Ressource - DROIT

Transcription

Ressource - DROIT

Ce document provient du site www.droit-ntic.com
UNIVERSITE MONTPELLIER 1
Faculté de Droit
Année :
N° attribué par la bibliothèque
‫ڤڤڤڤ‬
‫ڤڤڤڤڤڤڤ‬
MEMOIRE de D.E.A Informatique et Droit
Sous la direction
Du Professeur Christian Le Stanc
Les problèmes juridiques des logiciels indiscrets
Présenté par :
Benjamin Egret
Formation Doctorale : Informatique et Droit
Equipe de Recherche Informatique et Droit (E.A.2997)
Section du CNU : 01 Droit privé et sciences criminelles.71 Science de l’information et de la
Communication
E.R.I.D.
Auteur : Benjamin Egret
REMERCIEMENTS
Je tiens à remercier Monsieur Bibent pour m’avoir donné
l’opportunité de suivre les cours de son DEA ainsi que Monsieur
Le Stanc pour sa disponibilité.
RESUME FRANÇAIS
Le développement conjugué de l’informatique et de l’Internet a engendré de nouveaux problèmes juridiques
ayant pour conséquence la violation des droits et libertés individuelles des personnes. Dans la société de
l’information, les données sont de véritables marchandises et constituent des enjeux économiques très
importants. En effet, les traces laissées par les internautes à chaque connexion constituent une véritable mine
d’informations ce qui a incité les principaux acteurs présents sur le Web à collecter l’ensemble de ces données.
La collecte de ces données peut prendre différentes formes mais consiste généralement en la création d’un outil
(logiciel) capable de récupérer les données d’un internaute afin notamment de pouvoir retracer son itinéraire
sur Internet ou de créer un profil d’utilisateur (cookies). D’autres méthodes d’intrusion dans un système
informatique peuvent prendre la forme d’un espiogiciel ou d’un troyen. L’Etat lui-même sera tenté de ficher
l’ensemble de la population.
MOTS CLES : Données personnelles / Collecte / Vie privée / Logiciels espions
The legal aspects of spywares
RESUME ANGLAIS
The combined development of computer science and Internet has generated new legal aspects having as a
consequence the violation of people’s rights and individual freedoms. In the information society, the data are
real goods and represent very important stakes. Actually, the marks left by the surfers at each connection
constitute a true mine of information and this has encouraged the main actors present on the Web to collect all
these data. This data collection can take various forms but usually consists of the creation of a tool (software)
able to retrieve the data from a surfer in order to, notably, be able to lay out his itinerary on Internet or to
create a user profile (cookies). Other methods of intrusion in a system can take the shape of a spyware or
trojan. The State itself will be tempted to put the entire population on file.
KEYWORDS : Personal data / Collection / Private life / Spyware
PLAN GENERAL
INTRODUCTION
p5
Partie 1 : Les logiciels indiscrets : une atteinte aux biens
p 11
Chapitre 1 : Les différentes techniques et contre techniques d’intrusion dans un
p 12
système informatique
Section 1 : Les logiciels indiscrets les plus courants
p 13
Section 2 : Les troyens
p 26
Chapitre 2 : Le droit applicable et les différentes sanctions
p 33
Section 1 : La loi Godfrain
p 33
Section 2 : Les autres types de sanctions
p 43
Partie 2 : Les logiciels indiscrets : une atteinte aux personnes
p 47
Chapitre 1 : Une identité de plus en plus dévoilée
p 48
Section 1 : Une identification qui suscite de plus en plus de convoitises
p 48
Section 2 : Le but inavoué de ces pratiques
p 60
Chapitre 2 : Les règles applicables concernant la collecte de données personnelles
p 72
Section 1 : Les droits de la personne propriétaire des données
p 73
Section 2 : Les obligations du responsable du traitement
p 78
CONCLUSION
p 83
INTRODUCTION
« Sur les pièces de monnaie, sur les timbres, sur les livres, sur les bannières, sur les affiches, sur les paquets
de cigarettes, partout ! Toujours ces yeux qui vous observaient, cette voix qui vous enveloppait. Dans le
sommeil ou la veille, au travail ou à table, au-dedans ou au-dehors, au bain ou au lit, pas d'évasion. Vous ne
possédiez rien, en dehors des quelques centimètres cubes de votre crâne. »1
Cette phrase, extraite de l’œuvre de Georges Orwell 1984, illustre tout à fait l’espionnage constant auquel nous
sommes soumis sur Internet au mépris des droits et libertés individuelles (« Big Brother is watching you »).
Plus de 50 ans après, l’œuvre d’Orwell est plus que jamais d’actualité.
Le phénomène de fichage n’est pas nouveau et la plupart des Etats ont toujours souhaité avoir la possibilité de
ficher leur population. C’est le développement de l’informatique qui en a permis la réalisation. Dans les années
1970, le danger pour les droits et libertés se situe principalement au niveau de l’appareil étatique et de
l’administration publique. Ainsi, en France, plusieurs projets gouvernementaux ont vu le jour : le projet GAMIN2
et le projet SAFARI3 sont les deux principaux.
Le projet GAMIN a été adopté en 1975, à l’initiative du ministère de la santé, et était relatif à la création d’un
fichier informatique comprenant l’ensemble des femmes enceintes afin de mieux combattre la mortalité
infantile. Ce projet a été mal présenté et devant une levée de boucliers de l’opinion publique, l’administration a
du l’abandonner.
Le projet SAFARI prévoyait d'instituer un identifiant unique pour interconnecter les fichiers administratifs. L’idée
était d’utiliser le numéro de Sécurité Sociale afin de relier tous les services administratifs entre eux. Le
21/03/1974, un article du Monde « Safari ou la chasse aux français » dévoile le projet. Devant l'indignation que
provoque ce projet, le premier ministre le retire et crée une commission présidée par Bernard Tricot dont la
réflexion aboutira en 1978 à la loi « Informatique, fichiers et libertés ».
La surveillance s'étend subtilement, souvent à la suite de décisions et processus destinés à
atteindre des objectifs tels que l'efficacité ou la productivité. Par ailleurs, son caractère
électronique en augmente la subtilité. La plus grande partie de la surveillance se passe
littéralement hors de la vue, dans le royaume des signaux numériques dans les transactions
courantes, quand par exemple vous votez, téléphonez, conduisez ou travaillez. Autrement dit,
les personnes savent rarement qu'ils font l'objet de surveillance, ou s'ils le savent, ils ne se
doutent pas de l'étendue des renseignements que les autres détiennent sur eux.
La surveillance concerne les choses banales, ordinaires, naturelles de la vie qui consistent à
retirer de l'argent à des guichets automatiques, à passer un coup de fil, à réclamer des
prestations de maladie, à conduire une voiture, à utiliser une carte de crédit, à recevoir de la
1
(G. Orwell, 1984, Folio no 177, p.44)
Gestion Automatisée de Médecine Infantile
3
Système Automatisé de Fichiers Administratifs Répertoriant les Individus
2
publicité importune, à aller emprunter des livres à la bibliothèque, ou à traverser une frontière
lors de voyages à l'étranger. Dans chacune des activités mentionnées, les ordinateurs
enregistrent nos transactions, comparent les détails connus, stockent des bribes de nos
biographies, ou évaluent notre état financier, juridique ou national. Chaque fois que nous
effectuons l'une de ces transactions, nous laissons ou sommes susceptibles de laisser trace de
nos faits et gestes. Les ordinateurs et leurs systèmes de communication connexes sont au
coeur de tous ces types de relations. Participer à la société moderne signifie être sous
surveillance électronique. Même une simple facture d’électricité peut trahir notre mode de
vie.
Tom Wright, commissaire Canadien à l’information et à la protection de la vie privée imagine
un scénario basé sur une technologie qui existe depuis longtemps aux Etats Unis : le RRPLS
ou Realtime Residential Power Line Surveillance.
« Contrairement à la routine d'un ménage, l'un de ses occupants, un homme marié de 43 ans
(selon son permis de conduire) se lève tôt un samedi matin, prend une douche, se rase avec
son rasoir électrique et repasse quelques vêtements. Il achète de l'essence en ville, et au cours
de la soirée paie deux repas et achète deux billets de théâtre (le tout avec sa carte de crédit). A
son retour à la maison, il allume la chaîne stéréo (ce qui est rare selon son dossier RRPLS).
Le lendemain matin, les données indiquent une douche inhabituellement longue, suivie de
deux utilisations d'un sèche-cheveux. La seconde est beaucoup plus longue qu'elle ne le
devrait pour l'homme, indiquant qu'il a probablement partagé sa douche avec une personne
aux longs cheveux.
Au même moment, les dossiers sur les transactions commerciales indiquent que l'épouse de l'occupant se
trouve autour du monde en voyage d'affaires payé par son employeur. Les données RRPLS de sa chambre
d'hôtel mentionnent également un visiteur nocturne. Quelques jours plus tard, le couple est inondé de
publicités envoyées directement par des avocats spécialisés dans le divorce ».
L’identification :
L’ouverture de réseaux mondiaux a fait naître de nouveaux besoins : le besoin de s’identifier. A l’instar du
fichage et de l’automatisation de l’information, Internet n’a pas inventé l’identification de l’individu mais sa
progression fut si fulgurante qu’elle a engendré une vive prise de conscience collective.
Avec Internet, de nouveaux outils d’identification ont du être inventés et des instruments permettant de pister
les internautes vont voir le jour. L’un des plus connus se nomme le cookie. C’est un fichier qui s'inscrit sur le
disque dur d'un ordinateur connecté à Internet lors de la visite de certains sites Web. Ce fichier est inscrit par
un serveur Web, afin de reconnaître l'utilisateur, lors de ses prochaines visites. Le cookie sera mis à jour à
chaque consultation dudit site par l’internaute. L’identification de la machine, à travers son adresse IP4, peut
mener directement à l’identification de l’utilisateur transformant des données techniques en données
personnelles. Chaque fournisseur d’accès à Internet est en effet capable d’identifier les utilisateurs se trouvant
derrière une adresse IP.
Il est difficile pour un internaute de ne pas s’identifier sur le réseau et la plupart des actions réalisées sur
Internet nécessitent une identification : participation à un forum de discussion, abonnement à un service,
commande d’un article sur un site marchand…
La nature numérique de l’information récoltée sur Internet rend cette identification aisée. La numérisation
implique la transformation des données en éléments décryptables, consultables et modifiables par ordinateur.
Chaque donnée ainsi collectée est envoyée à sa destination et ajoutée aux autres déjà retenues. A l’arrivée,
l’information est reconstituée grâce aux recoupements des informations contenues dans l’ensemble des
segments.
Enjeu du commerce électronique :
Le commerce électronique représente la « possibilité de faire des échanges de biens ou de services entre deux
ou plusieurs participants (consommateurs finaux et entreprises) à travers un médium électronique (outils et
techniques). Les participants, dans cette optique, doivent pouvoir y naviguer, emmagasiner, chercher, délivrer,
échanger, contracter, payer…bref tout ce qui fait une transaction commerciale au sens large du terme »5
Le nombre d’internautes ne cesse d’augmenter. Selon une estimation de Médiamétrie6 réalisée en février 2002,
il y avait environ 16.4 millions d’internautes en France. Internet attire les entreprises qui y voient un moyen de
rester compétitives à l’heure de la mondialisation des marchés.
Internet offre aux entreprises un moyen d’identifier leur public. Avec 2,350 milliards d'euros pour l’année
20027, le marché français du commerce électronique grand public sur Internet a continué de progresser
significativement en France. Grâce à des outils de suivie comme le cookie, les entreprises collectent, stockent,
traitent et analysent les données personnelles qu’elles trouvent sur le réseau. Internet offre le terrain le plus
avantageux pour faire prospérer l’identification au sens large.
Données personnelles :
La convention 108 en donne une définition : « toute information concernant une personne physique identifiée
ou identifiable ». Cette définition a été reprise par la directive communautaire du 24 octobre 1995. L’article 2-a
de la directive en précise la portée : « est réputé identifiable une personne qui peut être identifiée directement
ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments
spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale. »
4
Internet Protocol : c'est le protocole de communication entre toutes les machines connectées à Internet
Etude MIAGE : Les enjeux économiques du commerce électronique sur Internet
6
http://www.journaldunet.com/cc/01_internautes/inter_nbr_fr.shtml
7
Source : Jupiter MMXI, novembre 2001 (le marché B to C en France)
5
La loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés fait référence
aux données nominatives qui recouvrent « les informations qui permettent, sous quelque forme que ce soit,
directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent ».
Il n’y a pas de différence entre les termes données nominatives et données personnelles mais le second terme
apparaît plus approprié que le premier.
Contrairement à la loi de 1978, la directive de 1995 est plus à même de s’appliquer dans le cadre de l’Internet.
En effet, la collecte de données est chose courante et ne porte pas toujours sur des informations directement
nominatives. La plupart du temps, il s’agit de données techniques, qui, prises individuellement, ne peuvent
identifier une personne avec précision. Toutefois, la nuance apportée par le terme « identifiable » permet
d’appréhender cette situation et les données techniques ne deviendront identifiables que lorsqu’elles feront
l’objet d’un recoupement avec d’autres données et que l’identité de la personne concernée pourra être levée.
C’est ainsi que les renseignements contenus dans un cookie peuvent être qualifiés sans trop de difficultés de
données indirectement personnelles.
Pour tomber sous le coup de la loi de 1978 et de la directive de 1995, ces données personnelles doivent
également faire l’objet d’un traitement. L’article 2-b en donne une définition : « toute opération ou ensemble
d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère
personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la
modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute
autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement
ou la destruction ».
Les données transitant sur Internet peuvent donc être qualifiées de données personnelles et font l’objet d’un
traitement : l’application de la loi de 1978 et de la directive de 1995 leur sont donc applicables.
Vie privée :
Le concept de la vie privée s’est développé vers la fin du 19ème siècle. Plusieurs textes y font référence.
La Déclaration Universelle des droits de l’homme du 10 décembre 1948 dispose dans son article 12 : « Nul ne
fera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni
d’atteinte à son honneur ou à sa réputation »
La Convention Européenne des Droits de l’Homme et des libertés fondamentales du 4 novembre 1950, quant à
elle, affirme dans son article 8 le droit au respect de la vie privée et familiale, du domicile et de la
correspondance. De plus, une loi française du 17 juillet 1970 a introduit dans le Code Civil un article 9 ainsi
rédigé : « Chacun a droit au respect de sa vie privée ».
Vu sous l’angle des données personnelles, la vie privée doit être protégée contre l’intrusion de
l’Etat et contre l’arbitraire des grandes multi nationales. La loi de 1978 fait également
référence à la vie privée dans son article premier qui énonce que «L'informatique doit être au
service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération
internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni
à la vie privée, ni aux libertés individuelles ou publiques ».
La constitution quotidienne de méga bases de données comportementales contredit ce
principe.
Les logiciels indiscrets posent donc plusieurs problèmes juridiques qui ont pour conséquence
la perte de l’anonymat. Ces logiciels portent deux types d’atteintes : une atteinte aux biens
(Partie 1) ainsi qu’une atteinte aux personnes (Partie 2).
PARTIE I
LES LOGICIELS INDISCRETS :
UNE ATTEINTE AUX BIENS
Chapitre 1 : Les différentes techniques et contre
techniques d’intrusion dans un système informatique
Il convient d’étudier les différentes techniques d’intrusion avant d’envisager le droit applicable en la matière.
Le terme logiciel est un mot inventé par Philippe Renard en 1967 pour remplacer le terme anglais « software ».
Il désigne la partie non tangible de l'ordinateur.
Ce terme est utilisé comme synonyme de programmes disponibles pour une machine donnée. Le logiciel est
aussi indispensable au fonctionnement d'un ordinateur que le matériel lui-même. On distingue trois types de
logiciels :
-
Les logiciels de base comme le système d'exploitation ou les utilitaires
-
Les langages comme le Basic
-
Les programmes d'application (Traitement de texte, comptabilité ...)
Un logiciel indiscret peut se définir comme étant un programme qui va s’installer sur un ordinateur à l’insu de la
personne concernée afin de collecter diverses données contenues sur cette machine. Les différentes données
ainsi collectées seront récupérées via le réseau internet et elles pourront par la suite être individualisées par le
biais de l’interconnexion des fichiers et présenter un intérêt non négligeable pour des sociétés commerciales.
Dans la société de l’information, les données sont de véritables marchandises et, à ce titre, suscitent beaucoup
d’intérêt.
La définition d’un logiciel indiscret étant large, ces derniers prendront des formes diverses. Le point commun
entre ces différents procédés est l’obtention d’informations confidentielles contenues sur le disque dur, sans le
consentement de la personne concernée.
On peut ainsi citer les principaux procédés faisant appel à un logiciel indiscret ou apparenté :
-
Les cookies
-
Le « spamming » ou courrier non sollicité
-
Les espiogiciels ou « spywares »
-
Les mouchards
-
Les troyens
De tels programmes peuvent être contenus dans un logiciel (software) : ce sera généralement le cas pour bon
nombre de freewares. Ils peuvent être également intégrés dans le matériel informatique (hardware).
Il convient de présenter tous les aspects techniques liés aux différentes méthodes permettant l’intrusion dans
un système, la collecte des données présentes sur l’ordinateur sans avoir obtenu le consentement explicite de
la personne propriétaire des données. Il est en effet préférable de connaître les différentes techniques avant
d’envisager le droit applicable. Il convient d’étudier d’une part les logiciels indiscrets les plus courants avant
d’envisager le cas particulier des troyens.
Seront étudiés successivement : les cookies, le spamming, les espiogiciels et les mouchards.
§1 : Les cookies
Un cookie est un fichier qui s'inscrit sur le disque dur d'un ordinateur connecté à Internet lors de la visite de
certains sites Web, permettant notamment d'espionner le contenu de l'ordinateur. Ce fichier est inscrit par un
serveur Web, afin de reconnaître l'utilisateur, lors de ses prochaines visites. L'utilisateur a la possibilité de
refuser les cookies, en consultant les options du navigateur.
A) Principe
En d’autres termes, le cookie consiste donc pour un site web à enregistrer localement, sur le
poste client, des informations relatives à ce dernier et qui lui seront utiles lors de sa prochaine
visite. En effet, la consultation web, effectuée grâce au protocole http, ne permet pas de garder
des informations sur le contexte d'une session de travail sur un site web. Ainsi, lorsque l’on
souhaite passer d'une page à une autre en cliquant sur des liens, chaque requête est traitée de
manière complètement indépendante, comme s'il s'agissait de n utilisateurs différents accédant
chacun à une seule page du site.
Afin d’éviter cet inconvénient, on a donc introduit les cookies. En passant d'une page à l'autre
sur un site, les premières pages peuvent déposer des informations sur le poste client à
destination des pages visitées par la suite et donc recréer un mécanisme de session. Lorsque
les informations à conserver sont nombreuses, le site web n'enregistre sur le poste client qu'un
simple identifiant (un numéro unique lié à l'utilisateur). Les informations sont conservées
alors localement sur une base, côté serveur, mais sont associées via l'identifiant contenu dans
le cookie à l'utilisateur. Les cookies sont apparus entre 1995 et 1996 à l'initiative de Netscape.
B) Intérêt
Voici quelques exemples (liste non exhaustive) afin de mieux saisir l’enjeu des cookies.
•
Portails et sites personnalisés
Des sites comme Hotmail, Voila, Yahoo et bien d'autres, permettent à chaque visiteur de
personnaliser la présentation et le contenu et de conserver cette interface personnalisée au
cours d'une même session mais également d'une visite sur l'autre. Cela permet ainsi, pour les
sites web proposant une messagerie électronique, de garder en mémoire son mot de passe
ainsi que son identifiant de connexion.
•
Les sites bancaires
Les sites de banque en ligne permettent d'accéder à ses comptes et d'y effectuer certaines
opérations. Les cookies sont utilisés comme marqueurs et font le lien entre l'utilisateur sur son
poste et les données personnelles (choix du compte, montant du compte, etc) qui sont, elles,
stockées dans une base de donnée, en arrière du serveur web.
•
Les sites de e-commerce
La plupart des sites de commerce en ligne permettent de constituer une sorte de panier
d'achats virtuels avant passage de la commande. L'internaute surfe sur le site et choisit
progressivement les articles qu'il veut commander. Ceux-ci sont emmagasinés dans le panier.
L'état de celui-ci est entretenu par des mécanismes à base de cookies.
•
Régies publicitaires en ligne
L'usage des cookies est également très populaire pour certaines techniques de mesure et de
suivi d'audience des sites web. Ils sont systématiquement utilisés par les régies publicitaires
en ligne qui se chargent de rémunérer certains sites en fonction du nombre de visualisation
des bannières publicitaires qu'ils hébergent.
C) Fonctionnement
Les mécanismes de cookies utilisent le protocole HTTP8 pour fonctionner. Les postes clients envoient des
requêtes HTTP à des serveurs web afin de visionner telle ou telle page. En retour, ces serveurs émettent des
réponses HTTP incluant les documents demandés.
Les cookies accompagnent ces échanges en s'introduisant dans les entêtes HTTP des requêtes et des réponses :
1.
L'internaute accédant pour la première fois au site X envoie une requête HTTP classique.
2.
Le site Y qui utilise les cookies lui renvoie une réponse HTTP indiquant dans son entête l'initialisation
de un (ou plusieurs) cookie(s). Pour chaque cookie, l'entête HTTP comprend au minimum un nom de
variable et une valeur associée.
3.
Le navigateur du poste client qui reçoit la réponse, stocke localement, les noms et valeurs associés
aux cookies de la réponse à sa requête initiale.
8
HyperText Transfer Protocol
4.
Ensuite, à chaque nouvelle requête de l'internaute concernant le site X, le navigateur de celui-ci inclura
à l'entête HTTP de ses requêtes, les informations concernant tous les cookies associés au site X.
5.
Réciproquement, chaque fois qu'une page consultée du site X désirera soit modifier, soit initialiser un
nouveau cookie associé au site auquel elle appartient, le mécanisme 2, 3 sera utilisé par le serveur
dans sa réponse.
Le stockage des cookies peut prend deux formes selon que le navigateur est lancé ou non. Les deux principaux
navigateurs web sont Internet Explorer (IE) de Microsoft et Netscape. Pendant la session de travail sur le
navigateur, les valeurs des cookies sont stockées en mémoire vive par le programme lui-même. Lorsque l'on
ferme Netscape ou IE, les cookies en mémoire sont analysés et éventuellement stockés sur le disque dur, si
leur date d'expiration n'est pas révolue, à l'intérieur de un ou plusieurs fichiers textes.
Dans le cas de Netscape, les cookies sont tous stockés à l'intérieur du même fichier texte, généralement appelé
cookies.txt et situé dans le répertoire Netscape/users/mon_nom/. Chaque ligne du fichier cookies.txt
correspond à un cookie avec ses différents champs, séparés par des tabulations.
Dans le cas de IE, les cookies sont répartis dans plusieurs fichiers textes, eux-mêmes stockés dans le ou les
répertoires Windows/Internet temporary files/ et Windows/cookies/. Les noms des fichiers textes sont
construits ainsi :
¾
Cookie : mon_nom@domaine, où mon_nom correspond à l'utilisateur et domaine correspond au site
web propriétaire du cookie. Si plusieurs pages d'un même domaine envoient plusieurs cookies, ceux-ci
sont stockés dans un seul et même fichier, séparés par un passage à la ligne.
D) La gestion des cookies par l'Internaute
La suppression volontaire de cookies déjà existants ne peut s'effectuer pas par le biais du navigateur mais, à
travers un simple gestionnaire de fichiers, les navigateurs offrent tout de même plusieurs options dans la
gestion des cookies : l'internaute peut généralement, soit accepter systématiquement tous les cookies (choix
sélectionné par défaut), soit refuser systématiquement tous les cookies, soit demander à ce que l'acceptation
de cookies soit faite au cas par cas.
Dans IE, le menu : outils/options internet/sécurité/personnaliser le niveau/ permet d'accéder à la configuration
de ces différents modes.
Dans Netscape 6, la gestion des cookies par l'utilisateur semble beaucoup plus riche et développée et se situe
dans le menu : tasks/personal managers/cookies manager.
E) Les différentes composantes du cookie
Un cookie se compose au maximum de six champs, les deux premiers énumérés ici étant
obligatoires.
- Nom : Le champ nom correspond au nom de la variable associée au cookie. Pour récupérer
la valeur d'un cookie il faut en effet passer par un appel à son nom.
- Valeur : Le champ valeur contient la valeur (l'information) associée au cookie.
- Date d’expiration : Elle indique la date limite de validité du cookie. A la fermeture du
navigateur, si la date est expirée ou n'est pas renseignée, le cookie est effacé, dans le cas
contraire le cookie est stocké sur le disque dur.
- Domaine : Il indique le domaine d'où a été émis le cookie. Ce domaine doit comporter au
moins deux niveaux (.gouv.fr par exemple et non.fr uniquement) et doit correspondre à la
page en question. Seules les pages appartenant au domaine spécifié peuvent ensuite accéder
au cookie. Par défaut sa valeur est celle du nom de domaine complet.
- Chemin : Il affine la sélection effectuée au niveau du champ domaine. On peut spécifier un
chemin particulier où sera uniquement valide le cookie.
- Sécurité : Il s'agit d'un paramètre booléen (true/false) qui indique si le cookie en question
doit être ou non utilisé à l'intérieur d'une connexion sécurisée (SSL par exemple).
Le 30/01/2002, lors de la première lecture du projet de loi réformant la loi informatique et liberté de 1978, les
députés ont par ailleurs adopté un amendement interdisant l'utilisation des cookies sans information préalable
de la personne concernée, qui peut s'y opposer (opt in). Les cookies employés uniquement pour faciliter les
communications sont autorisés.
§2 : Le spamming
Le spamming ou courrier non sollicité se définit comme étant un « envoi massif (et parfois répété) de courriers
électroniques non sollicités, le plus souvent à caractère commercial, à des personnes avec lesquelles
l’expéditeur n’a jamais eu de contact et dont il a capté l’adresse électronique dans les espaces publics de
l’Internet : forums de discussion, listes de diffusion, annuaires, sites Web, etc. ».9
Le spam ne constitue pas en tant que tel un logiciel indiscret mais il fait appel à des techniques qui s’y
apparentent. Il n’y a donc pas de technique particulière liée au courrier non sollicité et le spam fera l’objet
d’une étude plus approfondie dans le corps du mémoire mais uniquement dans son aspect de logiciel indiscret.
§3 : Les espiogiciels
A) Technique
A chaque connexion Internet, un utilisateur laisse derrière lui un grand nombre d'informations. Ces traces sont
généralement intéressantes mais non suffisantes à un public de professionnels ou d'espions cherchant à obtenir
d'autres éléments que ceux techniques laissés en standard. Les professionnels d'un secteur déterminé
cherchent à connaître les habitudes de téléchargement de leurs clients, leurs modes de consommations, leurs
9
définition issue du rapport de la C.N.I.L. adopté le 14 octobre 1999 présenté par Madame Cécile Alvergnat sur
le Publipostage électronique et la protection des données personnelles
centres d'intérêts, ou la périodicité de leurs achats par exemple. Les pirates ou espions seront, eux, plus
intéressés par le contenu des machines connectées, la réception de ces informations etc…
Pour faciliter la récolte de ce type de renseignements, il existe des espiogiciels, en anglais « spywares ». Ils se
trouvent généralement dans le code d'un programme que l'utilisateur téléchargera innocemment sur internet.
Dans la plupart des cas, ces espiogiciels sont des petits morceaux de codes parasite10 intégrés dans le code
principal du programme. Dans un même programme, il peut y avoir plusieurs routines parasites différentes,
ayant chacune une fonction déterminée.
En d’autres termes un espiogiciel peut se définir ainsi : tout logiciel qui emploie la connexion Internet d'un
utilisateur ou tout autre support à son insu ou sans sa permission explicite, pour collecter des informations, peu
importe qu'il y ait ou non un rapprochement entre ces informations et l'identification dudit utilisateur. Le but est
essentiellement commercial et il s’agit en réalité de profiler les internautes.
La détection de ces routines est très difficile. En effet, plus le logiciel initialement téléchargé est volumineux,
plus les chances de trouver les routines éventuelles seront faibles. L'espiogiciel aura toujours besoin d'une
connexion Internet pour la transmission des données : c'est la raison pour laquelle ces routines se trouvent
majoritairement dans des exécutables prévus pour fonctionner avec Internet.
Les informations collectées concernent principalement :
-
les URL (adresses) des pages Web visitées : il suffit aux robots de lire ces pages afin d’en extraire les
mots clés et connaître vos centres d'intérêt
-
les informations sur la navigation actuelle et l’historique
-
les informations sur les formulaires en ligne
-
les mots utilisés par les requêtes faites sur les moteurs de recherche
-
l’adresse IP de l’ordinateur
-
le ou les cookies du site mais aussi les autres cookies.
-
Le nom et la version du navigateur (Opera, Netscape, Microsoft Internet Explorer)
-
la version et le nom du système d’exploitation (Linux, Windows, Apple etc...)
-
la résolution de l’écran
Un outil infecté par un spyware peut représenter une très grande menace pour la sécurité du système
d'information infecté. En effet plusieurs routines successives peuvent permettre la détection de mots de passe
encrypté et le « crackage » de ces informations. Il suffit pour cela d'indiquer dans une routine à l'ordinateur de
mettre à profit le temps CPU11 disponible pour cracker le mot de passe à l'insu de l'utilisateur.
On identifie actuellement plus de 1200 logiciels12 contenant des espions dont les principaux sont Aureate,
Cydoor, Webhancer, Doubleclick, Gator. Les logiciels libres (freewares) et logiciels d'évaluation (sharewares)
sont les principaux vecteurs d'espiogiciels.
En pratique, la contamination de votre ordinateur par un mouchard est assez simple : lorsque vous installez un
freeware ou shareware contenant un espiogiciel, ce dernier va s’installer correctement sur votre disque dur à
l’emplacement que vous aurez spécifié mais d’autres fichiers (mouchards), qui ne sont pas nécessaires à
l’exécution dudit programme, vont également s’installer sur le disque dur de votre machine généralement dans
10
11
routine
Micro-processeur
le répertoire c:\windows\system32 de votre ordinateur. Certains d’entre eux peuvent également s’installer dans
la base de registre de votre ordinateur.
Il convient d’expliquer brièvement et sans rentrer dans le détail ce qu’est la base de registre. Pour simplifier, la
base de registre contient toutes les informations nécessaires à l’exécution de tous les programmes installés sur
votre ordinateur. Elle est constituée de cinq grandes catégories :
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG
Dès que vous installez un programme sur votre ordinateur, des lignes sont automatiquement crées dans votre
base de registre afin que ce dernier puisse s’exécuter correctement. La base de registre est accessible assez
facilement mais la plupart des utilisateurs de Windows ignorent son existence. De plus, tout changement opéré
dans la base de registre a des conséquences sur la stabilité du système et il est fortement déconseillé de
modifier les paramètres, sauf pour les utilisateurs les plus initiés, sous peine de ne plus pouvoir redémarrer son
ordinateur.
Pour en revenir aux espiogiciels, il est évident qu’en plaçant des fichiers dans la base de registre, ces derniers
seront, pour la plupart des utilisateurs, invisibles et pourront dès lors accomplir leur tâche en toute impunité. Le
plus inquiétant est que la présence de ces espiogiciels peut avoir des effets néfastes pour l’ordinateur puisque
ces derniers peuvent provoquer des instabilités diverses qui se caractérisent par des crashs du système
d’exploitation.
Ces pratiques sont multiples et seront analysés dans le corps du mémoire mais on peut d’ores et déjà affirmer
que ces logiciels freewares installent à notre insu des mouchards qui serviront à nourrir les bases de données
de sociétés commerciales avides de cibler leurs propositions mercantiles et autres publicités.
B) Contre techniques
L’atout principal de ces mouchards est qu’ils sont difficilement détectables mais il existe des logiciels capables
de recenser et d’éliminer tous les espiogiciels contenus sur votre machine. Le plus performant d’entre eux est
sans aucun doute Ad Aware.13 Ce logiciel, gratuit, a été développé par la société Lavasoft. Facile d’utilisation14,
il fonctionne à la manière d’un anti-virus classique (utilisation de fichiers « signatures ») et nécessitera des
mises à jour régulières afin d’éliminer les derniers espiogiciels recensés. Les espiogiciels sont de plus en plus
nombreux et, pour avoir utilisé Ad Aware sur plusieurs ordinateurs, il n’est pas rare de dénombrer plus de 190
espiogiciels lors de la première utilisation d’Ad Aware.15
Un autre moyen permettant de lutter contre l’intrusion d’espiogiciels dans votre ordinateur consiste à installer
un firewall16 sur son ordinateur et de créer des règles spécifiques afin que ce dernier n’autorise pas l’accès de
12
http://www.suttondesigns.com/EnigmaBrowser/Spyware.html
http://www.lsfileserv.com/downloads.html
14
http://websec.arcady.fr/adaware.htm
15
Annexe 1
16
Pare Feu
13
données provenant d’une adresse IP donnée.17 En effet, la plupart des espiogiciels connus utilisent les mêmes
adresses IP. Les espiogiciels ne pourront plus s’infiltrer dans votre disque dur puisqu’ils seront bloqués par le
firewall.
Ces mouchards ne sont pas forcément issus de freewares puisque Microsoft en intègre un certain nombre au
sein même de ses systèmes d’exploitation.
§ 4 : Les mouchards
La plupart des mouchards sont cachés à l’intérieur des logiciels (software) mais il peut arriver que ces derniers
soient directement intégrés au matériel informatique (hardware).

