Télécharger memoire-coumet - Aix

INSTITUT DE RECHERCHE ET D’ETUDES EN DROIT DE L’INFORMATION ET DE LA COMMUNICATION
DONNÉES
PERSONNELLES
&
RÉSEAUX SOCIAUX
Mémoire réalisé par Mlle Catherine COUMET
Sous la direction de M. le Professeur Jean FRAYSSINET
Master Recherche « Droit des médias
et des télécommunications »
Faculté de droit et de science
politique d’Aix-Marseille
Aix-en-Provence
2008-2009
Université Paul Cézanne U III
REMERCIEMENTS
Je tiens à remercier toute l‟équipe de l‟IREDIC et notamment Catherine BOUCHET et
Philippe MOURON dont l‟aide à été précieuse.
Je tiens également à remercier mes camarades du master 2 Droit des médias et des
télécommunications, en particulier Gaëlle BROCHOT dont l‟aide et le soutien ont été
nécessaires à l‟écriture de ce mémoire.
2
SOMMAIRE
INTRODUCTION ............................................................................................................. 1
TITRE 1 Ŕ UN PHÉNOMÈNE MONDIAL AUX ENJEUX MULTIPLES ................... 12
CHAPITRE 1 Ŕ DONNÉES PERSONNELLES : UN ENJEU ÉCONOMIQUE
MAJEUR ............................................................................................................................... 13
Section 1 – Le paradoxe d’un succès mondial à faible rentabilité .......................... 14
Section 2 – Des données de grande valeur .............................................................. 18
CHAPITRE 2 Ŕ LE TRAITEMENT INTERNATIONAL DES DONNÉES :
D‟IMPORTANTES DIFFICULTÉS JURIDIQUES ............................................................. 25
Section 1 – Des modèles de protection radicalement différents .............................. 26
Section 2 – Une délicate détermination de la loi applicable ................................... 33
TITRE 2 Ŕ UN PHÉNOMÈNE MONDIAL COMPORTANT DE NOMBREUX
RISQUES .................................................................................................................................. 45
CHAPITRE 1 Ŕ UNE PORTE D‟ACCÈS POUR LES CYBERCRIMINELS ............. 46
Section 1 – Le cas des éditeurs tiers hébergés sur le réseau social ......................... 47
Section 2 – Une aubaine pour les pirates du net ..................................................... 51
CHAPITRE 2 Ŕ L‟IDENTITÉ NUMÉRIQUE : NOTION AU CŒUR DES
QUESTIONS D‟AVENIR DES RÉSEAUX SOCIAUX ...................................................... 58
Section 1 – Vers la reconnaissance d’une infraction « d’usurpation d’identité » ... 59
Section 2 – Vers la portabilité des données ............................................................. 71
CONCLUSION ............................................................................................................... 75
3
INTRODUCTION
« Si je décide de participer à un réseau social, je vais être cristallisé, englué par les
informations que j’aurais confiées à l’âge de 21 ans. Dans dix ans, on vous les ressortira. Vous
êtes tracé car vous perdez la possibilité d’évoluer. On a le droit, à 20 ans, de dire une
connerie, ce n’est pas pour autant qu’on doit vous la rapporter toute votre vie »1 a dit Alex
Türk, président de la Commission nationale de l‟informatique et des libertés (CNIL) et actuel
président du groupe de l‟article 292. Cette citation du président de la CNIL représente bien les
enjeux que posent à l‟heure actuelle les réseaux sociaux.
Un réseau social permet avant toute chose de constituer un réseau de contacts. Après la
constitution de son « profil », on peut prendre contact avec d‟autres utilisateurs du réseau et
vice versa. Le web 2.0 se présente alors comme le média le plus adapté à ce genre d‟activité,
avec, en 2001, le premier réseau social Friendster. En effet, le web 2.0 a permis le
développement des « médias sociaux » c'est-à-dire les médias qui permettent une interaction
entre les internautes. On trouve les blogs, wiki, les sites de partages (YouTube ou Dailymotion),
les outils de discussion (Skype) et les réseaux sociaux.
Ces médias sociaux ne sont pas bien vus par tout le monde. Ils contribuent notamment
au développement de la contrefaçon sur Internet. En effet, beaucoup d‟internautes utilisent ces
moyens pour diffuser des œuvres contrefaites (musique, films, séries télévisées, etc).
Contrairement aux plateformes peer-to-peer, l‟internaute qui veut visionner l‟œuvre, ne la
télécharge pas. C‟est la méthode dite du streaming. C‟est peut être aussi pour cela que les
médias sociaux ont tant de succès auprès des utilisateurs.
Depuis 2001, c‟est l‟explosion. Environ 140 millions de personnes sont inscrites sur
Facebook, 120 pour MySpace. Au total, on compte près de 600 millions d‟utilisateurs de
réseaux sociaux à travers le monde. Et les réseaux se diversifient. En dehors des généralistes
tels que Facebook, on trouve les réseaux centrés sur l‟aspect professionnel tels que Viadéo ou
LinkedIn, les réseaux « privés », c'est-à-dire que l‟on peut rejoindre uniquement sur invitation :
l‟exemple en est de aSmallWorld, le réseau le plus exclusif de la planète avec 130 000
1
2
« Réseaux sociaux en ligne. Attention vous être tracés ! », 20 décembre 2008, www.letelegramme.com.
Groupe de travail mis en place par les articles 29 et 30 de la directive 95/46/CE du Parlement européen et du
Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l‟égard du traitement des données
à caractère personnel et à la libre circulation de ces données, in JOCE L 281 du 23 novembre 1995.
4
membres qui a pour but de favoriser une vie sociale riche pour « l‟élite économique et
intellectuelle ». Des plates formes sont même crées pour que chacun puisse à son tour créer son
propre réseau social.
Le web n‟ayant aucune limite : les réseaux Dogster et Catser sont exclusivement
réservés respectivement aux chiens et aux chats.
Malgré l‟avance de Facebook au plan international, il n‟y a pas de vrai leader. Tout
d‟abord, on remarque que chaque partie du monde à son réseau social : MySpace est numéro un
aux États-Unis, les brésiliens ont choisi Orkut (le réseau de Google), les anglais préfèrent Bebo
alors que Skyblog arrive en tête en France et enfin l‟Asie du sud-est privilégie Friendster. Le
marché est très instable : les réseaux existants se livrent une guerre sans merci et de nouveaux
acteurs apparaissent sur le marché chaque jour.
Ensuite, les utilisations de ces réseaux sont variées : retrouver des camarades de classe
ou de vieilles connaissances ; se faire des relations, de nouveaux contacts professionnels ou
amicaux (et plus si affinités) ; organiser des évènements ou même assurer une certaine
promotion de sa personne ou de son entreprise. Les employeurs se font une idée rapide des
candidats à un poste en regardant leurs profils, les candidats recherchent un emploi via ces
réseaux, d‟autres encore assurent la promotion d‟organisations terroristes. La liste est sans fin.
Les réseaux sociaux sont réellement devenus des outils de communication majeurs. Les
réseaux sociaux confirment la théorie des « six degrés de séparation ». Cette théorie date de
1929. L‟écrivain Frigyes Karinthy3 pose l‟hypothèse qu‟une personne dans le monde est reliée
à une autre au travers d‟une chaîne de connaissances comprenant un maximum de six maillons.
En 1967, l‟expérimentation à grande échelle « Small World »4 est lancée et les résultats sont
probants. Il est assez facile d'expérimenter le principe des six degrés de séparation. On donne
une lettre à un premier sujet et on lui demande de la remettre à une personne en particulier.
Pour ce faire, il doit passer la lettre à une de ses relations, dont il suppose qu'elle est la mieux
placée pour contacter la cible ou un proche de cette dernière. Ce second maillon de la chaîne
passe la lettre à un de ses contacts selon le même principe, et ainsi de suite. En 2008, une
équipe de recherche travaillant pour Microsoft5 a étudié 30 milliards de mails envoyés par 240
3
Écrivain hongrois, 1887 Ŕ 1938. Il élabore la théorie des 6 degrés de séparation dans sa nouvelle « Chaînes »
publiée en 1929.
4
Étude menée par Stanley MILGRAM aux États-Unis.
5
Étude menée par 2 chercheurs de chez Microsoft, Eric HORVITZ et Jure LESKOVEC.
5
millions de personnes en juin 2006 et a établi qu‟en moyenne deux personnes peuvent être
reliées en 6,6 étapes.
On remarque aussi que les réseaux se développent en tant que moyen de
communication des politiques. En effet, vu l‟audience potentielle qu‟offre les réseaux sociaux
sans dépenses de publicité, il s‟agit d‟un moyen de communication très attractif. Une grande
majorité d‟hommes et de femmes politiques ont crées leur profil sur de grands réseaux. Preuve
de ce développement : le pape Benoit XIV à désormais son profil sur Facebook, site qui, a
l‟approche des élections en Iran, a été interdit dans ce pays. Et récemment, Nathalie
Kosciusko-Morizet, secrétaire d‟État à la Prospective et au Développement de l‟économie
numérique, annonçait sa grossesse via son profil Facebook. Et c‟est bien là le point commun de
tous ces réseaux : on y met tous des données personnelles, que cette quantité de données soit
importante ou non ou que ces données soient plus ou moins personnelles. Il s‟agit là l‟enjeu
majeur des réseaux sociaux.
Le partage des passions, des hobbies, des centres d‟intérêts, de même que le nom ou
l‟adresse mail représentent une quantité de données personnelles considérable à l‟échelle
mondiale qui soulève de nombreuses questions notamment quant à la protection et l‟utilisation
de toutes ces données.
Tout d‟abord, les réseaux sociaux sont considérés par la jurisprudence comme étant des
hébergeurs aux sens de la loi du 21 juin 2004 pour la confiance dans l‟économie numérique6.
Cette dernière définit les hébergeurs comme étant « les personnes physiques ou morales qui
assurent, même à titre gratuit, pour mise à disposition du public par des services de
communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de
messages de toute nature fournis par des destinataires de ce service »7. Ce qui les distingue
des éditeurs de services de communication au public en ligne.
Quel est l‟intérêt de cette distinction ? Le régime de responsabilité est différent. Les
hébergeurs (au même titre que les fournisseurs d‟accès à internet) ne sont pas, par principe,
responsables du contenu diffusé. Les éditeurs eux le sont. Si les fournisseurs d‟accès à internet
ne peuvent voir leur responsabilité engagée, il en va différemment pour les hébergeurs. En
effet, ces derniers seront considérés comme responsables du contenu diffusé s‟ils avaient
connaissance du caractère illicite du contenu ou de faits et circonstances faisant apparaître ce
6
Loi n°2004-575 du 21 juin 2004 pour la confiance dans l‟économie numérique, in JORF, 22 juin 2004.
7
Article 6 I.2 de la loi n°2004-575 du 21 juin 2004.
6
caractère et qu‟ils n‟ont pas agi promptement pour retirer ce contenu ou en rendre l‟accès
impossible.
Les réseaux sociaux n‟étant pas visés par la loi de 2004, c‟est la jurisprudence qui a été
amené à qualifier juridiquement ces acteurs. La tâche n‟a pas été facile. La jurisprudence
majoritaire a d‟emblée qualifié les réseaux d‟hébergeurs, en raison de la non-intervention de
ceux-ci dans l‟édition du contenu. Puis le doute est arrivé par une affaire de juin 2007 8. Un
profil avait été crée sur le réseau MySpace permettant notamment de visionner des sketches de
l‟humoriste Jean-Yves Lafesse. Celui-ci a alors attaqué la société MySpace en contrefaçon. Le
juge des référés du tribunal correctionnel de Paris a alors considéré MySpace comme éditeur (et
donc responsable) dans la mesure où il impose une structure formelle à tous les utilisateurs et
que cela dépasse la simple fonction d‟hébergeur. La jurisprudence a été amenée à nuancer cette
décision. En effet, il est impossible, techniquement pour de tels réseaux de contrôler le contenu
de chaque profil au regard de la quantité de ceux-ci. La jurisprudence considère alors qu‟ils
sont hébergeurs.
Ces hébergeurs sont alors amenés à collecter et traiter des données dites personnelles
dans le cadre de leur activité. C‟est la loi du 6 janvier 1978 modifiée relative à l‟informatique,
aux fichiers et aux libertés9 qui, définit la notion de donnée à caractère personnel et met en
place le régime de protection de celles-ci. Dans son article 2, la loi dispose que « constitue une
donnée à caractère personnel toute information relative à une personne physique identifiée ou
qui peut être identifiée, directement ou indirectement, par référence à un numéro
d’immatriculation ou à un ou plusieurs éléments qui lui sont propres. […] Constitue un
traitement de données à caractère personnel toute opération ou tout ensemble d’opérations
portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte,
l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction,
la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre
forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage,
l’effacement ou la destruction ».
8
Tribunal de Grande Instance de Paris, Ordonnance de référé du 22 juin 2007, Jean-Yves L. dit Lafesse/ Myspace.
9
Loi n°78-17 du 6 janvier 1978 relative à l‟informatique, aux fichiers et aux libertés, in JORF, 7 janvier 1978.
7
La loi propose une définition large afin d‟assurer une grande protection des données à
caractère personnel voulut à l‟échelle européenne avec la transposition de la directive 95/46/CE
du 24 octobre 199510.
En outre, différentes institutions ont été créées pour assurer le respect des différentes
dispositions par les responsables de traitements.
La première d‟entre elles est la Commission Nationale de l‟Informatique et des
Libertés. Il s‟agit de la première autorité administrative indépendante française, créée par la loi
de 1978 relative à l‟informatique, aux fichiers et aux libertés. Elle est composée de 17
membres : 2 députés, 2 sénateurs, 2 membres du Conseil économique et social, 2 conseillers
d‟État, 2 conseillers à la Cour de cassation, 2 conseillers à la Cour des comptes et 5
personnalités qualifiées (dont une nommée par le président de l‟Assemblée nationale, une par
le président du Sénat, et 3 par le conseil des ministres). La CNIL choisit alors son président
parmi ses membres, qui disposent d‟un mandat de 5 ans (pour les parlementaires, le mandat est
de durée égale à leur mandat électif).
La loi de 1978 modifiée confie 5 missions principales à la CNIL. Tout d‟abord, elle doit
informer les personnes de leurs droits et obligations et elle peut proposer au gouvernement les
mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie
privée à l'évolution des techniques. L'avis de la CNIL doit d‟ailleurs être sollicité avant toute
transmission au Parlement d'un projet de loi créant un traitement automatisé de données
nominatives.
Ensuite, La CNIL veille à ce que les modalités de mise en œuvre du droit d'accès aux
données contenues dans les traitements n'entravent pas le libre exercice de ce droit. Elle exerce,
pour le compte des citoyens qui le souhaitent, l'accès aux fichiers intéressant la sûreté de l'État,
la défense et la sécurité publique, notamment ceux des Renseignements généraux.
Les traitements de données à « risques » sont soumis à autorisation de la CNIL. Elle
donne un avis sur les traitements publics utilisant le numéro national d‟identification des
personnes. Elle reçoit les déclarations des autres traitements. Le non-respect de ces formalités
par les responsables de fichiers est passible de sanctions administratives ou pénales. La CNIL
tient à la disposition du public le « fichier des fichiers », c'est-à-dire la liste des traitements
déclarés et leurs principales caractéristiques.
10
Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des
personnes physiques à l‟égard du traitement des données à caractère personnel et à la libre circulation de ces
données, in JOCE L 281 du 23 novembre 1995.
8
En outre, la CNIL vérifie que la loi est respectée en contrôlant les applications
informatiques. La Commission use de ses pouvoirs de vérification et d‟investigation pour
instruire les plaintes, pour disposer d'une meilleure connaissance de certains fichiers, pour
mieux apprécier les conséquences du recours à l'informatique dans certains secteurs, pour
assurer un suivi de ses délibérations. La CNIL surveille par ailleurs la sécurité des systèmes
d'information en s'assurant que toutes les précautions sont prises pour empêcher que les
données ne soient déformées ou communiquées à des personnes non-autorisées.
La CNIL peut prononcer diverses sanctions graduées : avertissement, mise en demeure,
sanctions pécuniaires pouvant atteindre 300 000 €, injonction de cesser le traitement. Enfin, le
Président peut demander par référé à la juridiction compétente d'ordonner toute mesure de
sécurité nécessaire. Il peut, au nom de la Commission, dénoncer au Procureur de la République
les violations de la loi
La CNIL dispose donc d‟un pouvoir assez large et entend l‟utiliser du mieux possible.
Elle est « accompagnée », au niveau européen, du Groupe de l‟article 29. Ce groupe de travail
est appelé ainsi car il a été mis en place par l‟article 29 de la directive européenne 95/46/CE du
24 octobre 1995 relative à la protection des personnes physiques à l‟égard du traitement des
données à caractère personnel et à la libre circulation de ces données. Il s‟agit d‟un groupe à
« caractère consultatif et indépendant ». Il se compose d‟un représentant de l‟autorité ou des
autorités de contrôle désignées par chaque État membre, d‟un représentant de l‟autorité créée
pour les institutions communautaires et enfin, d‟un représentant de la Commission européenne.
Il est actuellement présidé par le président de la CNIL, Alex Türk.
L‟article 30 de la même directive définit les missions du groupe. Il examine toutes les
questions portant sur la mise en œuvre des dispositions nationales prises en application de la
directive, en vue de contribuer à leur mise en œuvre homogène, il donne un avis sur les
niveaux de protections, il conseille la Commission sur tout projet de modification de la
directive, projet de mesures additionnelles ou spécifiques à prendre pour sauvegarder les droits
et libertés des personnes physiques à l‟égard du traitement des données à caractère personnel. Il
peut, de sa propre initiative, émettre des recommandations, et informe la Commission des
divergences susceptibles de porter atteinte à l‟équivalence de la protection.
Son rôle est essentiel sur le plan communautaire et international. Il est le porte-parole
de l‟Europe pour promouvoir notre système de protection à l‟étranger.
9
Cela ne rassure pourtant pas les internautes. D‟après un sondage11 IPSOS réalisé les 7 et
8 novembre 2007, 71% des sondés jugent insuffisant le système de protection de leur vie privée
sur internet. De même que 78% des 18-24 ans jugent que leur vie privée est insuffisamment
protégée. Cela ne les détourne pas pour autant de la toile. Et dans certains cas, la mise à
dispositions de telles informations se révèle être un point positif. Quelques affaires permettent
d‟illustrer cet avis.
Récemment, un skieur de l‟équipe national du Népal, en entrainement en France, avait
fugué. La publication de photos de lui sur Facebook a permis dans un premier temps d‟assurer
une publicité de l‟affaire, et dans un second de retrouver le skieur puisqu‟un utilisateur qui
avait vu sa photo sur le site l‟a ensuite reconnu errant dans Paris et a permis d‟alerter les
autorités.
Dans une autre affaire, au Royaume Uni, une jeune femme qui louait un appartement
dont elle était propriétaire a remarqué, sur des photos publiées là aussi sur Facebook, que ses
locataires organisaient des soirées « agitées » dans son appartement, le saccageant
complètement. Se rendant compte de la situation à temps, elle a immédiatement résilié le bail
et tenté de restaurer son immeuble.
Si les réseaux sociaux sont actuellement très critiqués pour les atteintes à la vie privée
qu‟ils représentent, on ne peut nier certains apports de ceux-ci. Les internautes se révèlent être
plutôt attentifs à l‟utilisation que peuvent faire les réseaux sociaux de leurs données. Lorsque
Facebook a installé le logiciel Beacon, il y eut un tollé parmi les utilisateurs. Ce logiciel
permettait de publier sur le profil des utilisateurs les achats qu‟ils avaient effectués sur des sites
partenaires. Les utilisateurs n‟avaient pas le choix, Beacon était imposé. Suite à la colère des
utilisateurs, Facebook a fait marche arrière et a retiré Beacon. Les utilisateurs qui le souhaitent,
peuvent toujours choisir d‟utiliser Beacon.
Même « engouement » de la part des utilisateurs lorsque Facebook toujours, a décidé de
changer les conditions générales d‟utilisation afin de s‟octroyer « une licence perpétuelle et
mondiale […] de n’importe quel contenu publié pour n’importe quelle utilisation, y compris
commerciale et publicitaire ». « Les contenus personnels […] survivent à la fermeture d’un
compte ». Facebook pouvait dès lors laisser en ligne des contenus partagés par les utilisateurs
qui se désabonnaient. Les utilisateurs se sont de nouveau fait entendre. Facebook a alors mis en
place une sorte de référendum. Les utilisateurs étaient invités à aller voter pour choisir quelle
11
Sondage réalisé par IPSOS pour la CNIL, « Sur Internet, pensez vous que la vie privée est suffisamment
protégée ? », publiée le 13 octobre 2008, www.cnil.fr.
10
version des conditions générales d‟utilisation ils souhaitaient. La version « originale » a été
retenue par une large majorité. Facebook a donc retiré la disposition mettant en place une
licence perpétuelle. Désormais, dès qu‟un utilisateur se désabonne, les contenus associés
disparaissent également.
L‟enjeu que représentent les données personnelles des utilisateurs des réseaux sociaux
est donc essentiel. Dans ces conditions, il convient de s‟interroger sur l‟étendue de la protection
offerte aux données à caractère personnel laissées sur le réseau social par l‟utilisateur.
Nous étudierons dans un premier temps, les enjeux multiples que représentent ce
phénomène mondial (titre 1), puis dans un second, les nombreux risques qu‟il comporte (titre
2).
11
TITRE 1 - UN PHÉNOMÈNE MONDIAL AUX
ENJEUX MULTIPLES.
Le traitement des données à caractère personnel que les internautes confient est à la fois
le rôle principal des hébergeurs et leur problème majeur. En effet, ces données personnelles
font à la fois l‟objet d‟une forte protection légale et d‟une importante attractivité pour les
publicitaires. Cette dernière est telle que certains, avant tout défenseurs de la protection des
données à caractère personnel, suggèrent le paiement d‟une contrepartie aux internautes livrant
leurs données personnelles. Il s‟agit en réalité de rebuter les publicitaires. En payant ces
données, celles-ci perdent de leur intérêt qui est essentiellement l‟économie de campagnes
publicitaires inutiles en privilégiant les publicités ciblées. Une chose est certaine, les données
personnelles ont une importante valeur économique. (Chapitre 1)
Évidemment, il s‟agit ici d‟étudier ces différentes pratiques au regard de la législation
applicable ce qui ne s‟avère pas être chose facile. Les réseaux sont installés dans différentes
parties du monde (essentiellement aux États-Unis) ce qui pose le problème des conflits de lois.
En effet la protection diffère selon le pays où le traitement s‟effectue ce qui fait que
l‟internaute ne sait jamais vraiment quelle protection est offerte aux données personnelles qu‟il
laisse sur un réseau social. (Chapitre 2)
CHAPITRE 1 - DONNÉES PERSONNELLES : UN
ENJEU ÉCONOMIQUE MAJEUR.
Le succès des réseaux sociaux est incontestable. Pour les réseaux majeurs, ils font partie
des pages web les plus visitées au monde. Par exemple Facebook est le sixième site web le plus
visité au monde. Il a dépassé eBay et tente de dépasser Google12. Des millions de gens, qu‟ils
soient inscrits ou non au réseau, surfent sur ces pages. Étonnamment, la rentabilité de ces
réseaux n‟est pas proportionnelle à leur succès et les revenus publicitaires sont, au final,
insuffisants (section 1). Et pourtant, les réseaux disposent de données ayant une valeur
économique considérable (section 2).
12
D‟après une déclaration du co-fondateur de Facebook, Mark Zuckerberg.
Section 1 - Le paradoxe d‟un succès mondial à faible rentabilité.
Les réseaux sociaux sont pour la majorité des réseaux gratuits : l‟internaute n‟a pas à
