C’est un fait indéniable. L’Etat devrait-il donc intervenir et faire voter une loi de portée générale afin de rendre illégale l’utilisation d’un pseudonyme ou d’un logiciel vous anonymisant sur Internet ?

Une telle décision ne pourrait être assimilée à de la censure : en interdisant l’anonymat, l’Etat limite la liberté d’expression, mais ne procède pas à un examen a priori des contenus avant d’en permettre ou non la diffusion. On pourrait toutefois qualifier cette décision de « censure déguisée ».

L’atteinte aux droits fondamentaux serait peut-être conforme à la constitution. Cependant, ce qui m’empêche de croire à une telle décision est que l’atteinte à la vie privée et à la liberté d’expression est à mon avis trop importante en comparaison des biens qu’on cherche à protéger, à savoir la qualité des commentaires, une certaine retenue, l’identification facile et quasi immédiate d’auteurs d’infractions, notamment. Il faut rappeler que la justice a aujourd’hui les moyens légaux pour déterminer qui se cache derrière un pseudonyme ou une adresse IP. Pour autant que tous les acteurs collaborent, évidemment. Quant aux moyens techniques, ils sont là aussi. Cela prend du temps, mais on a les moyens d’y parvenir. Mais plutôt que de la répression, certains veulent de la prévention. Et sur Internet, la prévention n’est pas aussi aisée à mettre en place qu’on pourrait le croire.

Alors que faire ?

Autant le dire de but en blanc : je ne sais pas. La solution miracle ne viendra pas de moi.

Je suis de l’avis qu’une solution générale comme l’abolition de l’anonymat n’est pas une bonne idée. Mais je ne la rejette pas catégoriquement (les exemples des journaux suisses ne me choquent pas du tout, par exemple). J’estime pourtant que les effets à grande échelle seraient disproportionnés par rapport aux infractions qu’on cherche à éviter. Je ne minimise pas la gravité ni la fréquence des infractions comportant un élément raciste ou antisémite, mais ce serait aller trop loin. Je ne dispose pas de tous les éléments pour faire une pesée des intérêts, mais je doute qu’elle penche en faveur d’une interdiction de l’anonymat. De plus, la vie privée serait également menacée.

Par contre, je pense qu’il faut responsabiliser les acteurs d’Internet. Twitter ne doit pas pouvoir se retrancher derrière la liberté d’expression (et l’anonymat) selon la conception américaine pour refuser de communiquer des informations permettant d’identifier des personnes auteures de délits voire de crimes en dehors des États-Unis – par contre Twitter a raison de demander l’autorisation d’un juge américain pour transmettre ces informations. Ce n’est tout simplement pas acceptable. Les données (personnelles) sont collectées chez les particuliers ce qui, pour la Suisse en tout cas, permet l’application de la loi sur la protection des données. De plus, le Code pénal suisse (art. 3 et 8 notamment) fonde la compétence du juge suisse au cas où un internaute domicilié en Suisse posterait un message illégal sur Twitter, ou si le résultat de l’infraction se produit en Suisse alors que l’auteur est à l’étranger. Dès lors il n’est pas admissible que Twitter invoque la liberté d’expression alors qu’un délit outrepassant cette dernière a été commis.

Ces plateformes devraient-elles se « censurer » elles-mêmes ? Je ne pense pas, mais elles doivent mettre en place un système qui permet de signaler des messages litigieux, de les retirer rapidement. Certes, on ne ferait que cacher l’infraction au lieu de la combattre, mais rien n’empêche ces plateformes de signaler d’elles-mêmes aux autorités ou aux associations locales les abus signalés par les utilisateurs. Certains diront que c’est aller trop loin, que les plateformes n’ont pas les moyens de le faire. Il n’empêche que ces plateformes permettent à des personnes d’insulter, de discriminer voire de détruire la vie ou la réputation d’autres personnes. Si l’on ne veut pas abolir l’anonymat ou imposer contractuellement d’utiliser sa véritable identité, il faut que les plateformes prennent leurs responsabilités et dénoncent leurs utilisateurs en cas de délit ou de crime. L’intérêt à faire cesser le trouble et à obtenir réparation me semble supérieur aux intérêts commerciaux de ces plateformes.

Cet article Défendre l’anonymat sur Internet à tout prix ? est paru sur François Charlet.

Il ne m’appartient pas ici de juger si le fait d’enregistrer un nom de domaine qui pourrait servir les intérêts de partis et personnes opposés aux vôtres dans le cadre d’une votation fédérale est « moral », « éthique », « honnête ». Mais est-ce bien légal ?

L’enregistrement de noms de domaine se fait, en Suisse, par l’intermédiaire de la fondation zurichoise Switch, qui est l’organe désigné par l’Office fédéral de la communication (OFCOM) pour remplir cette tâche, comme le stipule l’art. 14a de l’Ordonnance sur les ressources d’adressage dans le domaine des télécommunications (ORAT).

Selon l’art. 14f al. 2 ORAT, Switch ne vérifie pas le bien-fondé des droits d’utiliser les dénominations alphanumériques des noms de domaine. Cela ressort également des conditions générales relatives à l’enregistrement des noms de domaine en Suisse. Switch a néanmoins le devoir et le droit de refuser d’enregistrer certains noms de domaine.

Les partisans de l’initiative Minder pourraient éventuellement demander le transfert de ce nom de domaine au moyen de la procédure alternative de règlement des différends. Mais pour ce faire, il faudrait qu’ils détiennent des droits sur un signe distinctif (ch. 12 let. a ch. vi de la procédure de règlement des différends), par ex. une marque ou une raison de commerce, ce qui ne semble pas être le cas ici¹.

economiesuisse a donc le droit d’enregistrer ces noms de domaine puisqu’ils n’enfreignent aucun droit sur un signe distinctif, quand bien même ces noms de domaine ne reflètent pas les opinions politiques de ses membres ainsi que ses intérêts économiques. Tout un chacun est libre d’enregistrer les noms de domaine qu’il souhaite, tant que personne d’autre ne peut se prévaloir d’un droit sur ceux-ci (comme le nom, une marque, une raison de commerce, etc.).

Toutefois, les partisans de l’initiative et surtout Thomas Minder lui-même peuvent agir en justice au cas où l’enregistrement des noms de domaine crée un état de fait trompeur, constitue une atteinte à l’honneur ou une situation de concurrence déloyale. Ces conditions n’étant pas réunies non plus, il n’y a donc rien à faire.

1. Plus d’informations sur les signes distinctifs sur le site de l’Institut fédéral de la Propriété intellectuelle, notamment dans ce document.

Cet article Squat de nom de domaine par economiesuisse contre l’initiative Minder : légal ? est paru sur François Charlet.

De plus en plus de parents montrent et dévoilent « au monde » ou à un grand cercle de personnes des images et des informations souvent personnelles sur leurs enfants (via Facebook, Instagram, Twitter, etc.) : photos d’échographie, lieux de vacances, style d’habits, ce qu’ils mangent, s’ils ont des frères et sœurs voire des jumeaux, leur première visite au cirque, leur baptême, etc. Quand on estime que 79 % des parents jugent Facebook « dangereux » pour leurs enfants, ça laisse pantois.

Même si je comprends que des parents soient fiers de leurs enfants, aient envie de montrer comme ils sont beaux, à quelle vitesse ils se développent et grandissent, j’estime qu’un enfant a le droit, plus tard, de pouvoir créer son identité numérique – ou de ne pas en avoir –, de toute pièce et individuellement, sans qu’elle soit influencée par les publications antérieures des parents. Le fait que ses parents partagent des photos et informations à son sujet avant l’âge où il sera capable de comprendre comment façonner son identité numérique tend à diminuer voire à détruire cette possibilité.

Et qu’en est-il des enfants qui, lorsqu’ils sont en âge de décider, ne veulent pas être en ligne ou se retrouver avec des informations et photos en ligne à gérer ? Est-il nécessaire de rappeler que les informations partagées aujourd’hui seront probablement encore en ligne et accessibles pendant des années, si ce n’est pour toujours, par exemple « grâce » aux services d’archivage ?

Certes, il faut reconnaitre que la confiance des utilisateurs est primordiale pour que les réseaux sociaux et services analogues (le récent exemple d’Instagram est plus qu’évocateur). Cet argument devrait nous rassurer. Ce n’est pas mon cas. Je pense qu’il ne faut pas faire confiance au futur de ces réseaux sociaux et autres moyens numériques de partage, car les gens qui les ont conçus n’y ont pas forcément réfléchi. Et c’est précisément parce qu’on n’y a pas vraiment réfléchi qu’il faut penser à nos habitudes de partage d’informations qui nous concernent ainsi que les enfants. Nous n’avons pas le recul nécessaire pour évaluer les implications et autres risques : avant de divulguer ou transmettre ces informations, il faut se rendre compte qu’une fois divulguées ou transmises, elles ne pourront pas être « reprises » ou simplement supprimées sans laisser de trace. Imaginez un enfant qui arrive à l’école, le premier jour, et se fait déjà railler à cause de photos personnelles publiées et librement accessibles, par ex. ? Suivant l’âge qu’il a, l’expérience peut être traumatisante. (Et je vous laisse imaginer les autres dérives.)

Souvenons-nous que le droit à l’oubli n’existe pas sur Internet. Et que la vie privée mérite d’être conservée et protégée, surtout lorsqu’on est jeune. Alors, réfléchissons à deux fois avant de publier sur Internet des photos et informations sur les enfants, même dans un cercle restreint de personnes.

Que dit le droit sur cette question ?

Intéressons-nous à l’aspect légal en Suisse. Ce qui suit est un bref exposé de la situation juridique suisse concernant les droits de l’enfant relatif à sa personnalité¹.

Un enfant mineur peut-il s’opposer à ce que ses parents (ou d’autres personnes) partagent des informations sur Internet à son sujet, et demander, le cas échéant, à ce qu’une personne le représente en justice contre ce qu’il estime être une atteinte à sa personnalité ?

Répondre à ces questions revient notamment à se demander ce que sont un droit de la personnalité et la vie privée, si l’enfant mineur est capable de discernement, ce qu’est une atteinte, etc.

La personnalité

La personnalité désigne l’ensemble des biens et des valeurs qui appartiennent à une personne du seul fait de son existence. Sont compris dans cette notion : l’intégrité corporelle, la vie psychique, l’honneur, le domaine secret, la vie, la liberté de mouvement, la liberté sexuelle, la vie privée, etc.

La vie privée

Le droit au respect de la vie privée implique le droit de prendre part à la vie en société, ainsi que le droit de s’en tenir à l’écart. Il comprend aussi le droit à l’image : une photographie ne peut être prise, publiée ou utilisée sans droit, tant que cela appartient au domaine privé de la personne concernée. A ce sujet, il faut savoir que les faits accomplis en public sans la volonté d’attirer l’attention peuvent relever de la sphère privée. Par exemple, une conversation téléphonique qu’on a dans la rue relève de la sphère privée même si les personnes qui nous entourent peuvent l’entendre ; de même, faire du shopping dans un magasin pendant les heures d’ouverture peut relever de la vie privée.

Le Tribunal fédéral différencie trois sphères en la matière :

1. – la vie intime (les faits et gestes qui doivent être soustraits à la connaissance d’autrui, à l’exception des personnes à qui ces faits ont été spécialement confiés) ;

2. – la vie privée (les faits et événements que chacun veut partager avec un nombre restreint de personnes auxquelles on est attaché par des liens relativement étroits, comme des proches, amis, etc.) ; et

3. – la vie publique (les faits et événements accessibles à la connaissance de tout un chacun).

Si la limite entre la vie privée et publique est différente pour chaque personne (par ex. pour les personnalités publiques ou autres célébrités), il n’en reste pas moins que la protection légale de l’art. 28 du Code civil suisse ne couvre en principe que les faits de la vie intime (santé, conflits familiaux, secrets financiers, goûts et préférences sexuelles, etc.) et de la vie privée.

La capacité de discernement

Concernant la capacité pour un enfant mineur de se déterminer sur une situation (le « discernement« ), le droit suisse dit ceci, à l’art. 16 du Code civil suisse :

Toute personne qui n’est pas privée de la faculté d’agir raisonnablement en raison de son jeune âge, de déficience mentale, de troubles psychiques, d’ivresse ou d’autres causes semblables est capable de discernement au sens de la présente loi.

Selon l’art. 17 de cette même loi,

Les personnes incapables de discernement, les mineurs et les personnes sous curatelle de portée générale n’ont pas l’exercice des droits civils.

Grossièrement résumé, l’exercice des droits civils est l’aptitude d’une personne à faire produire à un comportement des effets juridiques (qu’ils soient voulus ou non).

La notion de capacité de discernement est définie à l’art. 16 du Code civil suisse et, selon le Tribunal fédéral (arrêt 9C_209/2012 du 26 juin 2012),

Cette disposition comporte deux éléments, un élément intellectuel, la capacité d’apprécier le sens, l’opportunité et les effets d’un acte déterminé, et un élément volitif ou caractériel, la faculté d’agir en fonction de cette compréhension raisonnable, selon sa libre volonté. La capacité de discernement est relative : elle ne doit pas être appréciée dans l’abstrait, mais concrètement, par rapport à un acte déterminé, en fonction de sa nature et de son importance, les facultés requises devant exister au moment de l’acte.

Pour avoir l’exercice des droits civils, il faut donc être majeur, avoir la capacité de discernement et ne pas faire l’objet d’une mesure de protection générale (comme une curatelle). Un mineur n’a donc pas l’exercice des droits civils.

Toutefois il existe une réserve importante à l’art. 17. L’art. 19c du Code civil suisse nous apprend que :

Les personnes capables de discernement mais privées de l’exercice des droits civils exercent leurs droits strictement personnels de manière autonome ; les cas dans lesquels la loi exige le consentement du représentant légal sont réservés.

Certains droits peuvent donc être exercés par l’enfant mineur sans le consentement ni l’intermédiaire du représentant légal pour autant que l’enfant mineur soit capable de discernement. On considère qu’il existe un lien très fort qui lie ces droits à l’enfant mineur et à sa vie personnelle, raison pour laquelle un mineur doit pouvoir les protéger, même contre l’avis de son représentant légal et surtout sans qu’il soit nécessaire pour le mineur d’être représenté par son représentant légal.

On différencie les droits strictement personnels absolus et les droits strictement personnels relatifs. Les premiers ne peuvent être exercés que par leur titulaire, toute représentation étant exclue (même en cas de minorité ou d’incapacité de discernement) ; les seconds ne peuvent être exercés que par leur titulaire, s’il est capable de discernement (à défaut, leur exercice reviendra au représentant légal).

Les droits de la personnalité font partie des droits strictement personnels relatifs. Lorsqu’il est capable de discernement, seul l’enfant mineur peut consentir à une atteinte portée à sa personnalité, par exemple à son image, à son nom ; il peut également exercer seul les actions des art. 28a et suivants du Code civil suisse en cas d’atteinte à sa personnalité (définie à l’art. 28 du Code civil suisse). De plus, le mineur capable de discernement a la capacité d’exercer seul son droit d’accès selon l’art. 8 de la loi fédérale sur la protection des données.

Toujours selon le Tribunal fédéral (arrêt du 2 avril 2008 publié aux ATF 134 II 235),

le code civil suisse ne fixe pas un âge déterminé à partir duquel un mineur est censé être raisonnable. Il faut apprécier dans chaque cas si l’enfant avait un âge suffisant pour que l’on puisse admettre que sa faculté d’agir raisonnablement n’était pas altérée par rapport à l’acte considéré.

Dans cet arrêt, le Tribunal fédéral a confirmé qu’une fille d’un peu plus de treize ans était à même de comprendre les lésions dont elle souffrait et de choisir ou de s’opposer à un traitement médical ou thérapeutique, même contre l’avis de sa mère.