SOFTWARE
A) Technique
Microsoft a intégré dans la plupart de ces versions de Windows des espions qui agissent comme des mouchards
en communiquant des informations contenues sur le disque dur de votre ordinateur lorsque vous vous
connectez à internet. Le but de cette collecte est double : obtenir des informations et faire des profils
d'utilisateurs à but marketing et collaborer avec les services de contre-espionnage (FBI, CIA, NSA, DST…). A
partir de Windows 98 inclus, Microsoft a introduit dans ses systèmes d'exploitation un système d'identification
des utilisateurs.
Microsoft a ainsi introduit dans ses systèmes d’exploitation un numéro unique appelé GUID18
qui permet non seulement d’identifier chaque machine mais également de connaître tous les
fichiers crées à partir de cette dernière. Le GUID se compose en fait en deux parties : le
MSID19 et le HWID20. En effet, un contrôle ActiveX permet à Microsoft de lire votre HWID
ainsi que le MSID. Il est possible de consulter, via Internet, cet identificateur qui se trouve sur
votre PC et n'importe qui connaissant la méthode peut alors savoir qui vous êtes, vos logiciels
installés, etc…
Le fonctionnement de ce mouchard est très simple : lors de votre enregistrement en ligne par l’assistant
d’enregistrement un numéro d’identifiant unique nommé MSID, vous est attribué. Cet identifiant est en réalité
une valeur numérique de 32 chiffres. Ce MSID épie vos déplacements sur son site mais il est également
incorporé à votre insu à tous les documents produits avec la suite Bureautique MS Office et d’autres outils de
développement signés Microsoft. Un second identifiant appelé HWID ou numéro d’identification matérielle,
contenant divers renseignements sur la configuration matérielle du PC21, est également envoyé à Microsoft.
Le disque dur ainsi que tous les fichiers que vous créez sont donc marqués par le GUID. Selon Microsoft le
GUID a uniquement pour finalité d'aider les services techniques de la société à dépanner les utilisateurs en cas
17
18
19
20
Annexe 2
Global Unique Identifier
Microsoft ID
Hardware ID
de problèmes. Cependant on a découvert que le GUID est tatoué sur chaque document Excel, Word, ou
PowerPoint. Il est donc possible de remonter grâce à ce numéro jusqu'à l'ordinateur qui a produit le document
Office. Microsoft a d'abord nié les faits avant de mettre à la disposition des utilisateurs de la suite Office 97 des
utilitaires permettant de supprimer le tatouage des fichiers.
Ce mouchard est également présent dans Windows Me, 2000 et XP. C’est Robert Smith, un expert américain en
sécurité informatique, qui a dévoilé le premier la présence d’un mouchard au sein de Windows 98 (et Windows
98 SE). Le dernier système d’exploitation de Microsoft (Windows XP) intègre encore plus de « spywares » que
ses prédécesseurs et il est possible de les désactiver par le biais de logiciels dont le plus efficace est XP
ANTISPY.
En matière de messagerie instantanée, le Messenger de Microsoft joue également les espions, En matière de
sécurité informatique, les messageries instantanées deviennent de véritables bêtes noires. Les failles de celle
d'AOL ou encore ICQ le confirment. Ainsi, Microsoft n'échappe pas à la règle. Son Messenger permettrait à un
site Internet, à l'aide d'un simple javascript, d'accéder au nom et adresse e-mail des usagers ainsi qu'à leur
liste de contacts. Ainsi, certains sites commerçants ou adeptes du profilage peuvent récupérer ces données et
savoir ainsi que vous fréquentez tel ou tel site, mais également que vous connaissez d’autres personnes (votre
liste de contact) qui fréquentent d’autres sites. Ensuite les adresses e-mail sont récupérées et croisées avec des
bases de données potentiellement déjà existantes et vous pouvez être fiché ou espionné par une base de
données commerciales peu scrupuleuse. Si vous passez une transaction sur le réseau avec une messagerie
ouverte, vos coordonnées bancaires peuvent être détournées.
B) Contre techniques
Afin de se débarrasser de ce numéro GUID, des logiciels existent permettant la vérification de la présence de
cet identifiant sur votre machine. Des utilitaires tels que Guideon22 permettent de supprimer le tatouage des
fichiers. La solution logicielle n’est pas la seule à pouvoir désactiver le logiciel et il est également possible de
procéder en opérant la manipulation suivante :
Pour Windows 98, 98SE et ME
1. Menu Démarrer puis Exécuter
2.Tapez la commande suivante : regsvr32.exe -u c:\windows\system\regwizc.dll
On peut encore aller plus loin en cas de paranoïa :
Ouvrez Regedit
Puis HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Et effacez la valeur chaîne HWID
Puis toujours dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Effacer la valeur chaîne MSID
Pour Windows 2000
2.Tapez la commande suivante : regsvr32.exe -u c:\winnt\system32\regwizc.dll
3.Recommencer avec la commande : regsvr32.exe -u c:\winnt\system32\msident.dll
21
22
De l’anglais Personnal Computer ou ordinateur personnel
http://www.vecdev.com/guideon.html
Pour Windows XP
2.Tapez la commande suivante : regsvr32.exe -u regwizc.dll

