Par charles.morel le 09/08/10

L'article 2 de la loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 définit une donnée à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ».

Bien que cette définition soit plutôt accueillante, la jurisprudence a plusieurs fois refusé la qualité de donnée personnelle à l'adresse IP.

L'adresse IP (Internet Protocol), est l'adresse numérique permettant aux ordinateurs d'un même réseau de communiquer entre eux, chaque ordinateur possédant une adresse IP unique sur ce réseau.

La Cour d'appel a d'abord considéré que « l'adresse IP ne permet pas d'identifier le ou les personnes qui ont utilisé cet ordinateur puisque seule l'autorité légitime pour poursuivre l'enquête (police ou gendarmerie) peut obtenir du fournisseur l'accès d'identité de l'utilisateur » (Cour d'appel de Paris, 13ème chambre, section B, 27 avril 2007). Persévérant dans ce sens, elle a estimé que l'adresse IP, ne se rapportant qu'à une machine, et non à l'individu qui l'utilise, ne pouvait être considérée comme « une donnée indirectement nominative à la personne » (Cour d'appel de Paris, 13ème chambre, section A, 15 mai 2007), « puisqu'elle se rapporte à une machine et non à la personne l'utilisant » (Cour d'appel de Paris, chambre correctionnelle, 29 janvier 2008).

Ce qu'a confirmé la Cour de Cassation dans une décision du 13 janvier 2009, énonçant que la collecte d'adresses IP « ne constituait pas un traitement de données personnelles » et donc n'avait pas à faire l'objet d'une déclaration auprès de la CNIL*.

Le G29, organe consultatif européen délivrant une expertise en matière de protection des données et de la vie privée, a clairement affirmé sa désapprobation en la matière dans un avis publié le 20 juin 2007:

« Le groupe de travail a considéré les adresses IP comme des données concernant une personne identifiable . Il a d'ailleurs précisé dans un document de travail que "les fournisseurs d'accès Internet et les gestionnaires des réseaux locaux peuvent, en utilisant des moyens raisonnables, identifier les utilisateurs Internet auxquels ils ont attribué des adresses IP, du fait qu'ils enregistrent systématiquement dans un fichier les date, heure, durée et adresse dynamique IP donnée à l'utilisateur Internet. Il en va de même pour les fournisseurs de services internet qui conservent un fichier-registre sur le serveur HTTP. Dans ces cas, on peut parler, sans l'ombre d'un doute, de données à caractère personnel au sens de l'article 2, point a), de la directive" .

[...]À noter toutefois le cas particulier de certains types d'adresses IP qui, dans certaines circonstances, ne permettent en fait pas l'identification de l'utilisateur, et ce, pour diverses raisons d'ordre technique et organisationnel. L'exemple des adresses IP attribuées à un ordinateur dans un café internet illustre cette situation, puisque dans ce cas aucune identification des clients n'est requise. On pourrait faire valoir que les données collectées sur l'utilisation d'un ordinateur X pendant un certain laps de temps ne permettent pas l'identification de l'utilisateur à l'aide de moyens raisonnables, et que celles-ci ne sont donc pas des données à caractère personnel. Toutefois, il convient de relever qu'il est très probable que les fournisseurs d'accès internet ignorent si l'adresse IP en question permet ou non l'identification, et qu'ils traitent les données associées à cette IP de la même manière qu'ils traitent les informations associées aux adresses IP d'utilisateurs dûment enregistrés et identifiables. Ainsi, à moins que les fournisseurs d'accès internet soient en mesure de déterminer avec une certitude absolue que les données correspondent à des utilisateurs non identifiables, par mesure sécurité, ils devront traiter toutes les informations IP comme des données à caractère personnel. »

C'est la voie qu'ont choisi de suivre quelques tribunaux de grande instance (TGI Saint-Brieuc, 6 septembre 2007, Ministère public, SCPP, SCAM c/ J.-P. et TGI Bobigny, 14 décembre 2006, Laurent F. c/ SACEM).