La patiente était, à son âge, apte à comprendre les renseignements donnés successivement par chacun des deux praticiens, à saisir la lésion dont elle souffrait, à apprécier la portée du traitement proposé, ainsi que son alternative, et à communiquer son choix en toute connaissance de cause.

Dans le même arrêt, le Tribunal fédéral rappelle encore que

la preuve de la capacité de discernement pouvant se révéler difficile à apporter, la pratique considère que celle-ci doit en principe être présumée, sur la base de l’expérience générale de la vie. Cette présomption n’existe toutefois que s’il n’y a pas de raison générale de mettre en doute la capacité de discernement de la personne concernée, ce qui est le cas des adultes qui ne sont pas atteints de maladie mentale ou de faiblesse d’esprit, à savoir des états anormaux suffisamment graves pour altérer effectivement la faculté d’agir raisonnablement en relation avec l’acte considéré. Pour ces derniers, la présomption est inversée et va dans le sens d’une incapacité de discernement. Par analogie, on peut présumer qu’un petit enfant n’a pas la capacité de discernement nécessaire pour choisir un traitement médical, alors que la capacité de discernement pourra être présumée pour un jeune proche de l’âge adulte. Dans la tranche d’âge intermédiaire, l’expérience générale de la vie ne permet cependant pas d’admettre cette présomption, car la capacité de discernement de l’enfant dépend de son degré de développement. Il appartient alors à celui qui entend se prévaloir de la capacité ou de l’incapacité de discernement de la prouver, conformément à l’art. 8 CC.

En définitive, si l’on admet qu’un enfant, dans le cas où il est capable de discernement, peut consentir ou s’opposer seul à un traitement médical, il en ira de même quand il s’agira de publier des photos et informations sur Internet à son sujet si elles relèvent de sa vie privée. Avant qu’il soit capable de discernement, les parents pourront librement décider de la (non-)publication ; dès qu’il est capable de discernement, l’enfant pourra consentir (expressément ou tacitement) ou s’opposer à cette publication. Le consentement peut être révoqué en tout temps pour n’importe quel motif.

Les actions possibles de l’enfant

Il pourra ester en justice et choisir un représentant afin de protéger ses droits de la personnalité, même s’il agit contre ses parents et/ou sans leur accord (art. 28 et suivants du Code civil suisse).

Il faut qu’un de ses droits de la personnalité soit atteint (l’atteinte est un trouble subi du fait du comportement d’une tierce personne). L’atteinte doit en plus être illicite : la victime n’a pas consenti à l’atteinte (par ex. une photo prise à l’insu d’une personne ne suppose pas qu’elle consent à sa publication), la loi n’autorise pas l’atteinte et aucun intérêt public ou privé prépondérant ne la justifie.

Conclusion

Pour autant que leur enfant bénéficie de la capacité de discernement, ce qui, en dehors d’un tribunal, est à la « libre appréciation » des parents, ces derniers doivent demander l’accord de leur enfant avant d’entreprendre des actes qui pourraient potentiellement nuire à sa personnalité, même s’ils paraissent aussi anodins que de publier une photo de lui sur Internet.

Evidemment, le droit impose ici une obligation qui n’est que rarement sanctionnée si elle est violée. D’ailleurs, on pourra toujours soutenir que l’enfant a consenti tacitement à la publication, ce d’autant plus aisément que l’enfant n’osera peut-être pas dire non à ses parents. De plus, une « mode sociale » tend aujourd’hui à bafouer les droits de la personnalité : on se prend sans arrêt en photo et ensuite on publie ces photos sur Internet sans même demander aux personnes qui y figurent si elles sont d’accord. Non seulement ce n’est pas acceptable, mais c’est contraire au droit. Alors que des adultes oseront demander à ce que la photo soit retirée, les enfants n’oseront peut-être pas le faire, ou moins facilement. C’est précisément parce qu’ils sont plus fragiles qu’ils doivent être mieux protégés. Et cette responsabilité revient aux parents.

1. De nombreuses informations dans cet articles proviennent de l’ouvrage de référence de Deschenaux et Steinauer intitulé Personnes physiques et tutelle.

Cet article Parents, réfléchissez avant de publier sur Internet des informations sur vos enfants est paru sur François Charlet.

Hier, la Cour de District du District Nord de Californie a rejeté l’action d’Apple qui demandait que soit constaté le caractère mensonger de la publicité d’Amazon concernant la vente d’applications pour Android et Kindle. L’argument d’Apple était que l’utilisation de la marque « AppStore » telle que déposée par Apple en 2008 (puis contestée par Microsoft en 2011, voir ci-dessous) faisait croire à un lien d’affiliation ou de partenariat avec l’App Store d’Apple.

Cette décision n’invalide pas de facto la marque « App Store » ; une décision relative à la validité de cette marque doit encore être prise.

Article original du 29 mars 2011

Le 17 juillet 2008, Apple a déposé la marque « App Store » aux Etats-Unis. Sauf que Microsoft ne l’entend pas de cette manière et a déposé une opposition à la marque. Microsoft affirme que le terme App Store n’est que la juxtaposition de deux termes (App et Store), termes qui sont génériques. Qui a raison ?

Tout d’abord, il faut savoir que la propriété intellectuelle est en partie régie par des traités internationaux, qui prohibent le dépôt de marques génériques. Cela répond à la nécessité qu’il faut que tout un chacun puisse user de ces termes librement.

En droit de la propriété intellectuelle, un terme est générique s’il constitue la désignation usuelle de l’objet, s’il est descriptif. Ainsi, on ne pourra pas déposer la marque « Téléphone » pour des produits de téléphonie (fixe ou mobile). Apple a d’ailleurs rétorqué que Windows est générique… Malheureusement pour la Pomme, c’est faux car Windows désigne une famille de systèmes d’exploitation. Windows est donc distinctif (l’opposé de générique) au vu de l’utilisation qui en est faite. Même si on traduit Windows en français, allemand, italien, etc. le terme conserve son côté distinctif tant qu’il n’est pas lié à la fabrication de cadres de fenêtre, par exemple. De la même manière, Apple n’est en rien descriptif ou générique pour désigner une société informatique ou des produits électroniques.

Par contre, on peut se demander si le terme « App Store » est descriptif lorsqu’il est utilisé pour désigner un « magasin d’applications ». Il conviendrait ici de répondre par l’affirmative. « App » est le diminutif de « application » et « Store » est un terme générique et non protégeable comme tel pour désigner un magasin, puisque c’est sa désignation ordinaire. D’ailleurs, de plus en plus de personnes utilisent « App Store » pour désigner l’ensemble des magasins d’applications, qu’ils soient pour iOS, Android, Amazon, Microsoft, Symbian, etc. Ce n’est pas un argument pertinent en soi, mais un indice de l’aspect générique du terme.

Tous ces éléments font que Microsoft aura certainement gain de cause. La marque « App Store » devra normalement être déclarée descriptive et elle sera annulée. Apple a un net avantage dans les faits car les concurrents ont des difficultés à donner le même nom à leurs propres magasins d’applications, de peur d’être comparés ou rapprochés à Apple par leurs consommateurs. Mais en droit, il est fort probable qu’ils aient raison et que le terme « App Store » reste à la disposition de tout le monde.

Cet article App Store : marque valable ou pas ? [Actualisé] est paru sur François Charlet.

Les autorités chinoises ont approuvé cette semaine une législation interdisant l’anonymat et l’usage de pseudonymes lors de la conclusion d’un contrat de service Internet avec un FAI et/ou de téléphonie (fixe et mobile). Le but de cette décision, issue du Comité permanent du Congrès national populaire, vise à « protéger la sécurité des données personnelles, à établir une politique d’identification sur le réseau, à clarifier les devoirs des fournisseurs de service et à fournir au gouvernement des moyens nécessaires à la surveillance », selon Wu Bangguo.

Selon la décision, « les fournisseurs de service auront l’obligation de demander à leurs usagers de fournir une pièce d’identité valable lorsqu’ils concluent un contrat de service qui leur permet d’avoir accès à Internet, à une ligne fixe ou mobile de téléphone ou à la possibilité de publier des informations en ligne de manière publique ». S’il n’est pas nouveau que les opérateurs chinois procèdent à l’identification de leurs usagers, ils y sont désormais légalement contraints.

Les fournisseurs de service auront aussi l’obligation « d’interrompre toute transmission illégale d’informations dès qu’elle est identifiée comme telle et de prendre les mesures adéquates, notamment en supprimant l’information après l’avoir sauvegardée et transmise aux autorités compétentes ».

La décision impose donc l’identification des personnes qui publient des messages ou articles sur Internet. La possibilité de manifester sa désapprobation en Chine de manière anonyme sur Internet va disparaitre, ce qui augmentera potentiellement le pouvoir de censure et de contrôle de l’information par l’État, diminuant d’autant la liberté d’expression.

Dans le même genre d’idée, le Sénat américain a décidé – après que la Chambre des Représentants en eut fait de même – cette semaine de prolonger la validité de la loi modifiant celle appelée « FISA » (Foreign Intelligence Surveillance Act). Cette dernière avait été adoptée sous Jimmy Carter en 1978 et autorisait l’État américain à mettre en place des procédures de surveillance physique et électronique des citoyens qui ont des contacts avec des citoyens étrangers, notamment si l’on suspecte des activités terroristes. Cette loi a été modifiée par le Patriot Act en 2001, puis en 2008 avec une échéance au 31 décembre 2012. Cette échéance a été reportée de cinq ans. L’État américain aura donc pour plusieurs années encore le droit d’autoriser une surveillance électronique d’une durée d’une année sans passer par un tribunal (50 USC Chapitre 36 § 1802).

Plusieurs propositions d’amendements à cette loi ont été rejetées avant qu’elle soit reconduite. On y trouvait notamment une obligation pour la NSA (National Security Agency) de divulguer le nombre d’Américains qui sont sous surveillance et la volonté de réaffirmer la protection par le Quatrième Amendement de toutes les communications électroniques. Ce rejet n’a été que stratégique – on peut se demander si les propositions d’amendements ont au moins été étudiées. En effet, la Chambre des Représentants avait déjà voté en septembre pour une reconduction de la loi sans amendement, tout en en formulant quelques-uns à l’attention du Sénat. Si ce dernier était entré en matière sur ces amendements, cela aurait forcé les deux chambres à entrer en discussion. Pendant ce temps, la loi FISA aurait sans doute expiré.

Il reste encore une étape : Obama doit signer cette prolongation avant le 31 décembre pour que le vote soit effectif et la loi devienne officiellement une loi fédérale.

Tout ça pour dire…

Les deux nouvelles ci-dessus m’ont conduit à un constat inquiétant concernant les médias américains mais que je vais généraliser de manière outrancière à tous les médias, et je m’en excuse d’avance, l’humeur n’est pas à la distinction fine.

J’ai épluché les médias américains ces derniers jours ainsi que les traductions des médias chinois. Si ces derniers ont relayé le vote de la décision chinoise, la critique n’était pas vraiment de mise – ce qui n’est qu’à moitié étonnant. Par contre, la presse américaine a pratiquement passé sous silence le vote sur la prolongation de la loi FISA. Alors que la semaine passée, l’Amérique entière, que dis-je, le monde entier s’est ému des conditions générales d’Instagram. À croire que les citoyens sont plus inquiets de la violation de leur sphère privée et de la protection des données par des sociétés privées que par l’État. Pour exemple, la nouvelle phare cette semaine en matière de violation de la sphère privée est celle de la soeur de Mark Zuckerberg, pas le vote sur la loi FISA. Symptomatique, n’est-ce pas ?

Les citoyens ne sont pas entièrement responsables, bien au contraire. Là où les CGU d’Instagram ou de Facebook affectent visiblement leurs usagers (bien qu’ils ne le voient pas), la surveillance de l’État est invisible. Il existe une probabilité que ce qui se trouve sur ces réseaux sociaux ait un impact sur leurs usagers et ces derniers arrivent à imaginer et comprendre le danger de cet impact. À l’inverse, il semble que beaucoup de personnes n’arrivent pas à concevoir que des agences gouvernementales écoutent et surveillent leurs conversations et communications. Il est néanmoins raisonnable de penser que l’agence en question ne va pas aller divulguer à une épouse les échanges que son mari a eus avec sa maitresse, alors que la probabilité que l’épouse découvre le compte Facebook utilisé pour l’adultère est bien plus grande. Et dans ce sens, on peut penser que les gens ont raison de plus se préoccuper de Facebook que de FISA.

Cependant, cette explication n’est pas suffisante. Je me suis demandé pourquoi ce silence assourdissant sur la loi FISA de la part des médias américains. On peut en effet s’attendre à de vives réactions lorsque l’Etat interprète à sa convenance les textes fondamentaux que sont la Constitution et, aux États-Unis, ses multiples Amendements. Qui plus est avec l’approbation du Parlement. Mais non, pas ici, pas cette fois.

Plutôt que de remplir leur rôle de quatrième pouvoir (selon Tocqueville, en 1833), ici les médias ont répondu à la demande de leur marché respectif. Si un média couvre un sujet particulier, ce n’est plus dans le but d’éveiller le sain scepticisme du public vis-à-vis de l’État, mais parce que ses lecteurs y ont un intérêt spécifique. Les médias mettent de la distance entre les violations par l’État des droits de ses citoyens et ceux-ci. Ce qui a pour effet (pour n’en citer qu’un) de permettre à l’État d’outrepasser ses compétences constitutionnelles. Certes, la conséquence de ces violations n’est pas vraiment palpable, mais il reste inquiétant de voir que l’Etat peut faire ce qu’il veut sans contrôle du citoyen dûment informé.

Alors, à quoi sert la Constitution sans les médias ?

Cet article A quoi sert la Constitution sans les médias ? est paru sur François Charlet.

Cet article Joyeuses fêtes ! est paru sur François Charlet.

Tout d’abord, regardons ce que disent ces conditions générales.

Instagram does not claim ownership of any Content that you post on or through the Service. Instead, you hereby grant to Instagram a non-exclusive, fully paid and royalty-free, transferable, sub-licensable, worldwide license to use the Content that you post on or through the Service [...].

En résumé, ce que vous partagez sur Instagram reste votre propriété, mais sera automatiquement licencié à Instagram pour qu’il puisse l’utiliser plus ou moins comme bon lui semble.

Pour sa part, Youtube déclare :

Lorsque vous soumettez du Contenu sur YouTube, vous concédez à YouTube le droit non exclusif, cessible (y compris le droit de sous-licencier), à titre gracieux, et pour le monde entier d’utiliser, de reproduire, de distribuer, de réaliser des œuvres dérivées, de représenter et d’exécuter le Contenu dans le cadre du Service ou en relation avec la mise à disposition de ce Service et l’activité de YouTube, notamment, sans limitation, pour la promotion et la redistribution de tout ou partie du Service (et des œuvres dérivées qui en résultent), en tout format, sur tout support et via tous les canaux média.

Même chose pour Twitter :

Vous conservez vos droits sur tous les Contenus que vous soumettez, postez ou publiez sur ou par l’intermédiaire des Services. En soumettant, postant ou publiant des Contenus sur ou par le biais des Services, vous nous accordez une licence mondiale, non-exclusive, gratuite, incluant le droit d’accorder une sous-licence, d’utiliser, de copier, de reproduire, de traiter, d’adapter, de modifier, de publier, de transmettre, d’afficher et de distribuer ces Contenus sur tout support par toute méthode de distribution connu ou amené à exister.

Et aussi pour Facebook :

Pour le contenu protégé par les droits de propriété intellectuelle, comme les photos ou vidéos (propriété intellectuelle), vous nous donnez spécifiquement la permission suivante, conformément à vos paramètres de confidentialité et des applications : vous nous accordez une licence non-exclusive, transférable, sous-licenciable, sans redevance et mondiale pour l’utilisation des contenus de propriété intellectuelle que vous publiez sur Facebook ou en relation avec Facebook (licence de propriété intellectuelle).