HARDWARE :
Certains constructeurs de microprocesseurs (Intel) ne se privent pas d’équiper leur puce d’un
numéro de série qui joue le rôle d’un espion (Pentium III).
Le « Processor Serial Number »23 (P.S.N.) est un numéro de série unique (de 96 bits) identifiant chaque
processeur Intel Pentium III et donc par extension chaque ordinateur. Le numéro de série est accessible à
distance.
Cet identifiant est l’outil idéal pour le « e-marketing » puisque certains sites peuvent utiliser le P.S.N. pour
générer un numéro unique afin de fidéliser le client à leur service ou d’en contrôler l’accès.
Après la campagne de presse révélant l'existence du système, Intel, sans renoncer à cet identifiant, a décidé
que les PC grand public seraient désormais livrés avec le P.S.N. désactivé. Pour les ordinateurs professionnels
l’identifiant restera cependant actif. Cette pratique n’est pas nouvelle pour la firme américaine puisqu’elle a
révélé que certains Pentium II équipant des PC portables comportaient déjà le tatouage d’identification qui
accompagne désormais les Pentium III. Intel a expliqué qu’il s’agissait « d’un test de fabrication en vue de la
conception du Pentium III », le tatouage était désactivé sur tous les processeurs Pentium II mais une ligne de
fabrication défectueuse aurait échoué dans l’opération et laissé le tatouage actif.
Cependant, d’après des tests réalisés par un laboratoire spécialisé, la présence du tatouage concerne
également les processeurs Celeron, version moins rapide et moins chère que les processeurs Pentium. Toutes
ces explications sont peu convaincantes lorsqu’on connaît l’enjeu que peuvent représenter l’ensemble des
informations récoltées, ce système permettant d’identifier un utilisateur sur le réseau afin de savoir ce que vous
avez fait, où vous êtes allés et quand.
Il existe un moyen technique d’éliminer le P.S.N. mais il demeure assez compliqué puisqu’il faut agir
directement dans le BIOS24 de l’ordinateur. La solution technique se trouve alors chez les fabricants de carte
mère qui ont mis à jour des nouvelles versions de BIOS dès août 1999. Afin d’être certain que le mouchard a
été désactivé, il existe des utilitaires capables de vérifier la présence du tatouage sur le Pentium de votre PC.
Ces derniers sont téléchargeables sur Internet.
Après le tollé soulevé par ces révélations et les recommandations de la C.N.I.L.25, l'activation ou la
désactivation du P.S.N. se fait néanmoins uniquement avec une solution logicielle grâce à des programmes tels
que PSFRE103.exe26 et non de façon physique. Comme le désirait la C.N.I.L., un petit utilitaire (PSN utility)
servira de tableau de bord pour tous les utilisateurs. Deux voyants lumineux seront inscrits dans la barre de
tâche de Windows (bleu pour actif et rouge pour inactif). Ces solutions vont donc dans le sens d’une meilleure
23
Processor Serial Number
Basic Input Output System : Programme primaire d’un PC, inscrit sur la carte mère et qui démarre avant
Windows lors de la mise sous tension
25
Commission Nationale Informatique et Libertés
26
http://mts.free.fr/psfre103.exe
24
protection de l’utilisateur mais l’absence de moyen de désactivation physique peut faciliter son activation à
distance et à l’insu de son utilisateur.
Dans un registre un peu différent, il existe également des programmes appelés chevaux de Troie, troyens mais
également vers. Ces derniers vont permettre de s’introduire et de prendre le contrôle de votre ordinateur par
celui qui vous aura envoyé ledit troyen. Leur but n'est pas essentiellement de causer des dommages à votre
machine, mais plutôt d'en permettre l'accès à distance, ou de vous voler des informations.
Il convient tout d’abord d’étudier ces programmes de manière technique afin de mieux les appréhender avant
d’analyser les méthodes permettant de se débarrasser de ces derniers.
§ 1 : Technique
Le nom « cheval de Troie » a été choisi en référence à une anecdote historique qui s'est déroulée il y a bien
longtemps : l’histoire du cheval de Troie. Les Grecs effectuaient le siège de la ville de Troie et n'arrivaient pas à
faire plier la ville assiégée. Les assaillants eurent l'idée de construire un énorme cheval de bois et de l'offrir aux
Troyens. Ceux-ci prirent le cheval de bois pour un cadeau des Dieux et l'accueillirent à l'intérieur de leur ville.
Cependant, le cheval était rempli de soldats qui s'empressèrent d'en sortir à la tombée de la nuit, alors que la
ville entière était endormie ... Cette ruse permit aux Grecs de pénétrer dans la ville et de gagner la bataille.
Un peu comme le virus, le cheval de Troie est un code (programme) nuisible. Il exécute des instructions
nuisibles lorsque vous exécutez le programme sain. Un tel programme peut créer, de l'intérieur de votre
réseau, une brèche volontaire dans la sécurité pour autoriser des accès à des parties protégées du réseau à des
personnes se connectant de l'extérieur.
Un cheval de Troie est donc un programme caché dans un autre qui exécute des instructions nuisibles lorsque
vous exécutez le programme sain. Il peut par exemple voler des mots de passe, copier des données, ou
exécuter tout autre action nuisible. Il existe de nombreux troyens dont la liste ne cesse de s’allonger27. Un tel
programme est en général composé d'un serveur (installé sur la machine de la victime), et d'un client qu'utilise
l'attaquant pour « prendre la main » sur la machine. Back Orifice 2000 (Windows) constitue un des chevaux de
Troie les plus répandus.
Les risques encourus pour un utilisateur dont la machine est infectée sont considérables. Toutes les opérations
faites sur une machine en local peuvent être exécutées par le biais de Back Orifice 2000. Par exemple, un
attaquant peut : télécharger un fichier sur le poste victime, rebooter l'ordinateur, enregistrer la frappe au
clavier, visualiser l'écran, prendre le contrôle de la souris et du clavier, etc… Il n'est dès lors pas étonnant dans
ces conditions que Back Orifice 2000 soit largement utilisé par les administrateurs systèmes pour
l'administration distante.
Le principal danger vient de l'extrême facilité à se servir de Back Orifice 2000. Son utilisation ne requiert
absolument aucune compétence particulière, et ne semble donc pas réservée à certains spécialistes. En effet, il
suffit pour un attaquant de faire exécuter par un utilisateur le binaire d'installation du serveur Back Orifice
2000. Cet exécutable peut porter n'importe quel nom, se trouver en pièce jointe à un courriel (il a une taille
27
http://www.ixus.net/modules.php?name=Ixus_Nettools&d_op=Trojans
comprise entre 160 et 200 Ko), et même être incorporé à un autre exécutable. Il n'est pas aisé de détecter une
compromission par un cheval de Troie, en particulier par Back Orifice 2000. En effet, tous les paramètres sont
modifiables par l'attaquant : le nom du serveur, sa valeur dans la base des registres, le protocole réseau utilisé
pour communiquer entre le client et le serveur, le numéro de port sur lequel se fait la connexion…
En pratique, une contamination par un troyen s’opère en plusieurs étapes :
La première étape consiste à envoyer à la machine cible le logiciel serveur. Etant donné la nuisance que peut
occasionner un cheval de Troie, l'utilisateur cible ne va pas de son plein gré exécuter le programme s'il sait de
quoi il s'agit. Aussi, le cheval de Troie en lui-même va être présenté comme différent et prendra généralement
la forme d’un logiciel standard. Ce type de contamination pourra être occasionné à la suite d'un dialogue sur
une messagerie instantanée telle que ICQ, MSN messenger, Yahoo messenger ou tout autre espace de chat.
Une autre méthode, plus subversive, consiste à introduire le troyen directement dans un logiciel, aussi divers
soit-il, puis de le faire parvenir à la personne visée. Dès lors, tout programme peut être infecté. De plus, selon
la personne visée, ses intérêts, sa vigilance, le mode d'infection peut être personnalisé.
Après l'infection, il faut attendre l'exécution du programme. Dans ce cas deux solutions sont possibles :
-
soit le cheval de Troie a été exécuté seul et un message d'erreur survient
-
soit le troyen est incorporé dans un autre logiciel et s'exécute sans changer le comportement du
logiciel
La partie active du programme (soit le troyen en lui-même, soit la partie nocive d'un logiciel) va se renommer,
prendre un nom qui n’est pas suspect (qui change avec le cheval de Troie) et se place dans un dossier
généralement peu fréquenté (du type C:\windows, ou C:\windows\system, où il existe un grand nombre de
fichiers dont l'utilité est parfaitement inconnue.). De plus, le troyen va généralement écrire dans la base de
registre pour pouvoir s'exécuter à chaque lancement de l'ordinateur.
A la suite de ces opérations, le cheval de Troie est actif et prêt à être utilisé, suivant la méthode utilisée par le
troyen, celui-ci va attendre qu'il détecte la possibilité de se connecter à un serveur sur Internet ou alors que le
pirate tente de se connecter à la machine. La technique est toujours la même, après une requête du pirate, le
programme ouvre un port, qui permet par la suite toute communication entre les deux logiciels (serveur et
client), de telle sorte que le pirate peut accéder à tous les fichiers de la personne infectées.
Dès lors, le pirate peut réaliser de très nombreuses choses sur l'ordinateur distant. Lorsqu'une liaison est
établie entre le serveur (la personne « infectée») et le pirate de nombreux renseignements peuvent ainsi être
récupérés :
-
le nom du DNS28, l'adresse IP29, la présence d'un firewall, la présence d'un Proxy30, de nombreuses
informations sur les interfaces (type, vitesse, etc.), les caractéristiques de l'ordinateur (processeur,
mémoire, disque dur...), les navigateurs installés (Internet Explorer, Netscape), les logiciels de
messagerie (Outlook, Eudora, Netscape, etc.), les programmes enregistrés, le nom réel d'utilisateur,
l’adresse e-mail…
28
Domain Name System
Internet Protocol : nom unique servant à identifier un ordinateur connecté à un réseau. Une adresse IP est
composée de 4 nombres et de 3 points.
30
Ordinateur qui s'intercale entre un réseau privé et l'Internet
29
Le principal danger des troyens est que ces derniers sont téléchargeables sur de nombreux sites Internet31. Une
personne souhaitant pénétrer dans la machine d’une tierce personne trouvera facilement tous les outils
nécessaires pour parvenir à ses fins. Une fois les outils en sa possession, elle pourra pénétrer frauduleusement
dans un ordinateur, fouiner à sa guise dans les fichiers, courriels, y opérer des modifications…
§2 : Contre techniques
Il n’y a pas de solution miracle afin d’éviter d’être infecté par un cheval de Troie. Il faut tout d’abord être
vigilant et ne pas accepter n’importe quel fichier (cela est également valable pour les virus). Il existe plusieurs
moyens de se prémunir contre les troyens : un aspect curatif une fois que le troyen est déjà présent sur la
machine mais on peut également faire en sorte de réduire le risque d’infection en installant un firewall.
L’aspect curatif peut consister à lancer son anti-virus. Les anti-virus classiques sont capables de détecter les
troyens les plus répandus car, pour la plupart, ils protègent l’ordinateur des virus mais également des troyens.
Le plus important est de lancer régulièrement son anti-virus afin que ce dernier traque le moindre fichier
suspect présent sur la machine. Il faut également remettre les signatures de son anti-virus régulièrement à jour
afin que ce dernier puisse détecter les derniers troyens.
Cette solution n’est pas la meilleure et il convient d’utiliser des logiciels spécialisés contre les troyens tels que
« The Cleaner »32 développé par la société Moosoft. Ce dernier fonctionne exactement comme un anti-virus et
va scanner l’intégralité du disque dur à la recherche d’un troyen en vue de l’éradiquer. Il est également
nécessaire de lancer le logiciel et de le mettre à jour régulièrement. Les mises à jour sont très importantes et
« The Cleaner » propose environ cinq mises à jour par semaine. A l’heure actuelle33, la base de données de ce
logiciel contient 5471 définitions de troyens.
L’autre solution consiste à essayer d’empêcher l’entrée illicite de tout fichier sur son système. Le firewall est un
dispositif informatique qui filtre les flux d'informations entre un réseau interne à un organisme et un réseau
externe en vue de neutraliser les tentatives de pénétration en provenance de l'extérieur et de maîtriser les
accès vers l'extérieur. Il ne convient pas de décrire de manière détaillée le fonctionnement d’un firewall mais
quelques remarques sont nécessaires. Il convient également de préciser que la fonction du firewall convient
également afin de lutter efficacement contre les espiogiciels et divers mouchards.
Un firewall a donc pour mission de contrôler et de filtrer l'accès entre un réseau d'entreprise ou l'ordinateur
d'un particulier et un autre réseau tel qu’Internet. Le firewall peut prendre une forme matérielle ou logicielle.
C’est la partie qui sera abordée ci-après. Le firewall examine tout le trafic entre les deux réseaux afin de
déterminer s'il correspond à certains critères définis par l'administrateur. Si les données sont autorisées, elles
accèdent au réseau. Dans le cas contraire, elles sont stoppées par le firewall. Ce dernier filtre aussi bien dans le
sens de l'envoi de données vers l'extérieur que dans celui de la réception.
Le filtrage des données par le firewall peut se faire de différentes manières. Il existe le filtrage par adresses,
par applications et par paquets. Les firewalls se répartissent dans ces trois catégories.
31
32
http://membres.lycos.fr/thriller/hacking/
http://www.moosoft.com/thecleaner
Dans le filtrage par adresses, le firewall ne vérifie que les adresses IP des requêtes extérieures en les
comparant avec une base de données de permission. Ce filtrage a l'avantage d'être très rapide mais il reste
vulnérable à certaines attaques et il suffit ainsi qu'un pirate fasse passer l'adresse IP de sa machine pour une
reconnue
par
le
firewall
pour
qu'il
puisse
accéder
à
votre
ordinateur.
Par un filtrage par applications, le firewall vérifie que la présence de chaque paquet est légitime en surveillant
l'activité de toutes les applications. Les attaques extérieures ne peuvent alors plus accéder à l'architecture du
réseau local. L'inconvénient de cette méthode est qu'elle nécessite beaucoup de ressources systèmes.
Dans le filtrage par paquets34, le firewall soumet chaque paquet de données reçu à des critères bien précis. En
fonction du paquet et des critères, le firewall peut refuser le paquet, le faire suivre ou le renvoyer à son
expéditeur avec un message. Les critères peuvent inclure l'adresse IP source et de destination, le numéro de
port source et de destination et le protocole utilisé. L'avantage de ce filtrage par paquet est qu'il n'a
pratiquement aucun impact sur les performances du réseau. C'est ce filtrage que l'on retrouve dans la majorité
des firewalls commerciaux.
En plus de sa fonction de protection, le firewall trace les différentes attaques subies et les enregistre dans des
journaux. Cela permet ainsi de retrouver facilement les auteurs de l'agression. Il est également possible de
cumuler deux firewalls et le plus efficace est d’avoir un firewall qui filtre les paquets et un autre qui filtre les
applications. Il existe une multitude de firewalls disponibles.
Certaines des techniques d’intrusion décrites précédemment sont licites, d’autres sont interdites et certaines
peuvent être tolérées. Après avoir envisagé l’ensemble des méthodes constitutives d’intrusion dans un système
informatique, il convient de savoir si, au regard de la loi, de tels actes sont répréhensibles ou non.
33
34
le 15/08/2002
Unité d'information utilisée pour communiquer sur le réseau.
Chapitre 2 : le droit applicable et les différentes
sanctions
Plusieurs types de sanctions peuvent en effet être entreprises à l’encontre des personnes pénétrant dans un
système informatique.
Des sanctions pénales sont envisageables (loi Godfrain) De plus, plusieurs Etats européens ont souhaité
harmoniser leur législation nationale afin de lutter plus efficacement contre ces actes. Enfin, il est également
possible de saisir les juridictions civiles (responsabilité civile).
Section 1 : La loi du 05/01/1988 ou loi Godfrain
La Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique constitue le texte majeur
de la législation française en matière de lutte contre le piratage consistant à pénétrer dans un
système informatique sans autorisation préalable. C’est aussi le seul texte pénal susceptible
d'incriminer de tels comportements. Vieille de 14 ans, le caractère actuel de cette loi tient
principalement aux comportements qu’elle incrimine ainsi qu’à la terminologie dont elle use.
En effet, le succès de cette loi vient de son caractère intemporel qui lui permet de dépasser un
obstacle majeur : l’évolution.
La loi du 5 janvier 1988 a été adoptée à la demande des élus de la Nation qui ont spontanément souhaité combler le vide juridique qui existait
jusqu'alors en droit français. Deux initiatives parlementaires concurrentes ont eu lieu : l'une émanant du Sénat en février 1986 fut rapidement
rejetée, l'autre émanant de l'Assemblée Nationale fut acceptée et est devenue la loi du 5 janvier 1988 sur la fraude informatique, plus connue
sous le titre de « loi GODFRAIN », du nom de son initiateur. Cette loi a été, par la suite, intégrée dans le nouveau code pénal, entré en
vigueur au 01/01/1994.
Les incriminations de la loi Godfrain se résument à deux comportements : l’accès et le maintien dans un
système de traitement automatisé de données35 visé par l’article 323-1 du code pénal, d’une part, et certaines
atteintes ayant pour finalité de toucher le système (article 323-2 du code pénal), d’autre part.
§1 : L’accès et le maintien dans un STAD
L'article 323-1 du Code pénal regroupe deux infractions de piratage informatique : l'accès frauduleux dans le système d’une part,
et le maintien non autorisé dans le système, d’autre part.
A)
L’accès frauduleux dans le système
Ce délit implique deux conditions : la pénétration matérielle dans tout ou partie du système d’une part, et
l'absence d'autorisation légale, administrative ou contractuelle pour accéder aux données, d’autre part.
35
STAD
1- la pénétration matérielle dans tout ou partie du système
Pour qu’il y ait une pénétration matérielle dans un système, il n'est pas obligatoire que tous les éléments du
système aient été utilisés et la jurisprudence semble avoir estimé que l'accès illicite est réalisé quand il existe
une communication avec le système. La doctrine est divisée sur le point de savoir si la simple lecture de l'écran
suffit ou non à caractériser l'infraction.
La jurisprudence est muette sur ce point précis mais, dans un arrêt du 05/04/199436, la Cour d'Appel de Paris a
décidé que l'accès illicite pouvait résulter de la simple captation de signaux parasites émis par des matériels
électroniques. La loi ne distingue pas selon les modes d'accès. Cela implique que toutes les modalités de
pénétration irrégulières sont visées et relèvent de cet article : manipulation illicite, codes d'accès
irrégulièrement obtenus, emploi d'un cheval de Troie, y compris lorsque le délinquant se borne à dénoncer les
faiblesses d’un système informatique.37
2-
l'absence d'autorisation légale, administrative ou contractuelle pour accéder aux
données.
La personne n'a pas du tout le droit d'accéder aux données ou n'a pas le droit d'accéder aux données par les
moyens qu'elle a utilisés. Cela implique le non respect des dispositions légales (par exemple les règles en
matière de confidentialité ou de secret), des stipulations du contrat ou de la volonté du responsable du