payer pour s‟inscrire au réseau. C‟est l‟essence même du modèle économique d‟Internet. Il
s‟agit là probablement le point qui assure un tel succès à ces réseaux mais qui paradoxalement
est remis en cause (§1) et qui est peut être amené à disparaître (§2).
§1 Ŕ Un modèle de gratuité mis à mal.
Malgré l‟audience des réseaux sociaux, les revenus publicitaires sont insuffisants (A.) et
certains services (éventuellement rentables) ne sont pas exploités par les réseaux (B.).
A- Des revenus publicitaires insuffisants.
Une enquête13 menée par eMarketer en décembre 2008 a révélé que les réseaux sociaux
sont encore sous-investis. En effet, les réseaux sociaux, en 2008 aux États-Unis, ont réalisés
1,2 milliards de dollars de chiffre d‟affaires alors qu‟ils rassemblent 100 millions de visiteurs
par mois. Cela indiquerait qu‟un visiteur génère en moyenne un dollar par mois. Ce qui est
évidemment sous évalué. Dans la mesure où, en règle générale, un utilisateur de réseau social
se connecte plusieurs fois par mois sur sa page personnelle et visionne alors plusieurs dizaines
de publicités en surfant sur le site. Ces publicités, comme nous le verrons plus loin, sont de
plus en plus ciblées en fonction de l‟internaute ce qui leur assure une plus grande rentabilité.
Le dollar mensuel est donc une véritable sous-évaluation. Ceci n‟étant qu‟une moyenne, on
remarque des écarts importants entre les grands réseaux tels que MySpace, le plus important
aux États-Unis, et d‟autres beaucoup plus discrets. Ce sont sur ces derniers que l‟absence de
revenus publicitaires joue. Étant la seule ressource de ces réseaux, un si faible revenu ne leur
permet pas de rentrer dans leur frais. L‟effet est moins dévastateur sur les grands réseaux au
succès international qui peuvent évidemment négocier plus aisément les montants.
Cela n‟empêche pas les réseaux d‟être très attractifs. Par exemple Twitter, petit nouveau
sur le marché, n‟a pas encore réussi à générer des bénéfices. Et pourtant, la croissance
exponentielle de son audience lui a permis d‟obtenir une levée de fonds de 250 millions de
dollars et s‟est permis de refuser une offre de rachat par Facebook d‟un montant d‟environ 500
millions de dollars.
13
« US Social Network Ad Spending Growth Lowered », du 10 décembre 2008, publiée sur www.emarketer.com.
eMarketer est un site spécialisé dans les études de marché sur internet, le e-business, le marketing « on line », les
médias et nouvelles technologies.
14
Le montant des revenus publicitaires serait alors amené à augmenter dans les
prochaines années mais de façon très faible. On parle de 1,6 milliards de dollars de chiffre
d‟affaires en 2013. Ces sommes restent faibles comparées à l‟ampleur que prennent petit à petit
les réseaux sociaux. Cela conduit les opérateurs à envisager d‟autres sources de revenus.
B- De nombreux services non exploités.
L‟unique revenu des réseaux provient des ressources publicitaires et cela peut paraître
étonnant. En effet, avec le développement des nouvelles technologies, de nombreux moyens
peuvent être utilisés pour financer les réseaux, du moins pour engranger des revenus
supplémentaires.
Ces moyens sont diverses : il s‟agit essentiellement de formes de commerce
électronique comme la possibilité pour l‟utilisateur d‟acheter sur le réseau des produits dont
certains produits dérivés de la marque du réseau. C‟est la technique du micro-paiement.
En effet, le commerce électronique se développe de plus en plus. Les internautes
utilisent de plus en plus cette méthode pour des raisons pratiques. Nul besoin de se déplacer
pour acheter ou vendre un produit ; les garanties sont les mêmes que pour tout autre contrat, et
les coordonnées bancaires sont de plus en plus protégées. Les sites de ventes aux enchères tels
qu‟eBay connaissent un succès foudroyant.
Et pourtant, on ne trouve rien de tel sur les réseaux sociaux. Les possibilités d‟acheter
des produits résultent des publicités sur lesquelles il est possible de cliquer, ce qui envoie
l‟internaute sur le site de l‟annonceur, ou d‟applications que l‟utilisateur ajoute et qui lui
offrent cette possibilité qui varie selon l‟application.
Ces applications sont des éditeurs tiers indépendants de l‟hébergeur qui ne récupère
alors aucun bénéfice de ce commerce. Alors que ces ressources pourraient à elles seules
représenter une alternative aux revenus publicitaires.
Il existe quelques exceptions comme par exemple MySpace a mis en place le service
« FakeYourSpace » (« fausse ton profil » en anglais). Pour 1,99 dollars par mois, les
utilisateurs en mal de popularité peuvent s‟offrir quelques amis s‟approchant de la perfection.
Si le concept fait sourire, il génère un revenu supplémentaire pour MySpace non négligeable (et
met en avant le caractère « social » des réseaux). Quelques initiatives de la sorte sont mises en
place mais aucune ne propose une réelle alternative aux revenus publicitaires.
15
§2 Ŕ Vers un service payant ?
La seule réelle alternative ou complément aux revenus publicitaires est l‟adhésion
payante au service par l‟utilisateur. Quelques réseaux ont déjà mis en place des modèles
économiques mixtes (A.), mais la mise en place d‟un service payant n‟est pas sans risque pour
le réseau (B.).
A- Des modèles économiques mixtes.
Face à un modèle économique entièrement gratuit, la solution d‟un service payant
s‟impose de plus en plus comme l‟alternative à la loi de la publicité.
Viadéo, réseau social français, en est le parfait exemple. Il privilégie le contact
demandeurs d‟emploi/ entreprises et s‟impose de plus en plus comme étant leader en la
matière.
Il tire ses revenus de trois sources : les revenus publicitaires (20%), le recrutement
(30%) et les abonnements (50%). Les utilisateurs peuvent s‟inscrire gratuitement sur Viadéo
mais ils n‟ont alors pas accès à l‟ensemble des avantages du réseau. Seule une souscription à
un abonnement permet à l‟utilisateur de bénéficier de tous les services. Quant au
« recrutement », il regroupe la publication d'offres d'emploi, la communication, la consultation
de la « profilthèque » qui permet aux entreprises d'accéder au profil des membres d'accord pour
être contactés par les recruteurs.
Ce mécanisme permet, tout d‟abord, de ne pas être dépendant des annonceurs et ensuite,
il permet de surmonter la crise sans trop de difficultés. En effet, le malheur des uns fait
toujours le bonheur des autres. Le taux de chômage augmentant et l‟administration (notamment
le pôle emploi) étant débordée, les demandeurs d‟emploi utilisent de plus en plus ce type de
plateformes pour trouver un emploi qui s‟avère être plus efficace et rapide.
Ce modèle économique mixte tend à se développer. Twitter, par exemple, songe à faire
payer l‟utilisation commerciale de ses services. L‟idée fait son chemin dans la mesure où les
entreprises seront prêtes à dépenser une certaine somme afin de bénéficier de la considérable
audience d‟un réseau. En effet, en créant une page sur un réseau social, les entreprises s‟offrent
une publicité à prix raisonnable pour une audience potentielle de plusieurs millions de
personnes.
Cette solution n‟est envisageable que dans le cas où le réseau social apporte un véritable
service à la personne ou l‟entreprise. L‟idée de rendre payant, pour chaque utilisateur,
l‟inscription à un réseau social généraliste apparaît à l‟heure actuelle risquée.
16
B- Les risques d‟un modèle payant.
L‟attrait même des réseaux sociaux est le fait de pouvoir communiquer, rester en
contact, ou nouer de nouveaux contacts à faible coût c'est-à-dire gratuitement. La majorité des
adolescents et des jeunes adultes ont un compte sur un réseau social et il apparaît peu probable
qu‟ils acceptent de payer pour être inscrits sur ces plateformes dans la mesure où les moyens de
communications alternatifs sont nombreux. De même pour toutes les personnes qui ne
s‟inscrivent que « pour le principe », c'est-à-dire qu‟elles suivent le phénomène de mode sans
réellement s‟y intéresser. Car oui, pour beaucoup, les réseaux sociaux sont avant tout un
phénomène de mode qui finira par s‟étioler. Si l‟attachement d‟un grand nombre à ces réseaux
n‟est pas assuré, il apparaît suicidaire, pour le réseau social, de proposer un service payant.
Si le réseau social offre un véritable service tel que la recherche d‟emploi ou la
promotion musicale (comme MySpace), le prix de l‟inscription paraît justifié. Pour le cas d‟un
réseau n‟apportant rien de plus qu‟un « divertissement » ou un espace de publication personnel
(comme Facebook) le paiement de l‟inscription paraît moins justifié et par là même plus
risqué.
Le fait est que la mise en place d‟un service payant serait synonyme de perte d‟audience
qui peut s‟avérer être relativement importante, ce qui n‟arrangerait au final pas les opérateurs.
En outre, si quelques réseaux mettent en place un modèle payant, il risque d‟y avoir un
basculement des utilisateurs de ces réseaux vers les réseaux maintenant un service gratuit,
permettant alors à ces derniers de bénéficier de recettes publicitaires plus importantes, les
annonceurs suivant le flot des utilisateurs. Les réseaux mettant en place un service payant
risquent alors de perdre leur audience et leurs revenus publicitaires, au bénéfice des services
gratuits.
Si dans l‟idéal, un service payant est souhaitable, en pratique, il n‟arrangerait en rien les
affaires des réseaux. L‟idée d‟un modèle économique mixte semble plus judicieuse.
Notamment, l‟idée de conserver un service gratuit pour les utilisateurs privée accompagnant la
mise en place d‟un service payant pour une utilisation commerciale du service. C‟est une idée
séduisante qui permettrait à tous d‟être gagnant.
17
Section 2 - Des données de grande valeur.
La faible rentabilité des réseaux est d‟autant plus paradoxale qu‟ils disposent d‟une
quantité impressionnante de données à caractère personnel qui ont une valeur économique
considérable pour l‟hébergeur (§1) comme pour l‟annonceur (§2).
§1 Ŕ Une mine d‟or à la disposition des hébergeurs.
À chaque fois qu‟un internaute s‟inscrit à un réseau social il livre un certain nombre de
données personnelles, que ce soit volontaire (A.) ou non (B.).
A- Les données confiées consciemment.
Le principe même des réseaux sociaux est de donner des informations personnelles sur
sa vie : ses loisirs, ses centres d‟intérêts, ses goûts musicaux ou cinématographiques, ainsi que
sa ville, sa date de naissance, allant jusqu'à ses opinions politiques ou religieuses ou encore ses
préférences sexuelles.
L‟essence même des réseaux sociaux est de rendre publique une vie considérée
originellement comme privée. Il s‟agit en quelque sorte d‟un journal intime (moins intime
qu‟un blog) qui permet de raconter sa vie à ses amis ou contacts. Si les personnes ont plus ou
moins conscience des conséquences de cette publicité, il en demeure pas moins que le
phénomène de publicité de la vie privée se développe de plus en plus. Si l‟on regarde les
chiffres de vente des magazines « people », on note l‟intérêt majeur que porte les lecteurs à la
vie privée des célébrités. Il n‟est pas étonnant que ces mêmes personnes portent un intérêt à la
vie de leurs amis.
Chaque utilisateur choisit, lors de son inscription quelles informations il souhaite
donner et qui aura accès à ses informations. En effet, à chaque inscription, l‟hébergeur
demande un certains nombres d‟informations personnelles.
Il s‟agit pour eux de répondre à une exigence légale. La loi pour la confiance dans
l‟économie numérique du 21 juin 2004 dispose dans son article 6. II., alinéa 1, que les
fournisseurs d‟accès à internet et les hébergeurs « détiennent et conservent les données de
nature à permettre l’identification de quiconque a contribué à la création du contenu ou de
l’un des contenus des services dont elles sont prestataires ». Ils demandent le nom et prénom,
l‟adresse mail, et éventuellement quelques renseignements supplémentaires. L‟intérêt de cette
mesure est essentiellement de pouvoir identifier toute personne mettant en ligne un contenu
18
illicite ; dans le cadre des réseaux sociaux, ces informations constituent la base même de la
constitution d‟un profil.
Ensuite, la personne peut choisir de divulguer plus ou moins d‟informations
personnelles qui seront publiées ou non. En effet on peut établir un profil restreint qui ne
pourra être vu que de nos contacts. L‟utilisateur pourra alors choisir, s‟il le souhaite, de créer
un profil dit public dans lequel il choisira quelles informations seront livrées. En règle
générale, le nom de la personne est obligatoirement donné.
L‟anonymat n‟est pas monnaie courante sur les réseaux et seuls les pseudonymes
apparaissent comme une solution pour dissimuler son véritable nom.
Ces informations représentent une véritable mine d‟or pour les hébergeurs dans la
mesure où les informations données, le sont volontairement, ce qui leur permet de traiter des
informations qu‟il est interdit de traiter. La loi de 1978 modifiée relative à l‟informatique, aux
fichiers et aux libertés dispose dans son article 8 que « il est interdit de collecter ou de traiter
des données à caractère personnel qui font apparaître, directement ou indirectement, les
origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou
l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de
celle-ci ». Ces informations pouvant être données sur un réseau social, ceux-ci disposent
d‟informations qu‟il est difficile pour tout autre opérateur d‟obtenir, ce qui accroit
considérablement la valeur de ces données.
B- Les données livrées involontairement.
S‟ajoutent aux données livrées volontairement un certains nombres de données
« connexes », livrées lors de la navigation sur Internet, a fortiori sur les réseaux sociaux, telles
que les données de connexion et adresses IP.
Si la question de la qualification juridique de l‟adresse IP est toujours posée, il n‟en
demeure pas moins qu‟elle est très utile pour suivre l‟internaute et donc le surveiller et le
profiler. Par exemple, la société DoubleClick, rachetée par Google, est une société de
cybermarketing opérant grâce à des cookies envoyés lors de la visite de sites associés à cette
société.
L‟internaute n‟a en règle générale aucune conscience de ces données et ne se rend alors
pas compte que l‟anonymat est obsolète sur internet. La personne n‟a pas besoin d‟être
nommée pour être tracée et profilée.
19
En outre, de nombreuses informations peuvent être livrées par de tiers notamment les
amis et contacts. Cela se traduit essentiellement par la mise en ligne sur le réseau de photos et
vidéos « taggées » c'est-à-dire que les personnes figurant sur la photo sont nommées.
Il est possible d‟enlever son nom d‟une telle photo mais il n‟est possible de le faire
qu‟une fois le « dommage » causé, c'est-à-dire que la personne publiant la photo nomme les
personnes qui ne pourront qu‟après retirer l‟information. Il serait plus protecteur de demander
l‟autorisation de la personne avant de pouvoir « tagger » une photo ou une vidéo. Cela
répondrait également aux exigences posées par le droit à l‟image qui implique qu‟aucune
représentation de l‟image d‟une personne ne peut être exploitée sans son consentement. Même
si la personne était consentante pour être prise en photo, elle ne l‟était pas forcément pour que
la photo soit publiée sur un réseau avec des millions de potentiels visiteurs. Une résolution a
été prise à cet effet lors de la 30ème conférence internationale des commissaires à la protection
des données et de la vie privée (tenue du 15 au 17 octobre 2008 à Strasbourg) qui stipule que
les réseaux doivent informer leurs utilisateurs sur la façon dont ceux-ci traitent les données
personnelles de tiers qu‟ils diffusent sur leurs profils.
Les utilisateurs ont par ailleurs rarement idée des informations qu‟ils donnent en
publiant des photos sur des réseaux sociaux. On peut obtenir, déduire, et supposer beaucoup de
choses à partir d‟une photo, ce dont les gens n‟ont pas forcément conscience. C‟est l‟exemple
d‟un demandeur d‟emploi qui avait publié des photos d‟une soirée arrosée. Celui qui aurait pu
être son futur employeur, étant allé voir son profil sur un réseau social, est tombé sur ces
photos et a finalement décidé de ne pas embaucher la personne. Si cet exemple est radical, il
s‟agit d‟un des aspects négatifs des réseaux sociaux. Les photos publiées à la légère sont des
sources d‟information essentielles.
La notion de consentement au traitement des données est par ailleurs essentielle. Le
consentement de l‟utilisateur est nécessaire. Sans ce consentement, le traitement des données
est illicite. Si le fait que les utilisateurs s‟inscrivent d‟eux même à un réseau social suffit en
règle générale à déduire son consentement au traitement de ses données, ceci est discutable.
En effet, dans la mesure où l‟utilisateur n‟a aucune conscience de la portée de son
acceptation, peut-on considérer que son consentement est « éclairé » comme l‟exige le droit
français ? En outre, un utilisateur peut, dans certains cas, être amené à donner son
consentement pour le traitement des données d‟une autre personne (dans le cas d‟applications
ajoutées sur le réseau comme nous l‟étudierons plus tard). Or il n‟a aucune capacité pour
donner son consentement à la place d‟un autre en l‟absence d‟un mandat lui donnant ce
pouvoir.
20
Cette technique est donc discutable, mais à ce jour, aucun juge n‟a été saisi de la
question.
§2 Ŕ Une mine d‟or à la disposition des annonceurs.
Les réseaux sociaux permettent le développement de techniques publicitaires, ô
combien efficaces, ciblées (B) nécessitant un préalable profilage de l‟internaute (A.).
A- Un profilage complet de l‟internaute.
La réunion de toutes ces données permet aux réseaux sociaux de tout connaître de leurs
utilisateurs : leurs goûts, leurs loisirs, … « L’agrégation de données en provenance de diverses
bases de données permettra de déduire avec un taux de 89% de certitude que la composition de
tel panier d’achat par un consommateur se présentant dans une grande surface à telle heure
de la journée induit le fait que cette personne est vraisemblablement célibataire, amateur de
voyages lointains et fraudeur potentiel »14. Les annonceurs, pour obtenir ce genre
d‟informations,
devraient
systématiquement
demander
le
consentement
exprès
des
consommateurs ; or c‟est le genre d‟informations que peu de gens acceptent de donner dans
une optique « marketing ». Les gens, à juste titre, refusent de donner ces informations à
n‟importe qui ; surtout aux annonceurs. Alors que les choses sont différentes pour les réseaux
sociaux ; les internautes donnent leurs informations parce qu‟ils le décident, le veulent. Même
s‟ils ont une faible conscience de ce qu‟ils donnent, ils le font volontiers. C‟est alors du pain
béni pour les annonceurs. Le rachat de ces informations représente un enjeu important pour les
publicitaires.
En effet, plutôt que de lancer des campagnes publicitaires à grande échelle pour qu‟un
maximum de gens soit touché, il revient nettement moins cher de cibler la publicité. C'est-àdire que sur chaque page d‟un utilisateur d‟un réseau social, la publicité correspondra tout à fait
à ses goûts et la publicité est alors plus susceptible de l‟intéresser. Si le profilage a montré
qu‟un utilisateur était passionné de cinéma, les fabricants de télévisions souhaiteront diffuser
une publicité sur sa page plutôt que de diffuser une publicité sur la page d‟un autre utilisateur
qui affirme ne pas regarder la télévision. L‟annonceur est gagnant à tous points de vue : il
économise de l‟argent sur la campagne publicitaire et il récupère plus de clients du fait du
ciblage.
14
POULLET (Y.), « La loi des données à caractère personnel : un enjeu fondamental pour nos sociétés et nos
démocraties ? », Légicom, n°42, 2009.
21
Cela pose le problème du droit à l‟oubli. En effet, un internaute doit pouvoir rectifier ou
supprimer des données. Et lorsqu‟un internaute souhaite supprimer ses données, le responsable
du traitement ne doit pas conserver celles-ci au-delà de la durée nécessaire15. Le problème est
que, si on se désinscrit d‟un réseau social, le réseau social supprime nos données. Le fait est
que les données ont déjà été vendues ou partagées à beaucoup d‟autres personnes avec le soidisant accord de l‟intéressé pour qui il est impossible de retrouver toutes les personnes qui sont
en possession de ses données personnelles. Les données personnelles d‟un individu sont alors à
la libre disposition de tous. En effet, dans la mesure où il n‟y a plus aucun moyen d‟identifier
qui dispose des données personnelles d‟une personne, ces données peuvent être vendues et
traitées comme bon le semble au responsable du traitement. Si elles circulent en toute illégalité,
il est quasiment impossible de le contrôler.
Le droit à l‟oubli parait alors obsolète…
B- Le développement important des publicités ciblées.
À titre d‟exemple assez représentatif, la politique de confidentialité de Facebook stipule
que « Facebook peut utiliser les données de votre profil sans vous identifier en tant qu’individu
au profit des tiers. Ces données nous permettent notamment d’estimer le nombre de gens au
sein de votre réseau qui aiment tel ou tel morceau de musique ou tel film, ou encore en vue de
personnaliser les publicités et promotions que nous vous proposons sur Facebook. Nous
pensons que c’est à votre avantage. En effet, vous en apprendrez plus sur celles et ceux qui
vous entourent et les publicités éventuelles seront ainsi plus ciblées et davantage susceptibles
de vous intéresser. À titre d’exemple, si vous indiquez votre film préféré dans votre profil, nous
pourrions vous proposer l’affiche ou la bande annonce d’un film similaire dans votre ville ».
Si la volonté d‟établir des statistiques apparaît justifiée et légitime, le ciblage de la
publicité pour notre bien-être l‟est un peu moins. Les annonceurs, à partir de l‟incalculable
quantité d‟informations, ont alors pu développer des techniques telles que le « one to one
marketing » et l‟« adaptive pricing ».
Le « one to one marketing » ou le marketing individualisé permet de s‟adresser de
manière individualisée et personnalisée à chaque client potentiel en fonction de son profil.
15
L‟article 6 4° et 5° de la loi de 1978 modifiée disposent que les données personnelles « sont exactes, complètes
et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou
incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées »
et qu‟elles « sont conservées sous une forme permettant l’identification des personnes concernées pendant une
durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées ou traitées ».
22
L‟« adaptive pricing » consiste à adapter le prix proposé par l‟annonceur en fonction de
« l‟appétit » d‟achat du client potentiel.
Par ailleurs, certains réseaux sociaux comme Facebook par exemple, proposent aux
utilisateurs, ou annonceurs professionnels, de créer leur publicité directement sur le site. Le
prix minimum étant d‟un dollar par jour ; chacun pouvant alors créer sa publicité. Nul besoin
d‟être professionnel, c‟est ouvert à tous. Le réseau propose alors de cibler la diffusion de la
publicité sur des critères « démographiques et psychographiques ».
Ces techniques sont très utiles et terriblement efficaces. « Big Brother is watching
16
you » . Selon les réseaux, c‟est avant tout le confort de l‟utilisateur qui est favorisé par ces
techniques. La publicité sur nos profils est la contrepartie du service offert pas les hébergeurs,
on ne peut la refuser, alors autant que cette publicité soit « intéressante ». La référence à Big
Brother « entend traduire la puissance que le traitement de l’information donne à nos sociétés
responsables du traitement face à des personnes concernées, qu’elles soient citoyennes,
employées ou consommateurs, de plus en plus transparentes au regarde de ce “Big Brother”
qui entend normaliser nos comportements pour notre bien à chacun »17.
La précision dans la politique de confidentialité que les données sont utilisées sans pour
autant nous identifier en tant que personne ne les rend pas moins personnelles.
En effet, selon le groupe de l‟article 2918, les données sont à caractère personnel dans
trois situations : la première est celle de contenu : l‟information a directement trait à une
personne particulière et est communiquée indépendamment de toute finalité de la part du