On retrouve presque mot pour mot les mêmes conditions générales sur d’autres réseaux sociaux. Alors pourquoi cette panique soudaine ? Instagram fait simplement comme les autres, pour les conditions générales desquels il n’y a pas eu de contestation.

Contrairement à ce qu’on peut lire sur le web, Instagram ne va pas vendre vos photos à des tiers, comme des magazines de photographie ou des agences de voyages. Ce qu’il va faire, comme tous les autres réseaux sociaux, c’est permettre à des tiers de payer Instagram pour utiliser vos photos à l’intérieur du réseau social dans un but publicitaire. C’est d’ailleurs ce que fait Facebook avec les statuts sponsorisés depuis plusieurs mois : des annonceurs peuvent payer Facebook pour sponsoriser vos statuts afin qu’ils soient clairement visibles dans les flux de vos amis. (D’ailleurs, pourquoi croyez-vous que la vue par défaut du flux d’actualité est celle montrant les statuts « à la une » et pas « les plus récents » ?)

Pour autant, il ne faut pas cesser de garder un oeil sur les politiques de vie privée des réseaux sociaux. D’ailleurs, ce cri d’alarme général a fait prendre conscience Instagram de la complexité de la situation et des dangers auxquels il s’expose. Il sait désormais que la prudence est de mise.

Dans un message d’excuse, le fondateur d’Instagram s’excuse pour la confusion due aux termes utilisés. Comme quoi, avoir des conditions générales simples, claires et aisément compréhensibles serait plus que nécessaire.

Cet article Instagram fait simplement comme les autres réseaux sociaux est paru sur François Charlet.

Stocker les données de sa société sur le cloud n’est pas une chose à prendre à la légère. En effet, la société va confier des données personnelles et organisationnelles à un tiers qui sera contractuellement chargé de les collecter, de les stocker ou plutôt, de manière générale, de les traiter. Comme les données sortent de la maitrise effective de la société, cette dernière doit au préalable s’assurer qu’elles seront bien traitées.

Pour les sociétés qui décideraient de franchir le pas, voici quelques conseils de base.

Localisation des données

1. – Les données doivent être traitées¹ dans le même pays que la société dont elles proviennent, en l’occurrence la Suisse. Tous les pays n’exigent pas le même niveau de sécurité qu’en Suisse, et tous n’ont pas des normes juridiques semblables. Les pays de l’Union européenne ont un cadre réglementaire similaire au nôtre et pourraient faire de bons candidats pour la sélection d’un cloud, mais par principe il vaut mieux ne pas communiquer ses données à l’étranger.

2. – Le corolaire du premier principe est de pouvoir s’assurer de la localisation « physique » des données. Des représentants de la société doivent pouvoir se rendre sur place, constater et s’assurer que les données sont bien là où l’hébergeur dit qu’elles sont. Cette vérification doit pouvoir être faite en tout temps.

Négociation du contrat

3. – Un critère important du choix de l’hébergeur est sa capacité à fournir une prestation sur mesure, personnalisée. Toutes les sociétés n’ont pas les mêmes intérêts ni les mêmes données. Il faut donc que le service cloud que propose l’hébergeur soit adapté et adaptable. Un service standard sous forme d’un contrat type ou de clauses générales est à proscrire. L’idéal serait de venir à la table des négociations avec un juriste ou un avocat afin qu’il vérifie le contrat et protège au mieux les intérêts de la société.

4. – La confidentialité des données doit être assurée. Il est donc dans l’intérêt de la société d’établir un chiffrement des données garantissant que l’hébergeur n’a pas accès aux données qui lui sont confiées (par ex. un chiffrement du côté de la société, transfert via un canal chiffré, etc.), et d’introduire dans le contrat des clauses pénales voire des pénalités financières (sous réserve d’un dommage plus élevé à établir) en cas de violation du devoir de confidentialité.

5. – La société doit tester régulièrement le service cloud. A cet égard, elle peut demander à inclure dans le contrat une clause concernant l’audit des prestations de l’hébergeur par un tiers qu’elle aura sélectionné. L’audit pourra porter sur le respect du contrat de service et la conformité aux exigences légales sur la protection des données, ainsi que la vérification des mesures de confidentialité et de sécurité (cf. point 8).

6. – Le for applicable en cas de litige sera un élément déterminant. À moins que l’hébergeur ait son siège à l’étranger, auquel cas il cherchera sans doute à élire le for dans son pays (ce qui lui donne un avantage indirect devant les tribunaux qui peuvent chercher à le protéger), le for devrait se trouver en Suisse. Les conditions pour une élection de for se trouvent à l’art. 17 du Code de procédure civile. Le for en matière pénale ou celui d’une procédure administrative ne peuvent être librement choisis.

7. – Les modalités concernant la fin de la relation contractuelle doivent être détaillées. Non seulement les données doivent être restituées, mais l’hébergeur doit être en mesure de certifier qu’il n’est plus en leur possession. A cet égard, il peut être judicieux de demander l’établissement d’un certificat relatif à la restitution et à la suppression des données.

Contrôles

8. – La sécurité des données doit être assurée. L’hébergeur doit mettre en place des mesures et systèmes de contrôle destinés à empêcher les soustractions de données² ainsi que les fuites. Il doit donc disposer d’instruments informatiques visant à empêcher notamment les intrusions, mais il doit aussi former et sensibiliser ses employés concernant ces risques. De plus, des mesures de sécurité visant le personnel doivent également être adoptées et connues de celui-ci, en particulier afin de faire obstacle aux vols de données en interne.

9. – Tant la société que l’hébergeur devraient demander des conseils³ au Préposé fédéral à la protection des données et à la transparence (ou au préposé cantonal si c’est un organe de l’État qui souhaite utiliser les services d’un cloud privé). La démarche est judicieuse pour l’hébergeur, car cela peut constituer un gage de confiance supplémentaire auprès de ses clients. Pour la société, cela lui permettra notamment d’être sensibilisée à certaines problématiques.

Assurances

10. – Il serait avisé pour la société de conclure une assurance de protection juridique permettant de couvrir les frais d’un éventuel procès (pénal ou civil), afin d’éviter de vider la trésorerie ou de devoir renoncer à porter une affaire devant les tribunaux par manque de liquidités. En effet, si c’est elle la demanderesse, il lui reviendra de verser des avances de frais qui peuvent se chiffrer en milliers de francs.
Une assurance pertes d’exploitation devrait aussi être considérée afin de couvrir le cas où les données ne seraient plus accessibles suite à un dysfonctionnement du cloud. Dans une telle situation, les données étant indisponibles, c’est toute la société qui peut se retrouver paralysée, et donc subir des dommages comme une perte sur son chiffre d’affaires.

1. J’entends le terme « traiter » au sens légal issu de l’art. 3 de la loi sur la protection des données, à savoir « toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, la conservation, l’exploitation, la modification, la communication, l’archivage ou la destruction de données« .
2. Concernant la soustraction de données en droit suisse, voir cet article.
3. Selon le mandat du Préposé fédéral quant au secteur privé, il « agit avant tout en tant que conseil. Il explique notamment la loi sur la protection des données et ses ordonnances d’exécution, offre aide et conseil en matière d’enregistrement de fichiers, en cas de déclaration de flux transfrontières de données, ainsi que lors de l’octroi/l’exercice du droit d’accès« .

Cet article Choisir un cloud : dix conseils aux entreprises est paru sur François Charlet.

Casier judiciaire

Tout d’abord, quand l’État de Vaud engage (même temporairement) une personne – j’imagine que la démarche est similaire dans d’autres cantons –, cette personne doit remplir un court formulaire où elle jure sur l’honneur, la Constitution et la Bible que son casier judiciaire est vierge. Ce que j’ai fait.

L’État, maintenant qu’il est en possession dudit formulaire, me réclame un extrait de mon casier judiciaire (qui coûte CHF 20, d’ailleurs). De tous les contrats de travail que j’ai signés avec l’État de Vaud, c’est la première fois qu’on me demande un extrait de casier en plus de remplir le formulaire concernant l’absence d’inscription sur ledit casier. Absurde, je vous dis. Et inutile.

Pas de communication des données au sein du même service

Ensuite, l’État me demande toutes les informations nécessaires à mon engagement. Nom, prénom, âge, adresse, numéro AVS, copie de carte d’identité… La totale. Rien d’anormal. Je demande quand même pourquoi je dois fournir à nouveau ces informations puisque j’ai déjà travaillé pour l’État, que j’ai déjà communiqué ces informations au Service du personnel de l’État de Vaud, et qu’elles n’ont pas changé depuis. On me répond que les « sections » du Service du personnel ne se transmettent pas les informations entre elles et que les informations que j’avais fournies pour les précédents engagements ne sont pas traitées par la même section que celle à laquelle j’ai affaire dans le cas présent.

Bien. Si j’admets être à cheval sur les principes de la protection des données et que je n’aime pas (du tout) que mes informations personnelles passent de service en service sans raison, j’estime que mes données relatives à un engagement professionnel peuvent librement être communiquées à toutes les personnes du Service du personnel, quelle qu’en soit la « section ». C’est plus rapide, plus économe, ça génère moins de paperasse et de courriers inutiles, et ça embête moins le citoyen.

Enfin, histoire de conclure sur une note amusante, j’ai retrouvé dans Astérix Légionnaire une planche caricaturant parfaitement le fonctionnement de l’administration. Avec, en bonus, la maison qui rend fou, du dessin animé Les 12 travaux d’Astérix (merci @napster2core pour le lien). Bon weekend !

Cet article Ah, l’administration… est paru sur François Charlet.

La Cour de cassation, la plus haute instance judiciaire de France (l’équivalent du Tribunal fédéral en Suisse), a confirmé le 31 octobre dernier une décision de la Cour d’appel de Paris du 27 avril 2011. La Cour de cassation confirme le principe selon lequel des conditions générales ne sont pas opposables aux personnes qui ne les ont pas acceptées.

Les sociétés du groupe M6 offraient aux internautes un service de rattrapage (m6replay et w9replay) permettant à ces derniers de voir un programme qu’ils auraient manqué. Ce service était soumis à des conditions générales d’utilisation qui octroyaient aux internautes un droit d’usage privé du contenu qu’ils visionnaient. De plus, aucun lien hypertexte ne pouvait renvoyer directement au service de rattrapage sans l’accord exprès et préalable du service.

Ces conditions générales auraient été valables si les internautes avaient dû les accepter avant d’utiliser le service. La Cour d’appel avait constaté que « l’accès à la page d’accueil de m6replay et w9replay, aux menus et aux programmes à revoir est libre et direct et ne suppose ni prise de connaissance ni acceptation préalable des conditions générales d’utilisation ». En effet, ces dernières n’étaient « accessibles que par un clic sur un onglet de petite dimension, peu visible dans la partie inférieure de l’écran et désigné par les lettres CGU, sans doute pour conditions générales d’utilisation, abréviation peu signifiante en elle-même pour un internaute de curiosité moyenne [...] qui n’a aucune raison d’explorer cet onglet ».

La Cour d’appel a donc jugé que ces conditions générales n’étaient pas opposables aux internautes utilisant ce service web.

La Cour de cassation complète ce jugement en imposant que les internautes acceptent les conditions générales préalablement pour qu’elles aient valeur contractuelle. En effet, on ne peut affirmer qu’un internaute a accepté les conditions générales en supposant qu’il les a lues. En outre, une lettre de mise en demeure destinée à un internaute dans le but de le faire se conformer aux conditions générales (qu’il n’a pas acceptées)  »ne fait pas naître à la charge [de l'internaute] une obligation contractuelle de s’y conformer ».

Plus intéressant encore, le 23 mars 2012, la Cour d’appel de Pau (France) avait donné raison à un internaute dans un litige l’opposant à Facebook. La société impose contractuellement (dans ses conditions générales d’utilisation) le for juridique en cas de litige avec ses utilisateurs. Toutefois, selon la Cour, cette disposition « est noyée dans de très nombreuses dispositions dont aucune n’est numérotée. Elle est en petits caractères [...]. Elle arrive au terme d’une lecture de douze pages format A4 [...] et la prise de connaissance de ces conditions peut être encore plus difficile sur un écran d’ordinateur ou de téléphone portable, pour un internaute français de compétence moyenne ».

Ce jugement repose sur le texte légal du code de procédure civile français (art. 48) qui dispose que « toute clause qui, directement ou indirectement, déroge aux règles de compétence territoriale est réputée non écrite si elle n’est pas spécifiée de façon très apparente dans l’engagement de la partie à qui elle est opposée ».

Un argument supplémentaire pour des conditions générales lisibles et compréhensibles ?

Cet article France : des conditions générales non opposables aux internautes est paru sur François Charlet.

(Avant d’aller plus loin, je précise que je suis au courant qu’il est possible pour certains noms de domaine de masquer toutes les informations relatives au titulaire. En ce qui me concerne, c’est par choix que j’ai pris un nom de domaine en « .ch ».)

Ressources d’adressage

En Suisse, un nom de domaine (comme francoischarlet.ch) est une ressource d’adressage. Ces ressources permettent d’identifier les utilisateurs se servant d’outils de télécommunications afin d’acheminer les informations vers leurs terminaux. La ressource d’adressage la plus connue est le numéro de téléphone.

Une ressource d’adressage doit nécessairement être liée à une personne. De manière générale, cela se fait de façon contractuelle (un abonnement téléphonique chez un opérateur, par ex.). Comme des données personnelles sont collectées au moment de la conclusion du contrat, un lien direct est créé entre ces données et la ressource d’adressage.

Les ressources d’adressage sont traitées tant dans la loi sur les télécommunications (LTC) que dans l’Ordonnance sur les ressources d’adressage dans le domaine des télécommunications (ORAT).

Le Message du Conseil fédéral de 1996 (pp. 1392-1393) concernant la LTC disait ceci au sujet des ressources d’adressage :

Les ressources d’adressage sont un bien mathématiquement limité. [...] Les autres principes de base de la politique de numérotation sont l’attribution transparente et non discriminatoire, l’usage rationnel et judicieux des ressources d’adressage ainsi que l’adaptation de la réglementation et des plans de numérotation aux éventuels nouveaux services de télécommunication.

L’art. 28 LTC prévoit donc une attribution transparente (même s’il ne le dit pas expressément), ce qui implique nécessairement un conflit avec la protection des données. Toutefois, ces données personnelles liées à une ressource d’adressage ne doivent pas être considérées en lien avec une communication ; elles doivent être prises dans le sens où elles constatent un état, c’est-à-dire l’attribution d’une ressource d’adressage à un individu¹.

Pourquoi cette transparence ?

Alors qu’on autorise expressément – depuis l’entrée en vigueur de la LTC en 1997 – les individus à décider s’ils veulent figurer dans un annuaire téléphonique (art. 12d LTC), cette possibilité n’existe pas pour la base de donnée Whois pour les noms de domaine du « .ch ».

Les usagers doivent donc pouvoir décider eux-mêmes, compte tenu de la structure des annuaires, des données à faire figurer dans ces derniers. Ainsi la protection de la personnalité est renforcée. (Message du Conseil fédéral de 1996)

A l’inverse, l’art. 14h ORAT impose la publication des données que l’individu doit fournir afin de bénéficier d’un nom de domaine en « .ch ». Ainsi, « le nom complet du titulaire » et « l’adresse postale du domicile ou du siège du titulaire, indiquant le nom de la rue ou un numéro de case postale, la localité, le code postal, l’Etat ou la province (le canton pour la Suisse) et le pays » doivent être rendus publics et librement accessibles pour tout un chacun. La protection de la personnalité énoncée plus haut concernant les annuaires semblent avoir ici beaucoup moins de poids.