système.
La loi n'a pas précisé si l'accès illégal impliquait ou non la violation de dispositifs de sécurité. Ce silence est
volontaire car il tient au fait que Sénat et Assemblée nationale avaient une interprétation divergente quant à la
nécessité de cette condition. C'est donc au juge qu'il est en définitive revenu de trancher ce point. Dans un
arrêt rendu par la Cour d'appel de Paris en 1994 (même arrêt que celui énoncé précédemment), il a été décidé
que l'infraction d'accès illicite était constituée même en l'absence de dispositif de sécurité.
Au terme de l’article 323-1 du code pénal, « le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou
partie d'un système de traitement automatisé de données est puni d'un an d'emprisonnement et de 15000
euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le
système, soit une altération du fonctionnement de ce système, la peine est de deux ans d'emprisonnement et
de 30000 euros d'amende ». Les agissements ainsi réprimés n’ont comme limites que l’imagination de leurs
auteurs. Ce texte trouve notamment à s’appliquer lorsque des salariés ayant perdu leur emploi vont se venger
en pénétrant dans l’ordinateur de leur ancien employeur.38
B) Le maintien non autorisé dans le système
36
CA Paris, 11e ch, 5 avril 1994, D 1994, IR p.130
TGI Paris, 13e ch., 13 févr. 2002
38
T. corr Lyon, 20 février 2001
37
Cette seconde incrimination prévue par l'article 323-1 du Code Pénal, chronologiquement postérieure à l'accès
non autorisé, présente toutefois un intérêt spécifique à l'infraction précédente dans le cas d'un accès régulier ou
autorisé, alors que ce sont les opérations subséquentes qui sont illégales. La personne n'a pas le droit de
demeurer dans le système ou elle s'y maintient au delà du temps autorisé. Par exemple, la personne qui a
accédé régulièrement à un service informatique s'y maintient et envoie des messages pour tenter de corrompre
des clients (Cour d'Appel de Paris 05/04/1994).
La jurisprudence a ajouté une condition supplémentaire, restreignant ainsi la portée de l'infraction. Il faut que
la personne sache qu'elle n'avait pas le droit d'agir comme elle l'a fait.
En l'occurrence, la Cour d'Appel de Paris a estimé qu'il n'y avait pas d'infraction en cas d'ignorance par
l'intéressé de l'absence d'autorisation.
En revanche, l'intention de nuire n'est pas un élément constitutif du délit et l'infraction existe même sans
dommage ou sans préjudice. Simplement, les conséquences dommageables seront prises en compte au niveau
de la répression. Elles constituent en effet des circonstances aggravantes, qui entraînent une multiplication par
deux des peines, soit deux ans de prison.
Le terme « frauduleusement » doit donc être entendu comme étant « la conscience chez le délinquant que
l’accès ou le maintien ne lui était pas autorisé et qu’il agissait contre le gré du maître du système ».39
C) Le cas du cookie et de l’espiogiciel
Nous ne reviendrons pas sur les définitions du cookie et de l’espiogiciel qui ont déjà été présentés. L’emploi des
cookies n’est pas en lui-même constitutif d’un comportement frauduleux puisque leur finalité est de permettre
une recherche aisée sur Internet et un gain de temps pour certains types de sites Web (commerce électronique
notamment). Ce n’est pas le cas de l’espiogiciel qui agit toujours à l’insu de l’internaute.
Toutefois, le cookie peut se présenter de deux manières différentes : l’internaute est averti de la présence du
cookie et l’internaute n’est pas averti de sa présence. Nous ne nous intéresserons ici qu’à la seconde
hypothèse, c’est-à-dire aux cookies utilisés de manière transparente. Ces derniers sont à rapprocher
étroitement des espiogiciels puisqu’ils agissent de manière similaire, en jouant le rôle d’un espion chargé de
prendre des données à l’insu des internautes.
1-
élément matériel de l’infraction
Au regard de l’article 323-1 du code pénal, l’infraction se déroule en deux phases. Le fait d’entrer, lors de la
connexion, dans l’ordinateur de l’internaute (STAD) alors même que
celui-ci l’ignore constitue la première
phase de l’infraction : l’accès. On peut parler d’infraction puisque l’internaute n’a nullement autorisé cet accès.
La deuxième phase de l’infraction est réalisée dès lors que le cookie ou l’espiogiciel se maintient dans le STAD
de l’internaute le temps d’y enregistrer des données pour le cookie et de les acheminer de l’internaute vers le
serveur pour l’espiogiciel.
La notion de « maintien » doit être entendue de manière large et le législateur parlera tantôt de maintien
« actif » ou « passif ». Le maintien actif est à envisager pour les cookies puisqu’il y a enregistrement de
données sur le disque dur. Concernant les espiogiciels, compte tenu de la nature ambiguë, le maintien sera
39
LESTANC C : Com. Com. électr. avril. 2002
tantôt actif tantôt passif puisqu’il n’y a pas une seule catégorie d’espiogiciels mais plusieurs espiogiciels qui
agissent de manière différente.
Les éléments matériels de l’accès et du maintien dans un STAD étant remplis, qu’en est-il de l’élément moral ?
2- élément moral de l’infraction
Le cookie et l’espiogiciel accèdent-ils et se maintiennent-ils de manière frauduleuse ? Nous pouvons répondre à
cette question par l’affirmative. En effet, le fait de ne pas avoir obtenu d’autorisation pour accéder et se
maintenir dans un STAD constitue une fraude. De plus, le cookie étant invisible aux yeux de la plupart des
internautes – seul l’internaute expert sera à même de l’identifier – ces derniers sont dans l’impossibilité de
s’opposer à ce type d’intrusion puisqu’elle est invisible.
L’espiogiciel ne pose pas de souci majeur puisqu’il est par nature invisible aux yeux de l’internaute. En
revanche, le cookie doit être analysé de manière différente puisque l’internaute a la possibilité d’interdire tout
cookie en configurant son navigateur Internet, comme nous l’avons vu précédemment.
Cette démarche n’est pas très commode pour l’internaute et rendra la navigation sur Internet insupportable
puisqu’il faudra refuser les cookies à chaque ouverture d’une nouvelle page Web. De plus, la plupart des
internautes novices ne connaissent pas cette manipulation et tous les navigateurs présents sur le marché
autorisent par défaut les cookies.
Enfin, même si vous avez paramétré votre navigateur Internet de manière à ce que vous soyez informé de
toute tentative d’installation d’un cookie sur votre disque dur, il est fort possible que vous ne puissiez pas
accéder à certains sites qui n’autoriseront leur accès qu’en l’échange de l’installation d’un cookie sur votre
disque dur, à l’instar d’un droit d’entrée.40 Le consentement n’est plus vraiment éclairé et Mme Mallet-Poujol41
parle même de consentement vicié.
Dès lors, on peut établir que le cookie, au même titre que l’espiogiciel, accède et se maintient dans un STAD de
manière frauduleuse au sens de l’article 323-1 du code pénal.
La législation française actuelle sur les cookies repose sur « l’opt out ». En d’autres termes, les cookies sont
autorisés à accéder sur l’ordinateur de l’internaute par défaut sauf stipulation contraire par l’internaute. La
démarche contraire est celle de « l’opt in » et consiste à demander à l’internaute son autorisation avant tout
envoi de cookie sur sa machine. Le Parlement Européen s’est récemment prononcé sur le sujet, en date 30 mai
2002, en adoptant la directive sur « le traitement des données à caractère personnel et la protection de la vie
privée dans le secteur des communications électroniques ». Cette dernière fera l’objet d’une étude plus
approfondie dans la seconde partie du mémoire.
La répression des cookies et des espiogiciels par la loi Godfrain n’exclut pas d’autres qualifications. Dans la
mesure où les cookies et les espiogiciels peuvent déboucher sur un traitement automatisé de données
nominatives, il est possible de s’attaquer à ce type d’agissement sur le fondement de la loi du 6 janvier 1978 à
travers son volet pénal, par le biais des articles 226-16 à 226-24 du code pénal.
40
VIVANT M., LE STANC C., Lamy Droit de l’Informatique et des Réseaux, 2001, n°2660
Mallet-Poujol N., Les libertés de l'individu face aux nouvelles technologies de l'information, Cah. français
n° 296, Doc. fr., 2000, p. 59, spéc. p. 65
41
§2 : Les atteintes ayant pour finalité de toucher le système
La loi Godfrain prévoit deux types d’atteintes : les atteintes directes au système et les atteintes indirectes.
A)
Atteinte directe (article 323-2)
L’article 323-2 du code pénal est ainsi rédigé : « Le fait d'entraver ou de fausser le fonctionnement d'un
système de traitement automatisé de données est puni de trois ans d'emprisonnement et de 45000 euros
d'amende. »
Il convient d’identifier les différentes atteintes pouvant entrer dans le champ d’application de cet article du code
pénal et nous nous intéresserons au « spamming » ainsi qu’aux chevaux de Troie.
1-
Le spamming
Le spamming ou courrier non sollicité désigne l'action d'envoyer un message non souhaité et
dérangeant à une personne ou à un groupe de personnes, généralement dans un but
promotionnel ou publicitaire. Sont notamment considérés comme des actes de spamming :
•
le fait d'envoyer un courriel à un ou plusieurs inconnus pour leur suggérer de visiter un site Web ou
d'acheter un produit ;
•
le fait d'inclure un individu dans une liste de diffusion sans son consentement préalable ou de
l'empêcher de se désabonner ;
•
le fait de diffuser sur un forum de discussion des messages sans rapport avec le thème abordé, dans
un but provocateur ou commercial.
Le spamming peut également consister à envoyer des milliers voire des dizaines de milliers de messages
appelés « mailbombs » à un unique destinataire, dans le but de saturer la boîte réceptrice et d’occasionner ainsi
des dommages divers. Cette technique est appelée le « mailbombing ».
Ces messages sont vides, revendicatifs voire injurieux, et potentiellement accompagnés de
fichiers joints volumineux selon que l'objectif est une attaque DOS du serveur de messagerie
ou la saturation de la boîte aux lettres de la victime. Certains virus comme Sircam pratiquent
occasionnellement le mailbombing, et sont ainsi capables de s'envoyer en plusieurs centaines
d'exemplaires à la même personne en un temps réduit.
La question est de savoir si de tels agissements sont susceptibles d’être réprimés au titre de
l’article 323-2 du code pénal ?
L’élément matériel de l’infraction ne semble pas poser de problème puisque envoyer
massivement des données dans le seul but de saturer la boîte de réception est un acte positif
constituant une entrave.
L’élément moral pose plus de difficultés en cas de « spamming » à vocation commerciale.
Dans un arrêt rendu par la Cour d’Appel de Paris le 05/04/1994, cette dernière s’était appuyée
sur l’article 323-2 du code pénal pour condamner les prévenus. Dans cette affaire, une société
exploitait un service minitel accessible par le 3615, qu’un concurrent avait investi en
multipliant les envois automatiques de message ce qui avait eu pour conséquence de ralentir
la capacité du serveur.
Avec le recul, on peut estimer que l’application de l’article 323-2 du code pénal n’était peut
être pas la meilleure façon de résoudre le litige. En effet, l’article 323-2 du code pénal exige
une intention frauduleuse alors que le spamming ne constitue pas une technique destinée à
frauder. L’utilisation de l’article 323-1 alinéa 2 du code pénal semble dès lors plus judicieuse
concernant le « spamming » à vocation commerciale. Ainsi, l’accès sans droit au STAD serait
constitué en accédant à une boîte aux lettres électronique sans l’accord de son propriétaire et
le « bourrage » de cette dernière constituerait une entrave.
Il convient d’ajouter que la loi Godfrain ne constitue pas le seul texte pouvant résoudre le
problème posé par le « spamming ». La Directive Européenne du 20 mai 1997 relative aux
contrats à distance et la Directive du 4 mai 2000 relative au commerce électronique ont pris
en compte le « spamming ». Elles ont opté pour la mise en place des systèmes de l’opt in et
d’opt out prévoyant que les émetteurs devront obtenir l’accord de l’internaute préalablement à
tout envoi de courriers électroniques à des fins publicitaires.
Le Parlement Européen a récemment adopté la directive sur « le traitement des données à
caractère personnel et la protection de la vie privée dans le secteur des communications
électroniques », en date du 30 mai 2002. Cette directive s’intéresse notamment au spam et
laisse le dernier mot à chaque Etat membre quant au choix des deux principes « opt-in » et
« opt-out ».
2- Les chevaux de Troie
Un cheval de Troie est donc, comme vu précédemment, un programme informatique
dissimulé dans un système informatique ayant pour finalité de pénétrer dans un système, en se
mettant à l’abri des mécanismes de protection, afin d’y pirater les données y figurant.
Cet acte relève donc bien de l’article 323-2 du code pénal. Les chevaux de Troie peuvent être
assimilés à des virus en ce sens qu’ils peuvent entraîner la destruction complète de
programmes.
L’élément matériel est constaté dès lors que le délinquant provoque des dommages. Deux
informaticiens ont ainsi été condamnés pour notamment escroquerie et abus de confiance, en
pénétrant, à l’aide d’un cheval de Troie, dans les systèmes d’EDF, du Centre d’Etude
Nucléaire de Saclay, de l’Office National d’Etudes et de Recherche Aérospatiale de Fruehauf,
et d’une entreprise de pompes funèbres générales.42
L’élément moral est quant à lui lié à l’élément matériel. L’intention frauduleuse de l’auteur
sera facile à démontrer et pourra même être déduite des faits.43
B)
Atteinte indirecte (art 323-3)
L'article 323-3 du Code pénal vise les manipulations illicites de données et est ainsi rédigé : « Le fait d'introduire frauduleusement
des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les
données qu'il contient est puni de trois ans d'emprisonnement et de 45000 euros d'amende. »
Au même titre que l’article 323-2 du code pénal, le présent article peut également s’appliquer en cas
d’utilisation d’un cheval de Troie dès lors que le troyen supprimera ou modifiera les données.
Ont ainsi été sanctionnées au titre de cet article des introductions volontaires de virus ou de chevaux de Troie
au lieu et place du programme normal. Ce délit suppose un dol général. L'auteur agit en ayant conscience de
porter atteinte à l'intégrité des données et en sachant qu'il n'est pas habilité à les manipuler.
Ce ne sera en revanche pas le cas d’une personne fabriquant une disquette de démonstration se trouvant
infectée par un virus puisque la connaissance de ce virus ne parait pas établie.
En revanche, la loi n'exige pas de dol spécial : il n'est donc pas nécessaire d'établir que ces actes délibérés sont
commis avec une intention particulière, comme la volonté de causer un préjudice spécial.
La loi Godfrain constitue un bon moyen de réprimer les différentes attitudes décrites précédemment mais elle
souffre de carences.
§3 : Carences
La loi Godfrain souffre de plusieurs maux. Tout d’abord, le mécanisme législatif est resté pour l'essentiel
théorique car les tribunaux ne l'ont appliqué qu'en de rares occasions. Ainsi, il n'existe ni décision de justice
portant condamnation pour simple accès frauduleux, ni condamnation de club de hackers. L'essentiel des
jugements des juridictions du fond a porté sur les atteintes aux données ou aux systèmes informatiques dans
un environnement électronique classique.
42
43
TGI Limoges, 18 mars 1994
Cour d’Appel de Paris, 14 janvier 1997, JurisData n°020128
De plus, on constate que les dispositions visant à interdire de telles pratiques ne font pas l’objet d’une grande
« publicité » à l’opposé des infractions relevant du droit d’auteur.
Enfin, il faut convenir qu’il ne faut pas faire de différence entre les deux types d’hackers existants. Le premier
type d’hackers ne cherchera qu’à commettre des actes dommageables et percevra cela comme un jeu, un
challenge et restera anonyme. Le second type d’hackers ne cherchera à pénétrer dans des systèmes qu’en vue
de monnayer son savoir-faire auprès de leurs victimes et s’empressera de se faire connaître sitôt son méfait
accompli.
Le projet de loi « Société de l'information » a été approuvé en Conseil des ministres le 13 juin 2001 et une de
ses principales dispositions renforce les moyens de lutte contre la cybercriminalité. Ce texte comprend
notamment diverses dispositions relatives au droit pénal, à la procédure pénale et à la responsabilité pénale, y
compris celle des fournisseurs de services et tend à renforcer la législation actuelle en matière de répression
contre le piratage.
§ 1 : Le droit international
La convention internationale contre la cybercriminalité a été adoptée le 23/11/2001 à Budapest. Le Conseil de
l’Europe s'est attaché à mettre sur pied une convention capable de répondre aux défis que pose la criminalité
informatique. Ce texte qui constitue une première au niveau mondial vise avant tout à garantir la sécurité du
réseau et de ses utilisateurs.
Les Ministres ou leurs représentants des 26 Etats membres suivants ont signé le traité : Albanie, Arménie,
Autriche, Belgique, Bulgarie, Croatie, Chypre, Estonie, Finlande, France, Allemagne, Grèce, Hongrie, Italie,
Moldova, Pays-Bas, Norvège, Pologne, Portugal, Roumanie, Espagne, Suède, Suisse, " l"ex-République
yougoslave de Macédoine ", Ukraine et Royaume-Uni.
De plus, le Canada, le Japon, l'Afrique du Sud et les Etats-Unis, qui ont participé à son élaboration, ont
également signé la Convention.
La Convention détermine trois principaux axes de réglementation : l'harmonisation des
législations nationales concernant la définition des crimes, la définition des moyens
d'enquêtes et de poursuites pénales adaptés à la mondialisation des réseaux et la mise en place
d'un système rapide et efficace de coopération internationale.
A) Les infractions répertoriées
Les infractions retenues sont toutes soumises à deux conditions générales : les comportements
incriminés doivent toujours être commis de façon intentionnelle et « sans droit » pour que la
responsabilité pénale soit engagée. Elles sont répertoriées selon quatre grandes catégories:
- les infractions contre la confidentialité, l'intégrité et la disponibilité des données et
systèmes : accès illégal, interception illégale, atteinte à l'intégrité des données, atteinte à
l'intégrité du système, abus de dispositif
- les infractions informatiques : falsification et fraude informatiques
- les infractions se rapportant au contenu : actes de production, diffusion, possession de
pornographie enfantine. Un protocole additionnel devrait inclure la propagation d'idées
racistes et la xénophobie à travers les réseaux
- les infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes : la
distribution à grande échelle de copies illégales d'oeuvres protégées etc…
B) De nouvelles procédures
La convention prévoit des règles de base qui faciliteront la conduite d'enquêtes dans le monde
virtuel et qui représentent de nouvelles formes d'entraide judiciaire. Ainsi sont prévues : la
conservation des données stockées, la conservation et divulgation rapide des données
relatives au trafic, la perquisition des systèmes et la saisie de données informatiques, la
collecte en temps réel des données relatives au trafic et l'interception de données relatives au
contenu.
Ces dispositions sont soumises aux conditions légales des pays signataires mais doivent
garantir le respect des Droits de l'homme et l'application du principe de proportionnalité. En
particulier, les procédures ne pourront être engagées que sous certaines conditions, telle que,
selon le cas, l'autorisation préalable d'un magistrat ou d'une autre autorité indépendante.
C) Les règles de la coopération internationale