responsable du traitement ou de l‟impact que cette information sur la personne concernée.
La deuxième est la finalité : les données sont utilisées ou susceptibles d‟être utilisées
afin d‟évaluer, de traiter d‟une certaine manière ou d‟influer sur le statut ou le comportement
de la personne. Par exemple, la valeur d‟une maison : si celle-ci est utilisée afin de déterminer
les prix moyens dans un quartier, ce n‟est pas une donnée à caractère personnel. En revanche si
elle est utilisée par l‟administration fiscale pour évaluer le patrimoine de la personne, alors
c‟est une donnée à caractère personnel. En l‟espèce, par exemple, si les données sont utilisées à
des simples fins statistiques, elles ne seront pas considérées comme personnelles.
16
17
ORWELL (G.), « 1984 », Gallimard, 1950.
POULLET (Y.), « La loi des données à caractère personnel : un enjeu fondamental pour nos sociétés et nos
démocraties ? », Légicom, n°42, 2009.
18
Groupe de l‟article 29, « Avis 4/2007 sur le concept de données à caractère personnel »,
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp136_fr.pdf, le 24 janvier 2009.
23
Et enfin, la troisième condition est le résultat : l‟utilisation des informations est
susceptible d‟avoir un impact sur certains droits et intérêts de la personne.
Le fait de ne pas identifier l‟individu pour lui envoyer une publicité personnalisée
n‟empêche donc pas la qualification de la donnée en donnée à caractère personnel. En effet, la
finalité du traitement étant justement de traiter différemment la personne en fonction de ces
données par rapport aux autres en leur envoyant des messages personnalisés, elle répond aux
conditions posées par le groupe de l‟article 29.
L‟enjeu majeur que représente les données personnelles pour les réseaux sociaux n‟est
pas sans poser des difficultés juridiques importantes.
24
CHAPITRE 2 - LE TRAITEMENT INTERNATIONAL
DES DONNÉES : D’IMPORTANTES DIFFICULTÉS
JURIDIQUES.
La majorité des grands réseaux sociaux ont leur siège aux États-Unis. La collecte est
alors effectuée en France mais sont immédiatement transférées aux États-Unis pour le reste du
traitement. On se retrouve alors face à une difficulté : les systèmes de protection étant
différents (section 1), les internautes ont tendance à privilégier les réseaux auxquels la loi
française ou européenne est applicable. Mais dans la majeure partie des cas, on se retrouve face
à une difficile détermination de la loi applicable (section 2).
Section 1 - Des modèles de protection radicalement différents.
Il convient dans un premier temps d‟étudier le régime applicable en France (§1) puis le
régime applicable aux États-Unis (§2).
§1 Ŕ France : un imbroglio de textes nuisant à l‟efficacité de la protection.
Le régime applicable au traitement des données personnelles est issu de plusieurs
sources (A.). Cette multiplicité des sources entraine une situation chaotique, traduite par une
jurisprudence peu efficace (B.).
A- Une multiplicité des sources.
On distingue 3 sources essentielles en matière de traitement de données personnelles :
la loi de 1978 modifiée, le code pénal, et le code des postes et des communications
électroniques.
L‟essentiel du régime juridique est mis en place par la loi de 1978 modifiée, dans son
chapitre II sur les conditions de licéité des traitements de données à caractère personnel.
L‟article 6 dispose que « les données sont collectées et traitées de manière loyale et licite ;
elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas
traitées ultérieurement de manière incompatible avec ces finalités. […] Elles sont adéquates,
pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de
leurs traitements ultérieurs ; elles sont exactes, complètes et, si nécessaire, mises à jour ; […]
elles sont conservées sous une forme permettant l’identification des personnes concernées
pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont
collectées ou traitées ». L‟article 7 dispose à son tour que « un traitement de données à
caractère personnel doit avoir reçu le consentement de la personne concernée ». Et enfin,
l‟article 8 dispose que « il est interdit de collecter ou de traiter des données à caractère
personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques,
les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des
personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci » sauf si les données
ont été rendues publiques par la personne concernée (ce qui est le cas en matière de réseaux
sociaux). À noter que les traitements automatisés de données à caractère personnel doivent
faire l‟objet d‟une déclaration auprès de la CNIL.
Le consentement est facilement mis en avant par les hébergeurs dans la mesure où c‟est
l‟utilisateur qui choisit quelles informations il livre. Mais les réseaux pratiquent la technique de
26
l‟opt-out, c'est-à-dire que les informations sont mises en ligne par défaut et c‟est alors
l‟internaute qui va devoir choisir quelles informations seront cachées. Une véritable protection,
plus efficace, passe par la mise en place d‟un système d‟opt-in qui consiste à ne pas publier les
informations de l‟internaute sauf si celui-ci fait le choix exprès de les publier. L‟opt-out a par
ailleurs fait l‟objet d‟une résolution lors de la 30ème conférence internationale des commissaires
à la protection des données et de la vie privée stipulant que l‟opt-out devrait être au minimum
garanti pour les informations non-sensibles et que l‟opt-in devait être mis en œuvre pour les
données dites sensibles et les données de connexion.
En outre, l‟article 32 dispose que « la personne auprès de laquelle sont recueillies des
données à caractère personnel la concernant est informée […] de l’identité du responsable du
traitement […] ; de la finalité poursuivie par le traitement auquel les données sont destinées ;
du caractère obligatoire ou facultatif des réponses […] ; des destinataires de données ».
La question est alors posée du respect de cette dernière obligation par les hébergeurs.
En effet, il est difficilement vérifiable par l‟internaute les véritables destinataires de ses
données et il est alors facile pour les hébergeurs de citer une finalité et des destinataires précis
dans les conditions générales d‟utilisation et de ne pas respecter celles-ci. Ceci est complété par
l‟article L226-21 du code pénal qui dispose que « le fait, par toute personne détentrice de
données à caractère personnel à l’occasion de leur enregistrement, de leur classement, de leur
transmission ou de toute autre forme de traitement, de détourner ces informations de leur
finalité » et l‟article 226-22, du même code, qui réprime « le fait, par toute personne qui a
recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une
autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour
effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de
porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas
qualité pour les recevoir ».
Les différentes infractions pénales correspondant sont alors pour une partie, codifiées
aux articles L226-16 à L226-24 et R625-10 à R625-13 du code pénal et pour l‟autre partie au
chapitre VII (« dispositions pénales ») de la loi de 1978 modifiée. Notamment l‟article 226-181 du code pénal sanctionne « le fait de procéder à un traitement de données à caractère
personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce
traitement répond à des fins de prospection, notamment commerciale ». La question se pose
alors de la licéité des publicités ciblées.
En effet des données sont récupérées à des fins commerciales et publicitaires sans que
l‟internaute ne le sache systématiquement ; car, si dans les conditions générales d‟utilisation, il
27
est souvent fait référence à une éventuelle utilisation commerciale des données, l‟internaute n‟a
pas toujours conscience des données qu‟il livre sur le web. Notamment les données de
navigation. Il n‟a en outre, en général, aucune possibilité de s‟opposer au traitement de ses
données à des fins commerciales. La seule solution est la non-adhésion au réseau. Le fait
d‟utiliser de telles données dans un but commercial semble alors totalement prohibé par la loi.
Là encore, il est difficile de déterminer exactement quelles données sont utilisées par le réseau,
et la jurisprudence en la matière est inexistante.
En outre, le simple fait d‟accepter les conditions générales d‟utilisation et par ailleurs la
politique de confidentialité d‟un réseau social (lorsque la loi française y est applicable) n‟est
pas synonyme systématiquement de consentement à l‟exploitation de ces données dans la
mesure où les dispositions sont souvent contradictoires. Par exemple, les conditions générales
de Viadéo, réseau social de droit français, stipulent que « toutes les précautions ont été prises
pour archiver vos informations dans un environnement sécurisé. Les informations vous
concernant saisies par vos soins ne seront jamais transmises à un tiers, ni vendues ou
échangées. ». Et pourtant, à l‟article suivant, les mêmes conditions stipulent que « Viadéo
bénéficie d’une licence d’utilisation des droits de propriété intellectuelle attachés aux contenus
fournis par les membres aux fins de diffusion sur le site www.viadeo.com. Cette licence
comprend notamment le droit pour Viadéo de reproduire, représenter, adapter, traduire,
numériser, utiliser à des fins publicitaires, commerciales ou non commerciales, de souslicencier ou de céder les contenus vous concernant (informations, description, etc.) ». Les deux
articles se contredisant, il apparaît plus logique de penser que le second article est celui qui
s‟applique réellement. Que penser alors du premier qui semble être déloyal (dans la mesure où
il laisse penser à l‟utilisateur que le réseau est le seul à avoir connaissance de ses données, ce
qui est faux) vis-à-vis de l‟utilisateur ? La jurisprudence est inexistante en la matière.
Enfin, les hébergeurs de réseaux sociaux doivent se soumettre aux règles édictées par
les articles L34-1 à L34-6 du code des postes et des communications électroniques concernant
la « protection de la vie privée des utilisateurs de réseaux et services de communications
électroniques ». L‟article L34-1 II., notamment, dispose que « pour les besoins de la
recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de
permettre, en tant que de besoin, la mise à disposition de l'autorité judiciaire d'informations, il
peut être différé pour une durée maximale d'un an aux opérations tendant à effacer ou à rendre
anonymes certaines catégories de données techniques ». Cet article porte donc a un an la durée
maximale de conservation des données personnelles. Au-delà, la conservation des données
d‟un utilisateur qui s‟est désinscrit du réseau social est illicite. La volonté originelle de
28
Facebook de s‟octroyer une licence ad vitam eternam sur les données des utilisateurs paraissait
donc totalement illégale au regard du code des postes et des communications électroniques.
Les données personnelles sont a priori bien protégées par le droit français qui prend en
compte un grand nombre de possibilités. Malheureusement, la désorganisation des différentes
règles à tendance à nuire à leur application dans la mesure où il est difficile de s‟y retrouver
parmi tous les différents textes. Cela se ressent sur la jurisprudence.
B- Une jurisprudence peu efficace.
Tout d‟abord, la jurisprudence en la matière est très peu importante. Très peu d‟affaires
sont portées devant les juges en raison des difficultés de preuves des infractions commises par
les responsables de traitements automatisés de données et de la méconnaissance des différents
textes juridiques. En effet, il n‟est pas évident de savoir quel sort est réellement réservé aux
données personnelles des réseaux sociaux ; il est a fortiori difficile de suivre le chemin
qu‟emprunte ces données (entre les mains de qui elles passent, dans quelles bases de données
elles sont conservées). Il est de ce fait quasiment impossible de recueillir tous les éléments
nécessaires pour saisir un juge (civil ou pénal).
Ensuite, les dispositions pénales sont particulièrement sévères. Par exemple, le fait
d‟effectuer un traitement sans le déclarer préalablement à la CNIL (même par négligence) est
puni de 5 ans d‟emprisonnement et de 300 000 € d‟amende. Plus largement, la quasi-totalité
des infractions est punie de 5 ans d‟emprisonnement et de 300 000 € d‟amende19. Ce qui, aux
yeux des juridictions pénales, apparaît comme excessif. Le résultat est que très peu de
jugements de condamnation sont pris et s‟ils le sont, ils condamnent à de faibles peines, le plus
souvent symboliques.
La CNIL apparaît alors comme étant la seule réelle « menace » pesant sur les
responsables de traitements automatisés de données dans la mesure où elle a la possibilité
d‟adresser des mises en demeure aux dits responsables ainsi que des avertissements et des
sanctions financières (ces deux dernières sanctions étant quantitativement faibles)20.
En effet, si le responsable de traitement automatisé de données ne risque rien à
enfreindre la loi, pourquoi s‟en empêcher ? La possibilité alors pour la CNIL de prendre
quelques sanctions ne peut qu‟améliorer l‟application de la loi de 1978 modifiée et des
dispositions pénales relatives. Car on remarque en effet que les juridictions pénales et la CNIL
19
20
Articles 226-16 à 226-24 du code pénal.
Article 45 de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.
29
sont souvent en désaccord. L‟exemple en est de la qualification juridique de l‟adresse IP. La
CNIL considère sans hésitation qu‟il s‟agit d‟une donnée à caractère personnel ; les juridictions
pénales (et civiles) sont encore divisées sur la question, certaines considérants que l‟adresse IP
identifie un ordinateur et non une personne ; et qu‟elle ne répond donc pas à la définition légale
d‟une donnée à caractère personnel. La CNIL est en règle général plus protectrice des données
personnelles que les juridictions pénales.
Si la CNIL est efficace, ceci est relatif : encore faut il qu‟elle ait une quelconque
autorité sur le responsable du traitement.
§2 Ŕ États-Unis : une absence de mesures de protection des données.
Les grands réseaux sociaux, ceux qui connaissent un succès international, sont établis
aux États-Unis. De nombreux réseaux sociaux sont situés partout à travers le globe, mais il est
impossible dans le cadre de notre étude d‟examiner tous les régimes de protection des données
personnelles (quand ils existent). Aux États-Unis donc, les institutions fédérales ont tenté
d‟adopter des projets sur la question : tous ont échoués (A.). Il faut donc compter sur la volonté
des États individuellement pour mettre en place un régime de protection. Cette absence de
textes entraine une différence notable entre les systèmes de protections (B.).
A- Des projets au niveau fédéral.
Le système américain ne consacre pas de grands principes en matière de protection de
la vie privée. L‟absence de véritable protection des données personnelles a conduit certains
parlementaires à proposer des lois en vue d‟améliorer cette protection.
Début 2007, deux sénateurs américains ont introduit un projet de loi qui obligeait les
entreprises à prévenir les forces de l‟ordre si une faille dans la sécurité des systèmes de
données privées et personnelles, offrait, aux personnes concernées, un droit d‟accès et de
rectification des données les concernant, et soumettait les entreprises à l‟obligation de contrôler
leurs systèmes de protection des données. Ce projet a échoué. Le lobbying des grandes (et
moins grandes) entreprises américaines, ravies de n‟être soumises à aucune obligation
concernant les données personnelles de leurs clients, est trop important.
Aucun autre projet au niveau fédéral n‟a été proposé car ils ne présentent aucune chance
d‟aboutir.
Au niveau étatique, il y eut quelques initiatives plus fructueuses. L‟État de Californie
est précurseur en la matière. Le Security Breach Information Act (loi relative à l‟information
sur les failles de sécurité), entré en vigueur le 1er juillet 2003 oblige les entreprises à informer
30
les utilisateurs de toute failles dans la sécurité du système pouvant avoir entrainé l‟acquisition
non autorisée de données informatiques compromettant la sécurité, la confidentialité ou
l‟intégrité des données personnelles contenues dans leurs fichiers. Cette loi a été adoptée dans
le but d‟enrayer les conséquences de l‟explosion des usurpations d‟identité dans la mesure où à
l‟époque, le ministère de la Justice estimait à 700 000 le nombre de personnes victimes d‟un
vol d‟identité.
Cette loi reste une des rares adoptées aux États-Unis, les sociétés restant réfractaires à
ce genre de mesures. Pour exemple, Facebook est établi en Californie, les tribunaux
californiens sont compétents en cas de litiges. Mais, en raison de la législation californienne,
Facebook a choisi d‟appliquer le droit de l‟État du Delaware qui lui n‟a pris aucune mesure
quant à la protection des données personnelles.
Mais l‟idée commence à se développer et on remarque tout de même des tentatives.
Dans l‟État de New-York (dans lequel est notamment établi le plus important réseau social des
États-Unis : MySpace), début 2008, a été déposé un projet de loi interdisant les responsables de
traitement de données personnelles à vendre ou utiliser les dites données sans autorisation. Les
techniques de publicités ciblées sont évidemment concernées par cette loi. Le sénateur
Brodsky, à l‟origine de ce projet, a dit : « en fin de compte, je n’ai pas d’objection
philosophique à ce ciblage, si c’est fait avec une permission. Mais il est clair que pour le
moment les gens ne comprennent pas ce qu’ils donnent ». Cette loi n‟a pas été votée en raison
notamment d‟un fort lobby de Google et Yahoo. Mike Zaneis, vice président des questions de
vie privée à Interactive Advertising Bureau, qui représente notamment Google et Yahoo,
considère que « le ciblage publicitaire comportemental n’a montré aucun danger, cette
précipitation à règlementer Internet est donc vraiment inutile » et que ce projet de loi porterait
atteinte au modèle économique du web (dépendant en grande partie de la publicité). Il est vrai
que le ciblage et le profilage des internautes ne représente en lui-même aucun danger si ce n‟est
une remise en cause radicale d‟un droit fondamental de l‟internaute : le droit à la vie privée.
On ne trouve alors pour le moment aucune réelle mesure de protection aux États-Unis,
uniquement des lois adoptées ici et là et étant loin d‟offrir un système de protection comparable
au système européen.
31
B- Une distorsion importante des systèmes de protection.
Le commerce électronique sur internet a toujours été source de méfiance pour les
consommateurs. Les entreprises américaines, même en l‟absence de législation, ont bien
compris que la mise en place d‟un minimum de protection était nécessaire pour que les
internautes utilisent leurs services.
Cela a conduit à la mise en place de sceaux électroniques (apparus pour la première fois
aux États-Unis) consistants en quelque sorte en des labels de qualité de protection. L‟un des
plus importants est TRUSTe qui se décrit comme étant « une organisation indépendante, sans
but lucratif dont la mission est de contribuer à ce que les utilisateurs aient confiance en
internet en favorisant des pratiques justes s’agissant de l’utilisation des informations ».
Facebook a adhéré à ce label. La quasi-totalité de ces labels sont américains. Ces labels sont en
réalité des marques. Les sociétés adhérentes de ces labels peuvent apposer la marque du label
sur leurs documents officiels, afin de montrer aux utilisateurs qu‟elles se soumettent à un
système de protection. C‟est un système d‟autorégulation, tout à fait louable, mais donc la
réelle qualité et portée reste discutable.
« Dans un esprit américain, assez éloigné des règlements et mentalités européennes,
leur objet est pour l’essentiel de garantir que le site web a une politique sur les données
personnelles et que cette politique fait l’objet d’une publication »21. Le système de protection
alors mis en place est assez faible, voire quasi-inexistant, mais l‟utilisateur se sent en
confiance. De plus, cela ajoute à l‟image de marque de l‟entreprise. Quelle confiance alors
porter aux labels américains ?
La France a tenté de mettre en place des labels mais aucun n‟a réellement percé.
Évidemment, les labels français ont des exigences bien plus importantes que les labels
américains, ce qui explique leur faible popularité.
Le fossé est alors creusé entre une législation française et européenne surprotectrice qui
n‟abouti au final qu‟a une faible répression et une législation américaine quasi-inexistante. Il
apparaît alors que, quelle que soit la loi applicable, la protection des données à caractère
personnel reste relative et rien n‟assure de la bonne foi des responsables de traitement, quelle
que soit leur nationalité…
21
BELLEIL (A.), « La régulation économique des données personnelles ? », Légicom, n°42, 2009.
32
Section 2 - Une délicate détermination de la loi applicable.
En l‟absence de règle commune, la jurisprudence semble avoir opté pour une solution
peu simple en pratique : à chaque étape, sa loi. Tout dépend du lieu de traitement (§1).
Heureusement, les États-Unis et l‟Europe ont collaborés pour la mise en place d‟un programme
de protection : le Safe Harbor (§2).
§1 Ŕ Un régime juridique différent pour chaque étape du traitement de
données.
La loi de 1978 modifiée semble régler la question dans la mesure où celle-ci définit
elle-même son champ d‟application. L‟article 5 de la loi dispose que « sont soumis à la
présente loi les traitements de données à caractère personnel : 1°dont le responsable est établi
sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le
territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est
considéré comme établi ; 2° dont le responsable, sans être établi sur le territoire français ou
sur celui d’un autre État membre de la Communauté européenne, recourt à des moyens de
traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés
qu’à des fins de transit sur ce territoire ou sur celui d’un autre État membre de la
Communauté européenne ».
Et pourtant, dans le cadre de la mondialisation actuelle, la détermination de la loi
applicable à un traitement ou à un responsable de traitement n‟est pas si nette.
Il convient dans un premier temps de rappeler les règles de droit international privé
applicables en la matière (A.), et dans un second d‟étudier la solution retenue par la
jurisprudence française (B.).
A- Application du droit international privé.
En droit international privé, est reconnue une règle essentielle : le libre choix des
parties. Les parties disposant d‟un libre choix quant à chacun des éléments du contrat, ils
disposent d‟un libre choix également en ce qui concerne la loi applicable. Cette règle est
notamment consacrée par la convention de Rome du 19 juin 198022.
22
Convention sur la loi applicable aux obligations contractuelles, ouverte à la signature à Rome le 19 juin 1980, in
JOCE C 27 du 26 janvier 1998.
33
Les conditions générales d‟utilisation des réseaux sociaux précisant généralement
quelle loi est applicable aux dites conditions, l‟utilisateur est alors libre de conclure le contrat
ou pas. Évidemment, la loi choisie par les hébergeurs est celle de leur établissement c'est-à-dire
la loi américaine (variant selon les États ; par exemple Facebook a choisi la loi de l‟État du
Delaware alors que MySpace applique la loi de l‟État de New York).
La convention de Rome prévoit tout de même quelques exceptions. En effet, la
convention prévoit que « le choix par les parties de la loi applicable ne peut avoir pour
résultat de priver le consommateur de la protection que lui assurent les dispositions
impératives de la loi du pays dans lequel il a sa résidence habituelle : si la conclusion du
contrat a été précédée dans ce pays d’une proposition spécialement faite ou d’une publicité, et
si le consommateur a accompli dans ce pays les actes nécessaires à la conclusion du contrat
ou si le cocontractant du consommateur ou son représentant a reçu la commande du
consommateur dans ce pays ou si le contrat est une vente de marchandises et que le
consommateur se soit rendu de ce pays dans un pays étranger et y ait passé la commande, à la