Cette transparence semble commandée par les modes alternatifs de règlement des différends (Alternative Dispute Resolution [ADR]). Les ADR permettent à une personne de demander une sorte d’arbitrage, en particulier dans le cas où elle doit faire face à un enregistrements de nom de domaine qui viole ses droits, en matière de propriété intellectuelle notamment.

Ce développement des ADR tient aux difficultés d’accéder à la justice (durée, complexité et coût des procédures, en particulier lors de litiges transfrontaliers avec des conflits de loi et de juridiction), difficultés qui se sont accentuées dans le monde immatériel, sans frontières et en rapide évolution de l’internet. (Message du Conseil fédéral de 2003 concernant la révision de la LTC, p. 7275)

Dès lors, et selon le règlement d’utilisation de la base de données Whois de Switch, cette base de données doit servir à vérifier si un nom de domaine est déjà enregistré ou non, et interroger les données concernant un nom de domaine afin d’identifier le détenteur de ce nom de domaine.

Les données à publier ont été sélectionnées parmi celles recommandées se trouvant dans le Rapport final concernant le processus de consultation de l’OMPI sur les noms de domaine de l’Internet (paragraphes 73 et 81). Leur disponibilité publique vient notamment de l’OCDE² qui explique que « l’identification facile des entreprises en ligne est un élément clé pour la confiance des consommateurs dans le marché électronique » de même que « l’importance de la transparence des entreprises pour la confiance du consommateur en ligne ».

Pourtant, en France…

Pourtant, en France, pour le « .fr », il est possible de masquer les données personnelles au public et de ne les révéler qu’à certaines conditions. L’AFNIC (Association Française pour le Nommage Internet en Coopération), sur cette page, explique qu’il est possible de ne pas rendre publiquement disponible dans la base de données Whois les informations liées à l’attribution du nom de domaine.

Cette protection des données personnelles pour les particuliers est même réalisée systématiquement par l’AFNIC. Les données personnelles (nom, adresse, téléphone, etc..) que vous avez fournies à l’enregistrement sont bien enregistrées mais elles sont remplacées par la mention « Diffusion restreinte » sur la fiche correspondant à votre nom de domaine dans l’annuaire Whois. Ces coordonnées sont accessibles, sur demande expresse et motivée, à la Direction juridique de l’AFNIC et sous conditions. Notez que cette protection ne s’applique pas aux coordonnées professionnelles fournies par le représentant d’une personne morale (titulaire, contact administratif ou contact technique).

S’il faut s’adresser au titulaire du nom de domaine, un lien dans la base de données Whois permet de remplir un formulaire qui enverra un e-mail au titulaire sans que ses données personnelles soient révélées au tiers. En cas de litige, le tiers pourra s’adresser à l’AFNIC (ou à un tribunal) afin de lever l’anonymat.

Si le système est évidemment moins transparent et implique de s’adresser à un organisme avant de pouvoir, le cas échéant, contacter le titulaire d’un nom de domaine, il a l’avantage de ne pas divulguer au monde entier nos noms et adresses postales. De plus, il ne me semble pas nécessaire de divulguer des données personnelles afin de prouver que le nom de domaine est déjà pris ; une simple réponse négative devrait suffire. Si cette dernière ne convient pas, il suffit de prendre les mesures qui s’imposent.

1. Bondallaz, Stéphane, La protection des personnes et de leurs données dans les télécommunications, Thèse, 2007.
2. Considérations du point de vue de la politique à l’égard des consommateurs sur l’importance d’avoir des données Whois exactes et disponibles

Cet article Base de données Whois : transparence vs protection des données est paru sur François Charlet.

En résumé, il suffisait que quelques milliers de personnes au moins (sur plus d’un milliard d’utilisateurs !) commentent la proposition de Facebook pour qu’un vote soit organisé. Si cette condition était remplie, tous les utilisateurs de Facebook étaient invités à voter sur le changement proposé. Si 30% au moins des utilisateurs participaient au vote, Facebook devait renoncer à appliquer le changement proposé.

Facebook justifie la suppression de ce vote démocratique pour deux raisons notamment :

1. – Aucun des changements proposés par Facebook n’a réuni suffisamment de personnes pour atteindre ces 30%, et très peu de propositions ont été soumises à ce vote. Une conclusion s’impose donc : les utilisateurs ne se sentent pas concernés. Il est également probable que Facebook n’ait (sciemment ?) pas assez communiqué sur ces propositions de changement, mais on peut douter que le résultat ait pu être différent dans le cas contraire.

2. – La majorité des utilisateurs ne faisait que copier/coller une sorte de lettre type dans les commentaires dans le but d’atteindre le seuil requis pour la mise sur pied du vote. D’ailleurs, sur la page proposant la suppression de ce vote, tous les utilisateurs ou presque copient/collent le texte suivant :

Cliquez ici pour afficher la lettre type

Sans vouloir revenir sur le contenu de ce texte – qui n’a d’ailleurs aucune valeur puisqu’en acceptant d’utiliser Facebook, l’utilisateur a consenti à ce que toutes les données qu’il fournit au service soient utilisées ; il ne peut pas en interdire l’utilisation à moins de rompre le contrat qui le lie à Facebook, ce qui ne peut se faire qu’en désactivant puis en supprimant son compte –, il faut bien admettre que les raisons invoquées par Facebook sont loin d’être mauvaises. Son idée de base, il y a trois ans, était même excellente, mais en pratique elle s’est heurtée à l’indifférence générale.

Les utilisateurs peuvent donc montrer leur mécontentement et pousser des cris d’orfraie, mais c’est un peu tard.

Cet article Facebook cesse son « expérience démocratique » est paru sur François Charlet.

Le précédent nom de domaine redirige actuellement vers ce site, le temps que vous puissiez vous mettre à jour. Mais ne tardez pas trop quand même, j’aimerais bien pouvoir supprimer cette redirection l’année prochaine.

Vous pouvez le voir, le site a toujours plus ou moins la même apparence. Je lui ai ajouté quelques icônes vers d’autres réseaux sociaux (sur la droite), ainsi que des pages supplémentaires (une pour mes autres publications ou les articles de presse, et l’autre avec mon CV, un peu caviardé). Et d’autres petits ajouts par-ci par-là.

A l’avenir, je n’utiliserai plus Google Analytics pour suivre les statistiques du site mais Piwik, logiciel gratuit et opensource, garantissant mieux la protection des données et l’anonymat des visiteurs.

Merci pour votre fidélité et bon weekend à toutes et tous !

Cet article Si vous lisez ceci, c’est que tout s’est (apparemment) bien passé ! est paru sur François Charlet.

Les deux GROS changements

Désormais, je n’écrirai plus sous pseudonyme mais sous ma véritable identité.

Le nom de domaine (l’adresse) de mon blog sera remplacé, mais une redirection vers la nouvelle adresse sera mise en place pendant quelque temps.

Les autres changements

Mon nom d’utilisateur sur Twitter sera modifié pour correspondre à mon identité.

Le thème du blog ne changera pas. Ce dernier sera toujours hébergé sur WordPress.

Mes publications resteront orientées principalement vers le droit et l’actualité juridique. Toutefois, tous mes articles publiés ici ne seront pas transférés. Beaucoup seront supprimés lors du transfert, en particulier les anciens qui n’avaient pas un lien (direct ou non) avec le droit.

Vous pourrez me suivre sur d’autres réseaux sociaux que Twitter, notamment Google Plus et LinkedIn.

Que devez-vous faire pour continuer à me lire ?

Pour mon blog, il suffira de mettre à jour vos signets, favoris et autres flux RSS en fonction de la nouvelle adresse du blog.

Pour Twitter, il n’y aura en principe rien à faire, vous resterez abonnés à mon compte qui ne fera que changer de nom.

Les abonnés par e-mail devront s’abonner à nouveau pour continuer à recevoir des alertes lors de nouveaux articles.

Quant à la page Facebook, elle sera supprimée. Sa renaissance n’est pas encore à l’ordre du jour, mais ça viendra peut-être.

Quand cela interviendra-t-il ?

Dans les premiers jours de décembre.

La nouvelle adresse du blog et le nouveau nom de mon compte Twitter vous seront communiqués ici et sur les réseaux sociaux en temps voulu.

Rien d’autre ?

Mon blog sera inaccessible le temps du changement et du transfert du contenu, ce qui ne devrait pas prendre plus d’une journée, je suppose.

Je vais donc tout bientôt tomber le masque, j’espère que vous vous accommoderez et que vous aurez toujours du plaisir et/ou de l’intérêt à lire mes publications. Je vous remercie pour votre fidélité et votre compréhension.

À bientôt !

Cet article Gros changements sur mon blog en décembre 2012 est paru sur François Charlet.

Je suis ce qu’on peut appeler un utilisateur occasionnel du service Evernote. Je m’en sers pour sauvegarder des idées, des listes de choses à faire (quand je ne me mets pas un rappel dans l’agenda), des sujets d’articles pour ce blog, des réflexions, des jugements et autres documents juridiques pour nourrir mes neurones. Entre autres.

La semaine passée, j’ai reçu un e-mail d’Evernote concernant des changements dans leurs conditions générales d’utilisation. Comme je le répète depuis longtemps, il faut lire ces documents, surtout quand ils sont modifiés. C’est donc ce que j’ai fait, et bien m’en a pris ! Chose à laquelle je ne m’attendais pas, le droit suisse est applicable pour les clients d’Evernote en dehors des Etats-Unis ! Mais ne nous emballons pas.

Que disent les nouvelles conditions générales (qui rentreront en vigueur pour tous le 4 décembre prochain) ?

Si ceci est un Contrat, quelles sont les parties prenantes ?

Vous êtes une partie prenante du contrat. Si vous résidez aux États-Unis ou au Canada, alors l’autre partie à ce contrat est Evernote Corporation, une société dont le siège se trouve en Californie. Si vous résidez en dehors des États-Unis ou du Canada, alors l’autre partie à ce contrat est Evernote GmbH, une filiale à part entière d’Evernote Corporation, dont le siège se trouve à Zurich, en Suisse.

Plus loin, on trouve ceci.

Quelle loi s’applique à mon utilisation d’Evernote ?

Si vous résidez aux États-Unis ou au Canada, les présentes Conditions et la relation entre vous et Evernote (y compris tout litige) sont régies, à tous égards, par les lois de l’État de Californie, aux États-Unis d’Amérique, telles qu’elles s’appliquent aux accords conclus et exécutés entièrement en Californie entre résidents californiens, sans égard aux dispositions concernant les conflits de lois.

Si vous résidez hors des États-Unis et du Canada, les présentes Conditions et la relation entre vous et Evernote (y compris tout litige) sont régies, à tous égards, par la législation suisse et doivent être considérées comme ayant été établies et acceptées en Suisse, sans égard aux dispositions de conflits de lois.

A vrai dire, ce genre de clause n’est pas inhabituel. Mais ça rassure un peu de se dire qu’Evernote est juridiquement plus proche de nous autres européens, alors que nombre de sociétés actives sur Internet nous sont séparées par une gigantesque flaque d’eau.

Ces dispositions sont donc rassurantes, mais existe-t-il un hic ? Oui. Il ne se trouve pas dans les conditions générales mais dans le mail d’explications que j’ai reçu et Evernote n’y peut pas grand-chose.

Le service Evernote et l’intégralité de ses serveurs continueront à être opérés par Evernote Corporation, située en Californie. Pour nos utilisateurs se trouvant dans la zone économique européenne, cela signifie qu’Evernote GmbH est le centre responsable de la protection des données.

Les données qu’on stocke via le service Evernote et les données personnelles qu’on fournit sont toutes hébergées aux Etats-Unis. Certes, Evernote a souscrit au Safe Harbor entre les Etats-Unis et l’Union européenne et entre les Etats-Unis et la Suisse.

Evernote se conforme au cadre « Safe Harbor » UE-USA et au cadre « Safe Harbor » USA-Suisse établi par le Département du commerce américain concernant la collecte, l’utilisation et la conservation des informations personnelles recueillies auprès des utilisateurs résidant en Union européenne et en Suisse. Nous avons certifié que nous adhérons aux Principes relatifs à la Protection de la Vie Privée du « Safe Harbor » : d’information, de choix, de transfert ultérieur, de sécurité, d’intégrité des données, d’accès et de mise en œuvre.

Cependant, rappelez-vous ce que j’ai expliqué sur Dropbox et Megaupload. Les données hébergées aux Etats-Unis fondent la compétence américaine dans certaines situations. Megaupload était basé à Hong Kong, mais comme plusieurs serveurs se trouvaient aux Etats-Unis, ceux-ci ont pu se saisir de l’affaire et faire fermer le service.

Je doute donc qu’un contrat stipulant que le droit suisse est applicable tant en matière contractuelle qu’en matière de protection des données empêche les Etats-Unis de s’intéresser à nos données et d’en obtenir l’accès, de gré ou de force (notamment grâce au Patriot Act ou à d’autres lois un tantinet liberticides et protectionnistes). Ces nouvelles dispositions ne s’appliqueront donc essentiellement qu’en cas de litige entre Evernote et un utilisateur. Dans les autres cas, le for de l’action devrait logiquement se trouver aux Etats-Unis si ces derniers constatent des infractions au droit d’auteur, par exemple.

De ce point de vue, l’initiative d’Evernote mérite d’être saluée. Doublement.

Un exemple à suivre.

[Complément d'information ajouté après publication]

La société Evernote basée en Suisse est une société à responsabilité limitée (Sàrl) qui est en fait une filiale détenue à 100% par la société mère. Selon le droit suisse (art. 663e CO), une filiale est une société dont le capital ou plus de la moitié des voix sont détenus par une autre société (appelée « société mère ») et qui répond à la direction de cette société. La société fille n’est donc pas indépendante, bien au contraire : elle est la propriété de la société mère, qui la gère.

Les données se trouvant aux mains de la société mère, en territoire américain, mais le contrat entre l’utilisateur et Evernote ayant été passé via la filiale suisse d’Evernote pour les clients hors USA/Canada, le contrat est soumis au droit suisse, de même que les données qui bénéficient de la législation suisse et européenne. C’est un énorme avantage pour les utilisateurs européens car en cas de problème ils pourront faire valoir leurs droits en Europe et bénéficier des garanties de procédure en Suisse.

Comme les conditions générales le précisent :

Sauf le cas où si notre litige se règlerait conformément à une procédure d’arbitrage [...], si vous ne résidez pas aux États-Unis ou au Canada, vous acceptez que toute réclamation ou litige que vous pourriez avoir contre Evernote soit résolue exclusivement par les tribunaux de district I de Zurich, Suisse. Vous acceptez de vous soumettre à la compétence des tribunaux situés à Zurich, en Suisse, afin de régler toutes les réclamations ou litiges.

Tout litige devrait donc se résoudre au moyen d’un arbitrage dont les conditions sont décrites dans les conditions générales ; dans le cas où l’arbitrage n’aboutirait pas, une action en justice (en Suisse) est finalement possible.

Cet article Evernote : le droit suisse est applicable, mais… [Actualisé] est paru sur François Charlet.

Le Conseil d’Etat vaudois a décidé de mettre fin à cette pratique qui, selon lui, était légale.

[Article original du 9 octobre 2012]

La nouvelle est tombée ce matin. Le Service des automobiles et de la navigation du Canton de Vaud (SAN) revend à des tiers privés certaines données que nous, citoyens vaudois, avons dû leur fournir afin d’obtenir le droit de circuler ou naviguer.

Selon les informations de la presse, dans ces données se trouvent en principe :

• la marque, le type voire la cylindrée de la voiture,
• le nom, le prénom, l’adresse, l’année de naissance, l’état civil, la nationalité, l’origine et la profession de la personne concernée ainsi que les autres personnes vivant dans le même ménage.