A côté des formes traditionnelles de coopération pénale internationale prévues notamment par
les conventions européennes d'extradition et d'entraide judiciaire en matière pénale, la
nouvelle Convention exigera des formes d'entraide correspondant aux pouvoirs définis
préalablement par la Convention et, en conséquence, que les autorités judiciaires et services
de police d'un Etat puissent agir pour le compte d'un autre pays dans la recherche de preuves
électroniques, sans toutefois mener d'enquêtes ni de perquisitions transfrontalières. Les
informations obtenues devront être rapidement communiquées.
§2 : Le droit civil
Alors que la responsabilité pénale vise à sanctionner une personne qui commet une infraction,
la responsabilité civile est l’obligation légale qui incombe à une personne de réparer le
dommage causé à autrui.
La responsabilité constitue donc l’obligation de réparer le préjudice résultant soit de
l’inexécution d’un contrat (responsabilité contractuelle : Art. 1147 du Code civil), soit de la
violation du devoir général de ne causer aucun dommage à autrui par son fait personnel (Art.
1382 du Code civil), ou du fait des choses dont on a la garde, ou du fait des personnes dont on
répond (Art. 1384 du Code civil). Lorsque la responsabilité ne résulte pas d’un contrat, elle
est dite délictuelle.
Le problème rencontré sur Internet est lié au problème de l’identification. En effet, comment
identifier de manière certaine l’auteur d’un site Web qui aurait commis divers actes
malveillants (spamming, troyens…) et comment le sanctionner ?
Devant la difficulté à identifier l’internaute, il a été convenu de sanctionner l’intermédiaire à
défaut de l’internaute : il s’agit bien entendu du fournisseur d’accès à Internet. L’enjeu étant
l’indemnisation, la jurisprudence a décidé d’opter pour une sensibilisation des intermédiaires,
mêmes passifs, sur leur responsabilité.
L’hébergeur ne verra sa responsabilité engagée qu’à la triple condition :
•
qu’il ait la faculté technique d’intervenir
•
qu’il ait eu connaissance du site critiquable
•
qu’il ait choisi de ne rien faire
Ce type de responsabilité se rencontre principalement dans des affaires liées au droit d’auteur telle que l’affaire
Estelle Hallyday rendue par la Cour d’Appel de Paris en date du 10 février 1999.
En matière de logiciel indiscret, il paraît difficile d’engager la responsabilité civile du fournisseur d’accès à
Internet. En effet, ce dernier n’aura pas connaissance des actes ainsi pratiqués, compte tenu de leur nature
invisible.
Ainsi, un fournisseur d’accès à Internet ayant comme client un internaute envoyant délibérément des troyens,
ne pourra pas voir sa responsabilité civile mise en cause par la personne ayant reçu lesdits fichiers puisque le
fournisseur d’accès Internet pourra établir très facilement ne pas avoir eu connaissance des agissements. Cet
exemple montre l’absurdité d’une telle action en matière de logiciel indiscret.
De plus, dans l’exemple pris ci-dessus, la victime des troyens sera également confrontée à des problèmes de
preuve, encore faut-il qu’elle sache que son ordinateur soit infecté !
En revanche, la responsabilité civile, telle qu’envisagée précédemment, sera plus facilement envisageable mais
pas complètement justifiée dans l’exemple suivant : un internaute, titulaire d’un site Internet, envoie des
cookies aux internautes s’y connectant.
Le fournisseur d’accès Internet, connaissant la pratique de l’ensemble des sites Web et l’usage qu’ils font des
cookies, serait dans une situation tout à fait différente que dans l’exemple précédent. Toutefois, d’autres
conditions devraient être apportées afin que ce dernier soit condamné à verser des dommages-intérêts à la
victime de son abonné.
Après avoir envisagé les méfaits des logiciels indiscrets comme relevant d’une atteinte aux biens, il convient
désormais de les envisager sous la forme d’une atteinte aux personnes.
PARTIE II
Les logiciels indiscrets : une
atteinte aux personnes
Avec l’avènement d’Internet, la notion d’identifiants est désormais une composante de notre société. Conscient
des problèmes liés à ces identifiants et afin de préserver au mieux l’intimité et la vie privée des internautes, la
loi du n° 78-17 du 6 janvier 1978 est intervenue. Le réel succès de cette loi vient de la création de la C.N.I.L.
qui est l’organe chargé de veiller à la bonne exécution de la loi.
Il convient d’étudier les méthodes permettant d’identifier les interlocuteurs, d’une part, et les règles applicables
concernant la collecte des données personnelles, d’autre part.
Il convient de distinguer l’utilité du cookie lors du processus d’identification, d’une part, et les nouveaux
moyens mis en œuvre pour l’établissement de l’identité, d’autre part.
§1 : L’utilité du cookie lors du processus d’identification
A)
Les avantages du cookie
Le cookie présente tout d’abord un intérêt pour les professionnels du réseau et plus particulièrement pour le
secteur de la vente par correspondance. En effet, le cookie va permettre de cibler les clients qu’ils soient
actuels ou potentiels.
Le cookie ne se résume pas à cela, et une fois implanté sur un poste client, il pourra identifier les utilisateurs,
contrôler les mots de passe, analyser leur parcours au cours d’une session, mesurer l’audience d’un site, etc…
Cette technique permet ainsi de développer une nouvelle forme de marketing appelé le « one to one ». La
globalisation des marchés entraîne une standardisation des produits et des services. Les entreprises sont donc
de plus en plus confrontées à une érosion de leurs marges et à une volatilité de leurs clientèles.
Pour contrer ce phénomène, l'entreprise doit, plus que jamais, mettre le client au centre de sa stratégie pour
être en mesure de :
- lui offrir des services personnalisés qui le fidéliseront
- rester à son écoute pour anticiper ses besoins
- profiter de chaque interaction pour mieux le connaître afin de mieux le servir
Le marketing « one to one » est une démarche qui répond aux besoins énoncés précédemment en se basant
sur deux axes : la collecte systématique et continue d'informations sur chaque client et l'utilisation des ces
informations lors de chaque interaction avec le client pour personnaliser la relation et offrir un meilleur service
Contrairement au marketing de masse, le one to one offre au client que vous ciblez des services, des
informations et des produits personnalisés, qui l'intéressent vraiment. Le cookie est donc un outil indispensable
pour le marketing « one to one ».
En matière de publicité, le cookie joue également un rôle majeur. Il permettra, dans un premier temps, au site
Web utilisant des bandeaux publicitaires sur son site de se faire rémunérer. En effet, les cookies sont
indispensables aux sites pour disposer d'une mesure fiable de leur audience. Sans mesure d'audience, il ne peut
pas y avoir de marché publicitaire. Or, la publicité est une partie non négligeable des revenus des éditeurs.
Dans un second temps, le cookie joue un rôle de personnalisation de la publicité, qui, en fonction des critères
de l’internaute contenus dans le cookie (sexe, goûts, navigation, …) va deviner vos centres d’intérêt et vous
proposer des annonces adaptées (ciblage de la clientèle).
Le cookie joue donc le rôle d’un indicateur en matière de publicité et ce dernier pourra amener les responsables
du site Web à modifier l’emplacement de leurs bannières publicitaires afin d’en augmenter leurs tarifs. En effet,
les tarifs pratiqués pour l’insertion d’un message publicitaire dans un site Web sont dépendants de la popularité
du site.
Le cookie peut également servir d’indication au créateur d’un site Web qui peut retracer l’itinéraire emprunté
par un internaute sur son site. S’il estime que l’internaute n’a pas accédé à ce qu’il souhaitait de manière
directe, il peut, le cas échéant, optimiser son site afin de rendre sa visite plus homogène.
Dans cette perspective, certains sites Web proposent un accès personnalisé aux internautes qui accèderont
d’office aux pages qu’ils consultent le plus souvent.
Toutes les données ainsi collectées par les cookies restent anonymes et, dans le meilleur des cas, elles
n’identifieront qu’un ordinateur (adresse IP). Il est toutefois possible de connaître l’identité d’une personne à
partir d’une adresse IP. Le Fournisseur d’Accès à Internet (FAI) est en effet capable d’identifier l’internaute se
trouvant « derrière » une adresse IP puisque c’est ce dernier qui les attribue mais il n’a en revanche aucune
raison de divulguer le nom de cette personne. De plus, l’adresse IP ne permet pas de connaître le nom de la
personne qui se trouvait en train de surfer au moment où elle a été relevée. Elle ne permet d’identifier que le
titulaire du contrat d’abonnement. Cette limite est assez restrictive puisque, dans la majorité des cas, il n’y a
qu’un seul utilisateur par ordinateur qui se trouve être le titulaire dudit contrat d’abonnement.
Dans la plupart des cas, le cookie ne constitue donc qu’un outil de profilage et les données ainsi collectées
restent anonymes. L’anonymat sera levé dès lors que l’internaute aura laissé ses coordonnées sur le site.
Les cookies présentent moins d’avantages pour les internautes qu’ils n’en présentent pour les professionnels.
Les cookies permettant aux créateurs de sites Web de suivre les déplacements des internautes à l’intérieur de
leur site, il est donc possible, une fois le trajet habituel de l’internaute analysé, de lui permettre d’accéder
directement aux pages qu’il consulte le plus souvent. L’internaute accèdera ainsi à la page souhaitée avec une
rapidité incontestable.
B)
Un identifiant toléré mais encadré
Le cookie apparaît comme une collecte limitée de données puisqu’il ne peut enregistrer que des informations
que l’internaute a consenti à faire paraître. Ainsi, s’il a configuré son navigateur en indiquant son adresse
courriel, le cookie sera capable de récupérer son adresse courriel. L’internaute ne souhaitant pas divulguer son
adresse n’est donc pas obligé de l’inscrire dans son navigateur. Encore faut-il que tous les internautes
connaissent cette pratique, ce qui est loin d’être certain !
Le cookie est un fichier texte et, à l’inverse d’un programme informatique, il ne permet pas la recherche active
d’une information contenue dans ce cookie mais uniquement d’y stocker des informations. Le cookie permet de
stocker différents éléments tels que la date et l’heure permettant à l’administrateur du site Web de calculer la
fréquence des visites.
Le cookie ne contient donc aucune information nominative et il n’en contiendra qu’à partir du moment où
l’internaute aura volontairement enregistré ses coordonnées. Toutefois, il y a un certain temps, une faille de
sécurité existait dans Java Script. Cette faille permettait aux administrateurs de sites les moins scrupuleux de
récupérer l’adresse courriel de l’internaute sans que ce dernier ne l’ait fourni à un quelconque moment. Cette
faille a heureusement été découverte et corrigée avec la version ultérieure.
D'autres failles existent, plus subtiles et relevant souvent du bogue. Il s’agit du problème de
certaines URL utilisant des caractères spéciaux permettant ainsi de tromper le navigateur sur
la provenance des réponses HTTP et de déposer ou de récupérer des cookies destinés à un
autre site. Pour se prémunir de ce genre de problème, il est conseillé de mettre à jour
régulièrement la version de son navigateur.
Le cookie peut donc présenter certains risques même si, dans l’ensemble, les données ainsi collectées sont
plutôt limitées. La C.N.I.L. a eu l’occasion de se prononcer sur les cookies.
En effet, la C.N.I.L., dans son 18ème rapport annuel (1997), avait considéré les cookies comme des fichiers de
données nominatives, dont le traitement automatisé nécessite une déclaration. Les règles applicables en
matière de données personnelles seront traitées dans le chapitre 2 de la présente partie.
De plus, la circulaire du 7 octobre 1999 relative aux sites Internet des services de l'Etat
impose certaines choses :
«
Les sites publics doivent s'attacher à garantir la confidentialité des données à caractère
personnel qu'ils sont amenés à traiter, qu'il s'agisse de données relatives aux agents ou aux
usagers. L'emploi de témoins de connexion (« cookies ») permanents doit, de manière
générale, être évité ».
« S'il est néanmoins décidé d'y recourir, parce qu'il apparaît de nature à améliorer
significativement le service rendu à l'usager, ce ne peut être que sous deux conditions
cumulatives :
•
l'usager en est préalablement averti ;
•
il lui est proposé un mode alternatif d'accès au service. Il est rappelé que, en vertu de la loi no 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, toute personne peut s'opposer
à la diffusion d'informations la concernant. Ce droit, qui est ouvert aux usagers comme aux agents de
l'administration, peut s'exercer avant l'ouverture du site, mais aussi à tout moment une fois que le site
est ouvert. Il va de pair avec un droit d'accès et de rectification des données ».
Le site de la C.N.I.L. permet, avec sa rubrique « vos traces », de mettre en lumière de façon explicite le
problème du suivi des internautes.
Dans son 22ème rapport d’activité44, la C.N.I.L. nous fait part des nouvelles dispositions concernant les cookies
figurant dans le projet de loi résultant de la directive du 24 octobre 1995 : « La transposition de la directive du
24 octobre 1995 a connu une première étape législative importante : le projet de loi, adopté en Conseil des
ministres après consultation de la CNIL et avis du Conseil d’État, a fait l’objet d’un premier vote à l’Assemblée
nationale le 30 janvier 2002 et a été adopté sans modifications substantielles par rapport aux grandes
orientations gouvernementales qui avaient été exposées dans le précédent rapport d’activité.45 Toutefois,
certaines dispositions nouvelles qui ont été introduites au cours de ces premiers débats parlementaires,
méritent d’être présentées. »
« Le projet comporte désormais des dispositions spécifiques sur Internet, et tout particulièrement sur les
cookies. Ces dispositions ont fait l’objet de nombreux commentaires et, semble-t-il, d’importantes discussions
avec les professionnels concernés.
Elles précisent que l’utilisation des réseaux en vue de stocker des informations dans le terminal d’un internaute
(le disque dur), ou d’accéder à des informations ainsi préalablement stockées dans le terminal (la lecture d’un «
cookie » précédemment stocké), n’est autorisée que si l’internaute a été préalablement informé de manière «
claire et complète » des finalités du cookie et des moyens de s’y opposer. Elles interdisent par ailleurs de
44
45
22ème rapport d’activité pour 2001, p. 33
21ème rapport d’activité pour 2000, p. 17
subordonner l’accès à un service Web à l’acceptation des cookies, et ménagent des dérogations lorsque le
cookie a pour seule finalité d’assurer la sécurité d’une connexion, ainsi par exemple, l’accès à une messagerie
distante. »
« Ces dispositions consacrent la doctrine développée par la CNIL qui n’avait pas estimé utile de suggérer
qu’elles soient consacrées au niveau législatif. L’amendement initialement présenté s’inspirait de très près d’un
amendement que le Parlement européen avait adopté à l’occasion de la révision de la directive relative à la
protection des données personnelles en matière de télécommunications. L’amendement discuté devant le
Parlement européen avait pour objet d’interdire que des informations puissent être stockées dans l’équipement
terminal, d’un abonné, ainsi que tout accès à des informations stockées dans ce terminal sans le consentement
préalable de la personne concernée. Cette disposition visait à interdire les logiciels espions et ne pouvait, à ce
titre, qu’être approuvée. Cependant elle conduisait également à soumettre au consentement préalable de
l’internaute l’usage des cookies. »
« Dans sa généralité, une telle disposition ne paraissait pas adaptée, ce qui a conduit la CNIL à diffuser un
communiqué de presse le 7 décembre 2001 sur cette question. S’il est vrai, en effet, que certains usages de
cette technologie, notamment aux États-Unis, ont pu susciter de légitimes inquiétudes il y a quelques années,
la réaction des internautes et des autorités de protection des données ont largement permis de les apaiser.
Ainsi, les navigateurs les plus répandus permettent, grâce à un paramétrage très simple à mettre en œuvre,
d’être systématiquement informé de l’envoi d’un cookie et de s’y opposer. Ils permettent également de refuser
systématiquement tout cookie. Enfin, à la différence des données personnelles enregistrées sur le serveur d’un
tiers, les cookies qui ne peuvent être lus que par son émetteur peuvent être effacés par l’internaute de son
disque dur. La rubrique « Vos traces sur Internet » sur www.cnil.fr46 donne les précisions utiles à cet égard. »
La CNIL a rappelé que la plupart des cookies jouent le rôle de simples « témoins de connexion » destinés à
faciliter la navigation sur un site Web ou à sécuriser l’accès (à sa messagerie électronique par exemple) sans
avoir à ressaisir des informations identifiantes, et qu’elle recommandait depuis juillet 1998 que le site émetteur
informe les internautes de la finalité des cookies, de leur durée de validité s’ils ne sont pas effacés par
l’internaute à l’issue de la session, et des conséquences de la désactivation de ces procédés. Elle indiquait
qu’une information claire et complète sur ces points était seule de nature à apaiser les inquiétudes trop souvent
encore entretenues par un regrettable défaut de transparence. En définitive, la Commission considère comme
satisfaisante la rédaction d’équilibre finalement retenue, à ce stade de la procédure parlementaire, par
l’Assemblée nationale. »
Un autre problème concernant les cookies est relatif aux règles dites d’opt in et d’opt out.
En adoptant le 30 mai 2002 la directive sur « le traitement des données à caractère personnel et la protection
de la vie privée dans le secteur des communications électroniques », le Parlement européen a, finalement,
assouplit sa position sur les cookies utilisés par les sites internet.
Inquiets des pratiques abusives de certains sites de commerce électronique et des violations de la vie privée en
ligne, nombre d'acteurs de la scène politique européenne militaient en faveur d'une action forte : l'installation
d'un cookie sur un ordinateur devrait nécessiter l'obtention de l'accord préalable de son propriétaire.
La position commune annoncée mercredi 30 mai, entre le Parlement et le Conseil, part du principe que les
cookies ont un intérêt pour la publicité et les transactions en ligne, ainsi que pour l'architecture d'un site.
46
Annexe 3
À l'avenir, le Parlement souhaite que les sites Web fournissent « des informations claires et précises sur les
finalités des cookies ». Les administrateurs de sites devront également laisser la possibilité aux internautes de
refuser l'installation d'un cookie, et le texte final de la directive précise que « les méthodes mises en oeuvre
pour délivrer l'information, proposer le droit de refuser ou demander le consentement devront être aussi
conviviales que possible ».
Dans un autre registre, le 22ème rapport d’activité de la C.N.I.L., a annoncé une action d'envergure concernant
la pratique du spamming. Une boîte aux lettres électronique [email protected] est ouverte. Les personnes sont
invitées à transférer vers cette « boîte à spam » les courriels publicitaires non sollicités qu'elles reçoivent.
Pour permettre l’identification des expéditeurs via l’en-tête du message d’origine, il convient
soit de « transférer le Spam en tant que pièce jointe », soit d’effectuer un copier/coller de la
source du message.
Cette opération vise à dégager les grandes tendances du spamming (origine géographique,