condition que le voyage ait été organisé par le vendeur dans le but d’inciter le consommateur à
conclure une vente »23.
Pour que cet article soit applicable, il faut tout d‟abord être en présence d‟un contrat de
consommation, défini par la convention comme étant un contrat dont l‟objet est la fourniture
d‟un objet ou d‟un service à un consommateur pour un usage étranger à son activité
professionnelle. Dans le cadre des réseaux sociaux, les conditions générales d‟utilisation, et a
fortiori les politiques de confidentialité, peuvent tout à fait s‟analyser en une fourniture de
service à un consommateur dès lors que celui-ci agit hors de la sphère professionnelle.
Dans ce cadre, la loi du libre choix ne s‟applique pas et c‟est la loi du lieu de résidence
de l‟utilisateur qui est amenée à s‟appliquer. La législation française relative à la protection des
données personnelles est alors applicable pour les utilisateurs français des réseaux sociaux dans
la mesure où des clauses du contrat de consommation sont relatives à la protection des données
personnelles.
Or, tel le système de protection des données personnelles, le droit de la consommation
français diffère du droit américain, et les clauses édictées en vertu de la législation relative à la
protection des données à caractère personnel ou du droit de la consommation américain ne sont
pas toujours en adéquation avec le droit français. En effet, le droit américain est bien moins
protecteur du consommateur que l‟est le droit français, ce qui abouti à trouver, parmi les
23
Article 5 de la Convention sur la loi applicable aux obligations contractuelles du 19 juin 1980.
34
conditions générales d‟utilisation et les politiques de confidentialité, quelques clauses pouvant
être qualifiées, au regard du droit français, d‟abusives.
En droit français, est une clause abusive, une clause créant un déséquilibre significatif
entre les droits et obligations des parties au contrat24. Ce contrat doit être conclu entre un
professionnel et un consommateur ou un non-professionnel. Le consommateur est celui qui
conclu en dehors de toute activité professionnelle ; le non professionnel est celui qui agit dans
le cadre de son activité professionnelle mais hors de sa sphère de compétence. Ce qui laisse
penser que tout utilisateur de réseau social est « consommateur » dans la mesure où il crée un
profil pour des raisons privées et « non professionnel » dans la mesure où il le fait pour des
raisons professionnelles (la recherche d‟un emploi par exemple) mais que cela ne relève pas de
son domaine de compétence.
Le code de la consommation a par ailleurs établi une liste non exhaustive de clauses
pouvant être considérées comme abusives. Il se trouve qu‟en parcourant quelques conditions
générales de réseaux sociaux (y compris celles de réseaux établis en France) on retrouve
beaucoup de clauses abusives. Par exemple, tous les réseaux se réservent la possibilité de
modifier les termes du contrat à n‟importe quel moment (sans en préciser la raison) ; c‟est alors
au consommateur de lire régulièrement le contrat pour prendre connaissance des modifications
et résilier son compte si les modifications ne lui conviennent pas.
Si la loi de 1978 modifiée, n‟entre pas dans le champ du droit de la consommation, des
clauses présentes dans les conditions générales d‟utilisation des réseaux sociaux et dans les
politiques de confidentialité de ceux-ci peuvent tout à fait établir un déséquilibre relatif aux
données personnelles de l‟utilisateur. Une clause relative aux données personnelles de
l‟utilisateur pourrait alors être déclarée comme abusive, être annulée, et la loi de 1978 modifiée
pourrait alors trouver à s‟appliquer en l‟absence de détermination de la loi applicable.
Les clauses abusives sont alors considérées comme non écrites. Il convient alors de
s‟interroger sur la portée d‟une telle annulation sur la validité du contrat. En effet, si la clause
est considérée par les parties comme un élément essentiel du contrat, la suppression de celle-ci
entraine la caducité du contrat. Si au contraire, le contrat peut perdurer en l‟absence de la
clause, alors cela n‟entame rien les relations contractuelles. Cela dépendra donc du cas par cas,
24
Article L 132-1 du code de la consommation qui dispose que « dans les contrats conclus entre professionnels et
non-professionnels ou consommateurs, sont abusives les clauses qui ont pour objet ou pour effet de créer, au
détriment du non-professionnel ou du consommateur, un déséquilibre significatif entre les droits et obligations
des parties au contrat ».
35
selon la volonté des parties. Si l‟annulation d‟une clause abusive entraine la nullité du contrat,
le droit français est amené à s‟appliquer dans sa totalité.
Mais là encore, les conditions générales d‟utilisation des réseaux sociaux se
contredisent. Prenons l‟exemple de MySpace (il s‟agit d‟un exemple mais cela est représentatif
de ce qui se lit dans la grande majorité des conditions d‟utilisation des réseaux sociaux). Une
des dispositions dispose que « chacune des parties aux présentes renonce à tout droit qui
pourrait être le sien à un procès devant jury par rapport à tout litige (incluant, mais sans
toutefois s’y limiter toute demande, demande reconventionnelle, demande entre défendeurs ou
demande de tierce personne) résultant de ou en relation avec les présentes conditions
d’utilisation. […] Chacune des parties reconnait que cette section représente une condition
essentielle pour l’autre partie contractante à la conclusion de présent contrat ». Cette
précision finale tend à laisser penser qu‟en cas de suppression de cette clause, l‟exécution du
contrat serait compromise. En effet, si sans cette clause, à l‟origine, le contrat n‟aurait pas été
conclu, si cette clause est une condition sine qua non du consentement des deux parties, son
annulation entraine la caducité du contrat. Et pourtant, un peu plus loin, dans les mêmes
conditions, est précisé « si une clause quelconque des ces Conditions d’Utilisation est illégale,
nulle ou non opposable, cette clause sera réputée non écrite et n’aura aucune conséquence sur
la validité et l’opposabilité des autres clauses ». Il est alors difficile de déterminer la portée de
l‟annulation de clauses abusives.
Il est par ailleurs surprenant de rédiger dans un contrat le fait qu‟il est envisageable
qu‟une des dispositions soit « illégale »…
En outre, une clause n‟est abusive que si un juge (civil) est saisi et déclare la clause
abusive. Sans cette action, l‟ensemble des clauses du contrat continue à s‟appliquer mêmes si
celles-ci sont abusives. Actuellement, aucun juge n‟a été saisi d‟une telle demande en France.
Les conditions générales d‟utilisation et les politiques de confidentialité sont donc entièrement
applicables, malgré leur éventuelle illicéité.
Cette solution, en ce qui concerne l‟application de la loi de 1978 modifiée en cas de
contrat avec un consommateur, n‟est pas celle retenue par la jurisprudence française, comme
nous le verrons plus loin.
En ce qui concerne les clauses attributives de compétence que l‟on trouve dans toutes
les conditions générales d‟utilisation, leur validité est discutable. En effet, chaque hébergeur
choisi que seuls les tribunaux de son État seront compétents. L‟article 23 du Règlement de
36
Bruxelles25 du 22 décembre 2000 qui dispose que « Si les parties, dont l'une au moins à son
domicile sur le territoire d'un État membre, sont convenues d'un tribunal ou de tribunaux d'un
État membre pour connaître des différends nés ou à naître à l'occasion d'un rapport de droit
déterminé, ce tribunal ou les tribunaux de cet État membre sont compétents. Cette compétence
est exclusive, sauf convention contraire des parties. Cette convention attributive de juridiction
est conclue : par écrit ou verbalement avec confirmation écrite, ou sous une forme qui soit
conforme aux habitudes que les parties ont établies entre elles, ou dans le commerce
international, sous une forme qui soit conforme à un usage dont les parties avaient
connaissance ou étaient censées avoir connaissance et qui est largement connu et
régulièrement observé dans ce type de commerce par les parties à des contrats du même type
dans la branche commerciale considérée. Toute transmission par voie électronique qui permet
de consigner durablement la convention est considérée comme revêtant une forme écrite ».
Il est considéré en doctrine que la conclusion de conditions en ligne contenant une
clause attributive de juridiction sera valable si les conditions sont confirmées par l‟envoi d‟un
courrier électronique, dans la mesure où il s‟agira d‟une information consultable ultérieurement
sur le disque dur de l‟ordinateur de l‟utilisateur. En revanche le seul affichage à l‟écran des
conditions est insuffisant. Il s‟agit pourtant de cette dernière méthode qui est employée par les
réseaux sociaux. Les conditions générales d‟utilisations ne sont consultables que sur leur site
internet. La validité des clauses attributives de compétence est donc remise en cause même si
aucun juge ne s‟est clairement prononcé sur cette question.
De façon tacite, les tribunaux français semblent d‟accord avec cette doctrine puisqu‟ils
se sont reconnus compétents pour les affaires concernant les réseaux sociaux dont ils ont été
saisis.
Il en va différemment pour ce qui est de la loi applicable. Si la détermination est
toujours claire dans les conditions générales d‟utilisation, l‟application qu‟en fait la
jurisprudence est plus nuancée. À noter, que dans ce cas aussi, il n‟existe quasiment aucune
jurisprudence ; il est donc difficile de déterminer quelle est la véritable position des juges en la
matière.
25
Règlement de Bruxelles n°44/2001 du 22 décembre 2000 concernant la compétence judiciaire, la
reconnaissance et l‟exécution des décisions en matière civile et commerciale, in JOCE L 12, 16 janvier 2001.
37
B- À chaque action son régime juridique.
Une réponse a été donnée par une ordonnance de référé du tribunal de grande instance
de Paris en date du 14 avril 200826. Dans cette affaire, une utilisatrice française de « Usenet »
(service proposé par Google permettant la création et la participation à de nombreux forums de
discussion) s‟en était retirée depuis près de 10 ans lorsqu‟elle s‟est rendue compte que certains
messages qu‟elle avait écrit étaient toujours disponibles sur le site.
Elle a alors saisi le TGI de Paris pour violation des articles 6 et 7 de la loi de 1978
modifiée. Ceux-ci disposent notamment que les données « sont conservées sous une forme
permettant l’identification des personnes concernées pendant une durée qui n’excède pas la
durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». La plaignant
considérait alors, contrairement à la société Google, que 10 ans était une durée de conservation
excessive au regard de la finalité du traitement.
La société Google se défend alors en précisant que la société Google France
n‟administre rien et n‟est en aucun cas responsable du traitement ; c‟est la société mère Google
Inc., société de droit californien, qui est responsable du traitement. De ce fait elle n‟est pas
soumise à la loi de 1978 modifiée mais à la loi californienne ; loi qui, malgré un minimum de
protection, ne pose aucune condition de durée de conservation des données personnelles.
La plaignante a alors souhaité qualifier la loi de 1978 modifiée comme loi de police au
sens du droit international privé c'est-à-dire une loi dont l‟application est directe et ne passe pas
par le mécanisme de la règle des conflits de loi. Le juge affirme qu‟il faudrait alors
« considérer l’application de la loi française comme s’imposant sans contestation possible
pour la sauvegarde de l’organisation socioéconomique de notre communauté internationale »
et que « la seule circonstance tenant au fait que le défaut de respect de certaines de ses
dispositions soit sanctionné pénalement ne permet pas d’évidence de retenir le caractère
impératif de son application à la situation considérée ».
La société étant de droit californien, l‟archivage des données s‟effectuant en Californie
et la loi californienne offrant une protection équivalente à la loi française : la société Google
n‟était pas en tort puisqu‟elle respectait la loi californienne ; en outre la société mettait à
disposition des utilisateurs un moyen de supprimer eux-mêmes les messages qu‟ils avaient
publiés.
26
Tribunal de Grande Instance de Paris, Ordonnance de référé du 14 avril 2008, Bénédicte S. / Google Inc.,
Google France.
38
En l‟espèce la juge a donc choisi la loi du lieu du fait générateur. En l‟espèce, c‟est
l‟archivage des données qui était en cause, l‟archivage se faisant en Californie, c‟est la loi
Californienne qui s‟applique.
À partir de là, on peut penser que cette solution est applicable à chaque étape du
traitement. Chaque étape du traitement dépend d‟un régime juridique différent selon sa
localisation. Ce qui n‟est pas sans poser quelques difficultés.
En effet, il est difficile pour l‟utilisateur d‟un réseau de connaître le cheminement que
va prendre les données qu‟il confie ; il ne sait donc pas quel sort leur est réservé. En outre, les
systèmes de protection variant d‟un pays à l‟autre, lors de la collecte (se faisant la plupart du
temps en France), l‟utilisateur peut accepter d‟être soumis au droit français mais ensuite il ne
peut s‟opposer au traitement de ses données dans un pays étranger offrant une protection des
données à caractère personnel moindre que le droit français.
Il est par ailleurs peu souvent au courant des différentes législations applicables. Dans
la mesure où l‟utilisateur ne connait pas le droit applicable dans chaque pays de traitement,
qu‟il ne connait pas les lieux où seront traitées ses données et que de ce fait il ne peut rattacher
un système de protection au traitement, son acceptation résultant de la simple adhésion aux
conditions générales d‟utilisation est alors difficilement constitutive d‟un consentement éclairé.
Cette acceptation alors donnée lors de l‟adhésion aux conditions générales d‟utilisation ne
répond pas à l‟exigence légale d‟un consentement au traitement des données. De ce fait, le
traitement serait considéré comme illicite…
Cette décision reste cependant d‟une portée faible dans la mesure où il s‟agit d‟une
ordonnance de référé et que l‟affaire n‟a pas été jugée au fond.
Il peut en effet être contesté le fait que le juge considère la loi californienne comme
« équivalente » à la loi française. Comme étudié précédemment, la protection californienne est
bien moins complète que la protection européenne et n‟intervient que sur une partie de la
protection des données. Elle ne met à la charge des entreprises qu‟une obligation d‟information
au profit des utilisateurs en cas d‟atteinte à la sécurité du système de protection. En aucun cas
elle ne prend en compte tous les cas dans lesquels les données doivent être protégées.
En revanche, en l‟espèce, la société Google était adhérente du Safe Harbor, ce qui peut
laisser penser que le juge s‟est basé sur ce point pour déclarer la protection « équivalente » à
celle du droit français.
39
§2 Ŕ Safe Harbor : outil essentiel de collaboration internationale.
Face à l‟inquiétude des internautes et des autorités européennes, le ministère du
commerce américain a mis en place ce programme (A.) offrant une protection plus complète
des données personnelles traitées aux États-Unis (B.).
A- Présentation du Safe Harbor.
La directive du 24 octobre 1995 relative à la protection des données personnelles dont
l‟article 25-1 exige qu‟une « protection adéquate » des données personnelles doit être assurée
avant tout transfert de ces dernières vers un pays non membre de l‟Union européenne. La
législation américaine n‟offrant pas cette protection, il aurait été impossible pour les
compagnies américaines de transférer les données dans leur pays.
Le ministère du commerce américain a alors entamé des négociations avec la
Commission européenne afin de respecter la disposition de la directive sans pénaliser les
entreprises américaines.
Le résultat de ces négociations est le programme appelé « Safe Harbor », traduit
officiellement par la Commission européenne par « sphère de sécurité », entré en vigueur le 1er
novembre 2000.
Il s‟agit d‟une déclaration des droits relative aux données personnelles. Les entreprises
américaines sont libres d‟y adhérer ou non ; cette adhésion se faisant moyennant le versement
d‟une somme s‟élevant à 200 dollars. Chaque année, pour confirmer leur adhésion au
programme, les entreprises devront verser 100 dollars. Il s‟agit d‟une méthode
d‟autorégulation, une garantie pour l‟utilisateur que la société à laquelle il confie ses données
respecte les grands principes de la législation européenne. Il s‟agit d‟une marque, d‟un sceau
que peut utiliser la société. Chaque année, les entreprises en réfère au ministère du commerce
qui détermine vérifie que les exigences posées par le programme sont bien respectées.
On remarque que de grands réseaux sociaux tels que Facebook ou Google (dont le
réseau social est Orkut) y ont adhéré. MySpace et Twitter brillent par leur absence.
Si le succès, au début du programme, était mitigé, le nombre des entreprises adhérentes
n‟a cessé d‟augmenter depuis 2000. Le prix à payer étant assez dérisoire pour adhérer, il s‟agit
avant tout des principes mis en œuvre par le programme qui rebute les entreprises. La liberté
maximale offerte par l‟absence de règlementation aux États-Unis est plus attractive que le Safe
Harbor.
40
B- Une réponse aux exigences européennes.
7 grands principes fondent la charte du Safe Harbor.
Tout d‟abord, les entreprises doivent notifier aux utilisateurs sur les raisons de la
collecte d‟informations et sur l‟utilisation de ces dernières. Les utilisateurs doivent être
informés sur les moyens de contacter l‟entreprise et de se plaindre à l‟entreprise.
Si cette exigence est une exigence de base, un minimum, elle n‟est pas très efficace
dans la mesure où il est facile pour le responsable d‟un traitement de données personnelles de
donner une information incomplète ou erronée sur la finalité d‟un traitement (information par
ailleurs difficilement vérifiable).
Ensuite, les utilisateurs doivent pouvoir choisir si les informations données seront
publiées ou non selon la technique de l‟opt-out. Pour les données sensibles, un consentement
exprès doit être donné (opt-in).
La protection du consommateur : c‟est l‟opt-in. Ce n‟est pas encore dans les projets
mais il semble judicieux d‟étendre la technique de l‟opt-in à l‟ensemble des données
personnelles des internautes pour une réelle protection de leur vie privée.
Pour transmettre des informations à un tiers, le responsable du traitement doit le notifier
à l‟utilisateur et recueillir son consentement. Si le tiers agit en simple agent de l‟entreprise, il
doit être adhérent au Safe Harbor, soumis à un système de protection « adéquate » ou encore
s‟engager contractuellement à respecter ces principes.
Les réseaux sociaux se contentent généralement d‟informer les utilisateurs de la
possibilité de transmettre leurs données à des fins commerciales. En aucun cas, les réseaux ne
transmettent à l‟utilisateur le nom de chacune des personnes à qui ils ont vendu des données.
La question de l‟application à la lettre des principes du Safe Harbor est donc posée.
Les utilisateurs doivent pouvoir accéder à leurs informations afin de les corriger, les
modifier ou les supprimer si besoin est, sauf dans les cas où les dépenses faites pour donner
accès à ces informations sont disproportionnées par rapport aux risques pour les libertés
individuelles ou si cela porte atteinte aux droits de tiers.
L‟efficacité de cette mesure et donc celle du fameux droit à l‟oubli est discutable, tout
comme en droit français ; dans la mesure où là encore, il est impossible pour l‟utilisateur de
suivre le chemin emprunté par ses données et donc de demander la suppression de celles-ci à
tous les responsables de traitements à qui elles ont été vendue.
41
Les entreprises doivent s‟engager à prendre des mesures de protection des données afin
d‟empêcher la perte des données, leur accès ou usage par des tiers non autorisés, leur
publication, leur altération ou destruction.
La question se pose alors de la validité des clauses de limitation de responsabilité que
l‟on trouve dans toutes les conditions générales d‟utilisation de réseaux sociaux. Personne n‟est
responsable en cas d‟atteinte aux systèmes de sécurité. Or c‟est une obligation mise à la charge
des réseaux sociaux (pour ceux qui ont adhérés au Safe Harbor) et une obligation qui apparaît
comme étant essentielle à la conclusion du contrat (dans les cas où le réseau n‟a pas adhéré au
programme). C'est-à-dire qu‟il s‟agit de l‟objet même du contrat de protéger les données
personnelles des utilisateurs et que sans cette garantie, l‟utilisateur n‟aurait probablement pas
conclu le contrat. Aucune jurisprudence ne s‟est prononcée sur la question.
Les entreprises doivent respecter la finalité pour laquelle les données sont collectées et
doivent prendre les mesures assurant que les données sont traitées dans un but déterminé et
précis.
Un mécanisme non judiciaire de règlement des conflits entre l‟utilisateur et la société
doit être mis en place. Des procédures de vérification de bonne application des principes
doivent être instaurées. De plus, les entreprises se soumettent à une obligation de régler les
litiges autres que ceux issus de la non-application des principes du Safe Harbor par l‟entreprise.
Les sanctions doivent être suffisamment importantes pour dissuader les entreprises de
contrevenir aux principes ainsi édictés.
Ce programme offre donc une protection de base aux utilisateurs des réseaux. Ici
encore, il est difficile de constater les manquements des réseaux sociaux à ces principes,
malgré la vérification des instances américaines.
En outre, le ministère du commerce et la Commission européenne considèrent que
l‟adhésion au Safe Harbor n‟est pas le seul moyen d‟offrir une protection adéquate. Des
alternatives existent.
Tout d‟abord, les transferts de données sont autorisés quand la personne concernée a
donné son consentement exprès au transfert. Ce consentement doit être « spécifique et
informé », c'est-à-dire donné en vue d‟un transfert qui doit être déterminé et en toute
connaissance du fait que le régime de protection du pays destinataire n‟est pas adéquat. Cette
dernière information n‟est jamais donnée, que les réseaux sociaux soient adhérents du Safe
Harbor ou non. Le choix de la législation est effectué sans informer l‟utilisateur de la substance
de cette législation, et donc des conséquences d‟un traitement soumis à ladite législation.
42
L‟utilisateur ne va, de son coté, quasiment jamais rechercher les dispositions de la législation
en question avant de s‟inscrire. Il reste donc dans l‟inconnu quant au traitement réservé à ses
données.
Ensuite, en l‟absence d‟un niveau adéquat de protection dans le pays destinataire, des
clauses contractuelles peuvent présenter des garanties suffisantes pour effectuer les transferts
de données vers ce pays. Le contrat doit alors comporter certaines clauses standards27.
Si le transfert est effectué dans l‟intérêt public, notamment ceux concernant l‟exercice
de droits ou la défense dans une action judiciaire, ceux nécessaires pour protéger les intérêts
vitaux de la personne considérée, ou ceux réalisés pour l‟établissement de registres publics.
Une entreprise peut développer son propre programme de mise en conformité avec la
législation européenne. Pour que ce programme soit validé, il faut qu‟elle le soumette à
l‟autorité indépendante de protection des données de l‟État membre à partir duquel elle entend
exporter ces données.
Enfin, les associations dont l‟activité des membres peut relever de différentes branches
de commerce et les institutions représentant les différentes catégories de personnes
responsables des transferts de données doivent mettre en œuvre des codes de « bonne
conduite ». Ces codes font partie des règlements internes des sociétés membres et doivent être
soumis aux autorités nationales pour la protection des données pour approbation.
Les entreprises qui ne souhaitent donc pas être soumises au formalisme du Safe Harbor