Plus récemment, le Tribunal de grande instance de Paris (TGI Paris, 24 juin 2009) a affirmé sans ambiguïté que l'adresse IP est bien une donnée personnelle : « Le tribunal considère que l'adresse IP est une donnée personnelle puisqu'elle correspond à un numéro fourni par un fournisseur d'accès à internet identifiant un ordinateur connecté au réseau ; elle permet d'identifier rapidement à partir de services en ligne gratuit le fournisseur d'accès du responsable du contenu qui délient obligatoirement les données nominatives du responsable du contenue, c'est-à-dire son adresse et ses coordonnées bancaires.[...] Si effectivement, cette adresse peut être usurpée grâce à des outils logiciels spécialement développés, ces détournements en nombre très limités à ce jour de sauraient disqualifier cette adresse comme donnée permettant l'identification personnelle des fournisseurs de contenus. »

La question demeure donc très confuse au sein des juridictions françaises. La qualification de l'adresse IP en effet fait débat car elle est attribuée à un ordinateur et non à un individu. Les particuliers ne disposent pas d'une adresse IP fixe. Elle varie à chacune de leurs connexions. Néanmoins, les fournisseurs d'accès à Internet attribuant ces adresses aux utilisateurs sont capables de relier une adresse IP à une personne physique lorsqu'ils disposent de l'heure et la date de connexion et si cette adresse n'a pas été détournée par un « pirate ».

Le débat sur la question sera peut-être bientôt tranché. Une proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique a entendu mettre fin aux divergences de jurisprudence en qualifiant l'adresse IP de donnée à caractère personnel.

Il convient néanmoins de préciser que l'adresse IP ne peut, à elle seule, identifier une personne physique. Elle constitue en réalité l'un des éléments permettant d'identifier un internaute, et répond donc aux critères posés par l'article 2 de la loi du 6 janvier 19878, définissant la notion de donnée à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée . »

Adoptée par le Sénat le 23 mars 2010, la proposition de loi dite « Escoffier-Détraigne » fait actuellement l'objet d'une première lecture par l'Assemblée Nationale.

Maître Charles MOREL,

Avocat à la Cour, droit de la propriété intellectuelle et des nouvelles technologies, droit pénal et droit de la presse

Camille VALLAUD,

Juriste Marques, Dessins et Modèles CEIPI

________________

Mais attendu qu'en se déterminant ainsi, alors que les constatations visuelles effectuées sur internet et les renseignements recueillis en exécution de l'article L.331-2 du code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair, pour accéder manuellement, aux fins de téléchargement, à la liste des oeuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l'adresse IP pour pouvoir localiser son fournisseur d'accès en vue de la découverte ultérieure de l'auteur des contrefaçons, rentrent dans les pouvoirs conférés à cet agent par la disposition précitée, et ne constituent pas un traitement de données à caractère personnel relatives à ces infractions, au sens des articles 2, 9 et 25 de la loi susvisée, la cour d'appel, qui n'a pas tiré les conséquences légales de ses propres constatations, a méconnu le sens et la portée des textes susvisés ».

Par charles.morel le 21/07/10

Nous avions publié il y a quelques mois un article relatif à la question préjudicielle posée par la Cour de Cassation à la Cour de Justice de l'Union Européenne devant permettre de déterminer si Google devait être considéré comme responsable d'actes de contrefaçon du fait du système Adwords.

La Cour de Justice de l'Union Européenne avait indiqué dans un arrêt du 23 mars 2010 que, si la responsabilité de l'annonceur peut être retenue lorsqu'il utilise un mot-clé identique à une marque afin de faire de la publicité lorsque cette dernière ne permet pas à un internaute de déterminer si l'annonceur est lié ou non au titulaire de la marque, celle du prestataire de référencement- autrement dit Google- ne peut être engagée que dans des conditions restrictives.

En effet, le prestataire d'un service de référencement sur Internet qui stocke des mots-clés identiques à une marque et s'en sert pour élaborer l'affichage publicitaire ne fait pas un usage de ces signes assimilable à celui d'un usage de marque et, par conséquent, ne commet pas d'actes de contrefaçon. Sa responsabilité ne peut être engagée qu'à condition qu'il ait joué un rôle actif dans ce processus, c'est-à-dire qu'il ait contrôlé ou eu connaissance des informations transmises ou stockées.

Se fondant sur l'ensemble de ces constatations, la Cour de cassation, dans quatre arrêts rendus le 13 juillet 2010, a considéré que la responsabilité de Google ne pouvait être engagée dans la mesure où cette dernière se bornait à stocker des mots-clés et afficher des annonces. Elle a en revanche retenu le caractère contrefaisant des publicités publiées par l'annonceur.

Par charles.morel le 02/06/10

Imaginez un soir de la semaine comme les autres... Vous rentrez fatigué du travail et allez faire un tour sur Facebook pour voir les derniers événements, messages et commentaires et y ajouter les votres.