sources d'émission, nature des messages, fournisseurs d'accès concernés….) en France mais
aussi à identifier les auteurs des messages les plus problématiques, afin le cas échéant
d'engager des poursuites pénales (dénonciation au parquet). Début août 2002, la C.N.I.L. avait
déjà enregistré 63 000 messages reçus.
§2 : Les espiogiciels, un nouvel outil de collecte de l’information
Les espiogiciels qui ont fait l’objet d’une explication technique dans la partie 1 du présent mémoire n’emportent
pas les mêmes conséquences juridiques que les cookies.
En effet, les espiogiciels, par leur nature et leur destination, présentent plusieurs inconvénients à l’encontre de
l’internaute susceptibles de porter atteinte à son intimité et à sa vie privée.
En matière d’espiogiciel, il est difficile de généraliser tant ces derniers peuvent prendre des formes différentes.
Toutefois, ils ont tous en commun de pénétrer dans l’ordinateur et de communiquer diverses informations aux
sociétés les ayant implantés dans le système. L’espiogiciel est donc beaucoup plus nocif que le cookie qui,
rappelons le, ne constitue qu’un « témoin de connexion ». L’espiogiciel, à la différence des troyens, ne détruit
pas les données.
Il convient de s’attarder tout d’abord sur les espiogiciels issus de freewares. La pratique des freewares est
courante et ils constituent la majorité des espiogiciels que l’on rencontre. En effet, afin de se faire rémunérer,
ces logiciels gratuits vont commercialiser les données des internautes ainsi collectées. C’est notamment le cas
des logiciels « peer to peer ». Ces logiciels permettent de s’échanger des données sur le réseau Internet.
A l’instar de Napster, qui inaugura ce type de logiciel, il existe un certain nombre de logiciels permettant de
s’échanger librement des données sur Internet. Contrairement à Napster qui est devenu payant afin de pouvoir
subsister, les logiciels « peer to peer » de « seconde génération » sont, en général, des programmes de tierce
partie. Ce n'est pas le fournisseur du logiciel gratuit qui le développe mais ce dernier passe généralement un
accord commercial avec l'auteur de l’espiogiciel et se fait rémunérer par l'auteur du logiciel espion en fonction
du nombre d'installations identifiées.
La plupart des freewares utilisant un espiogiciel informe l’internaute, dans les conditions d’utilisation du logiciel
qui apparaît à l’écran juste avant l’installation du logiciel, que l’utilisation de ce logiciel aura pour conséquence
l’insertion d’un espiogiciel sur votre ordinateur : tel est le cas de Kazaa (freeware peer to peer). Cette
information est pernicieuse et peu explicite quant au rôle joué par l’espiogiciel en question.
Kazaa n’est pas le seul logiciel à employer de telles méthodes, tous les logiciels « peer to peer » le pratiquent.
Il convient de s’intéresser à l’exemple de Kazaa qui est l’un des logiciels « peer to peer » les plus utilisés du
marché.47
Outre les conditions classiques figurant au contrat, un petit paragraphe concernant l’installation d’un espiogiciel
apparaît en fin de contrat.
========================================
Nous vous prions de nous excuser pour le fait que cette information n'est pas encore disponible dans
votre langue.
========================================
“Cydoor END USER AGREEMENT
The software program you are about to install is an "adware" program, meaning that we have partnered
with Cydoor Technologies to deliver small ads to the main window of the application, in order for KaZaA
to bring targeted advertising. The software will display web content such as banner ads, e-commerce
offers, news headlines and other value-added content. Cydoor Technologies created this technology, and
provides it to software developers to implement in software programs. In turn, software developers
choose to display ads so that you can enjoy their products for FREE, and they can still earn revenue from
advertising.
How does it work?
The Cydoor component of this software is simply a caching mechanism, which stores ads on your hard
drive, and displays them only while the software program is open. When the ads have expired, the
component deletes old ads and contacts Cydoor's servers in order to receive new ones. To do this, the
Cydoor component uses your Internet connection, which was designed to take up the minimum
bandwidth on your line. Each ad banner on your hard disc is about 10Kbytes.
Finally, Cydoor Technologies, wants you to feel comfortable using this software. Be assured that
respecting and maintaining your privacy is KaZaA and Cydoor's top priority ethically and legally. If you
have any questions or concerns, please visit the Cydoor website, www.cydoor.com, where you can
review its privacy statement.”
Du point de vue des contrats généraux, on peut estimer que l’internaute a été informé au préalable que le
logiciel qu’il s’apprêtait à installer contenait un espiogiciel. L’internaute n’est donc en aucun cas obligé
d’accepter la licence d’utilisation.
Toutefois, il est intéressant de noter que le fait de ne pas trouver cette partie du contrat en langue française est
assez troublant. En effet, la totalité du contrat est rédigée en langue française et seule la partie concernant
l’insertion d’un espiogiciel, en l’occurrence Cydoor, est rédigée en langue anglaise ! Il faut donc en conclure que
cette partie du contrat est donc réservée exclusivement aux internautes comprenant l’anglais.
De plus, le contrat n’indique pas exactement tous les composants qui s’apprêtent à être installés. En réalité,
outre Cydoor (logiciel d'origine israélienne qui permet de commercialiser l'espace publicitaire sur des logiciels),
Kazaa installe également plusieurs autres petits logiciels tel que Toptext (logiciel insérant des liens hypertexte
de ses annonceurs sur des mots-clés précis dans le texte des sites visités par les internautes), Savenow
(logiciel de gestion de l'espace publicitaire), Webenhancer et Onflow.
Le contrat comporte donc des faiblesses que l’internaute mécontent pourrait soulever. Nous ne nous
attarderons pas davantage sur ce thème, le contrat de ce type de logiciel n’étant pas l’objet principal du
mémoire.
Tous ces espiogiciels vont pouvoir commencer à inspecter votre disque dur et à communiquer vers l’extérieur
(sociétés commerciales) tous les renseignements qu’ils jugeront nécessaires dès que vous aurez terminé
l’installation de Kazaa.
Il est d’ailleurs assez simple de vérifier la présence d’espiogiciels juste après avoir achevé l’installation. Il existe
plusieurs logiciels destinés à traquer les espiogiciels dont Ad Aware que j’ai déjà mentionné dans la première
partie de ce mémoire. En lançant Ad Aware, juste après l’installation de Kazaa, et en s’étant assuré qu’aucun
autre espiogiciel ne figurait sur la machine avant l’installation de Kazaa, Ad Aware identifiera un certain nombre
d’espiogiciels. Le nombre peut en effet varier en fonction de la version de Kazaa installée. Le rôle d’Ad Aware
n’est pas simplement d’identifier les espions puisqu’il permet également de les supprimer. Il faut noter que
cette suppression éliminera tous les espions identifiés mais rendra le fonctionnement du logiciel impossible !
47
4,9 millions de téléchargement uniquement en juillet 2001
Le meilleur moyen, afin d’éviter d’avoir un logiciel espion sur son ordinateur, est donc de trouver un logiciel de
remplacement, encore faut-il que ce dernier ne soit pas non plus infecté par un espiogiciel ! Concernant Kazaa,
il existe une version de ce logiciel sans espion appelé Kazaa Lite.
Au même titre que d’autres logiciels « peer to peer », Kazaa permet à ses utilisateurs de télécharger des
fichiers audio (mp3) et vidéo (divx). En téléchargeant ce type de fichiers, les utilisateurs violent les droits
d’auteurs des artistes ayant réalisé ces œuvres. Une équipe de développeurs visant à protéger les lois du
copyright a crée un ver appelé « Benjamin » dont le rôle est « d’étouffer » les téléchargements des utilisateurs
de Kazaa.
Pour infiltrer les ordinateurs équipés de Kazaa, « Benjamin » produit des fichiers son et vidéo factices de tailles
diverses, auxquels il attribue des noms d'oeuvres déposées qui peuvent susciter l'intérêt des internautes. Il se
glisse ensuite dans la liste des fichiers que les utilisateurs reliés par Kazaa peuvent télécharger, et se propage
ainsi vers d'autres machines. A l'arrivée sur un nouveau système, Benjamin crée un dossier « sys32 » dans le
répertoire « Windows temp » où il crée de nouveaux fichiers factices, qui sont de nouveau proposés au
téléchargement sur Kazaa. On pourrait presque parler d’arroseur arrosé !
Une autre catégorie de logiciel espion est également appelée mouchard. Les espions sont directement implantés
dans les systèmes d’exploitation (Microsoft Windows) ou dans le matériel informatique (Intel), comme nous
l’avons vu dans la première partie du mémoire.
Le but de tout logiciel espion est de récolter le maximum de données personnelles afin de se constituer une
base de données comportementale ou de les céder à des sociétés spécialisées. Une fois ces informations
récoltées, il sera alors possible de les confronter à d’autres bases de données et d’opérer des recoupements.
La collecte de données personnelles pourra également être renforcée en regroupant plusieurs bases de données
entre elles et en procédant à des recoupements. De plus, cette collecte ne constitue pas le « monopole » des
entreprises et les Etats eux-mêmes sont de plus en plus tentés de récolter des données sur l’ensemble de leur
population.
§1 : L’interconnexion de fichiers
A) Le profiling
Le profiling est une technique qui consiste à analyser, grâce à divers moyens, le profil des visiteurs d’un site
afin de déterminer leurs motivations, leurs centres d’intérêt, leur tranche d’âge, leur profession, ainsi que toute
autre information utile afin de pouvoir mieux répondre à leurs attentes lors de leur prochaine visite.
Il convient de s’intéresser à la société DoubleClick qui est une régie américaine de publicité en ligne et qui
illustre bien les méthodes de profiling.
Créée en 1996 à Atlanta, l’activité de la société DoubleClick consiste à offrir aux annonceurs une prestation
globale intégrée en matière de campagnes publicitaires sur Internet. L’agence a donc passé des accords avec
un certain nombre de sites qui lui vendent de l’espace en vue d’afficher des bannières publicitaires pour le
compte d’annonceurs divers.
Cette technique est très intéressante pour les annonceurs puisqu’elle leur assure un ciblage de clientèle
extrêmement précis.
DoubleClick a développé une technologie adossée à une base de données de plusieurs millions d’utilisateurs.
Cela est le résultat d’une collecte à grande échelle et de traitement de données personnelles permettant
d’identifier les utilisateurs, de les qualifier et de déterminer en temps réel les sous-ensembles de population
susceptibles de correspondre aux critères de ciblage des campagnes publicitaires en cours.
En pratique, les sites partenaires de DoubleClick lui permettent d’afficher des bandeaux publicitaires.
L’internaute qui souhaite ouvrir ou fermer le bandeau publicitaire va cliquer dessus. Ce simple click permet à
DoubleClick d’envoyer un cookie sur le disque dur de l’internaute.
Le nombre important de sites sur lesquels DoubleClick dispose de bannières permet l’établissement de
nombreux profils d’utilisateurs qui peuvent être régulièrement mis à jour et affinés.
Bien qu’il s’agisse de cookies, ces derniers doivent être assimilés à des espiogiciels. Ils reprennent en effet tous
les critères relatifs aux espiogiciels et le cookie envoyé par DoubleClick ne peut en aucun cas être considéré
comme un « témoin de connexion ». Le logiciel Ad Aware, déjà cité dans ce mémoire, offre d’ailleurs la
possibilité de désinstaller le cookie DoubleClick.
Les informations collectées par DoubleClick sont diverses :
-
l’adresse IP :
-
Le titre et la fonction dans l’entreprise
-
La taille et le chiffre d’affaires de l’entreprise
-
Le numéro d’identification
-
Le référencement des sites visités
DoubleClick n’est pas la seule société à agir de la sorte et d’autres sociétés publicitaires font de même mais
DoubleClick est la société la plus importante en ce domaine.
Il est possible d’empêcher l’insertion des cookies envoyés par DoubleClick en allant sur leur site Web et en
choisissant l’option « opt out ».48 Un cookie spécial va être installé sur le disque dur qui empêchera tout nouvel
envoi de cookies par DoubleClick.49 Le mode de fonctionnement de DoubleClick est très contestable et va à
l’encontre des règles élémentaires d’éthique envers l’internaute.50 Ce dernier se voit promettre une information
48
http://www.doubleclick.com/us/corporate/privacy/privacy/ad-cookie/default.asp?asp_object_1=&
Annexe 4
50
Netiquette : règles de comportement non officielles mais reconnues par tous pour adopter une bonne conduite
sur le réseau
49
préalable à toute collecte et un choix de décider s’il souhaite ou non faire subir à ses données personnelles un
traitement quelconque.
La méthode employée par DoubleClick lui ôte ces garanties car le visiteur est trompé par l’identité de la société
qui collecte ses données et son droit d’opposition aura des difficultés à s’appliquer.
La société DoubleClick a fait l’objet de nombreuses critiques quant à ses méthodes employées pour récolter des
données personnelles. C’est ainsi qu’un groupe américain de défense de l'intimité numérique a déposé plainte le
10 février 2000 pour « tromperie et pratiques commerciales déloyales » à l'encontre de l'acteur numéro un de
la publicité sur le Web, DoubleClick.
Une demi-douzaine d'associations dont l'ACLU51 et le CDT52 a, à leur tour, décidé de réclamer une enquête de la
Federal Trade Commission. Ces groupes de pression s'inquiètent des conséquences du rachat par DoubleClick
d'Abacus Direct, un géant des bases de données de consommateurs. Ils veulent ainsi empêcher le croisement
des informations d'Abacus Direct avec celle déjà collectées par DoubleClick via ses bannières et cookies.
Peu de temps après, Le Wall Street Journal a révélé que le site de Quicken53 renvoyait à DoubleClick des
informations concernant les revenus, les biens et les dettes de ses utilisateurs. Devant cette levée de boucliers,
DoubleClick a du faire machine arrière et a décidé de « reporter » son projet, très controversé, de croiser les
logs54 anonymes des cookies avec ses fichiers nominatifs.
Après presque un an d'enquête, Doubleclick a été blanchi le 22 janvier 2001 par les autorités américaines : les
pratiques du spécialiste mondial des bannières publicitaires seraient conformes aux lois de protection de la vie
privée. Malgré l’absence de sanctions prononcées par la Federal Trade Commission, DoubleClick fait toutefois
encore l’objet d’une douzaine de procès pour non respect de la vie privée aux Etats-Unis.
Ce n’est que récemment que la régie américaine de publicité en ligne DoubleClick voit enfin le dénouement de
ses démêlés avec la justice. Mardi 21 mai 2002, le tribunal d'instance de New York (une cour fédérale) a mis un
terme aux procès que lui avaient intentés séparément, puis collectivement l'an dernier, les états de Californie,
du Texas et de New York pour non-respect de la vie privée. Il a en effet validé un accord amiable préliminaire
proposé fin mars à Double Click pour régler ces différentes affaires.
De plus, DoubleClick devra fournir à ses clients une charte de protection de la vie privée décrivant en « termes
clairs » son offre de services publicitaires, son utilisation des cookies ou de tout autre outil et service. L'accord
prévoit également que la société élimine de certains fichiers toutes informations personnelles identifiables, y
compris les noms, adresses, numéros de téléphone et adresses courriel. La société devra également obtenir
l'accord des internautes (« opt in ») avant de lier une quelconque information personnelle identifiable à leur
historique de navigation.
Enfin, la régie devra mener une vaste campagne d'information : il lui faudra afficher pas moins de 33 millions
de bannières sur le Web afin d'informer le public sur ces questions d'intimité et de confidentialité. La société
devra également s'adjoindre les services d'un cabinet indépendant de comptabilité chargé de contrôler une fois
par an qu'elle se conforme bien à ces directives.
51
American Civil Liberties Union
Center for Democracy and Technology
53
http://www.quicken.com
54
Fichier qui enregistre les opérations des utilisateurs sur un serveur
52
B) Le fichage administratif
Le rêve de tout Etat est de pouvoir classer ses habitants, savoir qui ils sont, comment les retrouver. Ce fichage
est devenu possible avec l’avènement de l’informatique. Il s’appuie essentiellement sur l’interconnexion de
fichiers existants car les services agissent souvent en collaboration en échangeant leurs informations afin
d’établir un profil unique pour chaque citoyen.
L’administration fiscale française est à la pointe en ce qui concerne le fichage des citoyens grâce à des
systèmes d’interconnexion de fichiers. Avec l’utilisation de certains logiciels, elle peut faire des rapprochements
de fichiers comme par exemple celui des personnes payant une taxe d’habitation et celui où apparaissent tous
les propriétaires.
Un amendement au projet de loi de finances pour 1999 avait fait couler beaucoup d’encre. Le texte dispose que
« la direction générale des impôts, la direction générale de la comptabilité publique et la direction générale des
douanes et des impôts indirects collectent, conservent et échangent entre elles les numéros d’inscription au
répertoire national d’identification des personnes physiques ou N.I.R. pour les utiliser exclusivement dans les
traitements des données relatives à l’assiette, au contrôle et au recouvrement de tous impôts, droits, taxes
redevances ou amendes ».
Cette disposition dévoile au grand jour une technique souvent employée par les administrations : l’échange des
données. Il est en effet tentant de pouvoir identifier plus d’une trentaine de millions de personnes au travers
d’un seul numéro.
L’interconnexion de toutes ces données permet de mettre en place des fichiers administratifs spécialisés dans
l’identification des personnes. Le S.T.I.C.55 en est un parfait exemple.
Le S.T.I.C. est un énorme fichier devant recenser toutes les informations concernant les personnes mises en
causes dans des procédures judiciaires, ainsi que celles de leurs victimes. Le traitement vise les enquêtes
ouvertes pour les crimes, délits et les six catégories de 5ème classe. Outre l’identité, le S.T.I.C. enregistre
également le signalement, la photographie, les faits et les modes opératoires observés pendant la procédure.
Le S.T.I.C. constitue un traitement automatisé légal ayant fait l’objet d’un décret d’application à l’inverse du
fichier F.A.L.T.56 de la gendarmerie nationale.
Les données ainsi collectées permettent d’en collecter d’autres. Les administrations utilisent tous les moyens
pour collecter des informations à l’insu des personnes concernées. Ces fichiers peuvent alimenter le système
informatisé européen SCHENGEN.
Le caractère attentatoire que peuvent représenter ces fichiers pour les libertés fondamentales et leur caractère
transfrontalier nécessitent la mise en place et le respect d’une réglementation.
Concernant le N.I.R.,à la suite d’une saisine parlementaire, le Conseil Constitutionnel s’est prononcé sur la
constitutionnalité d’une telle disposition.57 Il considère que le recoupement des fichiers fiscaux et sociaux pour
identifier les contribuables est conforme à la Constitution en émettant des réserves : « la portée de l’article 107
devra rester restreinte. Aucun nouveau transfert de données nominatives ne devra être effectué en