Le SAN vante la légalité de la manoeuvre. Pourtant, il se fourre le doigt dans l’oeil jusqu’au coude.

Comme je l’écrivais ici concernant les adresses IP sur Internet, le principe de finalité exprimé à l’art. 4 al. 3 de la loi fédérale sur la protection des données (LPD) exige que les données récoltées doivent être utilisées en conformité avec le but annoncé au moment de la collecte. La LPD n’oblige pas l’auteur du traitement à informer sur ce but, il suffit qu’il soit reconnaissable.

Il faut aussi que le traitement de données en question reçoive l’aval de la personne concernée sous la forme d’un consentement libre et éclairé (art. 4 al. 5 LPD) ? Si ce consentement peut être tacite, le SAN ne peut raisonnablement pas soutenir qu’une personne qui fournit (de bonne foi et en raison d’une obligation légale) ses données à un service de l’État afin de bénéficier du droit de conduire consent tacitement à ce qu’elles soient utilisées à des fins marketing.

De plus, les données personnelles d’autres personnes vivant dans le même ménage que la personne concernée ont aussi été transmises. Sans leur demander leur avis, et encore moins leur consentement.

Le préposé vaudois à la protection des données admet examiner cette pratique « depuis quelques mois » et qu’il y a « des clarifications à établir ». Si ce dernier point ne fait aucun doute, on peut se demander pourquoi il n’a pas pris des mesures plus tôt.

La loi vaudoise sur la protection des données personnelles (LPrD) – qui s’applique essentiellement aux organes de l’État de Vaud, comme le Grand Conseil, le Conseil d’État, l’administration, l’Ordre judiciaire, etc. (art. 3 al. 2 LPrD) – stipule que les données ne doivent être traitées que dans le but indiqué lors de leur collecte, tel qu’il ressort de la loi ou de l’accomplissement de la tâche publique concernée (art. 6 LPrD). L’existence de la base légale pour la collecte des données ne fait pas de doute, mais elle fait défaut pour leur transmission à des tiers privés. Quant à l’accomplissement d’une tâche publique, il est évident que la transmission de données personnelles à un tiers privé à des fins marketing ne constitue pas une tâche publique.

Partant, conformément à l’art. 38 LPrD, le préposé vaudois aurait dû demander au responsable du traitement de restreindre ou cesser immédiatement, de manière temporaire au moins, le traitement de données personnelles, le temps de déterminer si la communication des données est licite ou non. Au lieu de cela, une certaine passivité. Typiquement suisse, j’ai envie de dire.

Cette pratique est absolument choquante, surtout provenant d’un service de l’État, et devrait être dénoncée et condamnée avec fermeté.

[Ci dessous, un ajout demandé dans les commentaires]

Pour contacter le préposé vaudois à la protection des données, cliquez ici.

Pour demander au SAN de ne plus communiquer vos données à des tiers, remplissez ce formulaire et envoyez-le en recommandé à

Service des Automobiles et de la Navigation
Av. du Grey 110
1014 Lausanne

Pour demander l’accès et l’effacement de vos données à la société privée à qui vos données ont été communiquées par le SAN, voici des modèles de lettre à envoyer en recommandé à

BVA
chemin Maillefer 41
1052 Le Mont-sur-Lausanne

Cet article Le SAN vaudois revend nos données à des tiers [Actualisé] est paru sur François Charlet.

Sur Internet, il est plus que courant d’apercevoir les mentions « © Copyright – Tous droits réservés » et « Toute reproduction interdite » au bas des pages d’un site, notamment d’actualités. C’est tellement banal que son absence pourrait choquer, à tout le moins amener un internaute à se demander si le contenu publié est tout de même protégé.

Cette notice est-elle vraiment utile ? C’est ce que je vous propose d’éclaircir aujourd’hui.

Il faut savoir que, contrairement au droit des marques ou des brevets, le droit d’auteur naît dès le moment où une oeuvre est créée, si celle-ci correspond à la définition légale d’une oeuvre protégée.

Pour être protégée, une oeuvre doit être une création présentant un caractère individuel et appartenant au domaine littéraire ou artistique. La création s’oppose évidemment à la copie, le domaine littéraire correspond à celui faisant appel à un langage (codé ou non), et le domaine artistique intègre notamment la musique et le cinéma.

Ainsi, la loi ne requiert aucun enregistrement du droit d’auteur (comme pour une marque), ni aucun dépôt (comme pour un brevet). Dès lors, mentionner sur un site que « toute reproduction est interdite » ou que « tous les droits sont réservés » est totalement inutile pour « faire exister » un droit d’auteur sur le contenu du site.

Faire apparaitre le sigle © (ou notice de copyright) en y adjoignant le nom du ou des titulaires des droits d’auteur est issu du droit américain, et la tendance a été reprise partout ailleurs. En effet, aux Etats-Unis, ces indications étaient non négligeables pour que la protection de l’oeuvre soit assurée. Toutefois, elles ne sont pas une condition légale pour la protection d’une oeuvre.

Par contre, faire apparaitre les mentions « toute reproduction interdite », « tous droits réservés » ou « © Copyright – Nom du titulaire » revêt une autre utilité, bien qu’elle ne soit pas nécessaire non plus. Si la troisième permet de savoir qui est titulaire et donc à qui il faut s’adresser si l’on veut utiliser l’oeuvre (notamment la reproduire, la modifier ou la diffuser), les deux premières n’ont qu’un but de rappel pour les tiers.

En effet, dès le moment où une oeuvre est protégée, seul l’auteur a le droit de décider si, quand et de quelle manière son oeuvre sera utilisée. Un tiers n’est pas autorisé à reproduire, modifier ou diffuser l’oeuvre sans le consentement de son auteur, même si celui-ci ne mentionne pas sur son site que toute reproduction est interdite ou que tous les droits sont réservés.

De plus, ces deux mentions ne font pas obstacle aux exceptions légales du droit d’auteur, notamment celle de l’usage privé, du droit de citation ou du compte rendu d’actualité. L’auteur n’a pas à donner son consentement – et ne peut donc pas le refuser non plus – pour une utilisation légalement exceptée du droit d’auteur.

Par contre, si l’auteur accepte que son oeuvre soit utilisée dans son intégralité, et afin d’éviter d’être harcelé de demandes, il a tout intérêt à afficher publiquement à quelles conditions son oeuvre peut être librement utilisée. De cette manière, les tiers peuvent bénéficier d’une licence (plus ou moins étendue), ce qui ne les empêche pas de demander à l’auteur une extension de cette licence à une situation particulière non couverte par la licence de base.

Pour conclure, et répondre à la question en titre, il n’est absolument pas nécessaire d’afficher une quelconque notice de copyright sur votre site. Cependant, ce n’est pas un ajout inutile, surtout si votre métier (journaliste, photographe, etc.) en dépendant. Personnellement, je conseillerais plutôt de créer une page sur votre site où vous expliquez ce que les internautes peuvent faire ou non avec votre oeuvre, et ensuite de mettre un lien vers cette page en dessous de chaque article ou de chaque photo, par exemple. A mon avis, rien ne vaut quelques éclaircissements plutôt qu’un banal et standard « tous droits réservés ».

Cet article Faut-il afficher la notice de copyright © ? est paru sur François Charlet.

Mais Amazon en a-t-il le droit ?

Les faits

L’affaire est rapportée par un blog norvégien. Une cliente d’Amazon a vu son compte Amazon être fermé et son Kindle effacé à distance, sans préavis ou avertissement. Croyant à une erreur, elle contacte Amazon qui lui répond que son compte a été fermé, car il aurait été lié à un autre compte qui a été fermé pour cause de violation des conditions générales d’utilisation du service d’Amazon. Rappelant qu’Amazon a le droit de fermer tout compte et d’en supprimer le contenu à tout moment, comme bon lui semble, Amazon indique à cette cliente que si elle tente de rouvrir un compte, celui-ci sera immédiatement supprimé. Après plusieurs échanges, Amazon ne concède rien et recommande à la cliente de chercher un autre commerçant qui saura répondre à ses besoins. Amazon déclare qu’aucune autre explication ne sera donnée.

En d’autres termes, en un clic, son compte a été supprimé, son Kindle effacé, tous ses e-books retirés, sans aucune explication. (De plus amples informations sur le comportement de la cliente peuvent être trouvées ici.)

Différencier propriété et licence

Comme je l’avais déjà expliqué dans l’article sur le sort de notre musique numérique et de nos applications à notre mort, il existe une différence fondamentale entre le droit de propriété et une licence :

Lorsque nous achetons un CD, un DVD, ou un livre réel (en opposition à numérique, donc), nous acquérons la propriété du support de l’œuvre ou, autrement dit, d’un exemplaire de l’œuvre. Toutefois, nous n’acquérons pas la propriété de l’œuvre qu’ils contiennent ; nous obtenons une licence d’utilisation de l’œuvre. Cela signifie qu’au moment de l’achat, l’auteur de l’œuvre nous octroie automatiquement une licence sur son œuvre. En plus du contrat de vente entre le vendeur du support et vous, un contrat tacite de licence est également passé entre l’auteur de l’œuvre et vous (si le vendeur est un tiers).

Cependant, cette situation n’est pas valable dans le cas de l’achat d’un livre numérique sur Amazon, d’un morceau de musique ou d’une application sur iTunes. En effet, les produits que nous croyons acheter nous sont en fait concédés sous licence. Cela signifie qu’on ne nous donne pas un droit de propriété sur un exemplaire de l’oeuvre (livre, musique, logiciel, etc.), seul un droit d’utilisation nous est octroyé. Dans le cas des livres numériques, Amazon nous offre un droit de lecture.

Lisez les CGU !

On ne le répétera jamais assez. Les CGU (ou conditions générales d’utilisation, ou ToS soit Terms of Service) ne sont pas des documents anodins.

Les CGU interviennent en général dans le cas où une entreprise propose ses services ou produits à une grande quantité de personnes : dans une telle situation, l’entreprise ne peut raisonnablement pas rédiger et conclure un contrat individuel pour chaque client. Dès lors, on va standardiser ce contrat et créer des CGU qui seront annexées au contrat. Les CGU sont conçues par avance, ne font pas l’objet d’une négociation individuelle, et doivent être intégrées ou incorporées au contrat pour être valables. Le consommateur doit donc consentir à ce qu’elles soient incluses au contrat.

Le problème des CGU est qu’elles sont longues et compliquées à lire. Même un juriste peut s’y perdre facilement. En droit de la consommation (suisse et européen), il suffit que le consommateur ait pu prendre connaissance des CGU avant de conclure le contrat et qu’il les ait signées (ou qu’il ait signé un document renvoyant expressément aux CGU) pour qu’elles soient valables. Selon le principe de la confiance, si le consommateur a eu la possibilité de lire les conditions générales, mais qu’il les a signées sans les avoir lues, on considérera qu’il les a acceptées.

Il reste encore un écueil. Les CGU sont valables si elles ne contiennent pas de clause insolite. Une clause insolite répond à deux conditions. D’abord, une subjective, qui vise la partie inexpérimentée ou faible lors de la conclusion, c’est-à-dire qu’elle n’a pas pu s’attendre à ce que cette clause figure dans les conditions générales en raison de son inexpérience, ou celle qui n’avait pas le choix de contracter avec un autre professionnel. Puis, une objective, qui implique que la clause soit en contradiction avec les règles de la bonne foi¹. Une clause insolite peut être opposable au consommateur si elle a été valablement intégrée et mise en évidence, en droit suisse. En droit européen, une telle clause ne peut pas subsister : on estime qu’elle est inéquitable si le consommateur ne peut pas la négocier. En droit suisse, on ne vérifie donc que le consentement.

Le comportement d’Amazon se base-t-il sur une clause insolite ? Probablement pas. La pratique d’Amazon de ne concéder qu’une licence est très répandue et il revient au concédant de la licence de déterminer à quelles conditions elle est octroyée et à quelles conditions elle peut être révoquée. En achetant un e-book sur Amazon, le consommateur consent à ces conditions (exprimées dans les CGU), même s’il ne les a pas lues.

Enfin, Amazon doit-il donner des explications sur les raisons qui l’ont poussé à agir de la sorte ? Selon les CGU, non. Amazon a le droit de faire ce qu’il veut, dans les limites de ses CGU, avec les contrats de ses clients. Si cela peut paraitre choquant, ce n’est pas une situation exceptionnelle, d’autres plateformes ont des conditions similaires. De plus, comme le compte a été fermé à cause d’un lien avec un autre compte, le droit de la protection des données s’oppose à ce qu’Amazon communique à la cliente des informations sur le détenteur de l’autre compte.

Conclusion et recommandations

Cette affaire montre bien à quel point le consommateur est prisonnier et ne peut faire ce qu’il veut avec les « biens numériques » qu’il achète, et dont il croit, à tort, être le propriétaire.

Afin d’éviter ce genre de situation, le conseil que je peux vous donner est de sauvegarder régulièrement vos e-books, fichiers musicaux et applications sur un autre appareil que celui sur lequel vous lisez vos e-books ou écoutez votre musique. Changer le format du fichier (passer du format ePub au PDF, par ex.) est une sécurité supplémentaire.

1. Correction du 2.11.2012 selon le premier commentaire ci-dessous. Merci à son auteur !

Cet article Quand Amazon ferme votre compte et efface votre Kindle sans préavis est paru sur François Charlet.

Pourquoi et de quoi parle-t-on exactement ? La réponse dans la suite.

Siège de la matière aux USA

Les États-Unis sont les précurseurs de la « législation Internet », soit celle qui permet de sauvegarder et d’étendre le droit hors-ligne au domaine numérique. Après avoir fait face à plusieurs problèmes concernant la responsabilité des intermédiaires sur Internet (moteurs de recherche, hébergeurs, fournisseurs d’accès), les États-Unis ont adopté en 1998 le Digital Millenium Copyright Act (DMCA). Le DMCA règle plusieurs problèmes, notamment :

1. il incorpore au droit américain les traités internationaux de l’Organisation mondiale de la propriété intellectuelle (OMPI) ;
2. il impose des obligations aux intermédiaires afin de pouvoir bénéficier d’une immunité face aux actions de leurs clients (c’est-à-dire nous, les internautes) ;
3. il interdit le contournement des mesures techniques de protection des droits d’auteur (DRM), conformément aux traités de l’OMPI.

Conformément au § 1201 du Titre 17 de l’USC (United States Code) qui définit des exceptions à cette dernière interdiction, il revient au Librarian of Congress d’en déterminer l’applicabilité de façon périodique, après recommandation du Register of Copyrights, qui doit être consulté avec le Assistant Secretary of Commerce for Communications and Information.

C’est précisément ce qui vient d’être fait. Entre hier et l’automne 2015,  cinq nouvelles catégories de contournement des mesures de protection seront expressément autorisées. Toutefois, elles sont loin d’être toutes pertinentes…

1ère exception (livres numériques)

La première exception concerne les oeuvres littéraires distribuées électroniquement et qui sont protégées par des mesures techniques destinées soit à empêcher l’activation de fonctionnalités de lecture orale soit à interférer avec des lecteurs d’écran ou d’autres applications ou technologies d’assistance.

Cependant, pour que l’exception soit applicable, il faut notamment que la copie de l’oeuvre ait été légalement acquise par une personne aveugle ou handicapée (par ex. malvoyante, comme défini au § 121 du Titre 17 USC), ce qui suppose que l’ayant droit de l’oeuvre soit rémunéré de façon appropriée pour le prix de la  vente de la copie de l’oeuvre qui a été rendue disponible au public par les voies usuelles.

Ainsi, les personnes handicapées de la vue sont autorisées à contourner les DRM. Cette exception est spécialement motivée par le fait que le marché du e-book est fragmenté – tous les titres disponibles sur iOS ne le sont pas forcément sur Kindle, Nook, Android, et vice versa –, obligeant les personnes handicapées à posséder plusieurs appareils pour disposer d’un large choix de livres numériques.