Seul face au mur, vous déversez un aperçu brutal de la délicieuse journée que vous a fait passer votre patron. Vos collègues, qui ont également dégusté, surenchérissent. En somme, un petit lynchage sans conséquence entre amis. Quoi de plus banal après une dure journée de travail ?

Sauf qu'un de vos « friends » Facebook à la carrière prometteuse ne résiste pas à l'envie de transmettre ces commentaires à votre hiérarchie commune.

Quelques jours plus tard, vous êtes licencié pour faute grave. Votre entreprise considère que vos propos constituent un dénigrement de l'entreprise et une incitation à la rébellion.

C'est en somme ce qu'ont vécu trois salariés d'une société d'ingénierie. Deux d'entre eux ont décidé de contester leur licenciement.

Le Conseil des prud'hommes de Boulogne-Billancourt s'est réuni le 20 mai 2010 sans parvenir à un consensus. L'affaire sera donc tranchée ultérieurement.

Pourquoi les membres de cette juridiction étaient-ils en désaccord ?

Un salarié peut-il critiquer publiquement son employeur ?

La liberté d'expression du salarié est garantie à la fois par l'article 11 de la Déclaration de 1789 et l'article L. 120-2 du Code du travail.

Cette liberté incluant très étonnement la liberté de critique, le salarié a le droit de dire publiquement tout le bien qu'il pense de son employeur.

Mais - il y a toujours un mais - le contrat de travail impose tout d'abord à chaque partie une obligation de loyauté. Le salarié a par exemple un devoir de discrétion vis à vis de son employeur.

L'article L. 120-2 du Code du travail prévoit également qu'il est possible de restreindre la liberté d'expression si cela paraît justifié par la nature de la tâche à accomplir et proportionné au but recherché. La parole des cadres est par exemple encadrée de manière plus stricte.

Enfin, s'il est possible de critiquer son employeur, « une vérité, quelle qu'elle soit, peut-être exprimée en des termes décents » (C.A. Douai, 26 juin 1992, Juris-Data n°045124). Les propos tenus ne doivent pas être outrageants, diffamants ou dénigrants.

Dans notre affaire, l'un des salariés qui se considérait mal vu par sa hiérarchie avait affirmé faire partie du « club des néfastes ». Les deux autres amusés avaient répondu « bienvenue au club ».

Vous me direz... Quoi ? Tout ça pour ça ? Même pas un petit « casse toi pauvre con ! ». Pour le prix !

Quoiqu'il en soit, leur hiérarchie - peut-être un brin susceptible et égocentrique - s'est sentie profondément meurtrie.

Dire de votre hiérarchie qu'elle vous trouve néfaste, ce n'est pourtant pas la même chose que de dire de votre hiérarchie qu'elle est néfaste. Cela constitue-t-il pour autant un dénigrement ?

Il faudra attendre la décision à venir pour le savoir.

Critiquer son employeur sur son mur facebook ou dans son statut, est-ce le critiquer publiquement ?

Là encore le bât blesse... C'est même la question la plus problématique !

Il s'agit de déterminer si la page Facebook d'une personne est un espace public ou un espace privé. En d'autres termes, un message posté sur le mur d'un profil facebook relève-t-il de votre correspondance privée ? Si c'est le cas, l'article L. 226-15 du Code de pénal protège le secret des correspondances.

Si votre page Facebook est accessible à tous, n'est-ce pas de fait un espace public ? Néanmoins, ce n'est pas non plus parce que vous avez paramétré votre page et qu'elle n'est accessible qu'à vos amis qu'il s'agit d'un espace privé. En effet, si vous acceptez la terre entière en tant qu'ami, cela revient exactement à la même chose que si votre page facebook est en libre accès.

La Cour d'appel de Paris a déjà jugé qu'un message ayant été envoyé à « un nombre restreint de destinataires » que son auteur « connaissait personnellement » relevait de la correspondance privée (CA Paris, 11e ch. Corr., 2 juillet 2008 ; JurisData n°2008-002104).

En conclusion, il est sans doute préférable de réduire l'accès à sa page facebook et ne pas accepter n'importe qui en tant qu'ami... ou se résoudre, la mort dans l'âme, à ne pas critiquer son patron !