administrations » ; « le but poursuivi par l’administration devra se limiter à éviter des erreurs d’identité ».
55
56
57
Système de traitement de l’Information Criminelle
Fichier Automatisé de Lutte contre le Terrorisme
Décision du Conseil Constitutionnel N° 98-405 DC Loi de finances pour 1999
Cette validation par le Conseil Constitutionnel, alors que la C.N.I.L. n’avait pas été saisie et contrairement à
l’article 15 de la loi Informatique, fichiers et libertés de 1978 montre bien que la sécurité de l’Etat peut prévaloir
sur les libertés des citoyens.
Les pratiques de fichage concernent la majorité des pays et les Etats-Unis font sûrement figure de pionnier en
la matière.
Fin 2001, le FBI a ainsi décidé d’utiliser un programme de type « key logger », un cheval de Troie, qui
enregistre tout ce que l'utilisateur a saisi sur son clavier, afin de récupérer ses données et mots de passe.
Baptisé « Magic Lantern », il serait installé à distance sur l'ordinateur de personnes suspectes. Le FBI opte pour
le cheval de Troie, parce qu'il permet d'obtenir plus rapidement des informations qu'avec les techniques de
décodage traditionnelles.
Le FBI n’en est pas à son coup d’essai en la matière puisqu’il avait déjà instauré Carnivore,
système de surveillance très controversé. Carnivore, également connu sous la désignation
DCS1000, est une technologie que le FBI installe chez les fournisseurs d'accès Internet pour
surveiller les messageries de personnes suspectées, et récupérer les informations qu'elles
envoient et reçoivent par ce biais.
Ce système de « sniffer » peut connaître à la fois le contenu des messages ou seulement leur
profil (adresses des correspondants, heures de connexion, etc.), qui n'ont pas la même
protection constitutionnelle. Plusieurs associations mais aussi de nombreux membres du
Congrès sont inquiets et veulent s'assurer que les mandats d'écoute délivrés ne peuvent pas
être détournés (écouter le contenu des conversations alors que le mandat ne couvre que la
surveillance des logs).
Carnivore fait l’objet d’une grosse controverse aux Etats Unis. Dans un procès opposant
l’association Electronic Privacy Information Center (EPIC) au FBI depuis juillet 2000 à
propos de l’utilisation de Carnivore par la police, l’EPIC a obtenu du juge fédéral chargé du
dossier que le gouvernement fasse preuve de plus de transparence.
Le juge a ainsi ordonné lundi 25 mars 2002 au FBI de fournir dans un délai de 60 jours plus
de documents sur le système Carnivore qu'il ne l'a déjà fait. Un autre dispositif technique de
surveillance a lui aussi attiré la curiosité du juge: EtherPeek, qui gère le trafic transitant sur
des réseaux.
L’EPIC s’est basée sur la loi de la liberté de l'information (Freedom of Information Act) pour demander à
examiner des documents concernant Carnivore. Elle estime que Carnivore représente autre chose que ce que
clame le FBI à savoir « un moyen de récupérer des informations sur les individus lorsqu'ils sont en ligne, des
courriels et d'autres informations en ligne uniquement sur demande de la justice. »
Toutefois, le climat actuel qui règne aux Etats-Unis, après les évènements tragiques du 11/09/2001, est propice
aux systèmes de surveillance.
C’est ainsi qu’une majorité d'Américains, de plus en plus inquiets face au développement de la criminalité sur
Internet, sont prêts à accepter que le FBI ouvre des courriers électroniques suspects. Selon une enquête
publiée le 02/04/200158, 54% des Américains approuveraient la surveillance de courriers électroniques suspects
par le FBI, tandis que 34% s'y déclarent opposés. La Fédération internationale des droits de l'homme (FIDH),
Human Rights Watch (HRW) et Reporters sans frontières (RSF) ont publié récemment sur leur site commun
Libertés immuables59 un premier bilan, 120 jours environ après les attaques terroristes: « le top 15 des pays au
sein desquels les dérives sécuritaires et les entorses ont été les plus nombreuses et les plus graves. » La France
arrive en 4ème position de ce hit parade.
Les Etats-Unis arrivent en première position et c’est dans ce climat qu’un projet de loi visant à protéger les
règles du copyright, inspiré par les producteurs de cinéma et de musique, est sur le point de voir le jour.
En effet, le Congrès américain va bientôt recevoir pour étude une proposition de loi visant à
permettre aux détenteurs d'oeuvres protégées de désactiver à distance les ordinateurs utilisés
par les internautes pour échanger sur Internet des fichiers protégés. Une sorte de piratage
légal, ou plutôt de téléperquisition, en quelque sorte...
Ce projet de loi est la nouvelle arme des studios d'Hollywood et des majors du disque pour
anéantir les réseaux « peer to peer » qui, à leurs yeux, portent un coup fatal à leurs chiffres
d'affaires. Si cette loi était adoptée, les majors pourraient se livrer à des intrusions
informatiques furtives sur des ordinateurs de particuliers comme d'entreprises, sans aucun
garde-fou dès lors qu'ils estiment « de façon sensée » que des machines sont utilisées pour des
échanges illicites de fichiers numérisés d'oeuvres soumis au copyright.
Le texte ne précise pas les méthodes qui pourraient être utilisées : virus, vers, attaques par
saturation avec déni de service, piratage de noms de domaine, etc…
Le texte précise en revanche qu’aucun fichier ne pourra être détruit et si une telle mésaventure
arrivait, il serait possible aux victimes d’entamer un procès mais les dégâts causés devront
être supérieurs à 250 dollars.
Le projet de loi a déjà ses opposants. L’Electronic Frontier Foundation (EEF) le condamne,
constatant une nouvelle fois que les droits dont bénéficient les citoyens dans l'espace
« analogique » sont en train d'être confisqués à l'ère du numérique.
Cette proposition de loi ne devrait pas être étudiée avant l’automne, la fin de session
parlementaire approchant.
58
AFP, 02/04/2001
L’Europe n’est pas en reste puisque les parlementaires européens ont adopté le 30 mai 2002 le
principe de « la rétention des données » privées. Cela ouvre la voie à la surveillance générale
et exploratoire des communications électroniques.
La rétention des données permet en principe de collecter, d'enregistrer et de stocker toutes les
traces de connexion que laisse un usager sur les réseaux de télécommunications (téléphone
fixe ou mobile, moyens d'expression vocaux ou textuels, échanges de fichiers audio, textes ou
vidéo, etc…) et permet ainsi de suivre les déplacements physiques d’une seule et même
personne.
Cette surveillance s'effectue de manière « préventive » avant la moindre constatation
d'infraction, sans qu'un juge d'instruction puisse en contrôler la finalité.
§2 : la cybersurveillance du salarié
Un employeur peut être tenté de surveiller son salarié afin de savoir si ce dernier travaille efficacement. Il
existe de nombreux outils capables de jouer le rôle d’un espion. L’employeur doit respecter certaines règles dès
lors qu’il met en place un système de surveillance. Il ne convient pas de faire une étude approfondie sur les
problèmes posés par la cybersurveillance du salarié tant cette question est longue et complexe mais
uniquement de dégager les principaux axes en relation avec le présent mémoire.
A)
Les obligations d’information de l’employeur
Le droit à l’information est un principe récurrent dans le droit des personnes car elle permet
d’éveiller l’attention de ceux qui sont concernés et par là même de favoriser leur protection.
Ainsi, selon l’article L 121-8 du Code du Travail : « Aucune information concernant personnellement un salarié
ou un candidat à un emploi ne peut être collectée par un dispositif qui n’a pas été porté à la connaissance du
salarié ou du candidat à un emploi. »
Sans cette information préalable, l’employeur ne pourrait se prévaloir d’un enregistrement présenté en vue de
prouver ce qu’il reproche au salarié60 ou au candidat à un emploi.
Ainsi un arrêt de la chambre sociale de la Cour de Cassation en date du 14 mars 2000 en relevant que « seul
l’emploi de procédé clandestin de surveillance est illicite » a permis le licenciement d’un salarié dont la faute
59
60
http://www.enduring-freedoms.org/article.php3?id_article=213
C.Cass Ch. Soc 22 mai 1995
avait été constatée par un système d’écoute téléphonique installé dans le but de justifier, en cas de litige avec
les clients, les ordres de bourse reçus par téléphone.
B)
Le respect de la vie privée du salarié
La surveillance qui n’est donc pas par principe interdite doit néanmoins se combiner avec le respect de la vie
privée de l’employé.
Ce principe ressort de l’article 9 du code civil : « Chacun a droit au respect de sa vie privée. Les juges peuvent
sans préjudice de la réparation du dommage subi, prescrire toutes mesures … propres à empêcher ou faire
cesser une atteinte à la vie privée. » L’article L 120-2 du code du travail vient renforcer « proportionnellement »
ce droit.
C)
L’exigence de proportionnalité
Le procédé de surveillance doit être proportionné avec le but recherché. Si on peut traduire par finalité, la
notion de « but recherché » par le système de surveillance, on peut alors ici faire un rapprochement avec le
principe de finalité qui pèse sur tout traitement de données.
Il est important de préciser que le respect de cette exigence doit être apprécié au regard du poste occupé par le
salarié.
A titre d’exemple on pourrait penser qu’un système d’écoutes téléphoniques ne serait pas proportionné s’il était
établi en vue de recenser la productivité de l’employé. En revanche peuvent être considérés comme
proportionnels au but recherché les systèmes de vidéo surveillance installés en vue de prévenir le vol dans les
banques ainsi que dans les grandes surfaces.
D) La surveillance de l’ordinateur du salarié
La majorité des entreprises utilisant l’outil informatique sont aujourd’hui connectées en
réseau. Plusieurs raisons viennent justifier cette technique : cela permet de partager le matériel
(imprimante) et la connexion à Internet ou à l’Intranet mis en place par l’entreprise, c’est
également un moyen de faciliter les communications des employés qui peuvent ainsi
s’échanger des documents sans avoir à se déplacer, la maintenance des postes de travail peut
être effectuée à distance par les informaticiens de l’entreprise.
La technique de connexion en réseau permet également l’emploi de logiciels de contrôle.
Ceux-ci permettent un suivi en temps réel de l’activité sur chaque poste informatique
connecté. Ce procédé est justifié par le souci des employeurs de protéger l’ensemble de leur
système informatique des attaques extérieures car il convient d’assurer la protection des
documents confidentiels et des secrets de fabrication vis-à-vis de l’extérieur qui sont stockés
dans les machines.
En pratique ces systèmes sont aussi utilisés pour surveiller l’activité des salariés car il faut
reconnaître, qu’avec le développement de l’Internet, la tentation de se distraire est
grandissante dans les sociétés qui disposent d’un accès permanent au Web. Ainsi les logiciels
de contrôle peuvent valablement être utilisés pour surveiller l’activité des employés en dehors
de toute préoccupation sécuritaire.
Un arrêt de la chambre sociale de la Cour de cassation en date du 18 juillet 2000 semble
apporter une exception à l’exigence d’information des personnes concernées par un système
de logiciel de contrôle.
Dans cet arrêt, la Cour de cassation valide le licenciement d’un salarié dont la faute avait été
constatée grâce à un système de traçage informatique jusqu’alors ignoré du personnel et du
Comité d’entreprise.
Pour arriver à sa solution la Cour de cassation estime qu’un « mode de traçage permettant
d’identifier » des comptes bancaires ne peut être assimilé à un système de surveillance. Ainsi
la chambre sociale de la Cour relève que : « la mise en place d’un système d’exploitation
intégrant un mode de traçage permettant d’identifier les consultants de comptes bancaires ne
peut être assimilée à un système de surveillance ; le travail effectué par l’utilisation de
l’informatique ne pouvant avoir pour effet de conférer l’anonymat aux tâches des salariés. En
conséquence, l’employeur n’avait pas l’obligation d’informer ni les salariés ni le comité
d’entreprise et il pouvait se servir des éléments obtenus par ce procédé pour justifier le
licenciement. »
Cette solution remet donc en cause le devoir d’information qui pèse sur l’employeur auprès
des salariés et du Comité d’entreprise.
Après avoir analysé les différentes pratiques auxquelles sont livrées les données personnelles,
il convient maintenant d’étudier les règles applicables en matière de collecte de données
personnelles.
Chapitre 2 : Les règles applicables concernant la collecte
de données personnelles
La loi informatique, fichiers et libertés du 06/01/1978 constitue la législation principale en
matière de protection des données personnelles. L’Union Européenne a adopté, le 24/10/1995,
la directive 95/46/CE relative à la protection des données personnelles et à la libre circulation
de ces données.
Cette directive vise à réduire les divergences entre les législations nationales sur la protection
des données afin de lever tout obstacle à la libre circulation des données à caractère personnel
à l'intérieur de l'Union européenne. Cette directive, qui devait être ratifiée au plus tard le
25/10/1998, n’a, à l’heure actuelle, pas encore fait l’objet d’une transposition dans notre droit
national. Un projet de loi a toutefois été adopté en première lecture par l’assemblée nationale
le 30 janvier 2002.61
La directive de 1995 amène plusieurs apports quant à la loi de 1978 : il est tout d’abord proposé de donner
directement à la C.N.I.L. le pouvoir d'accepter ou de refuser les demandes dans la plupart des cas en lieu et
place de la procédure d’avis, dans les domaines où la création d'un traitement continuera à relever d'un régime
d'autorisation.
De plus, le projet entend simplifier les formalités administratives imposées aux citoyens et aux entreprises lors
de la mise en oeuvre des traitements usuels qui ne sont pas susceptibles de porter atteinte aux droits et
libertés des personnes concernées.
Enfin, le projet opte en faveur d'un renforcement substantiel des pouvoirs de contrôle a posteriori dont dispose
la C.N.I.L., afin de maintenir un niveau de garantie des droits individuels équivalent à celui résultant de la loi
actuelle.
Il convient donc d’envisager les droits de la personne concernée par la collecte, d’une part et
les obligations du responsable du traitement d’autre part.
La personne concernée par la collecte de ses données personnelles dispose de plusieurs prérogatives : elle peut
s’informer et accéder à des données, les contester et les rectifier, s’opposer au traitement ou encore connaître
la logique qui sous-tend le traitement
§1 : Les droits de s’informer et d’accéder aux données personnelles
A)
Le droit de s’informer
Il s’agit du droit d’obtenir des renseignements sur la nature du traitement. Il s’agit d’un droit ouvert et toute
personne a le droit de poser la question suivante : Traitez vous des données personnelles me concernant ?
C’est ainsi que les articles 34 et 45, alinéa 3, de la loi de 1978 ont prévu que toute personne justifiant de son
identité a le droit d’interroger les services ou organismes chargés de mettre en œuvre les traitements
automatisés déclarés à la C.N.I.L. ou les responsables des fichiers manuels afin de déterminer s’ils détiennent
ou traitent des informations de nature personnelle la concernant.
L’article 12 a de la directive de 1995 étend le champ de la curiosité de l’article 34 de la loi de 1978 puisqu’il
dispose: « Les États membres garantissent à toute personne concernée le droit d'obtenir du responsable du
traitement sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs, la confirmation que
des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les
finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de
destinataires auxquels les données sont communiquées ».
B)
Le droit d’accès direct et de copie
La personne concernée par les données traitées peut également demander à y accéder et en obtenir copie sur
support.
L’accès peut s’accomplir de différentes manières : la personne concernée peut tout d’abord exercer son droit en
consultant sa fiche mais elle peut également obtenir la copie des enregistrements des données. Si elle opte
pour la seconde solution, la personne devra verser une somme forfaitaire représentative du prix de l’envoi des
données. La somme sera de 3 € pour le secteur public et 4.5 € pour le secteur privé.
La directive de 1995, quant à elle, reconnaît, dans son article 12 b 2), « la communication, sous une forme
intelligible, des données faisant l'objet des traitements, ainsi que de toute information disponible sur l'origine
des données ».
Cette communication des données doit se faire en langage clair et être conforme au contenu des
enregistrements. Dans le cas contraire, la loi de 1978 prévoit une contravention de 5ème classe. En cas de refus
de répondre aux demandes de renseignements ou de communiquer les données personnelles, le demandeur
peut saisir la C.N.I.L.
Il n’y a pas de durée préfixée pour les réponses mais on parle de délais raisonnables. La personne physique se
trouvant devant une obstruction pourra saisir le juge pénal ou la C.N.I.L.
61
Annexe 5
C)
Les droits d’accès indirects
L’accès à certaines données traitées peut soulever des problèmes en raison de leur caractère sensible.
1-
Données intéressant la sûreté de l’Etat, la défense et la sécurité publique
L’article 39 de la loi de 1978 prévoit un faux droit d’accès. En réalité, une personne pourra s’intéresser aux
données la concernant mais elle ne pourra pas y accéder. Elle devra adresser sa demande auprès de la C.N.I.L.
qui désignera un de ses membres qui mènera toutes investigations utiles et fera procéder aux modifications
nécessaires sans que le requérant y accède.
Le droit d’accès concernant ce type de traitements est en légère augmentation : il y a eu 817 demandes pour
l’année 2000 ce qui constitue 22% d’augmentation par rapport à l’année 1999. Ces demandes résultant le plus
souvent de refus d’embauche de la part des administrations, d’enquêtes d’habilitation défavorable, de refus de
délivrance d’un visa …
Le projet de loi tente une innovation puisque son article 41 énonce : « Lorsque la C.N.I.L. constate, en accord
avec le responsable du traitement, que la communication des données à caractère personnel enregistrées ou du
résultat des opérations effectuées en application du premier alinéa de l’article 40
ne met pas en cause les
finalités poursuivies par ces traitements, ces données ou ces résultats sont communiqués au requérant ».
Les données détenues par les Renseignements Généraux constituent un cas particulier. A l’origine, le traitement
de ces fichiers était régi par l’article 39 de la loi de 1978. La C.N.I.L. a souhaité faire entrer ces fichiers dans la
légalité et deux décrets sont pris la 14/10/199162. Le premier crée les types de fichiers et les finalités et le
second organise la collecte d’informations dites sensibles. Un droit d’accès particulier est mis en œuvre et la
C.N.I.L., en accord avec le ministre de l’Intérieur, peut constater que si des informations demandées ne
mettent pas en cause la sécurité de l’Etat, il y a lieu de les communiquer à l’intéressé.
Pour l’année 2000, sur 365 investigations, 241 requérants n’étaient pas fichés, 104 l’étaient dont 18 non
communicables.
2-
Données médicales
Jusqu’à la loi du 04/03/2002, l’accès aux données médicales relevait de l’article 40 de la loi de 1978. Cet article
prévoyait un accès indirect des données. La nouvelle loi prévoit un accès direct des données mais elle laisse
également l’ancien système en vigueur et un médecin pourra donc accéder aux données en lieu et place de la