À mon avis, cette exception est plus qu’une excellente nouvelle, même s’il me semble absurde qu’elle n’existasse pas déjà.

2ème exception (jailbreak d’un téléphone portable)

Le droit américain autorise désormais le contournement d’un logiciel qui permet à des appareils de téléphonie mobile d’exécuter des logiciels (ou apps) obtenus légalement, dans le cas où le contournement est réalisé dans le seul but de permettre l’interopérabilité avec d’autres logiciels sur l’appareil de téléphonie mobile. Pour simplifier, le jailbreak est autorisé aux États-Unis, mais seulement pour les « appareils de téléphonie mobile ». De plus, le rapport mentionne qu’aucun lien significatif entre le jailbreak et le piratage d’applications ne peut être démontré.

Les tablettes ont été exclues, car de nombreux appareils peuvent être considérés comme des « tablettes », notamment une console de jeux vidéo portable voire un ordinateur portable. En résumé, c’est parce qu’il n’existe pas de base suffisante pour définir précisément un appareil de type « tablette » que l’exception de jailbreak n’a pas été étendue aux tablettes.

Une démarche (trop) prudente…

3ème exception (déblocage d’un téléphone portable)

Comme le Librarian of Congress le rappelle, il avait permis en 2006 et 2010 aux utilisateurs de débloquer leurs téléphones portables pour pouvoir les utiliser sur le réseau d’un autre opérateur. Si cette exception a été renouvelée, c’est avec une grosse limitation : seuls les programmes d’ordinateur sous la forme de micrologiciels ou de logiciels qui permettent à un appareil de téléphonie mobile acquis à l’origine auprès d’un opérateur au plus tard 90 jours après l’entrée en vigueur de cette exception de se connecter à un réseau différent sont concernés. Autrement dit, les téléphones déjà achetés bénéficient de l’exception, ainsi que ceux qui seront achetés jusqu’à fin janvier 2013. Au-delà, il faudra l’autorisation de l’opérateur pour débloquer le téléphone.

Il y a deux raisons à ce changement. Tout d’abord, un jugement rendu en 2010 par la Cour d’appel du 9ème Circuit (Vernor v. Autodesk, Inc., 621 F.3d 1102, 9th Cir., 2010) qui affirme de l’utilisateur d’un logiciel n’en est pas le propriétaire, seulement un licencié selon les termes de l’accord de licence (EULA, CGU, etc.). Selon le Librarian of Congress, cette seule phrase écarte l’affirmation selon laquelle débloquer son téléphone doit être assimilé à un fair use, autrement dit à un usage raisonnable.

Ensuite, et c’est le point le plus discutable à mon avis, le Librarian of Congress a estimé qu’il y a des alternatives au contournement des DRM, bien qu’il reconnaisse que tous les téléphones ne sont pas débloqués et que tous les opérateurs n’ont pas des politiques de déblocages libres de toute restriction.

Ce dernier point me chiffonne, car le Librarian of Congress justifie sa limitation de l’exception par le fait qu’actuellement les opérateurs semblent permettre de plus en plus facilement le déblocage. Or il est plus que probable que la limitation de l’exception renforce la position des opérateurs face à leurs clients, rendant ceux-ci encore plus captifs de leur opérateur.

Une question surgit aussi : que viennent faire les DRM (autrement dit, le droit d’auteur) dans une affaire concernant le déblocage d’un téléphone portable ? À mon avis, rien. L’économie américaine repose tellement sur la propriété intellectuelle que les DRM doivent ici servir d’alibis pour restreindre la concurrence. Voire empêcher les utilisateurs de changer d’appareils. J’avais déjà parlé du mésusage du droit d’auteur dans des situations où il n’a rien à y faire.

4ème exception (rip de DVD)

C’est l’exception la plus compliquée, et aussi la plus longue. Pour la résumer, il sera légal aux États-Unis entre aujourd’hui et l’automne 2015 de ripper un DVD afin d’utiliser de courts passages du film dans le but de réaliser une critique ou un commentaire dans des vidéos non commerciales, dans des films documentaires, dans un livre numérique multimédia offrant une analyse du film, et dans le cadre pédagogique des études (universitaires ou autres) de cinéma ou d’autres études qui requièrent une analyse pointue des extraits du film. La même exception s’applique pour la distribution de films en ligne.

Cette exception n’est pas surprenante même si elle semble limiter fortement ce qu’on peut faire avec un DVD ou un film acheté en ligne. Pourtant, elle ne fait que consacrer expressément des situations où il sera légal de contourner les DRM des fichiers, ces situations ressortant en général du fair use.

Toutefois, le Librarian of Congress n’a pas autorisé le fait de contourner des DRM pour ripper un DVD afin de regarder le film sur un appareil incapable de lire le DVD ou ne disposant pas de lecteur DVD. Il a notamment retenu comme argument qu’aucun tribunal n’avait admis une telle pratique comme du fair use. De plus, il a tenu compte du fait que le Register of Copyrights faisait observer que la loi ne garantissait pas l’accès à du contenu protégé par le droit d’auteur dans le format préféré ou selon la technique préférée de l’utilisateur.

On peut s’étonner d’un tel argument, alors qu’on devrait pouvoir admettre le fair use dans une situation de ce genre. Si on appliquait ce raisonnement au domaine musical, cela signifierait que les gens qui ripent un CD pour l’écouter sur leur lecteur MP3 commettraient un acte illégal… Un tribunal ne pourrait cependant pas se prononcer sur la question du fair use puisque le contournement des DRM est déclaré illégal par le Librarian of Congress quel que soit l’usage qui est fait de l’oeuvre.

5ème exception (décryptage d’un DVD pour personnes handicapées)

Comme pour la première exception, il s’agit de permettre aux personnes développant des appareils destinés aux personnes handicapées de la vue ou de l’ouïe de contourner des DRM.

Là encore, on ne peut qu’applaudir cette exception, bien qu’elle tombe aussi sous le sens.

Conclusion

Cette liste d’exception montre que des progrès sont faits pour les personnes handicapées. Pourtant, si le DMCA est une loi importante pour le développement d’Internet (cf. la section sur la responsabilité des intermédiaires), le système qu’il prône dans le domaine des DRM et de leur contournement est loin d’être parfait.

Il suffit d’en juger par ce procédé d’établissement d’exceptions : il se fait au cas par cas, pour une durée de trois ans. Certes, les États-Unis sont un pays de common law : on dégage les règles de droit à partir de cas, et non l’inverse comme nous le faisons en Europe. Les deux systèmes ont leurs avantages et leurs inconvénients. Pourtant on peine à saisir pourquoi il est illégal de jailbreaker une tablette alors qu’on peut le faire pour un téléphone portable. Les raisons invoquées par le Librarian of Congress sont loin d’être satisfaisantes et, c’est un comble, on y voit l’ombre de l’arbitraire.

Cet article USA : légalité du jailbreak d’un smartphone mais pas d’une tablette, entre autres est paru sur François Charlet.

Selon l’IPG, les organismes de presse « ont massivement investi dans la presse en ligne et dans l’édition numérique » afin de « contribuer à l’intérêt général » et de « satisfaire un besoin toujours plus accru d’information ». La valeur de leur travail serait « captée » par certains acteurs de l’Internet (notamment Google, pour ne pas le citer), ce qui empêche les organismes de presse de bénéficier de « retombées positives de [cette] valeur ». Il conviendrait donc d’équilibrer la protection des investissements par les organismes de presse et la diffusion de l’information.

Le contexte

Les organismes de presse utilisent de plus en plus les moyens qu’offre Internet pour (vendre et) diffuser de l’information. En général, ils publient leur travail sur leur site web dont l’accès est libre ou payant, selon les journaux.

De son côté, Google (ou d’autres services) via sa plateforme Google Actualités « recueille les grands titres provenant de plus de 500 sources d’actualités en langue française dans le monde entier, regroupe les articles par thème et les affiche en fonction des intérêts de chaque utilisateur ». Les articles sont référencés et classés par rubriques, puis par sujet. L’utilisateur peut donc facilement et rapidement trouver plusieurs sources d’informations traitant du même sujet.

Les organismes de presse français accusent Google de s’accaparer leurs recettes publicitaires en utilisant leur travail, alors que Google rétorque qu’il génère plus de quatre milliards de clics par mois pour ces mêmes organismes de presse. On se retrouve face à un serpent qui se mord la queue puisque les sites des organismes de presse auraient sans doute moins de visiteurs sans Google, et Google ne gagnerait pas d’argent voire pourrait fermer son service Google Actualités sans le travail des organismes de presse.

Le problème

Il ne fait ici aucun doute que ce n’est pas le référencement dans Google Actualités qui pose problème aux organismes de presse. En effet, comme le rappelle Stéphane Koch, Google n’indexe que ce qu’on l’autorise à indexer. Un organisme de presse peut facilement interdire à Google Actualités de référencer son site et aussi de demander le retrait de son site de Google Actualités. De plus, Google propose son service First Click Free qui permet de consulter de manière limitée des articles d’un organisme de presse même si celui-ci propose ses informations contre abonnement sur son site.

Ce qui dérange, c’est que Google n’investisse rien et ne prenne pas part à la création des contenus alors qu’il en récupère une grande partie des revenus publicitaires.

Le projet de loi

Le projet soumis au gouvernement français propose d’instaurer un droit voisin pour les organismes de presse. Un droit voisin (du droit d’auteur) a pour but de protéger les prestations des artistes interprètes, les enregistrements des producteurs de phonogrammes ou vidéogrammes et les émissions des organismes de diffusion (art. L211-1 et suivants du Code de la propriété intellectuelle ; art. 33 et suivants de la loi fédérale sur le droit d’auteur et les droits voisins (LDA)). En d’autres termes, un droit voisin concerne des prestations qui ne répondent pas à la définition d’une oeuvre protégée, mais qu’on protège quand même en raison des investissements réalisés ou du travail artistique effectué.

Ainsi, le projet ajouterait un nouvel article L218-1 au Code de la propriété intellectuelle afin que les organismes de presse bénéficient aussi des droits voisins. Cela leur permettrait de pleinement gérer la diffusion de leurs contenus. Cette disposition imposerait à toute personne voulant reproduire, mettre à disposition du public par la vente, l’échange ou le louage, ou communiquer au public, y compris en ligne, de tout ou partie des contenus de presse édités par un organisme de presse, de requérir l’autorisation de ce dernier avant de procéder aux actes ci-dessus. Le droit voisin durerait cinq ans dès la première publication des contenus, selon le nouvel article L211-4 du Code de la propriété intellectuelle.

Le projet de loi contient plusieurs dispositions concernant les liens hypertextes (art. L218-2, L218-3 et L218-4 du Code la propriété intellectuelle). Les organismes de presse ne pourraient pas s’opposer à l’utilisation de liens hypertextes permettant aux internautes d’accéder aux contenus librement accessibles sur leurs sites web. À certaines conditions toutefois, une rémunération doit être versée aux organismes de presse pour l’utilisation de ces liens hypertextes, notamment si le lien est utilisé par un moteur de recherche ou un agrégateur, que ces services soient offerts gratuitement ou non au public français. La rémunération doit être « équitable et forfaitaire », et doit être négociée par les « organismes représentatifs [...] des organismes de presse [et] des prestataires de la société de l’information ».

Pourquoi l’idée n’est pas mauvaise, mais potentiellement dommageable

Sans prétendre saisir tous les enjeux économiques de l’affaire (après tout, je suis juriste), je pense que même si l’idée est séduisante sur le papier pour la presse, cette dernière risque gros.

Jusqu’à maintenant, la presse offrait (ou offre encore) son contenu gratuitement sur leur site – moyennant quelques encarts publicitaires –, alors que l’édition papier du même contenu est payante. Ce modèle tend à disparaître. De façon à assurer sa survie, il ne fait aucun doute que la presse est et sera obligée de demander à ses lecteurs de payer pour consulter ses sites web. Le défi est de taille, car la gratuité de l’information est un phénomène dur à déraciner. Les recettes publicitaires diminuent, les tirages baissent, le nombre d’abonnés fluctue en général à la baisse…

À l’époque, la presse pensait que la publicité serait rentable sur Internet. Malheureusement, alors que la presse papier sert d’intermédiaire dont les annonceurs ont besoin pour atteindre le public, il existe d’autres intermédiaires sur Internet, notamment les moteurs de recherche et les agrégateurs. La presse a mis beaucoup de temps, trop de temps à s’adapter, cherchant à mettre en avant son contenu plutôt qu’à développer des solutions technologiques, par exemple. Les revenus de la publicité en ligne ont explosé au point de dépasser ceux de la publicité « traditionnelle ». Pour la presse, le problème se situe exactement là : la grande part des revenus de la publicité en ligne sont passés sous son nez, allant directement dans la poche de ces nouveaux intermédiaires¹.

Dès lors, il ne semble pas farfelu et encore moins injuste de demander, voire forcer ces intermédiaires à reverser une partie des revenus qu’ils ont subtilisés. Certes, on dira que c’est la loi du marché, de la concurrence, etc. Mais réaliser des gains en utilisant le travail d’autrui – même si c’est légal et que les intéressés y consentent, probablement à contrecoeur – n’est pas juste. Google n’a pas participé à la création du contenu, il ne mérite pas d’obtenir tous les revenus, même si c’est grâce à lui que les sites web de la presse reçoivent des visiteurs – qui consultent voire cliquent sur les publicités. Google amène donc des internautes, et potentiellement de l’argent à la presse. Mais apparemment pas assez pour cette dernière…

Toutefois, taxer Google pourrait avoir des effets négatifs immédiats. Google étant une entreprise privée et non pas un service public, il a toute discrétion quant à savoir quel site référencer ou non. Ses menaces de déréférencement de la presse française en cas d’adoption du projet de loi ne devraient pas être prises à la légère. Google « ne peut accepter que l’instauration d’un droit voisin pour le référencement de sites de presse français mette en cause son existence même et serait en conséquence contraint de ne plus référencer les sites français », dit-il dans son courrier d’octobre au gouvernement français. Même si j’ai des doutes sur l’extinction de Google au cas où le projet de loi passerait la rampe, il est possible que ce type d’actions lui porte préjudice si d’autres pays se passaient le mot.

Je ne peux pas chiffrer ce que quatre milliards de clics par mois (selon les dires de Google) peuvent représenter pour la presse française en terme d’abonnements ou de revenus publicitaires. Le chiffre semble monstrueux. Mais comme je le disais plus haut, Google permet aux sites de presse d’être mis en avant, et la perte de ce « soutien » pourrait péjorer leurs revenus, notamment publicitaires. Néanmoins, ce n’est pas la conclusion à laquelle arrive la presse brésilienne. Pour elle, « rester avec Google n’a pas aidé à développer [son] audience en ligne » et « fournir les premières lignes de [ses] articles aux internautes réduit les chances qu’ils viennent lire l’article entier sur le site du journal ».

Conclusion

Le sujet est très épineux, et je pense que seule une négociation avec Google pourrait aboutir à quelque chose de satisfaisant. Il est important de lui faire comprendre qu’il n’est plus acceptable que le contenu qu’il agrège et vers lequel il redirige ne profite qu’à lui, ou presque. On peut reprocher à la presse sa passivité, sa lenteur d’adaptation, mais pas de vouloir être rémunérée pour son contenu.

Quant aux organismes de presse qui soutiennent cette taxe, ils devraient se demander combien de visiteurs Google leur amène chaque mois, et ensuite déterminer s’ils peuvent survivre sans. Car il ne fait presque aucun doute que Google mettra à exécution ses menaces (en tout cas temporairement). Au Brésil, la presse a décidé d’elle-même, sans en appeler à l’Etat, de se déréférencer de Google puisque ce dernier ne voulait pas reverser une partie de ses revenus à la presse. Certains parlent d’action suicidaire, l’avenir nous le dira.