(paiement d‟une « redevance » et examen des pratiques de l‟entreprise par le ministère du
commerce des États-Unis) peuvent tout de même offrir une certaine protection aux utilisateurs
de leur service.
On remarque que malgré des dispositions importantes au niveau des différentes
législations, les données personnelles sont difficilement protégées des détournements que
peuvent en faire les responsables des traitements. La valeur économique des données
27
Décision de la Commission européenne n°2001/497/CE du 15 juin 2001 relative aux clauses contractuelles
types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE, in
JOCE L181/19 du 4 juillet 2001. Décisions de la Commission européenne n°2002/16/CE du 27 décembre 2001
relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants
établis dans des pays tiers en vertu de la directive 95/46/CE, in JOCE L6/52 du 10 janvier 2002. Décision
n°2004/915/CE du 27 décembre 2004 modifiant la décision 2001/497/CE en ce qui concerne l‟introduction d‟un
ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers des pays
tiers, in JOCE L385/74 du 29 décembre 2004.
43
personnelles fait que les responsables de traitement peuvent difficilement résister aux
demandes des annonceurs qui souhaitent avoir connaissance de toutes ces données, surtout
dans une situation où peu de réseaux sociaux ont trouvé un équilibre économique.
Ce n‟est pourtant pas la seule menace qui pèse sur la protection des données
personnelles.
44
TITRE 2 – UN PHÉNOMÈNE MONDIAL
COMPORTANT DE NOMBREUX RISQUES.
Les réseaux sociaux représentent des nouvelles plateformes de communication et de
nouvelles bases de données. Ils représentent alors une porte d‟accès aux cybercriminels,
facilitant la tache de ces derniers. (chapitre 1)
Les réseaux sociaux, de par leur expansion, mettent en avant une notion de plus en plus
présente dans le cadre du web 2.0 : l‟identité numérique. (chapitre 2)
CHAPITRE 1 – UNE PORTE D’ACCÈS POUR LES
CYBERCRIMINELS.
Les réseaux sociaux facilitent le travail des cybercriminels en ce qu‟ils détiennent un
maximum d‟informations sur les internautes et qu‟il est plus facile pour les pirates d‟attaquer
sur ces réseaux où tout ce dont ils ont besoin est à portée de main.
Une nouvelle forme de piraterie est apparue avec les réseaux sociaux et concerne les
éditeurs d‟applications sur les réseaux sociaux (section 1) ; cette nouvelle forme de piraterie
n‟empêche pas moins la piraterie « traditionnelle ». (section 2)
Section 1 Ŕ Le cas des éditeurs tiers hébergés sur le réseau social.
Il s‟agit ici d‟éditeurs « d‟applications » dont l‟intérêt est, pour l‟utilisateur, à double
tranchant. Si ces applications représentent une plus value non négligeable pour l‟utilisateur et
l‟hébergeur (§1), elles représentent également un risque majeur (§2).
§1 Ŕ Une plus value pour l‟utilisateur.
Les différentes applications éditées sur les réseaux sociaux sont très attractives pour les
utilisateurs (A.) et renforcent la qualification de « moyen de communication » des réseaux
sociaux (B.).
A- Un attrait majeur des différentes applications.
Lors de son inscription à un réseau social, l‟utilisateur bénéficie automatiquement des
« applications » offertes par le réseau. Ces applications sont des programmes édités par le
réseau offrant à l‟utilisateur la possibilité de développer sa page personnelle. Par exemple, elles
permettent de publier des photos ou des vidéos sur le site, de créer des listes de chansons
pouvant être écoutées depuis le réseau. Les différentes applications diffèrent selon le réseau
social et ses finalités.
En plus de ces applications, des éditeurs tiers peuvent créer leurs propres applications
puis les diffuser sur le site. C‟est ensuite à l‟utilisateur de choisir ou non d‟installer cette
application.
Ces applications sont nombreuses et représentent une plus value pour l‟utilisateur en ce
qu‟elles permettent de divertir l‟utilisateur et d‟égayer sa page. Elles peuvent prendre la forme
de jeux, de quiz, de tests, et beaucoup d‟autres formes encore. L‟utilisateur peut jouer au poker
en ligne avec ses amis, il peut écouter la musique que crée un de ses collègues, rencontrer de
nouvelles personnes via une application spécialisée dans la rencontre, savoir quelle est sa
« véritable » personnalité ou encore à quelle ville il « correspond » (il s‟agit de tests de
personnalité auxquels l‟utilisateur répond pour en « savoir » plus sur sa personnalité). La liste
est sans fin. Un nombre très important d‟applications sont éditées par les réseaux sociaux et ces
applications sont très populaires auprès des utilisateurs. À tel point que certains utilisateurs
créent leurs propres applications.
Le marché est, à l‟instar des réseaux sociaux, en pleine expansion. Certaines sociétés ne
sont créées que dans le but d‟éditer des applications. Le marché publicitaire est par ailleurs lui
aussi très important sur ces applications. L‟exemple en est de Living Social, société de droit
47
américain, dont les applications sur les réseaux sociaux Facebook ou Twitter connaissent un
succès planétaire.
L‟essentiel des utilisateurs des réseaux sociaux ajoutent au moins une de ses
applications, entrainant un nombre considérable d‟utilisateur des différentes applications. Une
chose en entrainant une autre : les annonceurs s‟intéressent de près à ces diverses applications.
B- Un moyen de communication sans faille.
Ces applications permettent par ailleurs de confirmer l‟essor que prennent les réseaux
sociaux en tant que moyen de communication majeur.
L‟exemple évident est le réseau social MySpace qui met l‟accent sur la musique.
Chaque utilisateur peut soit diffuser la musique qu‟il aime, soit celle qu‟il créé. C‟est ainsi que
MySpace est devenuun véritable révélateur de talents. Le groupe de rock anglais Arctic
Monkeys fut le premier grand succès de la génération MySpace. Ils ne furent que les premiers
d‟une longue liste. Les producteurs n‟ont qu‟à errer sur le site pour écouter de jeunes talents du
monde entier et décider de produire qui ils souhaitent. C‟est une aubaine pour les jeunes
artistes qui n‟ont pas de grands moyens pour enregistrer leur musique ou pour la faire
connaitre. Ici, ce sont les utilisateurs qui utilisent le réseau pour effectuer une « campagne
publicitaire » à moindres frais.
Les réseaux sociaux prévoient des dispositions spéciales en ce qui concerne l‟utilisation
du service à des fins de promotion d‟un lieu, d‟une marque, d‟un produit, d‟un organisme ou
d‟une personnalité.
Il n‟est pas nécessaire de s‟inscrire sur un réseau social pour pouvoir communiquer. Il
est possible de créer des groupes ou forums (tout dépend du réseau social) que peuvent
rejoindre les utilisateurs du réseau. Beaucoup d‟artistes utilisent ce moyen de communication.
Le plus souvent, ce sont les fans eux-mêmes qui utilisent ce moyen pour promouvoir leur
artiste préféré. Ces groupes ont un succès considérable. Pour exemple : les Beatles ont un peu
plus de 500 groupes qui leur sont dédiés sur Facebook.
Si l‟essentiel de ceux-ci permettent la communication sur des évènements culturels
(musique, cinéma, littérature), on trouve évidemment des groupes ou forums dont le but est
moins léger. En effet, les « organisations criminelles » et les sectes y voient un moyen de
communiquer. De nombreux soupçons se sont portés sur les organisations terroristes qui
recruteraient des membres via les réseaux sociaux.
48
Car il se trouve effectivement que ces applications présentent un risque pour
l‟utilisateur.
§2 Ŕ Un danger supplémentaire pour l‟utilisateur.
Par le biais de ces applications, de nombreuses données personnelles sont collectées
(A.) mais l‟utilisateur est dans l‟incapacité de contrôler a priori la bonne foi de l‟éditeur (B.).
A- De nombreuses informations supplémentaires collectées.
En effet, ces applications permettent la collecte de données personnelles des
utilisateurs : sur ses goûts, sa personnalité, ses envies. Pour exemple, l‟application la plus
utilisée sur Facebook. Il s‟agit de Living Social qui permet de choisir et de partager cinq livres,
films, chansons, personnalités,…, avec ses contacts. Cette application compte 31 772 891
utilisateurs par mois. À l‟évidence, cela permet de cibler très précisément les goûts des
utilisateurs.
Au troisième rang de popularité de ces applications, on trouve Zoosk, une application
faisant office d‟agence matrimoniale. Elle permet aux utilisateurs de rencontrer d‟autres
utilisateurs en fonction de leur goût, leur localisation… La quantité de données personnelles
livrées pour participer à cette application est importante. 8 541 443 personnes l‟utilisent chaque
mois. Des données que l‟utilisateur n‟avait pas forcément donné lors de son inscription et qu‟il
ne souhaite pas donner au réseau sont alors récupérées sous couvert de lui trouver un partenaire
idéal.
Les éditeurs s‟octroient aussi le droit d‟accéder aux informations des contacts des
utilisateurs qui ajoutent l‟application ; ils peuvent donc récupérer ces informations sans
l‟accord de l‟intéressé. L‟utilisateur ne peut pas autoriser l‟éditeur à traiter les informations de
quelqu‟un d‟autre. Sans mandat de la personne lui donnant pouvoir pour autoriser le traitement
de ses données, l‟utilisateur est dans l‟incapacité de donner son accord. Les informations alors
récupérées par l‟éditeur le sont en toute illégalité. Mais là encore, aucun juge n‟a été saisi…
De nombreuses informations supplémentaires sont donc livrées, des informations qu‟à
l‟origine, l‟utilisateur n‟avait peut-être pas souhaité révéler. En effet, ici encore, l‟utilisateur
n‟a pas toujours conscience des informations qu‟il donne en ajoutant ces applications. Ce qui
pose problème compte tenu du code pénal qui exige le consentement de l‟intéressé pour
pouvoir traiter ses informations et du code civil qui exige un consentement éclairé d‟une partie
à un contrat.
49
Il ne voit que l‟aspect divertissant. Mais derrière, les éditeurs collectent d‟importantes
informations qu‟ils peuvent aisément revendre. Ils sont indépendants du réseau social. La
collecte et le traitement des données par l‟éditeur de l‟application sont différents de celui
effectué par l‟hébergeur. L‟utilisateur doit donc prendre connaissance des conditions
d‟utilisation de l‟application et éventuellement (dans les cas où elles existent) des politiques de
confidentialité. Ces éditeurs sont là encore souvent établis à l‟étranger et donc soumis à un
droit différent. Les conditions générales d‟utilisation se heurtent alors aux mêmes problèmes
que ceux posés par les conditions générales d‟utilisation des hébergeurs.
Le fait est que les utilisateurs n‟y portent aucune attention. Les conditions d‟utilisation
sont beaucoup plus succinctes que celles des hébergeurs et les politiques de confidentialité sont
« facultatives ». L‟utilisateur « accepte » alors aisément le traitement de toutes les données
récoltées et ne saisira probablement jamais le juge sur le terrain des clauses abusives.
La voie est donc libre pour les éditeurs qui peuvent alors disposer des informations.
B- Aucune possibilité de contrôle a priori de la bonne foi de l‟éditeur.
Lorsqu‟un utilisateur décide d‟ajouter une application, il peut lire les conditions
générales d‟utilisation avant ; il doit même théoriquement les approuver (ce qui est théorique
dans la mesure où l‟utilisateur ne lit que très peu les conditions d‟utilisation des applications).
Le fait est que l‟éditeur peut raconter n‟importe quoi dans ces conditions, l‟utilisateur ne s‟en
rendra compte qu‟une fois le loup dans la bergerie. C'est-à-dire que ce n‟est qu‟une fois
l‟application ajoutée (conditions d‟utilisation acceptées) que l‟utilisateur peut se rendre compte
soit que l‟éditeur ne traite pas ses informations comme prévu initialement soit qu‟il s‟agit d‟un
éditeur de mauvaise foi qui n‟utilise cette technique d‟édition uniquement pour récupérer des
informations à des fins malveillantes.
Il s‟agit là d‟une nouvelle forme de piraterie, née avec les réseaux sociaux. Les pirates
se font passer pour des éditeurs d‟application auprès de l‟hébergeur. Il est autorisé à éditer sur
le réseau. L‟utilisateur ne se méfie alors pas et autorise cet éditeur à accéder à ses informations
personnelles. L‟éditeur-pirate récupère alors en toute transparence les informations de
l‟utilisateur afin de les utiliser de façon malveillante.
Si l‟utilisateur s‟en rend compte c‟est tout d‟abord qu‟il a de la chance et ensuite il n‟a
pas d‟autre moyen que d‟attaquer l‟éditeur. En effet, dans leurs conditions générales
d‟utilisation, les réseaux sociaux se dédouanent de toute responsabilité concernant ces éditeurs
tiers. Et lors de l‟ajout de l‟application, il est bien précisé dans les conditions d‟utilisation que
le contrat est conclu exclusivement entre l‟utilisateur et l‟éditeur. Le problème étant que des
50
sociétés n‟étant créées que dans ce but, il apparaît difficile pour l‟utilisateur de retrouver
l‟éditeur ; même si ce dernier a laissé ses informations à l‟hébergeur (conformément à la
LCEN), il n‟est pas impossible que ces informations soient fausses ou caduques.
Il est en outre difficile pour l‟utilisateur de prouver les méfaits de l‟éditeur. Par ailleurs,
lorsque l‟utilisateur se rend compte de la mauvaise utilisation de ses données, ces dernières ont
déjà été vendues à plusieurs annonceurs, publicitaires, entreprises qu‟il est impossible pour
l‟utilisateur d‟identifier. Le mal est donc irréparable.
Ces éditeurs tiers sont donc un véritable danger pour les données personnelles des
utilisateurs. Et ce ne sont pas les seuls risques qu‟encoure l‟utilisateur d‟un réseau social.
Section 2 Ŕ Une aubaine pour les pirates du net.
Les réseaux sociaux représentent des plateformes d‟accès facile aux informations des
utilisateurs (A.) ; la protection des données de l‟utilisateur est alors menacée (B.).
§1 Ŕ Une facilité d‟accès aux différentes informations.
« Le cyber-crime représente, en Europe, la catégorie de crimes et délits qui se
développe le plus rapidement »28.
Les cybers-délinquants sont usuellement classés en 7 catégories, selon leurs
motivations.
La première d‟entre elle est l‟argent. Les pirates peuvent notamment, récolter des
informations confidentielles qu‟ils pourront ensuite revendre au plus offrant ou utiliser pour
leurs propres besoins. C‟est un marché intéressant, par exemple des pirates ont crée un logiciel
« Lover spy »qui permet d‟envoyer, pour 89 dollars, une e-card à sa fiancée. C‟est en réalité un
logiciel espion permettant ainsi de connaître tous les secrets qu‟elle cache dans son ordinateur
(messages électroniques, photos, …)
Les autres motivations sont : la gloire (l‟ego est un élément très important), l‟idéologie,
la raison d‟État (par exemple, la Corée du nord est soupçonnée d‟avoir fondé une école de
piratage comptant plusieurs centaines d‟élèves), le jeu et le défi, la vengeance, et enfin la
recherche d‟un emploi.
28
SIEBER (U.), « Rapport de criminologie virtuelle McAfee », 2005.
51
Le fait est que les réseaux sociaux facilitent considérablement la tache des pirates
informatiques. En effet, le travail « d‟investigation » de ceux-ci est aidé par le fait que
désormais, les pirates n‟ont plus qu‟a attaquer le site hébergeur pour obtenir un nombre
considérable d‟informations personnelles sur les utilisateurs.
Les réseaux sociaux eux, se dégagent de toute responsabilité quant aux atteintes aux
mesures de protection. Pour exemple, la politique de confidentialité de Facebook stipule que
« il n’existe aucun système de sécurité infaillible. […] Nous ne sommes en aucun cas
responsables du non-respect des paramètres de confidentialité ou des mesures de sécurité en
vigueur sur ce site ». Cela peut paraître surprenant dans la mesure où la protection des données
personnelles de l‟utilisateur peut être considérée comme une obligation essentielle du contrat
dont l‟hébergeur ne peut se dégager.
Les réseaux sociaux facilitent considérablement le travail des pirates en ce qu‟ils
mettent en libre accès des informations de base sur les individus. Il suffit de taper un nom dans
un moteur de recherche pour obtenir un minimum d‟information, le tout en un temps record. La
base du travail du pirate est donc grandement facilitée.
L‟utilisateur n‟est donc pas à l‟abri des nombreuses menaces du web…
§2 Ŕ De nombreuses menaces.
Il est impossible de recenser l‟ensemble des menaces dans la mesure où chaque jour est
créée une nouvelle. Il s‟agit donc ici de présenter les plus significatives.
Tout d‟abord, les pirates peuvent utilisent les outils grand public pour faciliter la
recherche. Il s‟agit du Google hack. Les moteurs de recherche (notamment Google, le plus
important) permettent d‟obtenir de façon très discrète de nombreuses informations. Par ce
biais, il est possible de recueillir des données administratives, techniques, et toutes les
informations supplémentaires que les personnes laissent sur la toile (a fortiori sur les réseaux
sociaux).
Ensuite, on trouve un ensemble de « malwares » traditionnels. Les malwares désignent
l‟ensemble des programmes malveillants, il s‟agit d‟une contraction de malicious et software.
Parmi les malwares on trouve les traditionnels virus. Il s‟agit d‟un logiciel qui s‟introduit au
sein des programmes afin de se reproduire et de contaminer le plus grand nombre de fichiers.
52
Ces virus peuvent avoir différentes finalités selon son créateur. En 200629, on estimait à
200 000 le nombre de formes de virus différentes alors qu‟on en comptait que 18 en 1989. Ce
nombre ne fait qu‟augmenter.
Aux cotés des virus, on trouve les vers. Contrairement au virus, un ver est un
programme autonome qui n‟utilise pas de support pour se propager car il se déplace dans les
réseaux informatiques grâce à sa faculté d‟autocopie. Il se décompose en 2 parties : un moyen
de prolifération (tel qu‟un mail) puis l‟exécution des actions (suppression de fichiers par
exemple).
Le cheval de Troie est un logiciel qui se présente sous une apparence bénigne. Lorsque
ce logiciel sera utilisé, il effectuera des tâches (vol de données, destruction de fichiers, etc)
pour lesquelles il a été conçu et ceci sans que le propriétaire légitime de l‟ordinateur en ait
conscience.
Une back door (que l‟on peut traduire par « porte de derrière ») est une fonctionnalité
cachée qui a été incluse dans un logiciel (un malware) afin d‟avoir accès à certaines fonctions
sans avoir à passer par le processus d‟authentification. Microsoft a, par exemple, utilisé cette
technique afin d‟intégrer des petits jeux dans la suite bureautique du Pack Office30.
Enfin, la dernière catégorie de malwares notables est celle des logiciels espions. On y
trouve les spywares qui sont une menace assez récente. Elle est apparue avec la
démocratisation d‟Internet. Il s‟agit de petits logiciels qui s‟installent à l‟insu des utilisateurs
pour espionner ceux-ci et qui peuvent par la suite transmettre le fruit de leur recherche.
Ensuite, un keylogger (« enregistreur de touches ») est un petit programme qui
enregistre secrètement les informations tapées au clavier de l‟ordinateur sur lequel il a été
installé, puis les transmet subrepticement vers la personne qui en est le propriétaire. Ces
programmes peuvent avoir un mode de fonctionnement intelligent et ne procéder à
l‟enregistrement des touches du clavier que sous certaines conditions afin de ne pas noyer les
informations utiles dans une masse de données.
Et enfin, les adwares sont un type particulier de spyware. Ils collectent des informations
personnelles afin de les transmettre à des sociétés spécialisées dans le marketing en ligne.
29
Éstimation de McAfee confirmée par PestPatrol qui estime que l‟évolution du nombre de formes de virus est
passé de 0 en 1985 à 200 000 en 2006.
30
Les entreprises refusaient qu‟un logiciel contienne des jeux dans la mesure où cela déconcentrait les employés.
Microsoft les a donc intégrés au logiciel sans en informer les employeurs.
53
Certains adwares offrent un service en échange de la récolte de données (par exemple l‟outil de
partage de fichiers Kazaa que la possibilité de collecter des informations se fait en échange de
la gratuité du service). Ce dernier outil est évidemment très utile aux réseaux sociaux.
Récemment, Twitter a été victime d‟une attaque de malware. Un pirate a créé un faux
compte utilisateur sur lequel il a publié un lien vers une soi-disant vidéo pornographique.
Lorsqu‟un autre utilisateur clique sur ce lien, une fenêtre de téléchargement automatique
s‟ouvre simulant une mise à jour d‟Adobe Flash (nécessaire pour regarder les vidéos).
L‟utilisateur se retrouve avec un nouveau fichier sur son ordinateur intitulé Adobe Flash qui se
révèle être un cheval de Troie. Ce profil public circule de plus en plus sur Internet et s‟infiltre
au travers de plusieurs réseaux sociaux. Le lien est alors mis en valeur sur les moteurs de
recherches. Twitter a fini par fermer ce compte, mais les centres de sécurité ont analysés
plusieurs cas similaires.
Autre menace à laquelle s‟expose l‟internaute est le spam. C‟est l‟envoi massif de
courriers publicitaires. La récupération d‟une adresse électronique via un réseau social peut
aboutir à ce résultat. Même si cela ne représente pas un risque très dangereux pour l‟internaute,
c‟est désagréable.
Le fait est que la plus grande menace résulte avant tout des facteurs humains. « La plus
grande menace pour la sécurité informatique d’une entreprise n’est pas le virus, la faille de
sécurité non corrigée ou un firewall mal installé, en fait, la plus grande menace pourrait être
vous. »31
Il convient d‟étudier les erreurs humaines. Il s‟agit ici des erreurs de conception de
logiciels, les erreurs de programmation, de configuration, et les erreurs par négligence.
L‟exemple le plus célèbre d‟une erreur de conception est le fait que de nombreux
logiciels n‟avaient pas été conçus pour prendre en charge le changement de siècle (lors du
passage à l‟an 2000).
Comme les programmes informatiques deviennent de plus en plus complexes, il est
naturel qu‟ils intègrent un certain nombre d‟erreurs de programmation qui pourront être
utilisées par les pirates.
Lorsqu‟on met en place un nouveau système ou que l‟on installe un nouveau logiciel, il
est nécessaire de paramétrer en fonction de l‟usage qui en sera fait. C‟est lors de cette étape que
31
Extrait de vulnerabilite.com, cité par CALÉ (S.) et TOUITOU (P.) dans « La sécurité informatique », Lavoisier,
Paris 2007.
54
peuvent être commises quelques erreurs (à la suite d‟une faute d‟inattention ou d‟une
méconnaissance du produit).
Enfin, les erreurs par négligence résultent du fait que certaines personnes ne prennent
pas assez en compte la problématique de la sécurité et ses enjeux.
L‟une des attaques qui se développe le plus avec les réseaux sociaux est le social
engineering (ou ingénierie sociale). Cela consiste à exploiter la confiance humaine afin
d‟obtenir des informations qui serviront plus tard à mener des attaques et parfois même, faire
effectuer certaines actions par les victimes, en se faisant passer pour quelqu‟un d‟autre. Pour
exemple, en 2004, une personne a reçu un mail indiquant qu‟une commande a bien été
effectuée et que sa carte de crédit sera débitée. La personne n‟ayant rien commandé, elle
appelle immédiatement le numéro laissé. L‟objectif de l‟escroquerie en l‟espèce n‟est pas de
demander le numéro de carte de crédit de la personne (sous couvert d‟une vérification) mais
simplement que la personne appelle. En effet, le numéro laissé est surtaxé, le coût de la
communication est de 4 euros à la seconde. Cette méthode va de la plus petite escroquerie à des
méfaits de très grandes ampleurs.
Cette méthode se développe en partie grâce aux réseaux sociaux dans la mesure où il est
facile de trouver des informations de façon très simple sur ces réseaux.
Le phishing conjugue le social engineering avec les évolutions techniques. Il s‟agit
pour le pirate de se faire passer, auprès de ses victimes, pour un organisme connu (une banque
par exemple) afin de les mettre en confiance et ainsi pouvoir leurs soutirer des informations
confidentielles. On distingue généralement 3 méthodes. Tout d‟abord, le mail trafiqué par
lequel la victime reçoit un mail semblant provenir d‟un organisme de confiance, dans lequel il