personne concernée.
§2 : Le droit de contestation ou de rectification
Selon l’article 36 de la loi de 1978, on peut demander la clarification de l’information, la mise à jour, la
rectification ou l’effacement de l’information.
62
Décret n° 1051 et 1052 du 14/10/1991
La directive de 1995 ajoute la possibilité de verrouiller l’information. Ce droit de rectification est un droit ouvert
et on peut l’exercer à tout moment. Il fonctionne aussi bien pour les personnes privées que publiques.
Deux cas de figure sont envisageables : Si le gestionnaire des données accepte la contestation, il n’y a pas de
problème majeur. En revanche, dans le cas où le gestionnaire des données refuse la contestation, quand il y a
désaccord entre le demandeur et le gestionnaire, il y a un renversement de la charge de la preuve qui pèse
dorénavant sur le gestionnaire des données. Si le gestionnaire n’est pas en mesure d’apporter la preuve, il
devra répondre à la demande.
Le demandeur pourra avoir accès à la modification du fichier afin de vérifier que le fichier ait bien été modifié. Il
est à noter que l’opposition à l’exercice de rectification est sanctionnée d’une amende de 5ème classe.
§3 : Le droit d’opposition
L’article 26 de la loi de 1978 dispose « toute personne physique a le droit de s’opposer, pour des raisons
légitimes, à ce que des informations nominatives la concernant fassent l’objet d’un traitement ».
Le projet de loi va dans le même sens que cet article sans opérer de distinction particulière.
La directive de 1995 précise que la personne physique a le droit de s’opposer à tout moment.
Sur un plan pratique, le droit d’opposition apporte un intérêt particulier lors de la collecte des données. Dans un
arrêt du 30/07/1997, le Conseil d’Etat avait « couvert » la C.N.I.L. dans le lien qu’elle avait fait entre la case à
cocher et la collecte de données. En assimilant ainsi la case à cocher avec une collecte de données
personnelles, le droit d’opposition pourra donc s’exercer à tout moment même si la case n’a pas été cochée.
Concernant les raisons légitimes à invoquer afin de s’opposer au traitement, contrairement à ce que
préconisent la directive et le projet de loi, la C.N.I.L. a tendance à dire qu’il n’y a plus de raison légitime à
donner, en particulier concernant Internet. La C.N.I.L. considère que toutes les données contenues sur Internet
échappent à la personne.
Deux types de traitements sont concernés : le traitement papier et le traitement automatisé. Le simple fait de
créer un traitement engage la responsabilité du responsable du traitement.
Avant de dégager les différentes obligations incombant au responsable du traitement, il convient de s’interroger
sur la notion même de responsable du traitement.
On entend par responsable du traitement non seulement le responsable lui même mais également le soustraitant. Le sous-traitant est la personne physique ou morale qui traite des données personnelles pour le
compte du responsable du traitement. La directive précise que des clauses doivent figurer, dans les contrats
passés avec des sous-traitants, permettant d’imputer la responsabilité soit sur le sous-traitant soit sur le
responsable du traitement.
§1 : Les obligations relatives à la qualité des données
L’article 6 de la directive de 1995 énonce les principes relatifs à la qualité des données. Ce sont des principes
qui manquent de caractère impératif et normatif. Le fait de ne pas respecter ces principes engage la
responsabilité de droit commun. Dans certains cas, ils peuvent déboucher sur de la responsabilité pénale. Ces
principes correspondent à la doctrine de la C.N.I.L. et sont au nombre de cinq.
•
Les données doivent être traitées loyalement et licitement
Tout concours déloyal pourra engager la responsabilité du responsable du traitement. Ainsi, au niveau de la
collecte de données personnelles dans le cadre d’un concours, il y aura comportement quand le concours ne
s’avère être qu’un prétexte.
Il y aura également un comportement déloyal lorsqu’on fait paraître de fausses offres d’emploi.
•
Les données ne doivent être collectées pour des finalités déterminées, explicites et légitimes
•
Les données doivent être adéquates, pertinentes et non excessives au regard des finalités
•
Les informations ainsi collectées doivent être exactes et si nécessaire mises à jour
•
Les données doivent être conservées pour une certaine durée
Les données ne doivent être conservées que pendant le temps utile nécessaire à la finalité du traitement pour
laquelle elles ont été collectées. Un des dangers que présente l’informatique est de pouvoir conserver ces
données et de les rendre publiques sans limite de temps.
La C.N.I.L., dans une délibération en date du 29/11/2001, s’est intéressée aux problèmes posés par la diffusion
des données personnelles sur Internet par les banques de données de jurisprudence. En effet, dans les
décisions de justice publiées sur Internet, le nom des parties apparaît. Le problème est posé lorsque la
personne figurant dans une décision de justice en ligne a été amnistiée car son nom continuera d’apparaître
dans les arrêts. La C.N.I.L. recommande donc de ne plus faire apparaître le nom des parties sur Internet.
§2 : Le principe du consentement
Ce principe n’est pas contenu dans la loi de 1978 mais il fait partie de la directive de 1995. C’est l’article 7 de la
directive qui énonce le principe selon lequel la personne concernée doit avoir donnée son consentement
préalable à la collecte des données. La directive prévoit tout de même cinq exceptions à ce principe.
Il s’agit des traitements nécessaires à l’exécution d’un contrat ou de mesures précontractuelles prises à
l’initiative de cette personne, de traitement nécessaire pour une obligation légale, pour l’intérêt vital de la
personne, pour une mission d’intérêt public ou encore quand le traitement a été réalisé dans l’intérêt légitime
de la personne.
En matière de spamming par exemple, le droit commun va imposer le principe du consentement (« opt in »).
§3 : L’obligation d’informer préalablement la personne concernée
Ce principe est énoncé aux articles 10 et 11 de la directive de 1995. Ainsi, lors de la collecte de données, le
responsable du traitement doit délivrer à la personne concernée certaines informations.
L’article 10 de la directive concerne les données directement auprès de la personne concernée. Dans ce cas de
figure, le responsable du traitement doit fournir certaines informations à la personne concernée sauf si elle est
déjà informée. Les informations seront l’identité du responsable du traitement, les finalités du traitement
auxquelles les données sont destinées, tout information supplémentaire telle que les destinataires ou les
catégories de destinataires des données.
Pour les informations recueillies par voie de questionnaire, la loi de 1978 précise qu’elles doivent porter
mention de leur prescription.
L’article 11 de la directive concerne les collectes indirectes. Ce sera le cas lorsqu’une société a vendu à une
autre société ses fichiers. La responsabilité semble peser sur le responsable du traitement qui cède ses données
à un tiers. Il appartient donc au cédant d’informer les personnes concernées de ce changement en leur
dévoilant le nom de la nouvelle personne en charge de ses données.
§4 : Le problème de la gestion des données sensibles
Pour certaines informations, qui peuvent s’avérer dangereuses, le principe est l’interdiction de leur collecte. Il y
a des exceptions.
Des informations seront dites sensibles lorsqu’elles révèlent l’origine raciale, ethnique, l’opinion politique, les
convictions religieuses ou philosophiques, l’appartenance syndicale…
A ainsi été condamné un maire qui avait procédé à un mailing pour une élection municipale à partir de listes à
partir desquelles apparaissaient les courants politiques et religieux des personnes concernées.63
63
TGI, Toulouse, 13/09/2001
Le manquement à ce principe peut entraîner des sanctions pénales conformément à l’article 31 de la loi de
1978.
Les exceptions concernent les cas où la personne a donné son consentement explicite, lorsque le traitement est
nécessaire pour respecter des obligations en matière de droit du travail, pour des raisons d’intérêt vital de la
personne (santé), si les données ont été divulguées par la personne et lorsque les données sont données pour
dispenser des soins médicaux.
Le projet de loi français précise, dans son article 67, que les traitements automatisés de données personnelles à
des fins journalistiques n’ont pas à être déclarées.
§5 : L’obligation de sécurité
Le responsable du traitement de données personnelles est responsable de la sécurité du traitement et des
données. L’obligation de sécurité est une obligation de moyen évolutive. Cette obligation concerne l’ordinateur,
les logiciels, les locaux, le réseau, l’organisation, le problème du personnel…
Les manquements peuvent être divers : destruction accidentelle ou illicite, perte accidentelle, altération,
diffusion ou accès non autorisé sur Internet…
Le responsable du traitement sera responsable lorsque les manquements à la sécurité des données incombent
au responsable du traitement lui même mais également lorsque ces manquements sont le fait de personnes
extérieures (pirates).
L’obligation de sécurité est une infraction pénale, conformément à l’article 226-17 du Code pénal.
§6 : La déclaration de traitement automatisé
Tout traitement doit être déclaré auprès de la C.N.I.L. avant leur mise en œuvre. L’absence de déclaration
entraîne des sanctions pénales, conformément à l’article 226-16 du Code pénal. Cet article prévoit que
l’infraction peut être constituée y compris par simple négligence. Toute personne peut s’adresser à la C.N.I.L.
afin de savoir si une déclaration a été effectuée.
Il existe plusieurs procédures : une procédure concernant le secteur public qui est assez lourde, une concernant
le secteur privé et une procédure intermédiaire.
La directive de 1995 repose sur une idée simple : la plupart des traitements donnent lieu à notification auprès
de l’autorité de contrôle. Certains traitements peuvent être dispensés ou bénéficier d’une procédure simplifiée.
Par ailleurs, la directive laisse aux Etats membres le soin de concevoir leur système national à l’intérieur de ce
cadre laissant ainsi une grande latitude aux Etats.
CONCLUSION
Les logiciels indiscrets sont donc assez variés et ils doivent être abordés de manière différente selon qu’ils
constituent une atteinte aux biens ou une atteinte aux personnes.
Le problème des logiciels espions n’est pas nouveau et il existait déjà avant le développement d’Internet.
Internet a en fait agit comme une sorte de déclencheur en amplifiant le phénomène et
en augmentant
considérablement le nombre de victimes potentielles de ces logiciels indiscrets.
Le problème majeur lié aux logiciels indiscrets vient du fait que ces derniers sont, la plupart du temps,
invisibles ce qui rend les moyens de recours difficiles à mettre en oeuvre. Il sera en effet difficile pour les
internautes néophytes ou débutants en informatique de se défendre contre l’ensemble des atteintes perpétuées
par les logiciels indiscrets. En revanche, les moyens de recours seront plus faciles à mettre en œuvre pour les
internautes dotés d’une bonne connaissance générale en informatique.
Devant un espionnage qui prend de plus en plus d’ampleur sur Internet au mépris des droits et libertés
individuelles, beaucoup de personnes qualifiées en informatique y compris les informaticiens, au courant de ces
pratiques, ont pris conscience du manque d’information des internautes. Certains d’entre eux vont avoir
l’impression d’être investis d’un devoir de conseil envers l’ensemble des internautes et vont délivrer leur
message de vigilance, notamment à travers des sites Web.
Même si elle n’a pas été spécialement créée en vue de lutter contre les dérives d’Internet, la loi de 1978 est un
réel succès. Elle le doit très certainement à la création de la C.N.I.L., autorité administrative indépendante,
chargée de veiller à la bonne application de la loi afin de protéger la vie privée et les libertés individuelles ou
publiques.
La C.N.I.L. est encore aujourd’hui au cœur de l’actualité avec sa boîte aux lettres « boîte à spam » destinée à
appréhender en France le phénomène du « spamming ».
Le nouveau projet de loi, issu de la directive de 1995, donnera davantage de pouvoirs à la C.N.I.L. sans
toutefois bouleverser son mécanisme.
SOMMAIRE DETAILLE
INTRODUCTION
p5
Partie 1 : Les logiciels indiscrets : une atteinte aux biens
p 11
Chapitre 1 : Les différentes techniques et contre techniques d’intrusion dans un
p 12
système informatique
p 13
§1 : Les cookies
p 13
A)
Principe
p 13
B)
Intérêt
p 14
C)
Fonctionnement
p 15
D)
La gestion des cookies par l’internaute
p 16
E)
Les différentes composantes du cookie
p 17
§2 : Le spamming
p 18
§3 : Les espiogiciels
p 18
A)
Technique
p 18
B)
Contre techniques
p 21
§4 : Les mouchards
p 22
A)
Technique
p 22
B)
Contre techniques
p 24
p 26
§1 : Technique
p 27
§2 Contre techniques
p 30
Chapitre 2 : Le droit applicable et les différentes sanctions
Section 1 : La loi Godfrain
p 33
§1 : L’accès et le maintien dans un STAD
A)
p 33
L’accès frauduleux dans le système
1-
La pénétration matérielle dans tout ou partie du
p 34
p 34
p 34
système
2-
L’absence d’autorisation légale, administrative ou
p 35
contractuelle pour accéder aux données
B)
Le maintien non autorisé dans le système
p 35
C)
Le cas du cookie et de l’espiogiciel
p 36
1-
Elément matériel de l’infraction
2-
Elément moral de l’infraction
§2 : Les atteintes ayant pour finalité de toucher le système
A)
B)
p 37
p 37
p 39
Atteinte directe
1-
Le spamming
2-
Les chevaux de Troie
p 39
p 39
p 41
Atteinte indirecte
p 41
§3 : Carences
p 42
§1 : Le droit international
p 43
p 43
A) Les infractions répertoriées
p 44
B) De nouvelles procédures
C) Les règles de la coopération internationale
§2 : Le droit civil
p 44
p 45
p 45
Partie 2 : Les logiciels indiscrets : une atteinte aux personnes
p 47
p 48
§1 : L’utilité du cookie lors du processus d’identification
A)
les avantages du cookie
B)
Un identifiant toléré mais encadré
§2 : Les espiogiciels : un nouvel outil de collecte de l’information
p 48
p 48
p 48
p 50
p 56
p 60
§1 : L’interconnexion de fichiers
p 60
A) Le profiling
p 60
B) Le fichage administratif
p 63
§2 : La cybersurveillance du salarié
p 68
A)
Les obligations d’information de l’employeur
p 68
B)
Le respect de la vie privée du salarié
p 69
C)
L’exigence de proportionnalité
p 69
D)
La surveillance de l’ordinateur du salarié
p 69
Chapitre 2 : Les règles applicables concernant la collecte de données personnelles
p 72
§1 : Les droits de s’informer et d’accéder aux données personnelles
p 73
p 73
A)
Le droit de s’informer
p 73
B)
Le droit d’accès direct et de copie
p 74
C)
Les droits d’accès indirects
p 75
1-
Données intéressant la sûreté de l’Etat, la défense
p 75
et la sécurité publique
2-
Données médicales
p 76
§2 : Le droit de contestation ou de rectification
p 76
§3 : Le droit d’opposition
p 77
p 78
§1 : Les obligations relatives à la qualité des données
p 78
§ 2 : Le principe du consentement
p 79
§3 : L’obligation d’informer préalablement la personne concernée
p 80
§4 : Le problème de la gestion des données sensibles
p 80
§ 5 : L’obligation de sécurité
p 81
§6 : La déclaration de traitement automatisé
p 82
CONCLUSION
p 83
BIBLIOGRAPHIE
OUVRAGES
- Lamy, droit de l’informatique et des réseaux édition 2001 :
Michel Vivant, Christian Le Stanc
- Droit de l’informatique et de l’Internet, édition 2001 :
André Lucas, Jean Devèze, Jean Frayssinet
ARTICLES
- Le projet de loi relatif à la protection des personnes
physiques à l’égard des traitements de données à
caractère personnel : constantes et nouveautés : Jean
Frayssinet
- Projet de loi de modification de la loi « informatique et
Libertés »… ou comment s’en débarrasser : Expertises,
octobre 2001 page 337
- La négligence dans la protection d’un système de
traitement automatisé d’informations : Philippe Jougleux,
Expertises, juillet 2001 page 220
- Du « Hacking » considéré comme un des beaux arts et de
l’opportun renforcement de sa répression : Christian Le
Stanc, Communication Commerce Electronique, avril 2002
page 9
- La vie privée à l’épreuve de l’Internet : quelques aspects
nouveaux : Michel Dupuis, RJPF, 12/10/2001
LIENS HYPERTEXTES
- http://www.cnil.fr
- http://websec.arcady.fr
- http://www.wilders.org
- http://www.coe.fr/cm/ta/rec/1999/f99r5.htm
- http://lambda.eu.org/503psn.html
- http://news.zdnet.fr/story/0,,t118-s2101426,00.html
- http://lesrapports.ladocfrancaise.gouv.fr/BRP/984000836/
0000.htm
- http://www-curri.u-strasbg.fr/aide/av/firewall.htm
- http://www.droitntic.com/MyNews1.2/read_comment.php3?id_news=60
- http://www.clubinternet.fr/cyberlexnet/COM/A970423.htm
- http://www.linternaute.com/surfer/cookie/cookiesomm.sh
tml
- http://www.anonymat.org/actualite.htm
- http://www.suttondesigns.com/EnigmaBrowser/Spyware.h
tml
- http://securinet.free.fr/emails-spamming.html
- http://www.01net.com/rdn?oid=153568&thm=NOUVELHE
BDO_VIEDUNET_ACTUS_REGLEMENTATION
- http://www.legifrance.gouv.fr/
- http://www.defense.gouv.fr/actualites/dossier/d38/index.
html
- http://www.lex-electronica.org/
- http://www.ufr-info-p6.jussieu.fr/~creis/serveur/nir.htm
- http://www.cdt.org/
- http://www.virtualegis.com/
RESUME FRANÇAIS
Le développement conjugué de l’informatique et de l’Internet a engendré de nouveaux problèmes juridiques
ayant pour conséquence la violation des droits et libertés individuelles des personnes. Dans la société de
l’information, les données sont de véritables marchandises et constituent des enjeux économiques très
importants. En effet, les traces laissées par les internautes à chaque connexion constituent une véritable mine
d’informations et a incité les principaux acteurs présents sur le Web à collecter l’ensemble de ces données. La
collecte de ces données peut prendre différentes formes mais consiste généralement en la création d’un outil
(logiciel) capable de récupérer les données d’un internaute afin notamment de pouvoir retracer son itinéraire
sur Internet ou de créer un profil d’utilisateur (cookies). D’autres méthodes d’intrusion dans un système
informatique peuvent prendre la forme d’un espiogiciel ou d’un troyen. L’Etat lui-même sera tenté de ficher
l’ensemble de la population.
MOTS CLES : Données personnelles / Collecte / Vie privée / Logiciels espions
The legal aspects of spywares
RESUME ANGLAIS
The combined development of computer science and Internet has generated new legal aspects having as a
consequence the violation of people’s rights and individual freedoms. In the information society, the data are
real goods and represent very important stakes. Actually, the marks left by the surfers at each connection
constitute a true mine of information and this has encouraged the main actors present on the Web to collect all
these data. This data collection can take various forms but usually consists of the creation of a tool (software)
able to retrieve the data from a surfer in order to, notably, be able to lay out his itinerary on Internet or to
create a user profile (cookies). Other methods of intrusion in a system can take the shape of a spyware or
trojan. The State itself will be tempted to put the entire population on file.
KEYWORDS : Personal data / Collection / Private life / Spyware

Ressource - DROIT

Transcription

Documents pareils

Télécharger

Télécharger

En poursuivant votre navigation sur ce site, vous

En poursuivant votre navigation sur ce site, vous acceptez l

26/06/2016 Réseau: TUL (Laval) Ligne: M Sens: Maine (Bonchamp

Et les cookies aux coquelicot

Arrêt: Patinoire (Angers)

sÃ©ance 5

15/08/2016 Réseau: Setram (Le Mans) Ligne: 04 Sens: St Georges

Eurosport Jeux