Maître Charles MOREL,

Avocat à la Cour, droit de la propriété intellectuelle et des nouvelles technologies, droit pénal et droit de la presse

Camille VALLAUD,

Juriste Marques, Dessins et Modèles CEIPI

Par charles.morel le 10/05/10

Les spécificités du droit de la presse ont conduit le législateur, dans la loi du 29 juillet 1881, à prévoir un régime dérogatoire en matière de délai de prescription de l'action publique.

Alors que les délais de prescription de droit commun sont de un an pour les contraventions, trois ans pour les délits et dix ans pour les crimes, l'article 65 de la loi du 29 juillet 1881 dispose que « l'action publique et l'action civile résultant des crimes, délits et contraventions prévus par la loi du 29 juillet 1881 sur la presse, se prescrivent après trois mois révolus à compter du jour où ils ont été commis ou du jour du dernier acte de poursuite ».

En matière de presse écrite, la règle posée était donc claire : la prescription de l'action publique est de trois mois à compter du jour où la publication litigieuse est intervenue.

Le développement du réseau internet a fait naître des difficultés particulières, notamment quant à la fixation du point de départ du délai de prescription, de sorte que la détermination de ce point de départ a fait l'objet de nombreuses péripéties judiciaires (I).

D'abord tranchée par voie jurisprudentielle, le législateur a tenté en vain de mettre un terme aux incertitudes de la matière par la voie de la loi pour la confiance dans l'économie numérique, qui a fait l'objet d'une censure du Conseil constitutionnel (II).

Le débat reste donc entier et différentes solutions peuvent être proposées afin de remédier aux incertitudes jurisprudentielles (III).

Pour lire l'article, vous pouvez télécharger le fichier suivant :

Par charles.morel le 08/02/10

Intervenant en tant qu'avocat dans les domaines des nouvelles technologies et de la protection des données à caractère personnel, Charles MOREL est également correspondant Informatiques et Libertés (CIL) ou correspondant à la protection des données à caractère personnel.

→ A quoi sert le CIL ?

Depuis la réforme en 2004 de la loi informatiques et Libertés, les entreprises peuvent désigner un correspondant à la protection des données.

La désignation d'un correspondant Informatiques et Libertés comporte de nombreux avantages puisqu'elle permet un allègement des formalités déclaratives et un meilleur contrôle du respect des obligations incombant aux responsables des traitements.

Elle a tout d'abord pour effet d'exonérer les responsables de traitements de l'accomplissement de tout ou partie des formalités préalables leur incombant (article 22 de la loi). Ainsi, une fois le correspondant désigné, seuls les traitements soumis à autorisation ou avis préalable de la CNIL devront continuer à être déclarés. Les autres traitements, qui ne comportent pas de risques manifestes pour les droits des personnes, n'auront plus qu'à être référencés dans une liste tenue localement par le correspondant.

La désignation du correspondant permet également au responsable de traitements de mieux assurer les obligations qui lui incombent en application de la loi, particulièrement s'agissant du respect des droits des personnes concernées (droit d'accès, droit de rectification et de radiation, droit d'opposition...) : il doit ainsi leur fournir une information suffisante sur les traitements mis en oeuvre. Il doit aussi veiller à ce que les données traitées ne soient utilisées qu'aux seules fins pour lesquelles elles sont collectées. Il doit enfin faire respecter la sécurité et la confidentialité de ces informations.

En recourant à ce mécanisme, le responsable de traitement dispose de plus en la personne du correspondant d'un interlocuteur spécialisé à même de le conseiller dans ses choix en matière de systèmes d'informations et d'application pratique de la Loi.

→ Quelles sont les missions du CIL ?

Le CIL a pour missions :

- de dresser, tenir et mettre à jour la liste des traitements automatisés pour lesquels il a été désigné ;

- veiller à l'application de la Loi Informatiques et Libertés s'agissant des traitements pour lesquels il a été désigné. Ceci implique notamment:

o une mission de conseil et de recommandation préalablement à la mise en oeuvre des traitements ;

o un rôle de médiation entre les personnes concernées par les traitements et les services intéressés de l'entreprise dont il est le CIL. (réception et transmission des réclamations, conseil dans la réponse à y apporter, respect du droit d'accès et d'opposition, information des personnes sur leurs droits etc) ;

o une mission d'alerte vis-à-vis du responsable du traitement en cas de manquement aux obligations et un rôle de conseil dans la réponse à y apporter ;

Le CIL établit un bilan annuel de ses activités qu'il présente au responsable des traitements et qu'il tient à la disposition de la CNIL.