En guise de chute, je vous reproduis une extrait d’un éditorial publié sur le site Audiofanzine :

Les gens de la presse papier, sans doute galvanisés par ceux du livre et bien décidés à préserver leurs revenus décroissants depuis l’apparition du web, se demandèrent si, après tout, il était si normal que cela que Google se serve allégrement dans leurs contenus pour alimenter son portail Google News, sans reverser quoi que ce soit à qui que ce soit. Et ils demandèrent aux politiciens français l’instauration d’une taxation des revenus de Google à leur profit… Et c’est à cet instant précis que le visage affable du roi changea d’expression et qu’il tapa de sa royale main sur la table des non-négociations : « Si vous ne voulez pas me donner gratuitement du contenu en échange du trafic que je vous apporte, je peux tout aussi bien vous déréférencer de mon moteur ! De la sorte, vos contenus seront invisibles pour 90 % des internautes français et on verra bien, alors, qui a besoin de qui ! »

N. B.

J’aimerais prévenir mes lecteurs que nombre d’exemples visant à défendre Google et critiquer la presse pullulent sur Internet. On parle de « rémunérer les restaurants qui seraient mentionnés dans des guides gastronomiques », de « rémunérer les sites vers lesquels des guides dirigent les touristes », etc. Ce genre d’exemples est inadapté. Les guides créent leur propre contenu, rédigent eux-mêmes une critique, contrairement à Google qui utilise le travail d’autrui sans créer quoi que ce soit. Selon le principe de la taxe Google, un ouvrage qui ne fait que copier la carte d’un restaurant sans y ajouter aucun autre contenu pourrait devoir reverser une partie de ses revenus.

Google a même employé l’exemple du conducteur de taxi qu’on taxerait (!) car il emmène des clients manger dans un restaurant particulier. J’avoue ne pas saisir l’analogie. A moins que le conducteur présente aux clients une liste de restaurants et que les premiers décident d’aller dans l’un d’eux sur la base de cette liste. Et encore… La comparaison me semble vraiment douteuse.

1. Source : http://pewresearch.org/pubs/1924/state-of-the-news-media-2011

Cet article Taxer Google pourrait desservir la presse est paru sur François Charlet.

Le cadre juridique international

En ce qui concerne la protection des données à l’échelon européen et/ou international, plusieurs textes doivent être pris en compte.

Tout d’abord la Convention européenne des droits de l’homme (CEDH) qui, à son article 8, protège la vie privée et familiale, le domicile et la correspondance. La CEDH ne consacre pas expressément la protection des données, mais on a intégré celle-ci à l’art. 8 CEDH.

Le Pacte international de l’ONU relatif aux droits civils et politiques (abrégé : Pacte ONU II) ne protège que la vie privée, sans mentionner la protection des données à son art. 17. Toutefois, l’Assemblée générale de l’ONU a adopté une résolution le 14 décembre 1990 qui fixe certains principes généraux en matière de fichiers personnels informatisés.

En Europe, la Convention de 1981 (appelée : Convention 108) protège l’individu en obligeant les États parties à la Convention à adopter certains principes minimaux de protection dans leur législation concernant la transmission de données à d’autres États parties à la Convention.

Toujours en Europe, la Charte des droits fondamentaux de l’Union européenne consacre expressément la protection des données à caractère personnel à son art. 8.

Enfin, la Directive 95/46/CE, adoptée avant la Charte, traite de la protection des données et fixe les grands principes applicables dans l’Union européenne. La Suisse a repris ces principes dans sa législation.

Le cadre juridique suisse

Trois textes sont particulièrement importants en Suisse.

Premièrement, la Constitution fédérale (Cst) de 1999 qui consacre à son art. 13 le droit à la protection de la sphère privée ainsi que la protection des données. Cette disposition qui protège le « droit à l’autodétermination informationnelle » a au moins deux fonctions : une « corrective » qui permet de repousser une atteinte à ce droit fondamental, et une « préventive » qui attire l’attention des autorités quant au respect des données personnelles des citoyens. Comme c’est un droit fondamental, celui-ci peut être restreint moyennant que les conditions de l’art. 36 de la Constitution fédérale soient remplies. De plus, ce droit s’adresse aux autorités et n’a pas un effet horizontal, ce qui signifie qu’un citoyen ne peut invoquer ce droit fondamental à l’encontre d’un autre citoyen.

Ensuite, la loi fédérale sur la protection des données (LPD) qui concrétise le droit fondamental de l’art. 13 Cst. De par sa terminologie neutre technologiquement, la LPD concerne toute forme de traitement de données. Elle institue également de nouveaux organes, notamment le Préposé fédéral à la protection des données et à la transparence (PFPDT).

Enfin, l’ordonnance d’application de la LPD, l’OLPD. Son rôle est essentiellement de nature administrative et ne concerne pas vraiment l’aspect privé de la protection des données qui est essentiellement régi par la LPD.

(Un quatrième texte existe, l’ordonnance sur les certifications en matière de protection des données, OCPD, mais comme l’OLPD, il ne nous intéressera pas ici.)

Quelques définitions

La LPD cherche notamment à protéger la personnalité, de la même manière que le font les art. 28 et suivants du Code civil suisse (CC). Pour que la personnalité soit atteinte, il faudra un traitement de données illicite qui ne peut pas être justifié pour une raison particulière. Par « traitement de données », on entend le traitement de données automatisé et manuel, autrement dit tout traitement de données. La LPD protège les données des personnes physiques et des personnes morales (art. 3 lit. b LPD).

Un traitement de données réalisé par une personne physique et destiné à un usage strictement personnel sans qu’aucune communication des données ne soit faite à des tiers n’est pas soumis à la LPD (art. 2 al. 2 lit. a LPD).

La notion de données personnelles est très large et englobe toutes les données faisant référence à une personne (art. 3 lit. a LPD). La LPD distingue entre les données ordinaires et sensibles (art. 3 lit. c LPD), et traite aussi des profils de la personnalité (art. 3 lit. d LPD). Une donnée personnelle doit se rapporter à une personne identifiée ou identifiable.

Un traitement de données consiste en toute opération relative à des données personnelles (art. 3 lit. e LPD), que l’opération soit active (comme la collecte) ou passive (comme la conservation).

La communication des données est le fait de rendre ces données accessibles à des tiers (art. 3 lit. f LPD). La communication est une forme de traitement de données ; elle est spécialement définie, car c’est une phase extrêmement dangereuse puisque les données vont quitter la maîtrise d’une personne pour aller chez un tiers. Une simple mise en ligne de données constitue une communication, même si l’accès aux données est limité à certaines personnes déterminées. De plus, dans cette situation, le récipiendaire de la communication va choisir quelles données « se communiquer ».

Un fichier est un ensemble structuré de données personnelles contenant des données sur deux personnes au moins (art. 3 lit. g LPD). Au vu du développement de l’informatique, on peut raisonnablement admettre que toutes les données se trouvent actuellement dans des fichiers ; toutefois, le terme « fichier » dans la LPD doit être compris au sens général, il ne désigne pas nécessairement un fichier informatique.

Le maitre de fichier est la personne privée (ou l’organe fédéral) qui décide de la création, du but et du contenu du fichier ainsi que les traitements de données qu’on y fera (art. 3 lit. i LPD). C’est auprès de lui qu’on fait valoir le droit d’accès aux données personnelles (art. 8 LPD). Le fait de simplement mettre à disposition une infrastructure technique n’est pas suffisant pour être qualifié de maitre de fichier.

Les principes de la LPD

La LPD pose une série de principes fondamentaux qui s’appliquent tant aux personnes privées qu’aux organes fédéraux.

Le traitement de données doit respecter la loi (principe de licéité ; art. 4 al. 1 LPD).

Il doit également respecter le principe de la bonne foi (art. 4 al. 2 LPD et art. 2 CC). Ce principe implique notamment qu’un intérêt raisonnable doit exister pour le traitement des données et que les assurances données au moment de la collecte sont et seront respectées.

Le principe de proportionnalité (art. 4 al. 2 LPD) implique que le traitement doit être adéquat, apte et nécessaire pour atteindre le but recherché. Si un traitement moins intrusif ou plus léger permet d’atteindre ce but, il doit être appliqué. Il faut impérativement choisir le traitement portant l’atteinte la moins grave.

Le principe de finalité (art. 4 al. 3 LPD) cherche à s’assurer que les données récoltées seront traitées conformément au but indiqué lors de la collecte. Une fois le but de la collecte fixé, il ne peut plus être modifié ou remplacé sauf si la loi l’impose ou si un motif justificatif existe (par exemple le consentement des personnes touchées). La finalité du traitement peut être prévue par la loi (par exemple, art. 330a du Code des obligations, concernant le certificat de travail pour un employé).

La collecte et le but du traitement doivent être reconnaissables (art. 4 al. 4 LPD), c’est-à-dire qu’on doit s’en rendre compte. De plus, il faut qu’on sache qui sera le maitre de fichier, à qui les données collectées seront communiquées, si les données demandées sont obligatoires ou facultatives, etc. L’étendue de ce principe dépend surtout des circonstances. La LPD n’oblige pas l’auteur du traitement à informer expressément les individus concernés, bien qu’il ait tout intérêt à le faire.

Enfin, le consentement est en général requis pour justifier un traitement de données (art. 4 al. 5 LPD). Ce consentement doit être libre et éclairé : la personne doit comprendre et accepter le traitement de données, ainsi que posséder toutes les informations nécessaires pour consentir. Le consentement peut être tacite, oral, écrit, etc., mais il doit impérativement être explicite quand le traitement touche des données sensibles. Le consentement peut en principe être révoqué en tout temps (art. 27 CC).

L’adresse IP est-elle une donnée personnelle ?

Une adresse IP constitue une ressource d’adressage au sens de l’art. 3 lit. f de la loi fédérale sur les télécommunications (LTC). Tout ordinateur se connectant à Internet se voit attribuer et est identifié par une adresse IP sans laquelle aucun échange de données ne serait possible sur Internet. Il existe deux types d’adresses IP : statiques et dynamiques. De manière générale, un utilisateur qui se connecte à Internet au moyen d’un FAI tel que Cablecom ou Swisscom se verra attribuer une adresse IP dynamique. Celle-ci lui sera donc attribuée durant une période limitée et sera attribuée à un autre utilisateur à la fin de cette période, et ainsi de suite. Ce procédé autorise une rotation des adresses puisque les réserves d’adresse IPv4 sont épuisées. L’adresse IP statique est attribuée pour une période beaucoup plus longue, voire « une fois pour toutes » pour les infrastructures DNS.

Une personne est-elle identifiée ou identifiable du seul fait de l’utilisation d’une adresse IP ? À n’en pas douter, l’adresse IP (statique ou dynamique) est une donnée personnelle pour un FAI puisqu’il l’attribue à l’un de ses clients au sujet duquel il détient d’autres informations servant notamment à la facturation. Pour un tiers privé, si l’adresse IP est statique, il ne fait pas de doute que l’utilisateur est au moins identifiable, ce qui implique que l’adresse IP statique est une donnée personnelle. Par contre, l’identification d’une personne utilisant des adresses IP dynamiques sera beaucoup plus difficile en utilisant ce seul paramètre. L’aide du FAI ou le recoupement avec d’autres données sera en principe indispensable pour identifier une personne. Ainsi, prise individuellement, l’adresse IP dynamique n’est pas une donnée personnelle pour un tiers privé. Mais conjuguée à d’autres données complémentaires (cookies, compte utilisateur, etc.), elle devient une donnée personnelle.

Cette distinction n’aura sûrement plus lieu d’être lorsque les appareils du monde entier (en tout cas, de Suisse) seront tous passés en IPv6. L’utilisation d’un adressage dynamique ne devrait plus être nécessaire, ce qui posera certainement un problème pour la protection des données puisque l’IPv6 sonnerait le glas des adresses IP temporaires.

En résumé, une adresse IP constitue une donnée personnelle pour les FAI, ainsi que pour les autorités puisqu’elles peuvent exiger l’identification de l’individu selon les art. 14 et 15 de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT). Pour un tiers privé, l’adresse IP statique seule est une donnée personnelle à l’inverse de l’adresse IP dynamique prise isolément.

Dans l’affaire Logistep, le Tribunal fédéral a été bien plus souple et a considéré que l’adresse IP dynamique est une donnée personnelle pour un tiers privé, car il est possible d’identifier un individu a posteriori, soit après la collecte de l’adresse IP, via une procédure lourde et longue (dépôt d’une procédure pénale contre X, enquête des autorités de poursuite pénale, consultation du dossier par les ayants droit pour identifier l’individu, mais pas forcément l’utilisateur effectif au moment de la collecte de l’adresse IP, etc.).

Communication de l’adresse IP à des tiers ?

Un FAI a-t-il le droit de communiquer une adresse IP à un tiers ? En principe, non. De la même manière que les données personnelles collectées par le FAI à notre sujet pour établir les factures ou pour nous fournir ses services, les adresses IP ne peuvent être communiquées à des tiers qu’à des conditions strictes. En tant que maitre de fichier, le FAI est soumis aux obligations de la LPD.

Tout d’abord, si le but de la récolte était de communiquer ces données à des tiers, il a nécessairement dû être annoncé comme tel au moment de la récolte, et être reconnaissable (art. 12 al. 2 lit. a LPD). Si c’était le cas, le FAI n’a pas besoin du consentement de ses clients pour communiquer leurs données personnelles (sous réserve qu’elles contiennent des données sensibles ou des profils de la personnalité).

Si ce n’était pas le cas, seuls des motifs justificatifs peuvent autoriser le FAI à communiquer des données personnelles (art. 13 LPD). Ces motifs justificatifs sont au nombre de trois.

Premièrement, le consentement de l’individu. Comme mentionné plus haut, celui-là doit être libre et éclairé (art. 4 al. 5 LPD). Pour rappel, l’opposition à un traitement rend celui-ci illicite (par exemple, la liste Robinson). L’opposition peut être faite sans justification : c’est un droit inconditionnel, sous réserve de l’abus de droit (art. 2 al. 2 CC) et d’éventuelles pénalités financières dues à la fin prématurée d’un contrat. L’absence d’opposition ne légitime pas un traitement de données (surtout si la finalité du traitement exclut la communication à des tiers).

Deuxièmement, l’intérêt prépondérant public ou privé. En principe, à la place d’un intérêt public prépondérant, il y a une loi. L’exemple le plus parlant de l’intérêt public prépondérant – conjugué ici avec un intérêt privé prépondérant – est celui des assurés surveillés par des détectives privés pour éviter des fraudes, le versement de prestations indues par les assurances (intérêt privé) et garantir des primes moins élevées pour tout le monde (intérêt public ; ATF 136 III 410).

L’affaire Logistep constituait précisément un cas de litige sur la (non-)justification de traitements de données personnelles (en l’occurrence des adresses IP) au moyen d’un intérêt privé prépondérant (ici, la surveillance de réseaux Peer-to-Peer par des titulaires de droit d’auteur afin d’obtenir l’identité des utilisateurs au moyen d’une procédure pénale).

Pour juger si un intérêt privé est prépondérant et donc propre à légitimer une atteinte aux droits de la personnalité d’un individu, il faudra faire une pesée des intérêts en présence : d’un côté, l’atteinte et les droits de la personnalité de l’individu, de l’autre, l’intérêt privé d’une autre personne.

L’art. 13 al. 2 LPD affiche une liste exemplative des intérêts privés prépondérants qu’il est en tout cas possible d’invoquer. Cette liste ne signifie pas que les intérêts affichés ont obligatoirement plus de poids que l’intérêt à la protection des données. Il revient au juge de décider, seul, si un intérêt a la prééminence sur l’autre.