lui est demandé de se connecter sur un serveur web sous un prétexte fallacieux. Ce serveur web
est présenté dans le mail avec un lien HTTP32 pointant vers un site web que le pirate aura créé
en imitant l‟aspect de celui de l‟organisme dont il aura usurpé l‟identité. Le pirate pourra ainsi
récupérer toutes les informations.
Ensuite, la méthode du pharming. Le pirate va corrompre le système DNS33 en y
substituant l‟adresse IP d‟un site connu par celle du serveur qu‟il aura mis en place et qui
prendra l‟apparence du site légitime. Les internautes seront alors automatiquement redirigés
32
HyperText Transfer Protocol (ou protocole de transfert hypertexte) : protocole de transfert de fichiers en mode
non connecté, utilisé notamment pour télécharger les pages HTML.
33
Domain Name System (ou système du nom de domaine) : système inventé en 1983 qui permet de faire la
correspondance entre le nom d‟un ordinateur et son adresse IP.
55
vers le site du pirate qui pourra alors récolter les informations. Et enfin la dernière méthode est
celle du Cross Site Scripting (XSS). Dans le mail qu‟il envoie à sa victime, le pirate va insérer
l‟URL34 d‟un site web de confiance, auquel il attachera un script. Une fois que l‟internaute aura
cliqué sur ce lien, ce script sera envoyé vers le serveur qui ne saura comment l‟interpréter et
renverra donc un message d‟erreur contenant ce fameux script. Le navigateur de la victime
exécutera ce script dans lequel le pirate aura pu inclure des instructions permettant différentes
actions pouvant obliger l‟internaute à s‟identifier.
Cette menace est redoutable en ce que les outils traditionnels de lutte contre la
criminalité informatique se révèlent inefficaces.
Enfin, la dernière menace consiste dans le vol d‟informations confidentielles et la
manipulation des informations. À l‟ère numérique, la quasi-totalité des informations
confidentielles sont enregistrées dans un système informatique. Les plus évidentes de ces
attaques sont le cassage de messages cryptés ou de mots de passe.
De manière moins brutale, on trouve le sniffing (le reniflage) qui consiste à mettre en
place une sonde sur un réseau ou à installer un logiciel sur un ordinateur qui va capturer le
trafic y circulant pour pouvoir ensuite en extraire les informations confidentielles.
Il est aussi possible de récupérer des données effacées. Lorsqu‟on supprime un fichier
(même après avoir vidé la corbeille), les données ne disparaissent pas immédiatement du
support physique et seuls les emplacements dans lesquels elles sont stockées sont mis à
disposition pour une utilisation future. Si ces emplacements ne sont pas réutilisés, il est très
aisé d‟utiliser des outils spécialisés pour recréer ces fichiers. La sécurité sociale américaine en
a fait l‟expérience : elle a revendu des PC d‟occasion dont des personnes mal intentionnées ont
réussi à extraire des données confidentielles concernant plusieurs milliers d‟assurés.
En outre, dans le monde des affaires essentiellement, les pirates manipulent les
informations afin de récupérer un bénéfice. L‟exemple en est du « pump and dump ». Après
avoir acheté des milliers d‟actions d‟une société cotée en bourse, le pirate va répandre de
fausses informations sur Internet afin d‟en faire monter artificiellement le cours puis les
revendre pour encaisser la plus value. À l‟inverse, les informations peuvent être diffusées pour
faire baisser le cours de l‟action, en acheter un nombre important puis les revendre lorsqu‟elles
auront repris leur cours légitime.
34
Uniform Resource Locator (ou localisateur d‟une ressource uniforme) : format d‟adresse utilisé sur le web pour
désigner de façon unique le chemin d‟accès à une ressource (site, image, etc).
56
Les internautes ont de plus en plus confiance en l‟économie numérique. Ils laissent
donc de plus en plus d‟informations sur la toile et notamment sur les réseaux sociaux.
L‟importance que prend le web dans les relations entre les individus joue de fait sur la quantité
de données personnelles laissées sur la toile.
De ce fait, le piratage d‟internet est de plus en plus bénéfique. En outre, les technologies
permettent chaque jour un peu plus d‟améliorer les techniques de piratage pour plus de
discrétion.
Les réseaux sociaux facilitent donc la tache de ces pirates qui, en s‟attaquant au site
web hébergeur, peuvent récupérer des informations en masse.
57
CHAPITRE 2 – L’IDENTITÉ NUMÉRIQUE : NOTION
AU CŒUR DES QUESTIONS D’AVENIR DES
RÉSEAUX SOCIAUX.
Avec le développement des nouvelles technologies, l‟identité numérique a pris un essor
considérable notamment par le biais des jeux vidéos et des espaces virtuels (par exemple
Second Life) où l‟utilisateur créé son avatar. Les réseaux sociaux s‟inscrivent dans la droite
ligne de ce phénomène.
Au delà des menaces « classiques » étudiées, est apparue avec les réseaux sociaux une
nouvelle menace de taille : l‟usurpation d‟identité. (section 1)
En outre, l‟avenir des réseaux sociaux se traduit par l‟interopérabilité de ceux-ci
consistant en la portabilité des données personnelles de l‟utilisateur, qui n‟est pas sans poser
problèmes notamment sur le plan de la protection des données personnelles. (section 2)
58
Section 1 Ŕ Vers la reconnaissance d‟une infraction d‟« usurpation
d‟identité ».
Avec l‟avènement du web 2.0, la notion même d‟« identité virtuelle » s‟est développée
pour devenir une réalité (§1). Le problème est que, malgré certaines dispositions dans le code
pénal, rien ne vient sanctionner l‟usurpation d‟identité numérique. (§2)
§1 Ŕ Une importance croissante de la notion d‟identité virtuelle.
« L’identité d’une personne est ce qui fonde l’existence de sa personnalité juridique »35.
Avec le numérique, l‟identité humaine a pris une autre dimension (A.). La dimension
numérique de l‟identité est renforcée par le succès considérable des réseaux sociaux (B.).
A- De l‟« identité humaine » à l‟identité virtuelle.
« L’informatique doit être au service de chaque citoyen. Son développement doit
s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à
l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou
publiques ». Dans son article premier, la loi de 1978 pose la notion d‟« identité humaine ».
À l‟origine, l‟identité humaine était entendue comme étant les données de l‟État civil,
enregistrées par les différentes administrations de la République (administration fiscale,
sécurité sociale, etc). Avec le développement de l‟outil informatique, les parlementaires ont
souhaité protéger les données des citoyens, protéger les données « purement identitaires »
(c'est-à-dire les données classiques d‟identification telles que le nom, prénom, âge).
Avec le développement du web 2.0, l‟identité réelle a eu tendance à se déplacer dans le
monde virtuel.
Le premier réflexe fut l‟assimilation de l‟identité réelle au monde virtuel. Comme, avec
Internet, beaucoup d‟actes de la vie juridique ont été transposés à l‟identique dans le monde
virtuel, qu‟il en aille de même avec l‟identité paraissait évident. Cette assimilation s‟est avérée
dans certains cas problématiques, en raison de la virtualité du monde numérique. Il en est allé
de même pour l‟identité.
35
Proposition de loi (aujourd‟hui caduque) tendant à la pénalisation de l‟usurpation d‟identité numérique sur les
réseaux informatiques, www.senat.fr, 4 juillet 2005.
59
Néanmoins, il s‟est révélé que l‟identité virtuelle était plus vaste que l‟identité réelle.
Tout d‟abord, avec le numérique, de nouvelles données, inconnues dans le monde réel, sont
apparues. Il s‟agit des données de connexion et adresses IP. Ce que la doctrine qualifie
d‟« identité numérique ». « Il s’agit de la représentation technique de la personne et de ses
actes dans le cyberespace ; elle est la plus proche de la personne réelle, traduisant ses actes en
données numériques »36.
Aux cotés de cette identité numérique, on trouve l‟identité « virtualisée » et l‟identité
immatérielle. L‟identité « virtualisée » est l‟identité réelle transposée dans le monde
numérique. On y retrouve donc les données identifiantes du monde réel. L‟identité
immatérielle, quant à elle, est totalement factice. Le meilleur exemple de l‟identité
immatérielle est l‟avatar de jeu vidéo. C‟est une toute autre personne que celle du monde
réelle. Elle est créée pour le monde virtuel. Cette dernière identité est très utilisée sur le web
2.0 soit pour dissimuler sa véritable identité et ne pas subir de profilage soit pour « améliorer »
l‟identité réelle non assumée.
Les contours de cette identité virtuelle sont alors plus flous que ceux de l‟identité réelle.
Pour cette dernière, les choses sont simples : l‟identification repose sur des données « de base »
telles que le nom, prénom, adresse. Pour l‟identité virtuelle, les choses sont plus compliquées.
L‟article 8 II. de la LCEN dispose que les prestataires techniques d‟Internet
(fournisseurs d‟accès à Internet et hébergeurs) « détiennent et conservent les données de nature
à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des
contenus des services dont elles sont prestataires ». La question se pose alors de savoir quelles
sont les données identifiant un internaute ? Un décret en Conseil d‟État devait préciser cette
disposition, notamment les données permettant l‟identification. Comme souvent, le décret en
Conseil d‟État n‟a jamais été pris, laissant la jurisprudence le soin de déterminer quelles sont
les données identifiant la personne.
36
MOURON (P.), « Internet et identité virtuelle des personnes », Revue de la recherche juridique – Droit
prospectif, n°124, 2008.
60
La jurisprudence malheureusement n‟est pas uniforme. Dans 2 ordonnances, la cour
d‟appel37 de Paris et le Tribunal de grande instance38 de Paris ont considéré que les adresses IP,
adresses mail et les noms des utilisateurs devaient être transmises en vue d‟identifier les
internautes contrefacteurs. On retrouve donc les données de l‟identité réelle complétée par
l‟adresse IP. Si cette dernière est infalsifiable, elle identifie l‟abonné à Internet et non
l‟internaute.
Cependant, dans un jugement au fond, le Tribunal de grande instance de Paris39 a jugé
que les hébergeurs devaient recueillir les noms, prénoms, domiciles et numéros de téléphone
des éditeurs. Donc en l‟espèce, le fait que l‟hébergeur n‟ait demandé que les adresses IP, les
adresses mail et les pseudonymes des éditeurs est insuffisant.
Du fait de l‟instabilité jurisprudentielle, il est difficile de définir réellement en quoi
consiste l‟identité virtuelle d‟une personne.
S‟il parait évident que les noms et prénoms sont des éléments de l‟identité virtuelle, il
est possible, de façon assez aisée, d‟intégrer certains autres éléments. Si une partie de la
jurisprudence considère que les numéros de téléphone et adresses sont des éléments de
l‟identité virtuelle, ceci est contestable. En effet, il est facile pour un internaute de mentir sur ce
genre de données lors de son identification.
En revanche, il ne peut falsifier son adresse IP. Le problème est que celle-ci identifie
l‟abonné et non l‟internaute. Mais il suffirait pour l‟abonné, en cas de litige, de se retourner
contre l‟internaute. Dans certains cas ceci est impossible : notamment en ce qui concerne les
lieux publics qui mettent à disposition de leur clients un accès Internet. Il est impossible
d‟identifier chacun des utilisateurs, et l‟adresse IP n‟identifie pas dans ces cas là l‟internaute.
Ensuite, l‟adresse mail apparait comme un moyen d‟identification assez essentiel. Il est
possible de vérifier la véracité de celle-ci (lors de l‟inscription) en envoyant un mail
comportant un lien par lequel l‟internaute confirme son inscription.
37
Cour d‟appel de Paris, ordonnance, 7 janvier 2009, Raphaël Mezrahi et autres / Youtube Inc. Dans cette affaire,
des vidéos contrefaites de sketches de l‟humoriste ont été diffusées sur le site communautaire. Le juge a donc
ordonné à Youtube de transmettre au demandeur les données identifiant les éditeurs.
38
Tribunal de Grande Instance de Paris, ordonnance de référé, 7 janvier 2009, Jean-Yves Lafesse et autres /
Youtube Inc. Les faits sont identiques à ceux jugés le même jour par la Cour d‟appel de Paris.
39
Tribunal de Grande Instance de Paris, 14 novembre 2008, Jean-Yves L. et autres / Youtube et autres. Dans cette
affaire, des vidéos contrefaites de sketches de Jean-Yves Lafesse ont été diffusées sur Youtube. L‟humoriste a
donc saisi le juge afin d‟obtenir les données identifiant les éditeurs contrefacteurs.
61
Le fait est que, en l‟absence d‟un texte clair ou d‟une jurisprudence affirmée, les
contours de l‟identité virtuelle restent flous.
B- Le rôle des réseaux sociaux dans l‟affirmation de l‟identité virtuelle.
L‟identité virtuelle est donc une notion floue mais le fait est que son importance est
capitale. Les réseaux sociaux connaissent un succès mondial. Ils consistent en la présentation
de chaque individu utilisateur des réseaux. Chacun créé donc sa page et se présente. On
retrouve la pluralité de l‟identité virtuelle. Certains y présentent leur vie telle qu‟elle est en
réalité ; d‟autres se créent un personnage afin de communiquer mais sans révéler leur véritable
vie.
Le fait est que l‟on assiste à un véritable phénomène : la publicité de la vie privée. La
vie privée est protégée par l‟article 9 du code civil40, l‟article 8 de la Convention européenne
des droits de l‟Homme41 et la Charte des droits fondamentaux de l‟Union européenne42. C‟est
un droit considéré comme fondamental. C‟est d‟ailleurs un élément essentiel dans la protection
des données personnelles et tient évidemment un rôle majeur dans le cadre des réseaux
sociaux.
Chacun y tient et les internautes particulièrement s‟en intéressent. Lorsque le
gouvernement a souhaité mettre en place le fichier EDVIGE (Exploitation Documentaire et
Valorisation de l'Information Générale) afin de remplacer celui des renseignements généraux,
il y eut un véritable tollé de la part de la population considérant que cela portait une atteinte
grave à leur vie privée (dans la mesure où il comportait de nombreuses informations dites
sensibles sur les personnes).
Paradoxalement, ces mêmes personnes sont beaucoup moins dérangées par l‟idée de
publier sur internet une grande partie de leur vie privée. L‟idée de « partager » sa vie avec ses
amis est intéressante et se développe de plus en plus auprès des jeunes de la génération « 2.0 ».
L‟évènement récent sur la question est l‟arrivée du président de la République sur le
réseau social Facebook. Il est désormais possible de devenir « supporter » de Nicolas Sarkozy.
40
Article 9 du code civil : « Chacun a droit au respect de sa vie privée ».
41
Article 8 de la Convention européenne des droits de l‟Homme : « Toute personne a droit au respect de sa vie
privée et familiale, de son domicile et de sa correspondance ».
42
Article 8 de la Charte européenne des droits fondamentaux de l‟Union européenne : « Toute personne a droit à
la protection des données à caractère personnel la concernant ».
62
Cette page, si elle permet de présenter l‟action politique du président, permet également la
publication de quelques informations privées notamment sur sa relation de couple.
Si beaucoup de personnes publiques mettent ainsi leur vie privée en scène, le simple
particulier ne se rend pas compte de l‟impact de la publicité. Exemple concret : un internaute
utilisait les réseaux sociaux pour exposer sa vie à ses amis. Il avait ainsi posté près de 17 000
photos sur Flickr, il étoffait de façon importante sa page Facebook et publiait intensément sur
YouTube. La revue « Le Tigre » a alors souhaité reconstituer et publier la vie de cet internaute
en recoupant les informations trouvées sur le net. L‟article, que la revue qualifiait elle-même de
« violemment impudique », a alors décrit de façon incroyablement précise la vie de cet
internaute choisi au hasard. Cet internaute, bouleversé, a alors supprimé toutes les informations
qu‟il avait publiées. Il n‟avait aucune idée de la publicité qu‟il faisait de sa vie privée. C‟est
pour cela que la notion de « consentement » au traitement des données personnelles par les
réseaux sociaux est discutable, dans la mesure où ce consentement n‟est pas éclairé.
Dans cet univers 2.0 où chacun souhaite de plus en plus s‟exprimer (par la création de
blogs, l‟inscription à un réseau social, etc), il devient de plus en plus difficile de protéger la vie
privée et données personnelles des internautes. Des sites se spécialisent même dans la
recherche d‟informations sur les réseaux sociaux. Des sortes de moteurs de recherche
spécialisés. Tel est le cas de 123people.fr, spock.com, ou encore zoominfo.com.
De cette importance de l‟identité numérique est apparu un phénomène nouveau, une
nouvelle menace pour les utilisateurs d‟Internet, qu‟est l‟usurpation d‟identité numérique.
§2 Ŕ L‟usurpation d‟identité numérique : un vide juridique.
Il convient de présenter ce qu‟est l‟usurpation d‟identité numérique (A.). On remarque
que cette notion représente un véritable vide juridique qu‟il est pourtant nécessaire de combler
le plus vite possible (B.).
A- Présentation de l‟usurpation d‟identité numérique.
L‟usurpation d‟identité sur Internet est réellement devenue, ces quelques années, un
phénomène important, une nouvelle forme de piraterie très populaire ; et si l‟on pensait que
cela ne concernait que les personnages publics, c‟est une erreur : les particuliers sont aussi
concernés par ce risque.
L‟usurpation d‟identité consiste à « emprunter de façon définitive ou temporaire
l’identité d’une personne connue de l’auteur de l’infraction. Sur Internet, l’usurpation
63
d’identité peut se définir comme une pratique par laquelle une personne utilise ou exploite
sciemment les informations personnelles d’une autre personne à des fins illégales »43.
Plusieurs menaces techniques sont caractéristiques de l‟usurpation d‟identité
numérique. Tout d‟abord, il y a l‟ARP spoofing44. Lorsque 2 ordinateurs communiquent via le
réseau Internet, ils utilisent un mécanisme intermédiaire de résolution d‟adresse nommé ARP
qui permet de connaître l‟adresse physique des machines. Les systèmes d‟exploitation stockent
ces informations (adresses IP et adresse physique correspondante). Ainsi, pour détourner le
trafic, un pirate utilise la technique de l‟ARP poisoning45 qui consiste à envoyer aux
ordinateurs, qui peuvent être amenés à communiquer avec elle, un paquet ARP associant
l‟adresse IP de la victime à l‟adresse physique du pirate. Dès lors, quand un ordinateur
souhaitera envoyer une information à la victime, il utilisera automatiquement l‟adresse de la
machine du pirate.
Ensuite, il y a la technique de l‟IP spoofing. Cela consiste simplement en l‟usurpation
de l‟adresse IP d‟une machine qui est considérée comme étant de confiance dans le but de
déjouer les mécanismes de filtrage.
Autre technique : le « connection hijacking »46. Il s‟agit d‟attendre que la victime ait
terminé avec succès la phase d‟authentification pour ensuite prendre sa place dans la
communication.
La technique du « man in the middle » consiste à insérer dans le dialogue, entre un
client et un serveur, la machine du pirate. Le pirate se fait alors passer auprès du serveur
comme étant le client et auprès du client comme étant le serveur. Le pirate pourra alors
recueillir les informations et les modifier si besoin est.
Le DNS spoofing consiste à remplacer, dans un serveur DNS, l‟adresse IP d‟une
machine par celle d‟un ordinateur qui sera sous le contrôle du pirate. Ainsi en effectuant sa
requête DNS, la victime se retrouvera automatiquement redirigée vers la machine piégée et
donnera alors les informations qui lui sont demandées, en toute confiance.
43
HAAS (G.), « L‟identité usurpée sur Internet : vide juridique », RLDI, n°47, 2009.
44
« ARP » signifie Address Resolution Protocol ou protocole de résolution d’adresse. « Spoofing » est un terme
informatique signifiant l’usurpation de quelque chose.
45
46
ARP poisoning se traduit en « empoisonnement d‟ARP ».
Connection hijacking : se traduit par « détournement de connexion ».
64
Le mail spoofing consiste à écrire et envoyer un e-mail en se faisant passer pour
quelqu‟un d‟autre. Le protocole qui gère l‟envoie des courriers électroniques n‟utilise aucun
moyen d‟authentification.
La replay attack47 consiste, pour le pirate, à intercepter les échanges de paquets de
données lors d‟une communication pour pouvoir ensuite en rejouer certaines phases,
notamment l‟identification, en réémettant les messages ainsi capturés lors d‟une future session.
Enfin, la dernière technique est l‟intrusion par rebond. Cela consiste, lorsqu‟on veut
attaquer depuis l‟extérieur un système très bien sécurisé, à ne pas le faire directement, mais à se
rendre maître au préalable d‟une machine moins stratégique, donc plus vulnérable, au sein d‟un
système d‟information cible. C‟est à partir de cet ordinateur que seront lancées les tentatives
d‟attaques ultérieures.
Par ailleurs, les tutoriels de piratage permettant l‟usurpation frauduleuse d‟identité est
prohibée. L‟article 323-3-1 du code pénal dispose que « le fait, sans motif légitime, d'importer,
de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un
programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une
ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues
respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée ».
En début d‟année, les comptes Twitter de Britney Spears et de Barack Obama ont été
détournés pour afficher des messages offensant ou gênant. Il se trouve que l‟usurpation de
l‟identité de personnes privées est aussi en vogue. Un certain Frédéric Vignale en a fait les
frais. Sur Facebook, un utilisateur malhonnête a reconstitué un profil au nom de M. Vignale. Il
a pour cela repris un certain nombre d‟informations véridiques (nom, prénom, âge) et ajouté de
nouvelles fausses. Il ensuite invité tous les amis du vrai M. Vignale en se faisant passer pour le
vrai. Beaucoup d‟entre eux ont alors supprimé de leur liste d‟amis le vrai M. Vignale et ont
ajouté le nouveau faux profil. Il a alors été difficile pour le vrai M. Vignale de convaincre tous
ces amis que ce nouveau profil était un faux. Et ce phénomène prend de l‟ampleur.
Il convient de rapprocher l‟usurpation d‟identité numérique d‟une autre technique
apparue avec les réseaux sociaux. En effet, sur les réseaux sociaux, il est possible de prendre
l‟identité que l‟on souhaite, les pseudonymes sont courants. De nombreuses personnes ont donc
crées des comptes sur différents réseaux sociaux au nom de personnes célèbres. C‟est ainsi que
Jean-Yves Lafesse par exemple a été amené a mener une guerre sans merci au réseau social
47
Replay attack se traduit par « attaque de réémission ».
65
MySpace. Il se trouve que, pour créer la page d‟une personne célèbre, les réseaux sociaux
prennent le minimum de précautions.
Tout d‟abord en ce qui concerne l‟utilisation du nom. Lors de l‟inscription, il suffit pour
l‟utilisateur de certifier qu‟il dispose de l‟autorisation pour utiliser le nom. Les réseaux sociaux
ne vont pas plus loin dans la certification, ils comptent sur la bonne foi des utilisateurs. Cela
paraît être des mesures plutôt faibles qui ne protègent aucunement les personnes contre
l‟utilisation de leur nom.
Il en va de même pour l‟image. Dès qu‟un utilisateur de réseau social souhaite publier
une image de lui, il lui suffit de certifier qu‟il dispose des droits sur celles-ci. Ce n‟est qu‟une
déclaration que le réseau social ne vérifie pas plus.
Il est donc aisé pour les utilisateurs de créer un compte sur un réseau social au nom
d‟une personne célèbre. Il ne donne jamais ses données personnelles, mais celles de la
personne célèbre : il est donc impossible de déterminer qui se cache derrière ce profil. Ensuite,
il est difficile de se retourner contre le réseau social lui-même dans la mesure où il a pris des
mesures, certes faibles, pour s‟assurer de la bonne foi de l‟utilisateur.
Si les réseaux sociaux considèrent que les mesures prises sont suffisantes pour se
dédouaner de toute responsabilité, ceci est discutable. En effet, ils doivent pouvoir identifier
toute personne éditant un contenu. Or, les faibles mesures de vérification prises par eux ne
suffisent pas à identifier la personne. Ils ne respectent donc l‟obligation légale mise à leur