Troisièmement, la loi. Cela peut tomber sous le sens, mais si une loi prévoit expressément un motif justificatif, l’atteinte est justifiée. Ainsi, dans le cadre d’une procédure judiciaire et pour autant que la loi l’y autorise, l’autorité peut demander la levée du secret des télécommunications.

Que faire en cas de communication illicite à des tiers ?

Une personne privée comme un FAI ne peut donc pas communiquer de données personnelles, dont une adresse IP, à des tiers à moins d’être au bénéfice d’un motif justificatif de l’art. 13 LPD. Dans le cas contraire, la communication sera considérée comme une atteinte illicite à la personnalité et pourra faire l’objet d’une action en justice selon les art. 28 et suivants CC. Ces dispositions prévoient plusieurs moyens de défense.

Premièrement, l’interdiction (art. 28a al. 1 lit. a CC), qui vise à empêcher que l’atteinte ne survienne, et elle nécessite l’existence d’une menace sérieuse et concrète d’atteinte.

Deuxièmement, la cessation (art. 28a al. 1 lit. b CC) qui interviendra dans le cas où l’atteinte a eu lieu et dure encore.

Troisièmement, la constatation (art. 28a al. 1 lit. c CC), qui sera utilisée quand « le mal est fait » afin de faire constater que l’atteinte était bel et bien illicite. Cela permettra aussi d’interdire une communication future.

La personne physique ou morale qui ne se conformerait pas aux décisions de l’autorité dans ces trois cas risquerait une condamnation pénale pour insoumission à une décision de l’autorité (art. 292 du Code pénal suisse).

Communication d’une adresse IP en cas de violation de la loi sur le droit d’auteur ?

Un FAI n’a pas le droit de communiquer des données personnelles, adresses IP comprises, à des tiers, même si ceux-ci sont des titulaires de droit d’auteur qui peuvent apporter la preuve qu’un de leur client a enfreint la loi sur le droit d’auteur (LDA).

On pourrait se demander s’il n’existe pas un intérêt privé prépondérant à la divulgation de ces données. En effet, un FAI pourrait décider de communiquer des données personnelles pour préserver l’intérêt privé des ayants droit. C’est précisément cette question que le Tribunal fédéral a éludée dans l’arrêt Logistep. Logistep poursuivait à l’évidence un but de nature économique, puisqu’elle était rémunérée par les ayants droit pour ses prestations. Les intérêts de ces derniers n’ont pas été pris en considération, seul l’intérêt pécuniaire de Logistep a été mis dans la balance avec, de l’autre côté, la protection des données, le droit à pouvoir naviguer de manière « anonyme » sur Internet, la possibilité d’obtenir gratuitement des copies d’oeuvres artistiques, entre autres.

Si l’arrêt Logistep a laissé un peu de répit aux internautes suisses en leur garantissant une quasi-immunité légale – exception pour l’usage privé à des fins personnelles, art. 19 LDA, et maintenant le renvoi par le TF de la patate chaude au Parlement concernant la pesée d’intérêt ci-dessus –, il n’en reste pas moins décevant sur la question fondamentale de savoir si un tiers privé (par exemple un FAI) peut invoquer l’intérêt privé de titulaires de droits d’auteur pour communiquer des données personnelles.

Conclusion

Après ce long exposé, la réponse n’est pas très nuancée. À moins d’un motif justificatif, un FAI ou tout autre tiers soumis au droit suisse et donc à la LPD ne peut communiquer à des tiers des données personnelles, dont des adresses IP (avec l’exception pour l’adresse IP dynamique).

La grosse incertitude réside dans la confrontation d’intérêts privés qui pourraient justifier une telle communication. À moins qu’un FAI ou une autre personne n’invoque un tel motif et, éventuellement, ne se retrouve devant le Tribunal fédéral afin qu’il tranche la controverse qu’il a lui-même créée, il faudra se satisfaire de cette incertitude…

Pour aller plus loin sur le motif justificatif de l’intérêt privé, l’affaire Moneyhouse est un bon exemple. J’en ai parlé ici, en détail également.

Cet article Communication de données personnelles par un FAI, notamment l’adresse IP est paru sur François Charlet.

La vraie question que pose ce procès est pourtant plus profonde et plus problématique que cela. Les jurés ne pouvaient pas y répondre, ce n’était pas leur boulot ce jour-là. Non, la vraie question est de se demander s’il était judicieux de délivrer des brevets à Apple sur toutes ses « innovations ».

Mais rendons à Steve Jobs ce qui lui appartient. On ne peut nier que l’arrivée de l’iPhone en 2007 a bouleversé l’industrie du smartphone, qui a du coup pris un certain retard sur Apple. Le succès de ce dernier faisant envie, ses concurrents se mettent alors à imiter l’iPhone : du grand écran tactile aux applications, en passant par des gestes à exécuter sur l’écran pour zoomer ou tourner des objets, tout y passe, ou presque. Dès qu’un concurrent s’approche un peu trop d’un de ses protégés, Apple montre les dents puis sort les griffes, ou plutôt montre les brevets puis sort les avocats.

Mais faisons d’abord un rappel sur la notion de brevet.

Le brevet dans l’idéal et le droit

Le brevet garantit à son détenteur la protection de l’invention. La durée de la protection est limitée dans le temps (en général, la protection dure 20 ans ; art. 14 LBI).

Le brevet confère un droit exclusif sur une invention (art. 8 LBI), qui est un produit ou un procédé offrant, en principe, une nouvelle manière de faire quelque chose ou apportant une nouvelle solution technique à un problème. Ainsi, le brevet a un lien très fort avec le droit de la concurrence : les lois traitant des brevets visent à interdire l’imitation voire la copie de produits brevetés, ce qui tend à compléter le droit de la concurrence et à stabiliser le marché ; de son côté, le droit de la concurrence aura aussi pour but d’empêcher que le détenteur d’un brevet n’abuse de son droit.

Si les abus sont fréquents en droit des brevets, le but de ces derniers est pourtant plus noble. En délivrant un brevet, l’État accorde donc une protection et un droit exclusif sur l’invention. En contrepartie, le détenteur du brevet a l’obligation de divulguer publiquement des informations sur son invention. Cela permet d’apporter de l’eau au moulin de la connaissance technique mondiale et d’encourager la créativité et l’innovation.

Pour pouvoir être brevetée, une invention doit remplir certaines conditions (art. 1, art. 2, art. 7 LBI). Tout d’abord, la loi ne doit pas interdire la brevetabilité de l’invention en question. Ensuite, l’invention doit avoir une utilité pratique, comporter un élément de nouveauté – autrement dit une caractéristique nouvelle qui ne fait pas partie de l’état de la technique. Enfin, l’invention nécessite qu’une activité inventive ait été déployée, c’est-à-dire qu’elle ne doit pas être évidente pour une personne ayant une connaissance moyenne du domaine technique en question.

Le brevet en pratique (surtout aux États-Unis)

Maintenant que le cadre légal est posé, regardons les faits : les brevets prolifèrent. Pour un oui ou pour un non, une demande de brevet est déposée, et souvent elle est accordée, même si l’invention ne remplit pas toutes les conditions légales (voir l’Université d’Oklahoma qui a breveté et licencié un nouveau type de steak). La tendance est très marquée aux Etats-Unis, à croire que les politiciens eux-mêmes aient enjoint au Patent Office d’être moins regardant sur les conditions de brevetabilité afin d’accroitre (artificiellement) l’avantage concurrentiel des entreprises américaines et, par ce biais, les rentrées d’argent.

Pourtant certaines réformes et mises au point sont nécessaires :

1. – Le procès Apple vs Samsung l’a montré, il serait judicieux que les États se dotent de tribunaux spécialisés dans lesquels siégeraient des juges spécifiquement formés à trancher de telles affaires. En effet, à mon avis, on ne peut pas laisser à un jury populaire – comme aux États-Unis – le soin de trancher ce genre de problématique.

2. – Les entités agréées qui traitent les demandes de brevets devraient être plus strictes quant aux critères d’admissibilité d’un brevet, et vérifier que l’invention est bel et bien nouvelle et non évidente.

3. – Last but not least, les tribunaux ne devraient pas avoir la possibilité d’interdire la vente d’un produit sur un territoire. Cela favorise des situations de potentiel monopole et réduit le choix des consommateurs. Les tribunaux ne devraient se cantonner qu’à des amendes et/ou dommages et intérêts à l’encontre du copieur/imitateur.

Ces quelques propositions pourraient peut-être aider à résoudre certaines situations qui font plus de mal au consommateur qu’à la personne dont le brevet a été violé. Breveter à tout va comme le fait Apple, Samsung, Google, Motorola, Microsoft & Co. a essentiellement deux conséquences directes sur le consommateur : cela empêche des sociétés d’innover en développant quelque chose par-dessus une technologie existante (et brevetée) qu’il leur serait nécessaire d’implanter dans leur produit, et cela pousse les sociétés qui brevettent à se battre au tribunal plutôt que sur le marché.

Le procès Apple vs Samsung est encore éloquent à ce sujet. Apple veut rendre ses produits magiques. À mon avis, il y arrive, notamment grâce à la finition de ses produits et grâce au design. Mais cette magie doit avoir des limites et elle ne se trouve certainement pas dans les angles arrondis d’un produit – le brevet sur cette « innovation » est absolument ridicule et montre bien dans quelle absurdité le système américain des brevets est en train de sombrer.

Il est grand temps que le droit des brevets revienne à ses fondements et reprenne le rôle pour lequel il a été créé : récompenser l’innovation et les nouvelles technologies. Il ne doit pas permettre à des personnes de s’arroger la propriété de choses qui ne devraient être détenues par personne.

Car dans cet imbroglio, c’est au consommateur que revient le rôle de grand perdant.

Cet article Les brevets prolifèrent, et le consommateur dans tout ça ? est paru sur François Charlet.

À l’heure d’Internet, et au vu du nombre potentiellement énorme de personnes qui pourraient être touchées dans un seul pays par une action dommageable d’une seule personne, on peut légitimement se poser la question : la class action est-elle nécessaire ?

L’action collective en détail

L’action collective a au moins un avantage pratique indéniable : elle autorise la tenue d’un procès unique au moyen de la fusion des plaintes, permettant à la justice d’être plus efficace et rapide, ainsi que de lui éviter d’entendre et réentendre les mêmes témoins pour chaque plainte. Comme l’avait débattu la Cour d’Appel du 5e Circuit aux USA en 1986 :

[§ 16 du jugement] Courts have usually avoided class actions in the mass accident or tort setting. Because of differences between individual plaintiffs on issues of liability and defenses of liability, as well as damages, it has been feared that separate trials would overshadow the common disposition for the class. [...] If Congress leaves us to our own devices, we may be forced to abandon repetitive hearings and arguments for each claimant’s attorney to the extent enjoyed by the profession in the past. Be that as time will tell, the decision at hand is driven in one direction by all the circumstances. Judge Parker’s plan is clearly superior to the alternative of repeating, hundreds of times over, the litigation of the state of the art issues with, as that experienced judge says, « days of the same witnesses, exhibits and issues from trial to trial. »

De plus, cela évite que plusieurs tribunaux et plusieurs juges saisis de plaintes semblables ne rendent des décisions différentes, voire contradictoires. Toutefois, une des principales critiques à l’encontre de ce type d’action est que cela poserait de gros problèmes d’organisation pour les tribunaux¹.

En Suisse

Comme je le disais en introduction, et bien qu’elle ne soit pas parfaite, l’action collective aurait une utilité certaine en cas de litiges sur Internet. Imaginez qu’une ville entière décide de déposer une plainte contre une personne active dans le spam. En Suisse, cette pratique tombe actuellement dans le champ d’application de l’art. 3 lettre o de la loi fédérale sur la concurrence déloyale (LCD) qui déclare que le système du opt-in est applicable. La Commission Suisse pour la Loyauté a également émis des règles dans ce sens, notamment la règle 4.4. La qualité pour agir en justice contre ces actes de concurrence déloyale est régie aux art. 9 et 23 LCD. Au vu de la quantité de spams envoyée chaque jour, l’intérêt de l’action collective n’est plus à démontrer.

Pourtant, la Suisse (et d’autres pays comme la France) ne consacre pas l’action collective par leur législation. En Suisse, le système juridique impose que chacun fasse valoir soi-même ses droits en justice. Lors de la mise au point du Code de procédure civile (CPC), le Message adressé au Parlement par le Conseil fédéral était le suivant (p. 6901 ; concernant l’art. 87 CPC, devenu l’art. 89 CPC dans la version en vigueur du CPC) :

Les résultats de la consultation ont clairement montré que la protection des intérêts individuels est le fondement du droit de procédure suisse et européen. L’action collective – même par l’intermédiaire d’une organisation – doit rester l’exception. [...]

L’action de groupe (class action) n’a pas été introduite non plus. De fait, l’exercice de droits d’un grand nombre de personnes par une seule, sans leur accord et avec effet obligatoire pour elles, est étranger à la tradition juridique européenne. Les possibilités accrues de regroupement d’actions, par les instruments classiques (consorité, jonction de causes ; [...]) sont suffisantes.

Exit l’action collective, donc. Toutefois, le Conseil fédéral proposait d’instaurer en procédure civile une sorte d’entorse à ce système – en fait, ce n’est qu’une confirmation légale de la jurisprudence constante du Tribunal fédéral à ce sujet. L’art. 89 CPC prévoit expressément qu’une organisation peut faire valoir les droits de personnes déterminées. Toutefois, elle ne peut pas demander de réparation financière (sauf pour son propre compte), car elle ne peut requérir du juge que ce que mentionne l’al. 2 de l’art. 89 CPC, à moins qu’une loi fédérale prévoie qu’une organisation peut demander autre chose que ce que liste l’art. 89 CPC. Par exemple, l’art. 10 al. 2 LCD et l’art. 7 de la LEg (loi fédérale sur l’égalité entre hommes et femmes) prévoient expressément un droit d’action de la part des organisations, mais sans aller plus loin que l’art. 89 CPC. À ma connaissance, il n’existe pas de loi fédérale octroyant des droits plus étendus aux organisations.

À ces restrictions s’ajoutent encore plusieurs conditions (restrictives) que doit remplir l’organisation en question pour pouvoir agir en justice et faire valoir les droits des personnes qu’elle représente :

1. – Tout d’abord, l’organisation doit revêtir une forme juridique (association, fondation, ou autres formes de personnes morales), être d’importance nationale ou régionale, et avoir un but idéal ou économique ;

2. – Ensuite, les statuts de l’organisation doivent prévoir que son but (statutaire) est la protection de la défense des intérêts d’un groupe de personnes déterminées (par exemple, ses membres) ;

3. – Enfin, l’organisation doit pouvoir agir dans ce but pour faire valoir l’atteinte à la personnalité des membres du groupe (la totalité des membres du groupe doit être potentiellement atteinte).

Conclusion

Si l’action collective en tant que telle n’est pas possible en Suisse, force est d’admettre que ce n’est pas pour une mauvaise raison. Bien qu’elle offre de nombreux avantages pour les citoyens et consommateurs, les désagréments que connaitrait notre système judiciaire semblent trop importants.

Toutefois, il revient aux citoyens et consommateurs suisses de créer des organisations (par exemple, la Fédération romande des consommateurs, l’équivalent suisse de l’Union française des consommateurs) qui auront pour but de défendre leurs intérêts devant les tribunaux, de la même manière qu’une class action américaine. À la différence que l’organisation ne pourra réclamer des dommages et intérêts pour les personnes qu’elle représente : celles-ci devront le faire individuellement.

1. Voir l’article « Class actions across the Atlantic » du Financial Times du 16 juin 2005.

Cet article Pourquoi la « class action » n’existe pas en Suisse ? est paru sur François Charlet.