charge par la LCEN. Mais sur cette question précise, aucun juge n‟a été saisi.
L‟identité est donc au centre de la question des réseaux sociaux. Et sa place est de plus
en plus importante avec le développement exponentiel des réseaux sociaux. Les réseaux
sociaux sont confrontés aux contours flous de l‟identité virtuelle et il est difficile pour eux de
déterminer quelles informations doivent obligatoirement être données par les internautes.
Il est donc important de régler rapidement la question pour plus de stabilité juridique.
Il se trouve, en outre, qu‟aucune infraction ne vient sanctionner l‟usurpation d‟identité
numérique.
66
B- Un vide juridique à combler.
Il n‟existe pas en tant que telle une infraction d‟usurpation d‟identité numérique. La
seule solution pour le moment est d‟assimiler à des situations déjà existantes telles que l‟action
en usurpation de nom (sur le plan civil) et, sur le plan pénal, l‟article 434-23 du code pénal.
Tout d‟abord sur le plan civil, les articles 1382 et 138348 fondent l‟action en usurpation
de nom. Cette action a pour but d‟interdire à une tierce personne de porter indument son nom et
de demander des dommages et intérêts. Il suffit de prouver que le nom a bien été usurpé et
qu‟il existe un risque de confusion ou d‟assimilation. Or, cela pose problème dans la mesure
où, dans le monde numérique, c‟est l‟usage qui est fait de l‟identité qui est plus préjudiciable
que l‟usurpation en elle-même. Le risque de confusion apparaît assez peu pertinent. En outre,
pour obtenir des dommages et intérêts, le demandeur devra justifier d‟un préjudice résultant de
la faute commise par l‟usurpateur.
Ensuite, sur le plan pénal. L‟article 434-23 du code pénal dispose que « le fait de
prendre le nom d'un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer
contre celui-ci des poursuites pénales, est puni de cinq ans d'emprisonnement et de 75000
euros d'amende ». Cet article pose donc 2 conditions cumulatives : la victime de l‟usurpation
doit encourir un risque pénal du fait de cette usurpation. Cette usurpation doit alors porter sur
le « nom » de la victime. Le champ d‟application de cet article parait alors trop restreint pour
une application au monde virtuel. En effet, peut-on assimiler une adresse mail, un mot de
passe, un nom de domaine ou encore une adresse IP au « nom » ? Aucune jurisprudence, pour
le moment, ne va dans ce sens et il parait peu probable qu‟un juge prenne un jour cette décision
qui semble contrevenir au principe de légalité et d‟interprétation stricte de la loi pénale.
Aucune disposition légale ne vient donc sanctionner l‟usurpation d‟identité en tant que
telle.
En 2005, une proposition49 de loi tendant à la pénalisation de l‟usurpation d‟identité
numérique sur les réseaux informatiques avait été déposée au Sénat. Cette proposition visait à
punir d‟une année d‟emprisonnement et de 15 000 € d‟amende le fait « d'usurper sur tout
réseau informatique de communication l'identité d'un particulier, d'une entreprise ou d'une
48
Article 1382 du code civil : « Tout fait quelconque de l'homme, qui cause à autrui un dommage, oblige celui
par la faute duquel il est arrivé à le réparer ». Article 1383 du même code : « Chacun est responsable du
dommage qu'il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence ».
49
Proposition de loi (aujourd‟hui caduque) tendant à la pénalisation de l‟usurpation d‟identité numérique sur les
réseaux informatiques, www.senat.fr, 4 juillet 2005.
67
autorité publique ». Le sénateur Michel Dreyfus Shmidt défendait sa proposition en affirmant
que « l'identité d'une personne est plus vaste et ses contours moins clairs. Certaines données
numériques qui ont trait à l'identité d'un individu, comme un mot de passe d'un compte
personnel sur l'Internet par exemple, ne sont pas considérées comme des éléments constitutifs
de l'identité [...]. Or ces dernières sont le lieu d'usurpations d'identités bien réelles ».
Le Garde des Sceaux avait à l‟époque considéré que la législation en place était
suffisante et qu‟il n‟y avait pas lieu de la modifier. Or, il est évident que tous les cas ne sont
pas pris en compte par les dispositions actuelles.
En effet, le Garde des Sceaux faisait référence au délit d‟escroquerie qui permet de
sanctionner les usurpations d‟identité qui ont des conséquences financières. Mais l‟usurpation
d‟identité peut avoir beaucoup d‟autres finalités qui ne sont prises en compte par aucun texte. Il
est donc nécessaire de prendre des mesures pour combler ce vide.
Si cette proposition a été rejetée, elle a été reprise dans le projet de loi d‟orientation et
de programmation pour la sécurité intérieure (LOPSI 250). Ce projet de loi comporte un plan
anti-cybercriminalité. Il prévoit notamment que l‟usurpation d‟identité devienne un délit
passible d‟un an d‟emprisonnement et de 15 000 € d‟amende. Le ministre de l‟intérieur,
Michèle Alliot-Marie, a indiqué dans un communiqué de presse51 que « l’adaptation du droit
passera aussi par la création de nouvelles formes d’incrimination. Il est aujourd’hui possible
d’utilise à des fins malveillantes l’identité d’une personne physique ou morale sur Internet
pour ouvrir des comptes de messagerie, pour accéder à un site, pour créer un site, pour
envoyer des spams. Je veux que l’usurpation d’identité soit punie par la loi comme un délit,
passible d’un an d’emprisonnement et de 15 000€ d’amende ».
Ce projet de loi devait être présenté au Parlement au premier semestre 2008. En raison
du retard, il ne sera présenté au Conseil des ministres que le 27 mai 2009. Il est déjà très
controversé. D‟autres dispositions du projet sont considérées comme attentatoires aux libertés
fondamentales des internautes ; les débats promettent donc d‟être houleux et de ce fait, le projet
est encore loin d‟être adopté. En revanche, en ce qui concerne cette disposition très précise, elle
est peu contestée en raison de sa nécessité.
50
LOPSI 2 car le projet de loi fait suite à la LOPSI ou « Loi Sarkozy » du 18 mars 2003 publiée au JORF du 19
mars 2003.
51
Communiqué de presse, « Lutte contre la cybercriminalité », intervention de Michèle Alliot-Marie, 14 février
2008.
68
La législation française n‟est pas la seule à ne pas sanctionner l‟usurpation d‟identité.
Au sein de l‟Union européenne, seul le Royaume-Uni s‟est doté d‟une disposition dans le « UK
Fraud Act »52 entré en vigueur le 15 janvier 2007. Cette loi dispose que toute personne
reconnue coupable de « fraude » risque 12 mois d‟emprisonnement ou un amende (ou les
deux). Cette « fraude » se divise en plusieurs actes différents dont la « fausse représentation »
(false representation dans le texte) qui consiste en la fabrication d‟une fausse identité ou la
prise d‟identité d‟une tierce personne à des fins malhonnêtes. L‟identité est vue de façon très
large, et permet d‟englober largement l‟identité numérique.
L‟Union européenne et le Conseil de l‟Europe n‟ont, quant à eux, pris aucune mesure
sanctionnant l‟usurpation d‟identité virtuelle.
Au plan international, le système le plus connu est le système américain du « Identity
Theft Penalty Enhancement Act » du 15 juillet 2004 qui prohibe toute utilisation du nom d‟un
tiers sans autorisation53.
L‟idée de sanctionner l‟usurpation d‟identité numérique fait son chemin et il est
probable que dans un avenir proche, une majorité d‟États viennent sanctionner cette action.
Cela apparaît de plus en plus essentiel compte tenu de l‟importance de celle-ci.
Il convient de garder un juste équilibre entre la protection de la vie privée et « les
besoins d’interaction générés par le développement de l’économie numérique »54. Comme à
chaque fois que plusieurs droits et intérêts sont en conflit, il appartient au législateur (ou à la
jurisprudence dans certains cas) de trouver ce juste équilibre.
52
« Fraud by false representation :(1) A person is in breach of this section if he :(a) dishonestly makes a false
representation, and (b) intends, by making the representation. B (i) to make a gain for himself or another, or (ii)
to cause loss to another or to expose another to a risk of loss. (2) A representation is false if (a) it is untrue or
misleading, and (b) the person making it knows that it is, or might be, untrue or misleading. (3) “Representation”
means any representation as to fact or law, including a representation as to the state of mind of (a) the person
making the representation, or (b) any other person. (4) A representation may be express or implied. (5) For the
purposes of this section a representation may be regarded as made if it (or anything implying it) is submitted in
any form to any system or device designed to receive, convey or respond to communications (with or without
human intervention) ».
53
Section 1, paragraphe 1028A, (a) : « Whoever, during and in relation to any felony violation enumerated in
subsection (c), knowingly transfers, possesses, or uses, without lawful authority, a means of identification of
another person shall, in addition to the punishment provided for such felony, be sentenced to a term of
imprisonment of 2 years ».
54
MARIEZ (J-S.), « Un premier pas vers la mise en place d‟un dispositif pertinent de lutte contre l‟usurpation
d‟identité sur internet ? », RLDI, n°43, 2008.
69
C‟est ce qui est demandé dans le cadre de la lutte contre le téléchargement illicite :
préserver au mieux la vie privée des internautes tout en permettant aux titulaires de droits de
propriété intellectuelle de protéger leurs droits en poursuivant les contrefacteurs. Ce juste
équilibre, notamment consacré par le Conseil Constitutionnel55 et la Cour de Justice des
Communautés européennes56, est par la même applicable en la matière.
Il est très difficile de trouve cet équilibre. Les besoins d‟interaction générés par le
développement de l‟économie numérique sont par définition en plein développement. Ils sont
donc difficiles à définir. De ce fait, trouver une solution pour équilibrer les différents intérêts
en jeu paraît impossible.
En ce qui concerne précisément les réseaux sociaux, il convient d‟admettre qu‟il faut
laisser une marge de manœuvre pour le traitement des données personnelles des utilisateurs. Le
problème est que l‟utilisation des données personnelles par les réseaux est en pleine extension.
Il est donc difficile, voire impossible, de fixer un cadre cohérent sans porter une atteinte grave
à la vie privée des internautes.
Le risque imminent qu‟encourent les utilisateurs de réseaux sociaux résulte d‟une
éventuelle interopérabilité des différents réseaux sociaux.
55
Décision du Conseil Constitutionnel n°2004-499 DC du 29 juillet 2004.
56
CJCE affaire C-275/06 du 29 janvier 2008 Productores de Musica de Espana (Promusicae) c/ Telefonica de
Espana SAU.
70
Section 2 Ŕ Vers la portabilité des données.
Le phénomène des réseaux sociaux est arrivé à maturité. Le système est au point avec
un succès considérable. Il est donc temps pour les opérateurs de faire évoluer leur plateforme.
L‟enjeu d‟avenir des réseaux sociaux est l‟interopérabilité et la portabilité des données.
C‟est la volonté du World Wide Web Consortium ou W3C.
Le W3C est un organisme, créé en 1994, de standardisation à but non lucratif. Il a pour
but de promouvoir la compatibilité des technologies de l‟Internet. Il développe des protocoles
et édicte des lignes de conduite afin d‟assurer un développement à long terme du web57.
Il est composé d‟environ 400 organisations représentants les différentes parties du
monde. 35% de ces organisations sont nord-américaines, 8,8% sont du Royaume-Uni, 7,3%
sont japonaises. La France n‟arrive qu‟en septième position avec 3,4%.
Le grand public est invité à participer au consortium. En raison du rôle essentiel joué
par les internautes, il est normal qu‟ils aient leur mot à dire. Les internautes sont donc invités à
participer aux discussions via les campagnes du W3C par mail ; ils sont ainsi invités à se
joindre aux groupes de travail.
Cette organisation n‟a aucun pouvoir normatif mais émet des recommandations, qui
s‟avèrent être suivies dans leur majorité.
Le W3C a mis en place un groupe de travail sur les réseaux sociaux qui a rendu un
rapport final sur l‟avenir de ces réseaux les 15 et 16 janvier 2009.
La principale proposition de ce rapport est une « architecture décentralisée » des
réseaux sociaux. Un univers où les données des utilisateurs pourront être plus librement en
circulation.
Le W3C part du principe que les internautes s‟inscrivent de plus en plus à des sites
internet, et notamment aux réseaux sociaux. Afin de faciliter la tâche de l‟internaute et donc de
l‟encourager à s‟inscrire toujours plus, pour le bien de l‟économie numérique, le W3C
considère que le partage des informations est capital. Cela permettrait à l‟internaute de ne
s‟inscrire qu‟une fois. Les informations seront alors partagées avec tous les autres sites
auxquels il souhaite s‟inscrire. Il n‟aura donc pas à redonner toutes ses informations dans un
57
Le consortium présente ses fonctions en ces termes : « To lead the World Wide Web to its full potential by
developing protocols and guidelines that ensure long-term growth for the Web ».
71
nouveau formulaire. De même, une fois inscrit à plusieurs réseaux sociaux, lorsqu‟il souhaitera
changer une information sur l‟un des réseaux, celle-ci sera transférée aux autres réseaux et
changée automatiquement sur tous les réseaux sociaux auxquels l‟internaute est inscrit. Un
gain de temps formidable pour l‟internaute.
Quelques initiatives on été mises en place. OpenID, FOAF (Friend of a friend), XFN
par exemple. L‟inscription à l‟un de ses protocoles permet à l‟internaute de se créer une
identité virtuelle. Elle sera identique quel que soit le site visité par l‟internaute (encore faut-il
que les sites participent à ces protocoles).
Le W3C pose alors 2 questions : quel intérêt économique pour les réseaux sociaux ? Et
quelle protection pour les données personnelles et la vie privée des utilisateurs ?
Pour ce qui est de l‟intérêt économique de cette décentralisation, le W3C considère que
l‟avenir réside dans les méthodes de micro-paiements. Il s‟agit dans un avenir proche de
standardiser ces méthodes afin d‟aboutir à un modèle économique pérenne des réseaux
sociaux.
En ce qui concerne la protection des données personnelles, la solution n‟est pas donnée.
Le W3C garde cette idée de protection et de confiance tout au long de son travail et assure qu‟il
s‟agit d‟une priorité. Le fait est que cette protection n‟est pas encore assurée de façon certaine.
Aucune mesure actuellement ne permet de protéger les données. Et, étonnement ce sont les
réseaux sociaux eux-mêmes qui freinent la démarche. Le co-président du groupe de travail sur
les réseaux sociaux du W3C, Dominique Hazael-Massieux, dit lui-même : « Ils [les réseaux
sociaux] essaient de garder le contrôle sur les données personnelles. Ils acceptent en revanche
le partage avec d’autres services, mais refusent d’intégrer d’autres sources dans leurs bases »
[…] « le moment est venu pour les différents acteurs des réseaux sociaux de travailler
ensemble pour abattre les barrières qui bloquent la croissance et la stabilité de l’industrie »
[…] « tous les utilisateurs de réseaux sociaux, et particulièrement les plus jeunes, attendent
une expérience sociale la plus riche possible mais avec une mobilité, une accessibilité et une
sécurité totales ».
Une autre organisation s‟est mise en place : DataPortability. Créé en novembre 2007, il
s‟agit d‟un groupe de discussion sur la portabilité des données et ses enjeux. L‟organisme ne
vise pas à développer, à la différence du W3C, de nouveaux standards. Il souhaite s‟appuyer
sur des technologies existantes pour favoriser la portabilité des données. Parmi ces
technologies existantes on trouve Open ID, qui permet de créer un compte unique pour
plusieurs sites. On trouve aussi un acteur actif : Open Social de Google qui propose une série
72
d‟interfaces de programmation (ou API) pour aider les développeurs à créer des applications
compatibles pour les réseaux sociaux. L‟exemple en est du site du Vatican : Pope to you. Il
s‟agit d‟un site dont une application peut-être faite sur Facebook et Twitter notamment.
Cette portabilité entraine déjà une guerre sans merci entre les géants de l‟Internet.
Google tente tant bien que mal de s‟imposer sur le marché des réseaux sociaux. Son réseau
Orkut a, en dehors du Brésil, beaucoup de mal à s‟imposer. Par la création d‟Open Social,
Google entend relier plusieurs millions d‟utilisateurs à son réseau. En effet, sont partenaires
MySpace, LinkedIn, Friendster, Viadéo et Hi5 (entre autres). L‟une des applications d‟Open
Social est Friend Connect, qui permet de multiplier les interactions entre internautes. Facebook
a catégoriquement refusé de rejoindre cette application considérant qu‟elle redistribuait les
informations de ses utilisateurs sans leur consentement et cela était contraire à la politique de
Facebook. Facebook qui, par ailleurs, tente de développer tant bien que mal Facebook
Connect, rival d‟Open Social.
La portabilité des données est donc encore en développement. C‟est MySpace qui
apparait être le plus en pointe sur la question. L‟option DataAvailability a été mise en place
début 2008. Elle permet aux utilisateurs du réseau de transférer certaines données à des sites
partenaires tels que Yahoo !, eBay, Twitter. Le président de MySpace a déclaré à l‟occasion :
« nous sommes les pionniers d’un Internet plus ouvert ».
L‟idée de base est réellement la possibilité de partager les données personnelles de
l‟utilisateur pour le bien-être de celui-ci.
Pourtant, cela semble se faire en contradiction avec les lois et règlements en vigueur sur
la protection des données personnelles. Des problèmes non résolus se posent : le consentement
de l‟utilisateur. Chaque utilisateur devra donner son consentement au traitement des données
par le réseau social auquel il s‟inscrit puis son consentement au transfert de ses données aux
différents sites partenaires ainsi qu‟au traitement de ses données par ces derniers. Pour que ce
consentement soit « éclairé », l‟utilisateur doit être informé de la finalité de chacun des
traitements et de la législation applicable à chacun des traitements. Il doit par ailleurs savoir
quelles données seront transférées. Connaissant la volonté d‟information des réseaux sociaux,
il est peu probable que l‟utilisateur soit informé de tout cela. L‟utilisateur donne donc son
consentement, certes, mais à quoi ? Il n‟en a aucune idée.
Par ailleurs, la question de la validité des conditions générales d‟utilisation (pouvant
être reconnues comme abusives et donc annulées par un juge) reste posée. Que penser alors
d‟une clause permettant le transfert de données vers d‟autres sites : est-elle abusive ? Les
73
données seront alors soumises à d‟autres conditions générales d‟utilisation dont l‟utilisateur
n‟aura pas eu connaissance et il n‟aura donc pas contracté avec le réseau social.
La protection des données apparait donc compromise par un « communisme
numérique » dont la motivation est paradoxalement le bien de l‟internaute.
74
CONCLUSION
Les réseaux sociaux représentent un enjeu majeur de l‟Internet 2.0. Au cœur de cet
enjeu : les données personnelles des internautes qui, dans un monde où l‟économie numérique
prend de plus en plus de place, sont de plus en plus nombreuses. Elles représentent un enjeu
économique énorme pour ces réseaux. Leur modèle économique ne repose que sur ces
données.
Le fait est que l‟argent l‟emporte sur la vie privée. Aucune protection n‟est assurée aux
données personnelles des utilisateurs de réseaux sociaux.
Un dispositif complet est censé protéger ces données. Encore faut-il que celui-ci soit
respecté. Ce qui n‟est pas le cas. Les difficultés de contrôle du traitement des données et de
preuves en cas de non respect des règles font que peu d‟affaires sont portées devant les juges
qui par ailleurs ne condamnent que rarement.
Une solution simples serait de porter les conditions générales d‟utilisation devant un
juge afin d‟évaluer la licéité de celles-ci.
En outre, l‟avenir des réseaux sociaux ne présage rien de bon pour la protection des
données personnelle : la portabilité des données représente un risque majeur dans la mesure où
elle permettrait des traitements des données par de nombreux responsables et ce sans l‟accord
des internautes.
De nombreuses recommandations s‟imposent alors en attendant un cadre plus strict et
déterminé s‟appliquant aux réseaux sociaux. Tout d‟abord, les utilisateurs devraient réfléchir
aux données qu‟ils publient sur les réseaux sociaux et la portée de celles-ci. En particulier les
photos ou numéros de téléphone. Ils doivent en outre préserver la vie privée des autres et ne
jamais publier d‟informations personnelles sur des tiers.
Pour ce qui est des réseaux sociaux, afin d‟une plus grande clarté, ils devraient
appliquer les lois et règlements en vigueur dans les pays où fonctionnent leurs services. Ils
devraient en outre informer en toute clarté et transparence les utilisateurs sur le traitement de
leurs données personnelles, ainsi que sur les éventuelles conséquences de la publication de
leurs données.
Ensuite, la technique de l‟opt-in devrait être généralisée à toutes les données afin
d‟assurer une protection maximale à l‟utilisateur.
75
Les systèmes de protection des données devraient être constamment développés pour
assurer une protection face à une cybercriminalité sans cesse en progression. En particulier,
assurer une plus grande protection des données publiées sur les profils, notamment le contrôle
des données utilisées par les moteurs de recherche.
Le droit à l‟oubli, obsolète en l‟état actuel des choses, doit pouvoir être assuré au
mieux, notamment en permettant de résilier facilement leur adhésion.
En attendant que les instances, notamment le Groupe de l‟article 29 qui devrait rendre
son avis à l‟automne 2009, prennent des décisions claires concernant les réseaux sociaux, c‟est
aux utilisateurs de protéger leurs données personnelles.
76
BIBLIOGRAPHIE
OUVRAGES GÉNÉRAUX ET SPÉCIALISÉS
- BUREAU (D.) et MUIR WATT (H.), Droit international privé, PUF, Paris 2007.
- CALÉ (S.) et TOUITOU (P.), La sécurité informatique, Lavoisier, Paris, 2007.
- DEVÈZE (J.), FRAYSSINET (J.), et LUCAS (A.), Droit de l’informatique et de l’Internet,
PUF, Paris, 2001.
- GERVAIS (J-F.), WEB 2.0 Les internautes au pouvoir, Dunod, Paris, 2007.
- MAIGRET (E.), Sociologie de la communication et des médias, Armand Colin, Paris, 2003.
- VERBIEST (T.), Le nouveau droit du commerce électronique, L.G.D.J, Bruxelles, 2005.
- VIGNAL (T.), Droit international Privé, Armand Colin, Paris, 2005.
ARTICLES, CONTRIBUTIONS, INTERVENTIONS ET DOSSIERS
- « La protection internationale des données personnelles sur l‟Internet », http://www.isoc.fr/laprotection-internationale-des-donnes-personnelles-sur-l-internet-article0095.html,
le
20
septembre 2008.
« Les
-
réseaux
sociaux
sont
prêts
à
plus
d‟échanges »,
http://www.01net.com/editorial/369119/les-reseaux-sociaux-prets-a-plus-dechanges/,
le
10
janvier 2008.
- « Réseaux sociaux : l‟anonymat ne garantit pas le respect de la vie privée »,
http://www.atelier.fr/securite/10/23032009/reseaux-sociaux-reseau-social-anonymat-vieprivee-donnees--38010-.html, le 23 mars 2009.
- Groupe de l‟article 29, « Avis 4/2007 sur le concept de données à caractère personnel »,
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp136_fr.pdf, le 24 janvier
2009.
-
AFIRI
(M.),
« La
sécurité
des
réseaux
sociaux
en
question »,
http://www.cnetfrance.fr/produits/applications/securite-reseaux-sociaux-39379951.htm, le 27
mars 2008.
77
-
AGUILA
(N.),
« Les
dangers
des
réseaux
sociaux »,
http://www.infos-du-
net.com/actualite/11282-reseaux-sociaux.html, le 25 juillet 2007.
- ANATRELLA (B.), « Propriété intellectuelle : création et internet, une confiance virtuelle ?,
propos introductif », RLDI, n°47, 2009.
- ASTOR (P.), « Réseaux sociaux : MySpace Data Availability veut organiser la portabilité des
données de profil », http://www.zdnet.fr/actualites/internet/0,39020774,39380937,00.htm, le 11
mai 2008.
- BARBRY (E.), « Responsabilité : une (r)évolution annoncée ? (propos introductif), RLDI,
n°47, 2009.
- BARREIRO (E.), « Le marché de la culture à l‟ère du numérique, un modèle économique à
réinventer ! », RLDI, n°47, 2009.
- BEKY (A.) :

« Conditions
de
service :
Facebook
fait
volte-face »,
http://www.neteco.com/258468-facebook-volte-face-conditions-service.html,
le
18
février 2009.

« Facebook
et
Beacon :
Zuckerberg
fait
son
mea
culpa »,
http://www.neteco.com/87680-facebook-beacon-zuckerberg-mea-culpa.html,
le
6
décembre 2007.

« Facebook
et
LinkedIn
augmentent
leur
audience »,
http://www.neteco.com/257880-facebook-linkedin-augmentent-audience.html, le 16
février 2009.

« Facebook fait encore mieux que MySpace », http://www.neteco.com/257164-
facebook-myspace.html, le 11 février 2009.

« Facebook :
“vos
informations
vous
appartiennent” »,
http://www.neteco.com/258188-facebook-conditions-utilisation-zuckerberg-info.html,
le 17 février 2009.

« Twitter
pourrait
facturer
l‟usage
commercial
de
son
service »,
http://www.neteco.com/257040-twitter-facturer-usage-commercialmicroblogging.html, le 11 février 2009.

« Twitter,
une
nouvelle
arme
pour
les
terroristes ? »,
http://www.neteco.com/170918-twitter-nouvelle-arme-terroristes-fas.html,
le
27
octobre 2008.

« Twitter valorisé 250 millions de dollars ? », http://www.neteco.com/253358-
twitter-valorise-250-millions-dollars.html, le 26 janvier 2009.
78
- BELFIORE (G.) :

« Twitter est la cible d‟attaques de malware », http://www.neteco.com/154860-
twitter-malware-virus.html, le 6 août 2008.

« Twitter n‟a pas encore percé en Europe », http://www.neteco.com/251768-
twitter-perce-europe.html, le 19 janvier 2009.
- BELLEIL (A.), « La régulation économique des données personnelles ? », Légicom, n°42,
2009.
- BIGET (S.), « MySpace ouvre la voie à l‟interopérabilité des réseaux sociaux »,
http://www.cnet.france.fr/news/internet/myspace-ouvre-la-voie-a-l-interoperabilite-desreseaux-sociaux-39380933.htm, le 9 mai 2008.
- BONDU (J.) et GARNIER (A.), « L‟impact des réseaux sociaux », http://ddata.overblog.com/xxxyyy/0/11/43/63/Benchmarking-IE/Livre-blanc_reseaux-sociaux3.pdf,
février
2009.
- BOUTEILLER (J.) :

« Facebook et MySpace se lancent dans la publicité comportementale »,
http://www.neteco.com/85066-facebook-myspace-lancent-publicitecomportementale.html, le 7 novembre 2007.

« Les comptes Twitter de Britney Spears et d‟Obama ont été piratés »,
http://www.neteco.com/249664-comptes-twitter-britney-spears-obama-pirates.html, le
7 janvier 2009.
- CHABANNE (A.), CHAVARRO (E.), COUMET (C.), « Le statut juridique de l‟adresse IP »,
présentation Powerpoint à l‟IREDIC, Faculté de droit d‟Aix en Provence, le 4 février 2009.
- CHABERT (C.), « Jurisprudence : à l‟honneur en 2008 », RLDI, n°47, 2009.
- CHAUSSON (C.), « Le W3C veut des réseaux sociaux plus distribués, interopérables et
accessibles »,
http://www.lemagit.fr/article/reseaux-sociaux-interoperabilite-donnees-
personnelles-w3c/2471/1/le-w3c-veut-des-reseaux-sociaux-plus-distribues-interoperablesaccessibles/, le 10 février 2009.
- CLEMENT (D.), « Une loi US sur les données personnelles et les entreprises »,
http://www.generation-nt.com/projet-loi-americain-obliger-entreprises-divulguer-toute-failledans-protection-donnees-personnelles-csia-actualite-21864.html, le 9 février 2007.
- DAVIAUD (I.), « Les impacts et les risques de la diffusion d‟informations sur l‟entreprise sur
des blogs, forums et réseaux sociaux : comment gérer l‟é-réputation des entreprises ? », RLDI,
n°47, 2009.
79
-
DEPIERRE
(F.),
« Vos
données
personnelles
et
les
réseaux
sociaux »,
http://www.vigilia.org/2009/01/donnee-personnelles-reseau-sociaux.html, le 14 janvier 2009.
- DERIEUX (E.), „Internet et protection des données personnelles », RLDI, n°38, 2008.
- ELKAÏM (Y.), « Hébergeur ? éditeur ? les deux ? », RLDI, n°47, 2009.
-
FAYON
(D.),
« Les
réseaux
sociaux
à
la
croisée
des
chemins »,
http://david.fayon.free.fr/stock/reseaux-sociaux.htm, le 17 mai 2008.
- FAYE (de la) (P.), « Focus sur les sanctions prononcées par la CNIL en 2006/2007 », RLDI,
n°47, 2009.
- FRAYSSINET (J.) :

« La régulation de la protection des données personnelles », Légicom, n°42,
2009.

« La régulation du respect de la loi informatique, fichiers et libertés par le droit
pénal : une épée en bois », Légicom, n°42, 2009.
- GAUTIER (P-Y.), « Réseaux sociaux sur l‟internet, données personnelles et droit des
contrats », Recueil Dalloz, n°9, 2009.
- GALY (I.), « E-commerce : le consommateur au cœur de l‟économie numérique. Propos
introductif », RLDI, N°47, 2009.
- GIRARDEAU (A.), « Si vous n‟acceptez pas l‟utilisation de vos données personnelles à des
fins publicitaires, cliquez ici », http://www.ecrans.fr/Si-vous-n-acceptez-pas-1,3684.html, le 20
mars 2008.
- HAAS (G.), « L‟identité usurpée sur internet : vide juridique », RLDI, n°47, 2009.
-
HADDAD
(A.),
« Le
“Oprah
Effect” :
+43%
de
croissance
pour
Twitter »,
http://fr.mashable.com/2009/04/21/le-oprah-effect-43-de-croissance-pour-twitter/, le 21 avril
2009.
- HUET (J.) et LECLERCQ (P.), « La CNIL a-t-elle accompli les missions dévolues par le
législateur ? », Légicom, n°42, 2009.
- KERBOUC‟H (J.Y.), « La protection des données à caractère personnel des salariés »,
Légicom, n°42, 2009.
- LAURENT (A.), « Facebook aurait tenté de racheter Twitter pour… 500 millions $ »,
http://www.neteco.com/241758-facebook-racheter-twitter-500.html, le 24 novembre 2008.
- LE GRAND (G.), « Les travaux de la CNIL sur les moteurs de recherche », RLDI, n°47,
2009.
80
- LE TOQUIN (J-C.), « Lutte contre le cybercrime : la France est-elle un modèle pour
l‟Europe ? », RLDI, n°47, 2009.
- MALLET-POUJOL (N.), « Big Brother et Anastasie au chevet du droit d‟auteur : réflexions
sur le projet de loi « Création et Internet » », Légicom, n°42, 2009.
- MARIEZ (J-S.), « Un premier pas vers la mise en place d‟un dispositif pertinent de lutte
contre l‟usurpation d‟identité sur internet ? », RLDI, n°43,2008.
- MOURON (P.), « Internet et identité virtuelle des personnes », Revue de la recherche
juridique – Droit prospectif, n°124, 2008.
- MUENCHINGER (N.), « Transfert de données personnelles vers les Etats-Unis : peut-on
échapper
aux
principes
de
“Safe
Harbor” ? »,
http://www.journaldunet.com/juridique010731.shtml, le 31 juillet 2001.
- NERBONNE (S.), « Le groupe de l‟article 29 est-il en mesure de s‟imposer comme le
régulateur des régulateurs par ses prises de position ? », Légicom, n°42, 2009.
- PFRUNDER (F.), « L‟e-consommateur a-t-il encore besoin d‟être protégé ? », RLDI,
N°47,2009.
- POULLET (Y.), « La loi des données à caractère personnel : un enjeu fondamental pour nos
sociétés et nos démocraties ? », Légicom, n°42, 2009.
-
PROUST
(O.),
« Réseaux
sociaux :
quels
risques
pour
les
internautes ? »,
http://www.lepoint.fr/actualites-societe/reseaux-sociaux-quels-risques-pour-lesinternautes/1597/0/269912, le 29 août 2008.
- QUÉMÉNER (M.), « Bilan législatif et jurisprudentiel 2008 », RLDI, n°47, 2009.
- RASLE (B.), « Correspondant informatique et libertés (CIL) et régulation », Légicom, n°42,
2009.
-
RODIC
(Y.),
« Comment
les
réseaux
sociaux
changent
la
vie »,
http://largeur.com/expArt.asp?artID=1930, le 27 septembre 2005.
- TABAKA (B.), « La responsabilité des intermédiaires de l‟internet : vers une généralisation
des chartes d‟engagements ? », RLDI, n°47, 2009.
-
TAFT
(D.K.),
« Le
W3C
préconise
l‟interopérabilité
des
réseaux
sociaux »,
http://www.eweekeurope.fr/news/le-w3c-preconise-l-interoperabilite-des-reseaux-sociaux-608,
le 5 février 2009.
- THOUMYRE (L.), « La politique de MySpace pour la création », RLDI, n°47, 2009.
81
SITES INTERNET
http://dataportability.org
www.01net.com
www.123people.fr
www.assemblee-nationale.fr
www.cnil.fr
www.ec.europa.eu
www.eto.fr
www.export.gov
www.facebook.com
www.labelsite.org
www.laposte.net
www.legalbiznext.com
www.legalis.net
www.legifrance.gouv.fr
www.letelegramme.com
www.lexinter.net
www.linkedin.com
www.myspace.com
www.openid.net
www.orkut.com
www.privacyconference2008.org
www.privacyinternational.org
www.senat.fr
www.spock.com
www.truste.org
www.twitter.com
82
www.viadeo.com
www.w3.org
www.wikipedia.fr
www.zdnet.fr
www.zoominfo.com
83
TABLE DES MATIÈRES
REMERCIEMENTS ..........................................................................................................
SOMMAIRE .......................................................................................................................
INTRODUCTION ............................................................................................................ 1
TITRE 1 - UN PHÉNOMÈNE MONDIAL AUX ENJEUX MULTIPLES. ............. 12
CHAPITRE 1 - DONNÉES PERSONNELLES : UN ENJEU ÉCONOMIQUE MAJEUR. ................. 13
Section 1 - Le paradoxe d‟un succès mondial à faible rentabilité. ....................... 14
§1 Ŕ Un modèle de gratuité mis à mal. ................................................................. 14
A- Des revenus publicitaires insuffisants. ....................................................... 14
B- De nombreux services non exploités. ........................................................ 15
§2 Ŕ Vers un service payant ? ............................................................................... 16
A- Des modèles économiques mixtes. ............................................................ 16
B- Les risques d‟un modèle payant. ................................................................ 17
Section 2 - Des données de grande valeur. ........................................................... 18
§1 Ŕ Une mine d‟or à la disposition des hébergeurs. ............................................ 18
A- Les données confiées consciemment. ........................................................ 18
B- Les données livrées involontairement. ....................................................... 19
§2 Ŕ Une mine d‟or à la disposition des annonceurs. ........................................... 21
A- Un profilage complet de l‟internaute. ........................................................ 21
B- Le développement important des publicités ciblées. ................................. 22
CHAPITRE 2 - LE TRAITEMENT INTERNATIONAL DES DONNÉES : D‟IMPORTANTES
DIFFICULTÉS JURIDIQUES. ....................................................................................................... 25
Section 1 - Des modèles de protection radicalement différents. .......................... 26
§1 Ŕ France : un imbroglio de textes nuisant à l‟efficacité de la protection. ........ 26
A- Une multiplicité des sources. ..................................................................... 26
B- Une jurisprudence peu efficace. ................................................................. 29
§2 Ŕ États-Unis : une absence de mesures de protection des données. ................ 30
A- Des projets au niveau fédéral. .................................................................... 30
B- Une distorsion importante des systèmes de protection. ............................. 32
Section 2 - Une délicate détermination de la loi applicable. ................................ 33
§1 Ŕ Un régime juridique différent pour chaque étape du traitement de données.33
A- Application du droit international privé. .................................................... 33
84
B- À chaque action son régime juridique. ...................................................... 38
§2 Ŕ Safe Harbor : outil essentiel de collaboration internationale........................ 40
A- Présentation du Safe Harbor. ..................................................................... 40
B- Une réponse aux exigences européennes. .................................................. 41
TITRE 2 – UN PHÉNOMÈNE MONDIAL COMPORTANT DE NOMBREUX
RISQUES. ................................................................................................................................. 45
CHAPITRE 1 Ŕ UNE PORTE D‟ACCÈS POUR LES CYBERCRIMINELS. .................................. 46
Section 1 Ŕ Le cas des éditeurs tiers hébergés sur le réseau social. ..................... 47
§1 Ŕ Une plus value pour l‟utilisateur. ................................................................. 47
A- Un attrait majeur des différentes applications. .......................................... 47
B- Un moyen de communication sans faille. .................................................. 48
§2 Ŕ Un danger supplémentaire pour l‟utilisateur. ............................................... 49
A- De nombreuses informations supplémentaires collectées.......................... 49
B- Aucune possibilité de contrôle a priori de la bonne foi de l‟éditeur. ........ 50
Section 2 Ŕ Une aubaine pour les pirates du net. .................................................. 51
§1 Ŕ Une facilité d‟accès aux différentes informations. ....................................... 51
§2 Ŕ De nombreuses menaces............................................................................... 52
CHAPITRE 2 Ŕ L‟IDENTITÉ NUMÉRIQUE : NOTION AU CŒUR DES QUESTIONS D‟AVENIR
DES RÉSEAUX SOCIAUX. .......................................................................................................... 58
Section 1 Ŕ Vers la reconnaissance d‟une infraction d‟« usurpation d‟identité ». 59
§1 Ŕ Une importance croissante de la notion d‟identité virtuelle. ........................ 59
A- De l‟« identité humaine » à l‟identité virtuelle. ......................................... 59
B- Le rôle des réseaux sociaux dans l‟affirmation de l‟identité virtuelle. ...... 62
§2 Ŕ L‟usurpation d‟identité numérique : un vide juridique................................. 63
A- Présentation de l‟usurpation d‟identité numérique. ................................... 63
B- Un vide juridique à combler. ..................................................................... 67
Section 2 Ŕ Vers la portabilité des données. ......................................................... 71
CONCLUSION ............................................................................................................... 75
BIBLIOGRAPHIE ......................................................................................................... 77
TABLE DES MATIÈRES ............................................................................................. 84
85